Muchas son las peculiaridades que deben tenerse en cuenta
al considerar la seguridad de los sistemas industriales y los sistemas SCADA.
Una especialmente relevante es el
parcheo o actualización de los sistemas o del software que éstos soportan.
Cuando en una evaluación de la seguridad de este tipo de sistemas se llega a la
pregunta: “¿Y cómo realizáis el mantenimiento de los sistemas para solventar
las vulnerabilidades conocidas que hayan sido resueltas por el fabricante?” nos
podemos encontrar con respuestas de lo más variado. Algunas posibilidades son:
Opción 1: Cara
de póker
“- Nosotros no aplicamos parches de seguridad. No es
necesario puesto que nuestra red industrial está totalmente aislada y de todas
formas, la mayoría de los fabricantes que utilizamos no publican
actualizaciones de seguridad. Por otro lado, en ocasiones la actualización del
software implica también cambio de hardware, por lo que las restricciones
presupuestarias no permiten aplicar dichas actualizaciones.”
Esta respuesta o respuesta similares es bastante común. Y
no me parece una estrategia descabellada a seguir la de no aplicar parches de
seguridad siempre y cuando se cumplan los siguientes condicionantes:
1.
Se realice un análisis de riesgos para
comprender claramente cuáles son las amenazas que nos pueden afectar por el
hecho de no parchear nuestros sistemas y qué impacto podrían suponer dichas
amenazas en caso de materializarse. Téngase en cuenta que no me refiero a
realizar un ejercicio superficial de análisis de riesgos, si no que me refiero
a analizar los riesgos en profundidad. Es decir, conocer exactamente qué
vulnerabilidades son las que no estoy parcheando, como podrían ser explotadas
por un atacante y qué medidas compensatorias al parcheo estoy implementando en
mi infraestructura para paliar estos riesgos. A la hora de considerar las
amenazas se debe prestar especial atención al perímetro de los sistemas
industriales, los puntos de interactuación con las redes tradicionales y los
puntos de acceso que son fácilmente accesibles por visitantes o por el público
en general.
2.
Una vez realizado dicho análisis de
riesgos, se vea que los problemas, costes o dificultades derivados de aplicar
los parches sean superiores al riesgo que se mitigaría en caso de parchear.
3.
Que esta decisión sea llevada a cabo de
forma informada y consciente por el propietario del riesgo, es decir, por el responsable del proceso de
negocio que sufriría las consecuencias en caso de que estos riesgos se
materializaran.
Por otro lado, está claro que hay que presionar a los
fabricantes para que implementen procesos de gestión de las vulnerabilidades de
sus productos y la calidad de los mismos debería ser un criterio clave en la
selección de este tipo de tecnologías para que este problema no se perpetúe en
el tiempo.
Opción 2: El
hombre tranquilo
“- Pues depende del fabricante, del dispositivo, y del
técnico que se encargue de la actualización. No lo tenemos realmente
documentado, pero usamos métodos diversos como la descarga directa desde la
página web del fabricante de los ficheros de actualización (quien por cierto no
publica un hash del fichero para verificarlo tras su descarga, y si lo publica
no lo verificamos). A veces, para ganar tiempo incluso lo descargamos desde
nuestra propia casa dónde el ancho de banda es mayor que en la oficina. Lo
grabamos en nuestro USB y lo conectamos a la red de sistemas industriales que
está totalmente aislada de la red de IT. Otras veces, es un partner o el propio
fabricante quien viene con su USB o con sus portátiles y se conectan directamente
a nuestra red industrial para aplicar las actualizaciones o realizar cualquier
otro tipo de intervención.”
En estos casos, como podéis imaginar, el problema radica
en que el ‘aislamiento’ deja de ser tal cuando el USB, el portátil o el CD de
turno se conecta a nuestra red aislada. Algunas amenazas a las que se exponemos
nuestros sistemas con éstas prácticas son:
·
Malware que pueda causar problemas de
rendimiento o incluso una denegación de servicio en estos equipos.· Malware avanzado capaz incluso de permitir el control remoto o el robo de datos. Aunque a priori esto parece imposible en una red aislada, en la actualidad podemos encontrar numerosas pruebas de concepto sobre cómo se podrían realizar estos ataques sorteando el ‘Air GAP’.
· Actualizaciones fraudulentas descargadas de internet cuyo funcionamiento será diferente al esperado.
· Terceros que se conectan a nuestra red utilizando sus propios sistemas que pueden tener un nivel de seguridad inferior al nuestro. Además, si no controlamos qué actividades realizan en nuestros sistemas pueden ser una fuente de amenaza a tener en cuenta. No olvidemos que es muy probable que nuestros partners trabajen también para nuestra competencia directa, por lo que es una fuente de riesgo a tener en cuenta.
Opción 3: El
precavido
“En nuestra organización disponemos de procesos
documentados y seguros para llevar a cabo la actualización de todos nuestros
sistemas industriales. Tenemos diversos sistemas para estar informados de
cualquier nueva vulnerabilidad que se descubra que puede afectar a nuestros
sistemas. Realizamos un análisis comparativo de los riesgos que supone llevar a
cabo la actualización comparándolos con los que supone dejar los sistemas sin
parchear, de manera que el propietario del proceso puede establecer el criterio
a seguir para tomar la decisión de si se debe parchear y en qué plazo debe
hacerse. Una vez decidimos que un parche debe aplicarse, lo obtenemos de una
fuente segura verificando su integridad y autenticidad, lo desplegamos en
nuestros entornos de prueba para verificar que la actualización no comprometerá
la funcionalidad ni la seguridad de los sistemas y, sólo después de esto, y
bajo nuestro estricto control y supervisión, la actualización se despliega en
producción dentro del plazo establecido por el propietario del proceso.”
Pues si te vienen con estas, poco vas a tener que decir
salvo asentir y felicitar al cliente. Sin embargo, hasta el momento no me he
encontrado con el caso, aunque no pierdo la esperanza…
En conclusión, los procesos de gestión de
vulnerabilidades son un aspecto crítico a considerar en cualquier evaluación de
seguridad que se realice, pero especialmente si lo que estamos evaluando son
sistemas industriales y/o sistemas SCADA. No actualizar significa acumular
vulnerabilidades, mientras que el proceso de actualizar puede ser en sí mismo
una amenaza si no se realiza de manera adecuada. Por lo tanto, planificar,
documentar y establecer un ciclo de mejora continua sobre los procesos de
gestión de vulnerabilidades debería estar en la agenda de cualquier responsable
de seguridad que pretenda mejorar la protección de su organización.
No hay comentarios:
Publicar un comentario