jueves, 27 de noviembre de 2014

Sistemas Industriales: ¿Parchear o no parchear?


Muchas son las peculiaridades que deben tenerse en cuenta al considerar la seguridad de los sistemas industriales y los sistemas SCADA. Una especialmente relevante  es el parcheo o actualización de los sistemas o del software que éstos soportan. Cuando en una evaluación de la seguridad de este tipo de sistemas se llega a la pregunta: “¿Y cómo realizáis el mantenimiento de los sistemas para solventar las vulnerabilidades conocidas que hayan sido resueltas por el fabricante?” nos podemos encontrar con respuestas de lo más variado. Algunas posibilidades son:
Opción 1: Cara de póker
“- Nosotros no aplicamos parches de seguridad. No es necesario puesto que nuestra red industrial está totalmente aislada y de todas formas, la mayoría de los fabricantes que utilizamos no publican actualizaciones de seguridad. Por otro lado, en ocasiones la actualización del software implica también cambio de hardware, por lo que las restricciones presupuestarias no permiten aplicar dichas actualizaciones.”
Esta respuesta o respuesta similares es bastante común. Y no me parece una estrategia descabellada a seguir la de no aplicar parches de seguridad siempre y cuando se cumplan los siguientes condicionantes:
1.       Se realice un análisis de riesgos para comprender claramente cuáles son las amenazas que nos pueden afectar por el hecho de no parchear nuestros sistemas y qué impacto podrían suponer dichas amenazas en caso de materializarse. Téngase en cuenta que no me refiero a realizar un ejercicio superficial de análisis de riesgos, si no que me refiero a analizar los riesgos en profundidad. Es decir, conocer exactamente qué vulnerabilidades son las que no estoy parcheando, como podrían ser explotadas por un atacante y qué medidas compensatorias al parcheo estoy implementando en mi infraestructura para paliar estos riesgos. A la hora de considerar las amenazas se debe prestar especial atención al perímetro de los sistemas industriales, los puntos de interactuación con las redes tradicionales y los puntos de acceso que son fácilmente accesibles por visitantes o por el público en general.

2.       Una vez realizado dicho análisis de riesgos, se vea que los problemas, costes o dificultades derivados de aplicar los parches sean superiores al riesgo que se mitigaría en caso de parchear.

3.       Que esta decisión sea llevada a cabo de forma informada y consciente por el propietario del riesgo,  es decir, por el responsable del proceso de negocio que sufriría las consecuencias en caso de que estos riesgos se materializaran.
Por otro lado, está claro que hay que presionar a los fabricantes para que implementen procesos de gestión de las vulnerabilidades de sus productos y la calidad de los mismos debería ser un criterio clave en la selección de este tipo de tecnologías para que este problema no se perpetúe en el tiempo.

Opción 2: El hombre tranquilo
“- Pues depende del fabricante, del dispositivo, y del técnico que se encargue de la actualización. No lo tenemos realmente documentado, pero usamos métodos diversos como la descarga directa desde la página web del fabricante de los ficheros de actualización (quien por cierto no publica un hash del fichero para verificarlo tras su descarga, y si lo publica no lo verificamos). A veces, para ganar tiempo incluso lo descargamos desde nuestra propia casa dónde el ancho de banda es mayor que en la oficina. Lo grabamos en nuestro USB y lo conectamos a la red de sistemas industriales que está totalmente aislada de la red de IT. Otras veces, es un partner o el propio fabricante quien viene con su USB o con sus portátiles y se conectan directamente a nuestra red industrial para aplicar las actualizaciones o realizar cualquier otro tipo de intervención.”

En estos casos, como podéis imaginar, el problema radica en que el ‘aislamiento’ deja de ser tal cuando el USB, el portátil o el CD de turno se conecta a nuestra red aislada. Algunas amenazas a las que se exponemos nuestros sistemas con éstas prácticas son:
·         Malware que pueda causar problemas de rendimiento o incluso una denegación de servicio en estos equipos.
·         Malware avanzado capaz incluso de permitir el control remoto o el robo de datos. Aunque a priori esto parece imposible en una red aislada, en la actualidad podemos encontrar numerosas pruebas de concepto sobre cómo se podrían realizar estos ataques sorteando el ‘Air GAP’.
·         Actualizaciones fraudulentas descargadas de internet cuyo funcionamiento será diferente al esperado.
·         Terceros que se conectan a nuestra red utilizando sus propios sistemas que pueden tener un nivel de seguridad inferior al nuestro. Además, si no controlamos qué actividades realizan en nuestros sistemas pueden ser una fuente de amenaza a tener en cuenta. No olvidemos que es muy probable que nuestros partners trabajen también para nuestra competencia directa, por lo que es una fuente de riesgo a tener en cuenta.

Opción 3: El precavido
“En nuestra organización disponemos de procesos documentados y seguros para llevar a cabo la actualización de todos nuestros sistemas industriales. Tenemos diversos sistemas para estar informados de cualquier nueva vulnerabilidad que se descubra que puede afectar a nuestros sistemas. Realizamos un análisis comparativo de los riesgos que supone llevar a cabo la actualización comparándolos con los que supone dejar los sistemas sin parchear, de manera que el propietario del proceso puede establecer el criterio a seguir para tomar la decisión de si se debe parchear y en qué plazo debe hacerse. Una vez decidimos que un parche debe aplicarse, lo obtenemos de una fuente segura verificando su integridad y autenticidad, lo desplegamos en nuestros entornos de prueba para verificar que la actualización no comprometerá la funcionalidad ni la seguridad de los sistemas y, sólo después de esto, y bajo nuestro estricto control y supervisión, la actualización se despliega en producción dentro del plazo establecido por el propietario del proceso.”

Pues si te vienen con estas, poco vas a tener que decir salvo asentir y felicitar al cliente. Sin embargo, hasta el momento no me he encontrado con el caso, aunque no pierdo la esperanza…
En conclusión, los procesos de gestión de vulnerabilidades son un aspecto crítico a considerar en cualquier evaluación de seguridad que se realice, pero especialmente si lo que estamos evaluando son sistemas industriales y/o sistemas SCADA. No actualizar significa acumular vulnerabilidades, mientras que el proceso de actualizar puede ser en sí mismo una amenaza si no se realiza de manera adecuada. Por lo tanto, planificar, documentar y establecer un ciclo de mejora continua sobre los procesos de gestión de vulnerabilidades debería estar en la agenda de cualquier responsable de seguridad que pretenda mejorar la protección de su organización.

No hay comentarios: