Antivirus actualizado: una herramienta fundamental para mejorar la seguridad en SCI

Fecha de publicación 31/01/2019
Autor
INCIBE (INCIBE)
Antivirus y actualizaciones

Hoy en día, somos conscientes de la importancia que tiene la ciberseguridad para empresas y organizaciones, así como el papel principal que pueden jugar los antivirus dentro de ellas. Por ello, es importante difundir y destacar, también dentro del entorno industrial, unas buenas prácticas en el uso de los antivirus y en su proceso de actualización.

Importancia de los antivirus en el entorno industrial

Los antivirus pueden jugar un papel importante en la seguridad de los sistemas de control industrial, aunque la propia infraestructura del sistema puede hacer complicada su implementación. El objetivo principal de un correcto despliegue del antivirus implica que la producción en las infraestructuras críticas y esenciales, así como en el resto de entornos industriales de la organización, no se vea afectada o perjudicada, sin que ello implique dejar de lado otros asuntos importantes como, por ejemplo, la protección ante posibles fugas de datos. Para ello, además de los requisitos ya mencionados en el artículo de problemática de los antivirus, se ha de tener en cuenta si en la arquitectura a desplegar tendremos que recurrir a varios servidores de antivirus o, por el contrario, a antivirus centralizados donde cada uno actuará en una zona específica de la arquitectura.

Incidente de seguridad relacionado con antivirus en SCI

Todos sabemos que es imposible hablar de una seguridad que sea infalible y con los antivirus no iba a ser menos, esto se puso de manifiesto en 2014, cuando un fabricante procedente de China incorporó el malware ZombieZero en dispositivos portátiles de lectura de códigos de barras y en sus actualizaciones, lo cual les permitió robar información de sus clientes.

Esto sirvió para que las empresas tomasen más precauciones al tratar con los proveedores o fabricantes e implementasen más criterios de seguridad antes de actualizar los dispositivos, además de analizar periódicamente todos los dispositivos que se obtienen o actualicen con los respectivos antivirus.

Como solución para este incidente, podría haber sido suficiente un antivirus que comprobase que tanto las actualizaciones recibidas como los nuevos productos estaban libres de malware.

Estrategias de actualización del antivirus

Al hablar de una buena estrategia de seguridad en la actualización de los antivirus, el primer paso sería comprobar que los servidores de antivirus se encuentran en el segmento de red correcto dentro de la arquitectura y que tienen comunicación únicamente con los dispositivos necesarios.

Por otro lado, la importancia de la verificación de las actualizaciones, así como del origen de éstas, son fundamentales a la hora de tener una buena estrategia de actualización. Es necesario adoptar estas medidas por el hecho de que los posibles atacantes podrían comprometer los servidores de actualización, lo que supondría una falsificación de las fuentes u origen de las actualizaciones, posibilitando a los atacantes realizar una suplantación de identidad y hacerse pasar por los servidores legítimos de actualización, donde es muy probable que se haya instalado un malware. De esta forma, los clientes que descarguen una actualización estarán comprometiendo, sin darse cuenta, sus propios sistemas.

Para que estas estrategias funcionen correctamente, no solo deberemos verificar la dirección IP origen del proveedor o la URL, sino que los archivos descargados tendrán que ser analizados para asegurarse de que no contengan ningún software malicioso. También es recomendable que no se dejen las actualizaciones automáticas habilitadas, ya que podrían causarnos problemas, por lo que será más seguro realizarlas manualmente siguiendo una política de actualización y buenas prácticas.

Otro punto interesante a tratar sería la realización de pruebas de las actualizaciones, ya que aportarían seguridad extra. Estas pruebas son beneficiosas porque si hubiese algún problema en el sistema (por algún error o pérdida de datos) a la hora de actualizar, al haber hecho antes una prueba, sabremos si esto nos podría ocurrir o no. Por último, advertir que antes de una posible actualización es fundamental realizar una copia de seguridad en el sistema por precaución.

Buenas prácticas en el proceso de actualización del antivirus

Como se ha expuesto antes, una buena arquitectura de red es muy importante en todo momento, más aún cuando hablamos de entornos industriales. Las continuas restricciones en el tráfico de datos entre los diferentes dispositivos de la red harán complicadas las actualizaciones que requiera nuestro antivirus, por eso, aunque parezca algo más laborioso, es recomendable que se hagan de forma manual bajo petición, e incluso mediante medios extraíbles seguros.

El proceso de actualización que vamos a ver a continuación es conocido de manera informal como Sneakernet, y es común en redes aisladas, ya que necesita de un medio extraíble para poder incorporar información del mundo exterior:

  • Lo primero de todo será verificar la autenticidad del código de actualización.
  • Luego descargaremos los archivos de actualización en nuestro servidor o estación de trabajo.
  • Estos archivos tendrán que ser escaneados, para comprobar si contienen algún malware.
  • Sería conveniente verificar el hash criptográfico de los archivos descargados.
  • Se escanearán los medios o unidad de almacenamiento en busca de malware o algún dato inesperado antes de utilizarlos, para así comprobar su integridad. Lo más recomendable es borrar los datos de estos medios de almacenamiento y formatear la unidad.
  • Introducir los archivos en la unidad de almacenamiento. Es recomendable usar este medio extraíble solo para actualizaciones.
  • Configurar la escritura de la unidad extraíble para que terceras partes no tengan ese privilegio.
  • Cargar el medio extraíble en un entorno de prueba para comprobar que su instalación no suponga un impacto negativo en dicho sistema.
  • Volver a escanear otra vez la unidad extraíble por una posible transferencia de malware desde el entorno de prueba al medio que estamos usando.
  • Una vez hecho esto, podremos instalar las actualizaciones del antivirus en los sistemas que lo requieran.
  • Para finalizar, habrá que monitorizar dichos sistemas para detectar posibles comportamientos inesperados y verificar que el antivirus opera correctamente en el entorno de ICS.

Conclusiones

El uso de un antivirus juega un papel fundamental en la gestión de la ciberseguridad y en la protección de los entornos industriales, es por ello que se ha de seguir una estrategia en su diseño y despliegue de arquitectura, así como definir y aplicar unas buenas prácticas que cubran la operación y el proceso de actualización.

A lo largo del artículo se indican unas recomendaciones que sin duda mejorarán los procesos de actualización de los antivirus, aunque serán los clientes finales quienes decidirán cuándo actualizar y qué pautas aplicar.

Etiquetas