Gestión de credenciales en sistemas de control

El acceso a los sistemas de control puede realizarse de muchas maneras. Normalmente los accesos locales corren a cargo del operador, siendo éste el que realiza todas las conexiones; pero también puede haber conexiones remotas, desde las estaciones de ingeniería por ejemplo; o incluso desde el exterior, cuando los proveedores o fabricantes realizan tareas de mantenimiento. Al final, esto se traduce en que las credenciales de los equipos de control están expuestas y pueden ser conocidas por demasiados actores, manteniendo en muchos casos las credenciales por defecto para facilitar la gestión.

Problemas habituales con las credenciales

La sencillez en las contraseñas utilizadas dentro de los sistemas de control solo es uno de los muchos problemas que afectan a las credenciales. Entre ellos destacan:

• Uso de contraseñas por defecto: Es habitual que los dispositivos en ubicaciones remotas dispongan de contraseñas por defecto. De esta manera los operadores pueden acceder a ellos sin tener necesidad de conocer la ubicación, ya que todos poseen las mismas credenciales de acceso.
• Uso de contraseñas compartidas: Muchos dispositivos no permiten el uso de múltiples usuarios y en otros se hace simplemente por mejorar la eficiencia, del equipo de mantenimiento o soporte por ejemplo, pero es habitual que las credenciales se compartan entre varios usuarios físicos. Esto impide realizar una trazabilidad de las acciones realizadas, aparte de permitir que los usuarios sigan conociendo las credenciales de acceso aún después de dejar la empresa.
• Incremento de uso de credenciales: Cada vez es mayor el número de aplicaciones y usuarios que deben disponer de credenciales para acceder a los sistemas de control. Esto implica un mayor traspaso de información de autenticación por la red, que en caso de no estar correctamente asegurada puede suponer el descubrimiento de las credenciales.
• Uso de credenciales privilegiadas: El uso de cuentas, con permisos administrador o similares, para acceder a diferentes componentes de los sistemas de control es cada vez mayor y en muchos casos llega a ser inmanejable, impidiendo la gestión y el seguimiento de las acciones de forma correcta. Personal de mantenimiento, fabricantes, operadores, ingenieros de control, procesos automáticos y aplicaciones corporativas son algunos ejemplos de uso de cuentas privilegiadas.
• Contraseñas embebidas: La introducción de equipos de propósito general, y no de diseño específico para la tarea, ha permitido ahorrar costes y mejorar la compatibilidad, pero también ha supuesto un incremento del uso de contraseñas embebidas. Esto incrementa al riesgo de compromiso y de accesos no autorizados a todo el sistema, que pueden suponer la manipulación de los dispositivos, la ejecución de código o provocar una denegación de servicio.

Mejoras y retos

La gestión correcta de las credenciales dentro de un sistema de control industrial tiene varias implicaciones, desde las propias debidas a la complejidad de su gestión hasta las económicas.

• Incremento del riesgo de caída del sistema: Los equipos comerciales utilizados como HMI, servidores y estaciones de trabajo son los mayores puntos de riesgo de las redes industriales. Los equipos de conexión con la red empresarial y su configuración son el segundo punto crítico. Ambos pueden ser objeto del compromiso de credenciales privilegiadas usadas en los diferentes accesos.
• Incremento de costes operacionales: La implantación de medidas y controles de seguridad sin una preparación adecuada puede suponer un incremento en tiempos de mantenimiento y gestión, así como dificultades para escalar las soluciones propuestas
• Regulación y normativa: Las infraestructuras críticas deben cumplir determinadas normativas y demostrar ante la autoridad competente su grado de cumplimiento. Es necesario, por tanto, que las herramientas incorporadas en dichas infraestructuras sean capaces de generar indicadores capaces de ayudar en estos procesos.
• Cuentas privilegiadas: Todos los dispositivos y programas tienen cuentas privilegiadas. El riesgo aparece cuando las cuentas dejan de estar correctamente gestionadas, son conocidas por demasiadas personas o no son suficiente robustas.

Para ayudar con todos estos problemas existen unas herramientas denominadas gestores de credenciales. Estas herramientas se llevan utilizando bastante tiempo en entorno TI, pero no se han empezado a implantar sobre entornos TO hasta hace poco, debido, sobre todo, a la manera de poder gestionar accesos de urgencia que requieren una autenticación inmediata para solucionar un problema en el proceso.

Características de un gestor de credenciales

A la hora de elegir una herramienta para la gestión de credenciales es necesario que cubra algunos aspectos básicos del funcionamiento de los sistemas de control industrial:

• Descubrimiento de credenciales: Muchos de los sistemas de control no están correctamente inventariados, por lo que puede que no se conozca de su existencia o de los usuarios reales que posee. La solución de gestión de credenciales debe ser capaz de reconocer y almacenar las credenciales que pueda ir observando por la red o mediante monitorización de equipos. Este proceso de descubrimiento debe ser la fase inicial, para cargar la base de datos de usuarios de la herramienta.
• Ocultación de credenciales: Los usuarios de los sistemas de control no deberían conocer en ningún momento las credenciales de acceso, o al menos la contraseña. De este modo no sería necesario divulgar dicha información a fabricantes y empleados de mantenimiento, evitando así la necesidad de actualizarlas si se cambia de empresa de mantenimiento o de operadores. Esta medida también ayuda a evitar amenazas internas provenientes de empleados descontentos, que, por su conocimiento, podrían realizar acciones maliciosas.
• Rotación periódica claves: esta medida adicional de seguridad limita la validez temporal de las contraseñas, reduciendo de esta forma el riesgo de las sustracciones. Una herramienta de gestión de credenciales debería realizar esta tarea de forma automática y programable, permitiendo que las claves se cambien más a menudo de lo que es común en las instalaciones de sistemas de control habituales.
• Registro de accesos: El uso de credenciales compartidas dificulta la atribución de las acciones realizadas sobre los dispositivos. Una solución de gestión de credenciales debe ser capaz de registrar qué usuario físico ha hecho uso de las credenciales almacenadas, normalmente a través del usuario corporativo con el que se accede a la herramienta de gestión de credenciales.
• Punto de acceso único: La solución de gestión de credenciales debe ser el lugar al que llegan todas las peticiones hacia cualquier dispositivo del sistema de control, siendo la solución la que se encargue de ver, por un lado, si el usuario en cuestión tiene acceso al dispositivo/aplicación solicitada y, por otro, introducir las credenciales con los privilegios adecuados y derivar al usuario al dispositivo/aplicación ya autenticado.

Herramientas comerciales

El mercado de soluciones de gestores de credenciales no está muy orientado a los sistemas de control, pero sí existen algunas soluciones específicas y otras propias de entornos IT pero que también disponen de cierto soporte para equipos de sistemas de control industrial. Las soluciones que provienen de entornos IT se limitan a la gestión del descubrimiento de credenciales privilegiadas, perdiendo el resto de capacidades necesarias en los sistemas de control.

Algunas de las opciones comerciales existentes son:

• Shared account password management, de Centrify
• Shell Control Box, de Balabit
• Privileged Password Manager, de Quest
• PowerBroker Password Safe, de beyondtrust
• CyberArk Privileged Account Security, de CyberArk

La gestión correcta de la seguridad de los dispositivos y aplicaciones de los sistemas de control pasa por conocer cuándo, por qué, para qué y quién está utilizando determinadas credenciales. La implantación de herramientas que permitan el control de esta tarea debe tenerse en cuenta para mejorar el nivel de seguridad y favorecer la monitorización, permitiendo descubrir potenciales ataques o fugas de información.