Tendencias en la industria, mejoras en la ciberseguridad

Fecha de publicación 04/07/2018
Autor
INCIBE (INCIBE)
Tendencias industria

Detrás de los entornos industriales existen gran cantidad de fabricantes que suministran dispositivos y prestan soporte. Es por ello, que juegan un papel fundamental a la hora de mejorar la ciberseguridad de muchos procesos, ya que sus dispositivos se encuentran implicados en ellos. En ocasiones, estos dispositivos no pueden ser alterados de ningún modo, por lo que es muy importante que ya vengan con una capa de seguridad incorporada. Gracias a esta capa de seguridad podrían evitarse algunos ataques de complejidad baja o con pocos requerimientos técnicos, lo que, además, aportaría un valor añadido al fabricante, que podría atraer a futuros clientes.

Por ilustrar con un ejemplo, los PLC, dispositivos finales que controlan procesos industriales, deben operar de modo que puedan cumplir las normativas obligatorias, como la SEVESO III que obliga a las industrias a seguir ciertas pautas para ofrecer el nivel de seguridad adecuado, todo ello manteniendo su misión de control. Muchos fabricantes han modificado los dispositivos, incluyendo internamente dos procesadores independientes o utilizando sistemas de comunicación distintos, para cumplir con la normativa anteriormente comentada, llevando a cabo la integración entre seguridad y funcionalidad sin perder la capacidad operacional autónoma, tanto de safety como de security, de tal forma que, si una parte se ve comprometida, la otra no se vea afectada.

Además del cumplimiento de normativas, muchos fabricantes están incorporando dentro de sus dispositivos medidas que satisfacen exigencias en conformidad con estándares como IEC 6206 (hasta SIL 3), EN ISO 13849 (hasta PL e), etc. Gran parte de estos estándares se relacionan con las características de seguridad física (safety) que poseen los dispositivos dependiendo del sector en el que se encuentren desplegados.

Dejando a un lado las mejoras incorporadas por los fabricantes con respecto a estándares y normativas de obligado o recomendado cumplimiento, existen mejoras que sólo tienen relación con la ciberseguridad, y serán éstas en las que se centrará el artículo a partir de ahora.

MEJORAS

Algunas de las mejoras que están incorporando los fabricantes industriales para mejorar sus dispositivos y proporcionar un servicio más completo a sus clientes en materia de ciberseguridad, podrían dividirse en 4 grandes grupos:

Tendencias industria ciberseguridad

Todas las medidas de seguridad que puedan incluir directamente los fabricantes para elevar el nivel de seguridad serán bien vistas por los clientes, aunque serán estos últimos los que deben presionar a los fabricantes para que sigan haciendo el esfuerzo de añadirlas. Con la llegada de la industria 4.0 y el IIoT, se están incorporando gran cantidad de dispositivos en los entornos industriales y el papel que juegan los fabricantes a la hora de proporcionar capacidades de ciberseguridad a sus dispositivos es fundamental.

  • Comunicaciones
    • Uso de certificados para cifrar las comunicaciones entre cliente y servidor, cuando se realizan operaciones vía web. Hasta ahora, gran cantidad de dispositivos industriales solo soportaban el protocolo HTTP en las comunicaciones a su aplicación web. Es por ello que algunos fabricantes ya están tomando medidas al respecto y están incorporando la opción segura de este protocolo (HTTPS).
    • Soporte para las versiones seguras de protocolos industriales y otros, que son utilizados por los dispositivos, como DNP3 secure, WirelessHART, Zigbee, OPC UA, SNMP v3, etc. Ya se está implementando el soporte para protocolos que incorporan autenticación y autorización con el fin de impedir accesos no legítimos a los dispositivos.
    • Uso de cifrado para operaciones sensibles. Las actualizaciones de firmware o la carga de las estrategias a los dispositivos se envían de forma cifrada para evitar manipulaciones por parte de un posible atacante y evitar así que el atacante pueda interpretar de forma trivial la información que se está intercambiando. Otros eligen la opción de firmar el firmware, de manera que cualquier modificación no será aceptada por el dispositivo. Gracias a la incorporación de estos mecanismos de seguridad, los fabricantes ayudan a sus clientes a asegurar que la integridad de los ficheros no se vea comprometida.
    • Incorporación de pruebas para obtener certificaciones, como la certificación Achilles, que permite testear la pila de comunicaciones de los protocolos. La herramienta Achilles tiene capacidades para analizar protocolos apoyados en diferentes capas de la OSI. Algunos fabricantes están realizando pruebas con esta herramienta sobre las principales comunicaciones TCP que poseen sus dispositivos, como por ejemplo Modbus/TCP, HTTP, etc. La novedad no es la herramienta Achiles, sino la certificación que están empezando a realizar los fabricantes para dar más seguridad al cliente.
  • Sistema Operativo
    • Uso de guías de bastionado para realizar configuraciones seguras en los servicios y procesos que se ejecutan dentro del sistema. Hasta el momento las aplicaciones se instalaban directamente sobre el SO base, sin realizar un control de aplicaciones o puertos. Ahora los grandes fabricantes proporcionan guías de bastionado para los equipos sobre los que van sus aplicaciones de planta.
    • Parametrización de sistemas operativos a medida para evitar la ejecución de servicios o procesos innecesarios que aumenten la superficie de exposición del dispositivo. La integración de BusyBox y SandBox se está haciendo general en los dispositivos finales.
    • Uso de listas blancas de procesos para evitar la ejecución de posibles archivos maliciosos o la creación de subprocesos de procesos no controlados de forma correcta. Hasta ahora, la incorporación de soluciones ajenas al proceso era muy rara y escasa.
  • Aplicaciones
    • Desarrollo de aplicaciones utilizando guías de buenas prácticas para evitar ataques y errores básicos, como desbordamientos de búfer, inyecciones de diferentes tipos, etc. En el caso de las aplicaciones web, incorporación de filtros avanzados para realizar un mejor tratamiento de los datos de entrada. Gracias a estos filtros avanzados se previenen ataques como XSS, inyecciones SQL, etc.
    • Incorporación de un sistema de gestión de roles (RBAC) que permita tener un control de los permisos que posea cada usuario dependiendo del rol asignado dentro de la aplicación. Con esta medida, los fabricantes pretenden proporcionar a sus clientes un adecuado control de las autorizaciones, que evitará que se produzcan accesos a recursos que originalmente se definieron como accesos no autorizados.
    • Creación de un registro de actividad de seguridad (log) para tener unas trazas a analizar en el caso de sufrir ataques o detectar comportamientos anómalos por parte del dispositivo afectado. En este caso, muchas empresas están aprovechando las capacidades que poseen los dispositivos para enviar los registros de actividad hacia sus SIEM y poder centralizar dichos registros. Con estas gestiones, las empresas pueden parametrizar los potentes motores de correlación para detectar problemas propios de los sistemas de control, como accesos incorrectos, intentos de ataque, etc.
  • Hardware

    Numeración estándar de pines de las tarjetas SD

    • Soporte para almacenamiento externo (tarjetas SD), donde se almacena información del dispositivo, con un tipo especial de formato que sólo se puede leer desde el dispositivo o desde un software específico proporcionado por el fabricante. Además, también existen tarjetas que funcionan a un voltaje diferente, diseñadas específicamente para dispositivos industriales, por lo que, si una persona intenta realizar una lectura de una tarjeta SD industrial en otro dispositivo, cabe la posibilidad de que la tarjeta pueda estropearse por la diferencia de voltaje (normalmente entre 2,7 V y 3,6 V, pero que puede ser de 5 V para que no pueda ser utilizada en otro equipo); o que disponen los pines de conexión en un orden diferente al estándar, pudiendo provocar un fallo al conectarla en un dispositivo convencional.
    • Incorporación de mecanismos para evitar la manipulación de los dispositivos. En este caso, algunos fabricantes han optado por mecanismos conocidos como antitampering, para evitar aperturas y que un atacante pueda llegar a hacer modificaciones en placas, o la resina epoxy para evitar lecturas directas de señales en los pines de un chip. Otros mecanismos de protección adicionales que están incorporando algunos fabricantes en sus dispositivos para evitar las lecturas en los puertos de debug (JTAG, SPI, I2C, UART, etc.) son:
      • Incluir cambios de funcionalidad en los pines, haciendo que difieran del estándar.
      • Borrado del firmware en el caso de detectar tensión en algún pin concreto, lo que implicaría la indisponibilidad del dispositivo, ya que quedaría inservible sin firmware. No obstante, hay que notar que, este tipo de actuaciones se realizan habitualmente en laboratorios y no sobre equipos en producción.

Todas las medidas de seguridad que puedan incluir directamente los fabricantes para elevar el nivel de seguridad serán bien vistas por los clientes, aunque serán estos últimos los que deben presionar a los fabricantes para que sigan haciendo el esfuerzo de añadirlas. Con la llegada de la industria 4.0 y el IIoT, se están incorporando gran cantidad de dispositivos en los entornos industriales y el papel que juegan los fabricantes a la hora de proporcionar capacidades de ciberseguridad a sus dispositivos es fundamental.