Top 20 de mitigaciones en SCI durante 2023. Parte 2
Como se vio en el anterior artículo donde se exponían las 8 primeras mitigaciones, este top es necesario debido al aumento de ataques en los entornos industriales a lo largo de este año, tal y como se predijo en el artículo ‘¿Qué esperar de la ciberseguridad industrial en 2023?’. Este aumento en los ataques ya no es únicamente sobre el entorno industrial, sino que muchos buscan la franja entre IT y OT.
Una vulnerabilidad en el entorno IT puede derivar en una brecha de seguridad para el entorno industrial asociado a dicha parte corporativa, es por ello por lo que, como se mencionó en la primera parte de este artículo, MITRE ha desarrollado diferentes mitigaciones tanto para el entorno corporativo como para el entorno industrial. Esta combinación de mitigaciones proporciona a los usuarios diferentes posibilidades a la hora de defender no solo y exclusivamente uno de los dos entornos, sino a buscar un punto de protección entre ambos entornos.
A continuación, se definirán las mitigaciones restantes para la realización de un top 20, que están más centradas en la arquitectura de red, los protocolos industriales, la configuración de redes y el escaneo de vulnerabilidades:
- 9- Protección ante exploits: se deben emplear diferentes tecnologías para detectar y bloquear condiciones que puedan indicar que se está produciendo el exploit de un software:
- Drive-by Compromise: la implementación de protecciones contra exploits debe centrarse en evitar diferentes actividades que puedan recalar en un aprovechamiento por parte de un sitio web malicioso de una vulnerabilidad asociada a un equipo o software del entorno industrial.
WAF (Firewalls de Aplicaciones Web): son un tipo de solución capaz de limitar la exposición de las aplicaciones y evitar que el tráfico exploit llegue a las aplicaciones vulnerables.
- WAF. Fuente. -
- Aplicaciones de seguridad contra explotaciones: existen otro tipo de aplicaciones como el Windows Defender Exploit Guard (WDEG), las cuales, se pueden utilizar para mitigar ciertos aspectos de las explotaciones. La comprobación de la integridad del flujo de control es otra posible mitigación contra los exploits.
- 10- Filtrar el tráfico de red: la utilización de dispositivos para filtrar el tráfico de red permite tener un control sobre los datos y usuarios que están realizando comunicaciones. Se deben configurar listas de permitidos/denegados para realizar comunicaciones de red, además, se deben implementar también listas de aplicaciones permitidas. Este tipo de dispositivos suelen ser firewalls con capacidades de inspección profunda de paquetes, IDS, IPS o los denominados como NGFW, Next Generation Firewalls.
- Control de entradas y salidas: se pueden utilizar listas de permitidos/denegados para bloquear el acceso cuando se detectan excesivas conexiones de E/S desde un sistema o dispositivo durante un periodo de tiempo especificado.
- Conexiones proxy: el tráfico hacia redes anónimas marcadas en una lista puede bloquearse o también permitirse. Es recomendable tener una lista de redes y conexiones maliciosas actualizada.
- Conexión proxy. Fuente. -
- Identificación de variables, etiquetas y valores: se deben realizar listas de comandos permitidos dependiendo de los protocolos de comunicación entre dispositivos, además de, controlar los mensajes o informes enviados a través de la Red. Es de suma importancia que se elabore una lista precisa, ya que así se evitará el bloqueo de mensajes válidos.
- 11- Capas de protección mecánica: esta mitigación está basada en implementar un diseño mediante capas de protección física y mecánica para evitar daños, tanto a los dispositivos como al personal de la planta industrial.
- Pérdida de seguridad: los dispositivos de protección deben tener un mínimo de componentes digitales para evitar estar expuestos ante posibles ataques. En la parte industrial, entre estos dispositivos de protección se encuentran los discos de ruptura, las válvulas de escape, los enclavamientos, etc.
- 12- Autenticación multifactor: esta mitigación hace referencia al empleo de dos o más elementos para autenticarse en un sistema, esto incluye desde un nombre de usuario y contraseña, junto con un token inteligente (ya sea físico, mediante una tarjeta inteligente o mediante un generador de tokens mediante aplicación). En el entorno industrial, la implementación de los tokens es compleja en dispositivos de bajo nivel, es por ello por lo que, estos dispositivos, tienen implementados requisitos de control operativo y seguridad en tiempo real.
- Autenticación multifactor. Fuente. -
- 13- Listas de permisos para comunicaciones industriales: estas listas de permisos se pueden implementar en los equipos industriales mediante los archivos basados en host o los propios archivos de host. En ellos, se especificarían que conexiones están permitidas mediante direcciones IP, direcciones MAC, puertos, protocolos, etc.
- 14- Prevención de intrusiones en red: para esta mitigación se pueden utilizar firmas de detección de intrusiones para bloquear el tráfico en los límites de la Red. En los entornos de control industrial, la prevención de intrusiones en la red debe configurarse de modo que no interrumpa los protocolos y las comunicaciones responsables de las funciones en tiempo real relacionadas con el control o la seguridad.
- 15- Segmentación de red: el diseño de red puede reducir en gran medida las posibilidades de un ataque sobre una infraestructura industrial. La segmentación física y lógica puede impedir el acceso desautorizado. La utilización de las DMZ para alojar cualquier servicio orientado a Internet sin conectarse con la red interna es una solución que toda red industrial debería tener. La IEC 62443 indica cómo deben agruparse los activos industriales en zonas y conductos.
- Zonas y conductos. Fuente. -
- 16- Restricción de contenidos web: al igual que se recomienda restringir el uso de ciertas aplicaciones en el entorno industrial, también es recomendable reducir y restringir el acceso a determinados sitios web, bloquear descargas o archivos adjuntos, bloquear JavaScript, restringir el uso de extensiones del navegador, etc.:
- Ejecución por parte del usuario: en caso de que un usuario u operario del entorno industrial quiera entrar en un sitio web o realizar la descarga de un archivo marcado como no confiable, los dispositivos de análisis de amenazas y de archivos descargados deberán parar dicha solicitud en tiempo real. Además, la descarga de archivos comprimidos y cifrados como .zip o .rar debe estar restringida.
- 17- Inspección SSL/TLS: una mitigación muy útil cuando se están realizando comunicaciones SSL/TLS en un entorno industrial es la de realizar una captura del tráfico e inspeccionar las sesiones en búsqueda de tráfico malicioso o extraño. Las inspecciones periódicas de la red pueden permitir detectar posibles intrusos incluso antes de que estos realicen un ataque.
- Tráfico por inspeccionar: debe inspeccionarse todo tipo de tráfico, desde tramas puramente industriales, hasta tráfico HTTPS o DNS.
- 18- Configuración de red estática: la configuración de los diferentes equipos dentro de la red industrial puede llegar a reducir, mitigar o incluso evitar un posible ataque. La configuración de red estática debe implementarse siempre que sea posible.
- 19- Gestión de la cadena de suministro: se debe implementar un programa de gestión de la cadena de suministro, en el cual, se definan diferentes procedimientos y políticas para garantizar que todos los dispositivos y componentes de los diferentes proveedores se sometan a pruebas y análisis para determinar su confianza.
- 20- Escaneo de vulnerabilidades: la búsqueda de vulnerabilidades permite encontrar puntos críticos y potencialmente explotables de los dispositivos y software industrial, permitiendo así a los fabricantes introducir parches para eliminar las vulnerabilidades.
Conclusión
Este ‘Top 20 mitigaciones’, proporciona una guía básica, pero completa, sobre posibles medidas a implementar en un entorno industrial para reducir el riesgo al sufrir un posible ataque. Cabe destacar que estas mitigaciones no eliminan por completo el riesgo de sufrir un ciberataque, pero sí lo reducen en gran medida.
La labor de securizar nuestros sistemas industriales debe de ser transversal, no solo centrada en un único punto, abarcando todos los aspectos posibles. Para facilitar esta tarea, mediante este listado se proporcionan las mitigaciones más importantes que todo administrador debería de considerar como punto de partida.