Cada día vemos titulares acerca de cómo los sistemas son hackeados y comprometidos, dejando a la gente con la inquietud acerca de la comunicación segura y de la ciberseguridad que tienen sus organizaciones. El hackeo de sistemas críticos de control de redes de energía está incrementando y volviéndose más común. Entre 2015 y 2016, el acceso de los hackers a la red informática encargada de controlar la distribución eléctrica en Israel y Ucrania, provocó el corte del suministro de ciertas partes de la red eléctrica durante un invierno muy frío (1). El atacante introducía la contraseña comprometida del operador y abría múltiples circuitos provocando que subestaciones al completo estuvieran fuera de servicio al instante.
Dado que el ataque a las infraestructuras energéticas está creciendo de una forma alarmante, provoca ser proactivo en la vigilancia de las intrusiones cibernéticas. Desafortunadamente, las soluciones simples de antivirus que la mayoría de sistemas utilizan, no son suficientes. Planear e implementar medidas de comunicación segura y ciberseguridad para un sistema de Supervisión, Control y Adquisición de Datos (SCADA) energéticos puede reducir significantemente la probabilidad de la vulnerabilidad del sistema. Enseñar a los usuarios a estar alerta de los ataques de ingeniería social es de suma importancia para asegurar un sistema. Muchos atacantes obtienen el acceso a los sistemas de destino utilizando ataques simples de ingeniería social en contra de víctimas desprevenidas.
Técnicas comunes de ataque
El primer paso para mejorar la seguridad es identificar las vulnerabilidades comunes del sistema y abordarlas. Las tres maneras que los atacantes utilizan para acceder a un sistema pueden agruparse en: personas, operaciones y tecnología. Cuando un ataque entra en la fase de ejecución, el atacante tiene que obtener acceso al sistema. El atacante puede emplear las técnicas de la ingeniería social (personas) o las técnicas tecnológicas (el hackeo tradicional de software o hardware). La primera fase de planificación determina si una conexión local o remota es posible. Los atacantes que atenten contra las conexiones remotas utilizarán herramientas ampliamente disponibles para este propósito. Estas herramientas explotan las vulnerabilidades conocidas para los servicios más comunes, sistemas operativos no actualizados, protocolos y puertos de comunicaciones, y puntos de entrada similares expuestos. Uno de los casos más sonados en 2017 de ciberataques que se han aprovechado de sistemas no actualizados y/o vulnerabilidades son de los ransomwares Wannacry y Petya (2). El acceso remoto también se puede conseguir utilizando las técnicas comunes de ingeniería social en contra de los usuarios autorizados del sistema. Como ejemplos podríamos tener en cuenta: ataques de suplantación de identidad a través del correo electrónico, mensajería o llamadas telefónicas, solicitando datos confidenciales, como, archivos maliciosos adjuntos en el correo o links de web hacia virus que proveen el acceso a las puertas clandestinas en los sistemas de destino.
Para sistemas aislados (sin conexión a internet), el hacker tendrá que obtener el acceso local. Esto puede significar visitar un sitio en persona y enchufarse físicamente a un puerto Ethernet de la red de operaciones. Por necesidades de hiperconectividad de los sistemas críticos están incorporando Wi-Fi a su infraestructura, y con ello exponiendo un posible punto de intrusión. Cuando están adecuadamente asegurados y configurados, Wi-Fi está razonablemente protegido de ataques, pese a que en 2017 se descubrió una vulnerabilidad crítica para la seguridad WPA2 (3). Es por ello que la configuración de redes Wi-Fi continúa siendo un problema importante. Las políticas acerca del acceso al Wi-Fi deberían incluir una red de invitados aislada del Sistema de Control Industrial (ICS). La red aislada protegerá la red ICS (que probablemente tendrá protocolos con tráfico de datos no cifrados) de posibles infecciones remotas facilitadas por proveedores de máquinas. Una política de contraseñas seguras para conexión a redes Wi-Fi es el primer punto a implementar.
Una técnica menos invasiva es enchufar un USB que contenga un virus malicioso con carga explosiva o de propagación. Simplemente dejando un USB en zona de aparcamiento del objetivo, un empleado no formado ni suspicaz probablemente lo insertará en su ordenador con la intención de devolvérselo a su propietario o por conocer el contenido. El USB key drop es un método de penetración muy popular y con éxito.
Una vez el atacante ha obtenido el acceso, el siguiente paso es asegurarse de que se mantiene disponible. Esto significa realizar diferentes cambios la configuración del ordenador infectado, como bloquear el software del antivirus y configurar una nueva cuenta administrativa. En este punto el atacante puede acceder al sistema de destino, pudiendo visualizar y estudiar el comportamiento del operario, así como actuar sobre el sistema de control y en consecuencia con los dispositivos de campo (abrir y cerrar interruptores, cambiar código, revocar acceso, etc).
Protegerse en contra de los Ciberataques
La herramienta más valiosa en una organización es el ser humano. La ingeniería social o “el hackeo humano” es el método más fácil para obtener acceso a la organización y el más complicado para prevenir.
Los ataques de tipo Phising implican el envío de correo electrónico de aspecto legítimo que te dirige a un sitio web malicioso que te solicita tus credenciales. Las webs de servicios bancarios son los principales objetivos de este tipo de ataques. Los ataques de Phising son cada vez más sofisticados (tanto los correos como webs parecen genuinas a simple vista) por lo que hace más complicada su detección.
Pretexting, también conocido como ‘ingeniería social’, es el acto de crear y usar un escenario inventado (pretexto) para obtener información de un objetivo. La suplantación de identidad permite al intruso personarse en una instalación alegando ser personal de la empresa, externo o con una cita, para poder acceder a los recursos informáticos y hacerse con ellos. En este caso el “firewall” es el personal encargado del acceso al edificio que debe proceder a verificar la identificación de la visita, así como contactar con la persona que la acompañará. Adicionalmente, es una buena práctica revisar el material informático o al menos identificarlo, además de restringir el acceso de conexión a la red, así como la conexión de dispositivos USB sin analizarlos previamente. Por ejemplo, si el ordenador del proveedor está en peligro, la infección puede ser transferida a la organización. Si el vendedor tiene que utilizar un ordenador en las instalaciones, puedes proporcionarle uno o pedirle que verifique que su equipo cumple tus pautas de seguridad (antivirus, las políticas de empresa). No se debe olvidar que incluso las personas de confianza deben seguir las políticas de seguridad de la empresa, los periodos de Pretexting pueden ser de larga duración, hasta que se encuentra el escenario ideal con la menor oposición.
En la gestión de operaciones se debe incluir el diseño e implementación de políticas de seguridad para minimizar los vectores de ataque mediante la ingeniería social y el factor humano. Uno de los primeros puntos es el de formar e informar al personal de los riesgos y consecuencias que un simple clic o insertar un USB puede conllevar. Definir reglas sobre la complejidad de contraseñas también entran en esta categoría. El instituto SANS recomienda tener como mínimo una contraseña de al menos 12 números alfabéticos (con mayúsculas y minúsculas, con al menos un dígito y un símbolo) (4). Aunque parezca obvio, es importante recordar que todas las contraseñas por defecto tanto de software como de hardware se modifican. Esto incluye todos los componentes de una infraestructura de red, como los cortafuegos (firewalls), switches gestionables, routers, equipos de medida y servidores.
La mala configuración de las cuentas de los dispositivos de red representa una elevada tasa de los ataques. En este grupo se incluye la incorrecta configuración de las reglas de los cortafuegos (firewalls). Los cortafuegos son dispositivos complejos y deben ser configurados solamente por personal cualificado. Nunca debes tratar de “averiguar” cómo se configura un firewall porque eso te puede traer problemas inesperados.
Si estás en una gran organización, es importante auditar las cuentas de los usuarios y los permisos de forma rutinaria. Esta puede ser una manera de tener un reporte que recoja en una lista todas las cuentas de sus usuarios y el uso que le dan (ej. Administrador, operador). Inmediatamente se debe investigar si ha habido cambios en los roles o no reconocemos algún usuario. No se deben proveer roles o permisos por conveniencia, es importante tenerlo en cuenta en el momento de asignar cargos. En caso de duda siempre aplicar el nivel de acceso más bajo. Generalmente todos los ordenadores de una red son parte de un dominio (como por ejemplo de Microsoft’s Active Directory) y se adhiere a las políticas de grupos. Esto permite de una manera mucho más sencilla administrar los sistemas, suplir la asistencia al usuario y autorizar las auditorías. Se tiene que ser cuidadoso a la hora de dar permiso a los grupos, solo se debe dar la cantidad necesaria para que cumplan con éxito su trabajo.
Diseñar la arquitectura de tecnología de seguridad
Un sistema para supervisión y control energética como EcoStruxure Power Scada Operation, responde a una estrategia de defensa de profundidad con una protección adecuada. Implementar múltiples barreras combate el ataque a distintos niveles de la red. La figura de arriba muestra varios puntos de bloqueo en dónde el sistema SCADA aislaría un ataque. Cualquier sistema conectado a internet tiene un router y este debe de estar precedido por un firewall. Detrás del firewall está lo que conocemos como Zona Desmilitarizada DMZ. El DMZ es dónde finalmente estarán disponibles los accesos a los servidores web. En esta área no estarán conectados los servidores que controlan el sistema. Detrás del DMZ hay otro firewall previo a la red corporativa. La red corporativa incluirá a los clientes, las estaciones de trabajo corporativas y a dispositivos auxiliares como las impresoras. El tercer firewall conecta con la red ICS (dónde están los servidores de SCADA y los sensores/dispositivos).
En las instalaciones críticas es común tener una “burbuja de aire” entre la red de control y la corporativa o DMZ, esto significa que no hay ninguna conexión física directa entre ellas. La “burbuja de aire” no es un abismo insalvable, sino que existe una serie de equipos que se encargan de controlar y administrar las comunicaciones y accesos entre las diferentes redes. Además, algunas redes ICS incluyen firewalls adicionales en cada zona de agrupación de dispositivos, proporcionando una defensa en profundidad.
La selección del firewall es crítica en el momento de diseñar la seguridad que se requiere. Un firewall debe comprender y gestionar a nivel de los protocolos de comunicaciones que se usan en la instalación y por tanto proteger. Los firewalls tradicionales empleados en IT, no suelen tener esa capacidad de analizar los comandos o tramas de los protocolos industriales, por lo que hay que ser meticulosos en su elección.
En el diseño correcto de la seguridad de la red, también se debe tener en cuenta restringir el acceso físico a la misma. ¿Están todos los puntos de acceso al sistema en un área segura? ¿Hay algunos dispositivos externos (como generadores, centros de transformación externos o climatizadoras) que están proporcionando acceso a la red sin protección? Estos dispositivos deberían ser físicamente seguros y con alarma para asegurar que no se pude acceder a la red. La seguridad de estas redes debería estar complementada con un Sistema de Detección de Intrusiones (IDS) o un Sistema de Prevención de Intrusiones (IPS). Este sistema monitoriza el tráfico de la red en un modo pasivo y con una alarma de los problemas si detecta clientes que no conoce o un tráfico anormal.
Conclusión
Garantizar la seguridad en sistemas críticos de monitorización y control de distribución eléctrica empieza por entrenar a los usuarios para que puedan reconocer y reducir los intentos de ingeniería social y prevenir los accesos maliciosos. Es importante complementarlo y hacer cumplir las políticas de seguridad, previamente definidas, además de ser diligente con las auditorias, el sistema de control y las actualizaciones. Finalmente, se debe implementar la seguridad adecuada para minimizar las vulnerabilidades de los sistemas críticos. El resultado será un sistema más seguro y protegido, así como unos accionistas más contentos.
Descubre más blogs dedicados a ciberseguridad a través de este enlace.
Profundiza en todas las soluciones EcoStruxure a través de este enlace.
1 http://www.wired.com/2016/03/inside-cunning-unprecented-hack-ukraines-power-grid/
2 http://www.wired.co.uk/article/wannacry-ransomware-virus-patch
https://www.elconfidencial.com/tecnologia/2017-07-18/wannacry-petya-notpetya-deloitte-bra_1408510/
3 https://www.wired.com/story/krack-wi-fi-wpa2-vulnerability/
4 http://www.sans.org/security-resources/policies/general/pdf/password-construction-guidelines
Añadir comentario