Auditorias en sistemas de control

Publicado el 17/09/2015, por INCIBE
Auditorias en sistemas de control

Al igual que hacen los departamentos de seguridad en los entornos corporativos es recomendable que propietarios y operadores de sistemas de control empleen las auditorías de ciberseguridad como mecanismo preventivo con el fin de averiguar si sus sistemas son o no vulnerables y tomar de este modo las medidas oportunas para protegerlos y hacerlos más seguros frente a ataques.

A la hora de realizar un procedimiento de estas características es importante tener en cuenta las diferencias existentes entre los sistemas corporativos y los sistemas de control, ya que puede darse el caso de que las herramientas utilizadas en las pruebas tengan un grave impacto en el sistema de control, pudiendo sufrir fallos de funcionamiento o detenerse por completo, por lo que se debe comprender el impacto potencial de las pruebas a realizar. Todas las actividades que puedan poner en riesgo el sistema de producción se deben realizar en un sistema de pruebas, para que los posibles fallos no tengan impacto en el negocio o la seguridad de la instalación.

Una prueba de auditoría puede realizarse de diferentes formas dependiendo de cuál sea el objetivo de la misma. Algunas tareas no difieren de las realizadas en las auditorías clásicas, pero otras deben realizarse de manera específica. A continuación se indican los diferentes tipos:

 

TAREAS COMUNES CON LAS AUDITORÍAS CORPORATIVAS

Revisión de la documentación técnica

La revisión de la documentación técnica trata de obtener información de documentos tales como el inventario de activos, los diagramas de arquitectura, los diagramas de procesos o los documentos de los procedimientos y del proceso. Esta revisión puede ser una herramienta eficaz si el objetivo es preparar una auditoría de la ciberseguridad o mejorar el proceso. Lo habitual en estos casos es realizar la revisión de la documentación basándose en la necesidad, a medida que avanza la auditoría.

Es importante tener en cuenta que una revisión de documentación no permite identificar las vulnerabilidades del hardware y software que componen el sistema de control.

Revisión de la funcionalidad y la configuración

La revisión de la funcionalidad y el control de la configuración permiten evaluar el sistema de control mediante la validación. Este esfuerzo está enfocado a entender los requisitos únicos de los sistemas de control y sus características, y permite identificar las áreas en las que centrar la auditoría para optimizarla, observando las debilidades del mismo.

Mediante este procedimiento es posible mejorar la seguridad de un sistema en producción sin afectar a su funcionamiento y permite corregir aspectos como contraseñas por defecto, puertos abiertos innecesarios, etc.

Entrevistas con el personal

Las reuniones con los operadores del sistema de control son una fuente muy importante de información. Programar reuniones técnicas formales con el personal que trabaja con el sistema de control puede aportar más información relevante que la documentación técnica. Además, el tiempo necesario para la asimilación por parte de los encargados de realizar la auditoría también es menor.

El objetivo principal de estas entrevistas es asegurar un mayor conocimiento y comprensión de los procesos y procedimientos de los sistemas de control por parte del equipo de auditoría.

Análisis de riesgos

El análisis de riesgos en sistemas de control, al igual que en entornos corporativos, se utiliza para determinar si un activo está protegido y a qué nivel.

La realización de un análisis de riesgos requiere menos tiempo y recursos que una auditoría, pero sus resultados pueden no ser un buen indicador de la seguridad del sistema ya que únicamente dan una idea general de la seguridad del sistema, indicando los puntos débiles, en los que centrar una auditoría.

Un análisis de riesgo es apropiado para determinadas situaciones, pero nunca deben sustituir a las auditorías si el objetivo es evaluar el sistema en busca de vulnerabilidades.

Auditoría de laboratorio

Una auditoría de laboratorio se realiza sobre un sistema de control que está desconectado del sistema de producción, siendo éste una réplica lo más parecida posible al sistema de producción para que los datos puedan ser extrapolados.

Una auditoría de laboratorio es eficaz cuando el objetivo es la búsqueda de vulnerabilidades dentro de los procesos y protocolos de comunicaciones utilizados. Hay que tener en cuenta que los resultados pueden no ser de mucho valor si el propietario no puede solucionar las vulnerabilidades identificadas por ser tarea de los fabricantes. Sin embargo, el hecho de conocerlas permite ser conscientes del riesgo al que está expuesto el sistema y evaluar la posibilidad de tomar medidas adicionales con el fin de mitigarlas.

El objetivo de una auditoría de laboratorio es conocer el estado real de seguridad del sistema de producción, describiendo las acciones que un atacante podría llevar a cabo en caso de una intrusión, siempre teniendo en cuenta las posibles diferencias entre el entorno analizado y el real.

Para llevarla a cabo se realiza un análisis de tipo activo-intrusivo de los dispositivos. Este análisis incluye pruebas como escaneos de puertos y servicios, escaneos de vulnerabilidades, etc., que pueden llevar al sistema a un estado de inestabilidad.

La información que puede obtenerse puede ser limitada ya que muchas veces resulta complicado replicar con precisión absoluta la configuración de un entorno real. Las auditorias de este tipo, cuya orientación es de caja negra, permiten obtener los niveles de seguridad tanto del producto como de la implantación.

Auditoría de sistema en producción

Una auditoría de un sistema de control en producción se lleva a cabo en las propias instalaciones, mientras está en funcionamiento, lo que implica que todas sus características están activas durante la prueba. Este tipo de auditoría se realiza como un seguimiento de una auditoría de laboratorio o cuando no hay otra posibilidad para probar un sistema de control, y permite conocer el nivel de seguridad real de la instalación.

La auditoría de un sistema en producción tiene implicaciones como el riesgo de caída de dispositivos, exceso de tráfico de red, etc.; que deben ser entendidas tanto por el propietario del sistema como por los encargados de llevar a cabo el análisis. El objetivo, al igual que en una auditoría de laboratorio, consiste en responder a la pregunta de lo que un atacante podría hacer en el sistema, aunque mediante esta auditoría no siempre es posible dar respuesta a la pregunta.

Para llevarla a cabo sin afectar al proceso, o afectándolo lo mínimo posible, se realiza un análisis de tipo pasivo o activo-no-intrusivo, es decir, sin afectar ni tener ninguna repercusión sobre el sistema, centrándose en la monitorización de las comunicaciones y en las configuraciones de los diferentes dispositivos.

Auditoría de penetración de extremo a extremo

Es aquella en la que el objetivo es obtener una comprensión de lo lejos que un atacante podría llegar. De forma habitual se suele acordar previamente hasta qué punto del sistema se va a intentar el acceso, normalmente para evitar acciones que puedan afectar al proceso de control.

Existen dos maneras de llevarlas a cabo:

  • Desde el exterior: se realiza sin tener ningún conocimiento o un conocimiento mínimo de la red del sistema, intentando acceder a través de alguno de los servicios publicados.
  • Desde el interior: se parte del supuesto de que un atacante ya ha conseguido el acceso hasta un punto concreto del sistema, habitualmente de la parte corporativa.

Auditoría de componentes

Se centra en la seguridad del producto y consiste en probar de forma aislada los dispositivos, es decir, desconectados del resto del sistema de control.

Hay que tener en cuenta que al aislar un dispositivo, una gran parte de sus funciones, como las comunicaciones, puede que no estén disponibles, por lo que en ese caso los resultados serán parciales. A cambio, permite unas pruebas más exhaustivas e intrusivas sin temor a afectar al sistema.

Así mismo, suele llevar asociado un análisis de código fuente del sistema operativo y de los servicios y aplicaciones del dispositivo.

ACTIVIDADES TÉCNICAS

Durante todo el proceso de auditoría es necesario llevar a cabo una serie de actividades que desemboquen en un correcto análisis de seguridad del sistema o dispositivo en cuestión. Entre las actividades más importantes a realizar destacan:

  • Identificación de equipos y verificación de los controles de seguridad
  • Escaneo servicios y puertos
  • Identificación de servicios
  • Identificación de parches instalados y aquellos que deberían estarlo
  • Búsqueda de vulnerabilidades 0-day y desarrollo de exploits a medida
  • Fuzzing de servicios y puertos
  • Análisis del código fuente de aplicaciones y sistemas operativos
  • Ingeniería inversa sobre las aplicaciones
  • Análisis de robustez de contraseñas
  • Test de intrusión web
  • Test de intrusión de dispositivos
  • Comprobación de cumplimiento de controles de las políticas de seguridad.