Herramientas TI que evolucionan para TO

Publicado el 30/07/2015, por INCIBE
Herramientas TI que evolucionan para TO

Al hilo de la publicación anterior: Diferencias entre TI y TO, se trata en este artículo el asunto del uso de herramientas de seguridad típicas en entornos TI y su adaptación en entornos de control industrial. La seguridad sin herramientas para ayudar a la protección de los sistemas sería imposible hoy en día debido a la cantidad ingente de tráfico que se intercambia. En el entorno corporativo esto se aprendió hace algunos años ya, incorporando estas herramientas para asegurar la información de la organización y evitar los ataques. Los entornos industriales, por el contrario, no han tenido demasiado en cuenta la seguridad hasta ahora, por lo que las herramientas existentes para estos entornos son muy escasas.

Los sistemas industriales siempre han trabajado de forma diferente a los entornos corporativos, utilizando pocas comunicaciones, a menudo propietarias, y en entornos muy localizados y con un alto grado de nivel en seguridad física. La apertura que se está produciendo en estos entornos hace que cada vez se asemejen más a los entornos corporativos, en cuanto a nivel de comunicaciones se refiere, y sean también necesarias herramientas para asegurar el tráfico y las infraestructuras a nivel lógico. Sin embargo, a pesar de esta convergencia en las comunicaciones no es posible utilizar las mismas herramientas, al menos no sin alguna modificación o configuración específica.

Las herramientas de seguridad están diseñadas para trabajar con protocolos típicos de los sistemas empresariales, dejando de lado los protocolos propios del entorno industrial. Por suerte, hoy en día ya existen ciertas herramientas como cortafuegos y sistemas de prevención/detección de intrusos (IPS/IDS) que son capaces de analizar estos protocolos, antivirus que son capaces de reconocer firmas de software SCADA, SIEMs desarrollados con capacidades para trabajar con sistemas de control embebidos, etc.

Cortafuegos

Los cortafuegos han evolucionado hacia dos vertientes diferentes. Por un lado tenemos los cortafuegos de red, cuya evolución se ha basado en la capacidad de comprender algunos de los protocolos más conocidos de los sistemas de control, como Modbus/TCP u OPC, aunque esto también ha venido favorecido por la evolución de los protocolos industriales hacia el modelo TCP/IP dejando de lado la comunicación serie. Por otro lado están los cortafuegos industriales, pensados para trabajar al lado de los componentes de los sistemas de control como RTUs o PLCs, a los que se han provisto de soporte para las duras condiciones de las fábricas, además de gran rapidez de procesamiento, siendo capaces de monitorizar pocos protocolos de control diferentes.

Como ejemplo de dispositivo cortafuegos de primer tipo podemos destacar el uso de IPTABLES cargado con un módulo para el análisis de tráfico Modbus; como ejemplo del segundo podemos citar a cualquier cortafuegos industrial basado en Tofino.

Cortafuegos industrial

-Cortafuegos industrial-

IPS/IDS

Los sistemas de prevención/detección de intrusos IDS/IPS han evolucionado hacia la interpretación y comprensión de los protocolos de control. Así, es posible encontrar en el mercado numerosos dispositivos IDS/IPS capaces de analizar tráfico proveniente de redes de control. Los protocolos soportados varían entre diferentes fabricantes, pero todos suelen incluir los más habituales, como Modbus, OPC, DNP3, etc.

La primera implementación de firmas para protocolos industriales se realizó a través del proyecto “QuickDraw” de DigitalBond, que implementó firmas para el IDS Snort de tres protocolos industriales. Estas firmas se han ido mejorando e incorporando a numerosos cortafuegos del entorno TI que ahora ya son utilizados en TO, como por ejemplo 3D Sensor de Sourcefire, FortiGate de Fortinet, etc.

Antivirus

Otra de las tecnologías que también está empezando a mirar hacia los sistemas industriales son los antivirus. Los antivirus son sistemas instalados en los dispositivos finales de forma habitual, con un gran consumo de recursos sobretodo en el momento de realizar escaneoslo que provoca que no puedan ser desplegados a nivel de campo, ya que las RTUs y los PLCs que trabajan en ese ámbito no poseen grandes capacidades de computación, pero que sí puedan ser usados en entornos de planta conjuntamente con las aplicaciones del SCADA.

Algunos fabricantes ya han certificado antivirus para trabajar conjuntamente con sus aplicaciones,  por ejemplo  ABB ha certificado el antivirus McAffee Viruscan.

SIEM

Los SIEMs (Security information and event management, gestión de eventos e información de seguridad) también son otras herramientas que están empezando a poner el foco en los sistemas industriales. La recolección y análisis de información en un entorno corporativo es ya un asunto ya muy desarrollado y ahora se pretenden aplicar los mismos métodos en los sistemas de control industrial. Integrar un registrador de eventos dentro de ciertos componentes de un sistema industrial es complejo ya que puede afectar a la realización de sus tareas propias.

A nivel de sistemas de planta es más sencillo integrar estas herramientas y empresas como Schneider Electric, han certificado el software de “Automation Systems Manager” para ser usado en los equipos en los que está instalado su SCADA OASyS DNA.

Analizadores de vulnerabilidades

Los analizadores de vulnerabilidades son herramientas de uso puntual en los sistemas. No trabajan de forma continua como las anteriormente descritas, por lo que se puede pensar que su uso dentro de los sistemas industriales sería más sencillo. Sin embargo, analizar una red de control en busca de vulnerabilidades puede tener grandes implicaciones en el proceso debido a posibles latencias, fallos en equipos etc. Por estas razones, el uso directo de un analizador de vulnerabilidades sobre un sistema industrial no es, en principio, factible.

Para solucionar el problema se han creado alternativas como el proyecto “Bandolier”, donde se han generado ficheros de auditoría específicos para sistemas y dispositivos de control para ser usados con la herramienta Nessus. También existe una herramienta de análisis de vulnerabilidades para comprobar la seguridad en las comunicaciones llamada “Achilles Test Platform”, capaz de analizar varios protocolos industriales.

Cuadro de criticidad de vulnerabilidades según la probabilidad y el impacto

-Cuadro de criticidad de vulnerabilidades según probabilidad e impacto-

Prevención de fuga de datos

Otras soluciones como gestores de parches y actualizaciones o DLPs (Data loss/leak prevention) aún no han realizado su incursión dentro de los sistemas industriales con herramientas adaptadas para estos entornos, pero algunos fabricantes ya incluyen en la descripción de sus productos la posibilidad de uso en sistemas industriales.

 

A pesar de que ya existen varias herramientas de entornos TI (Tecnologías de la información) listas para usar en entornos TO (Tecnologías de la operación), como acabamos de ver, su despliegue en un sistema industrial debe llevar asociado un estudio del sistema para comprobar la idoneidad de la herramienta y unas pruebas exhaustivas para verificar que no se producen inconsistencias en el proceso.