Monitorización de amenazas en SCADA

Publicado el 15/10/2015, por INCIBE
Monitorización de amenazas en SCADA

La monitorización de la seguridad de la industria y las infraestructuras críticas es esencial para el desempeño del negocio. Una conocida frase atribuida a Lord Kelvin, importante físico y matemático británico, describe una situación perfectamente aplicable a sistemas de control industrial:

Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre

La monitorización de seguridad en ámbitos con sistemas SCADA difiere de la monitorización al uso de sistemas TI por las siguientes cuestiones:

  • Los eventos tienden a agruparse en muy pocas alertas que sean significativas para el operador
  • La monitorización no puede entorpecer el primer requisito de estos sistemas: la disponibilidad. Por ello, la monitorización debe ser poco intrusiva.
  • Cada alerta responsabiliza al operador de un estado de la situación que debe entender y sobre la cual debe actuar en consecuencia.

La elección de las métricas y definición de los indicadores deben converger con los requisitos fundamentales del negocio: la disponibilidad y la continuidad de la operación.

Las métricas e indicadores son mecanismos utilizados para poder monitorizar un sistema. Existen diferentes normas o buenas prácticas que las definen y soportan:

  • Para MAGERIT el cálculo del riesgo ofrece un indicador que permite tomar decisiones por comparación explícita con un Umbral de Riesgo determinado, es decir, una propiedad de la relación vulnerabilidad / impacto y por tanto de la relación entre activos y amenazas.
  • CERT-RMM (Resiliency Maturity Model) es un modelo en el que se definen indicadores para medir el nivel de madurez de resiliencia de sistemas críticos. Estos indicadores son una representación específica de los niveles de capacidad.
  • En el campo de Infraestructuras críticas existen varios indicadores agregados en los que se encuentran aquellos relacionados con la seguridad. Un ejemplo es la matriz desarrollada por el Centro de Estudios de Seguridad de Zurich. El CPNI inglés también describe unas buenas prácticas para definir métricas en el área de gestión del cambio.

Monitorización y recogida de datos

El proceso de monitorización principalmente pasa por los siguientes pasos:

  1. Recolección de la información y datos
  2. Detección
  3. Análisis

Una correcta recolección de información es fundamental para disponer de datos de calidad para el posterior análisis. Normalmente, para la recolección de estos datos se hace uso de sensores específicos, a través elementos hardware o software. Uno de los métodos comúnmente empleado es el denominado puerto espejo (Port Mirroring o Span Port). Mediante este mecanismo se realiza una copia del tráfico de red que se transmite a través de uno o más puertos del switch y se extrae por un puerto dedicado sobre el que se aplica la inspección. Sin embargo, a fin de no sobrecargar los elementos de red con la realización del puerto espejo, lo que podría incorporar retrasos en la transmisión de los paquetes, en redes industriales es recomendable usar dispositivos de escucha de red como TAPs, ya que permiten examinar el tráfico de red de una forma totalmente pasiva, sin sobrecargar los elementos de red utilizados para otras tareas.

Ejemplo de arquitectura con sensores hardware

Ejemplo de arquitectura con sensores hardware

Para complementar la información obtenida del tráfico de red es necesario recoger todos los datos provenientes del sistema operativo y otros eventos generados por el resto de sistemas de seguridad de la red, como sistemas de detección de intrusiones, cortafuegos, etc.

Análisis de información

La recolección de información es muy importante pero hay que tener presente que para que la monitorización sea efectiva el sistema debe ser capaz de procesar toda la información recogida. En caso contrario, podrían perderse paquetes o información que delatase un comportamiento anómalo o malicioso.

La recolección es, pues, un elemento indispensable para poder posteriormente analizar toda la información recogida y determinar si el estado observado es normal o anómalo y, en ese caso, activar una mecanismo de alarma.

Existen diversos métodos de detección de anomalías pero en esencia se pueden agrupar en mecanismos de detección basados en firmas y en detección basada en eventos anómalos.

La monitorización en el ámbito industrial

Los sistemas de control industrial continúan integrándose cada vez más con otras redes, permitiendo un intercambio ágil de datos y una operatividad remota mejorada. Las ubicaciones remotas pueden estar conectadas con instalaciones corporativas u oficinas, y éstas, a su vez, estar conectadas al sistema de control central.

Las diferentes conexiones con otras redes que tienen los sistemas de control industrial están ayudando a mejorar la productividad, pero por otra parte tienen el potencial de introducir una serie elementos susceptibles de sufrir vulnerabilidades.

Así, por ejemplo, algunas vulnerabilidades asociadas a la segmentación de redes, como fallos en la configuración, podrían permitir intrusiones en el sistema o anomalías en el enrutamiento del tráfico. Estas vulnerabilidades pueden ser explotadas de forma intencional o no intencional por individuos o grupos dentro y fuera de la organización y por lo tanto suponen un riesgo para la misma.

Los procesos de los sistemas de control industrial pueden proporcionar notificaciones en tiempo real de los posibles y aparentes problemas; no obstante, tanto la dependencia sobre los sistemas comerciales existentes (COTS) como la orientación hacia las conexiones estandarizadas (TCP/IP) pueden dar lugar a intrusiones cibernéticas maliciosas.

Al igual que en el sector IT, para alcanzar un nivel aceptable de seguridad en entornos de control industrial, es necesario medir el estado de la ciberseguridad y comparar el nivel actual de seguridad con puntos de referencia apropiados.

Estrategias de monitorización: Conceptos, métricas, indicadores y gestión

En la monitorización se distinguen eventos, métricas, indicadores y alertas; conceptos primordiales para conocer qué es la monitorización:

La identificación de todos estos conceptos para un entorno de sistemas de control puede llegar a ser dificultoso. La iniciativa norteamericana I3P ha realizado varios estudios sobre las métricas que ayudan a definir el criterio por el cual medir el estado de la ciberseguridad.

Las métricas deben medir aquellos valores de un activo que, tras un análisis de riesgos, se piense que es potencialmente vulnerable y por tanto explotable.

Como ejemplo de referencia, la organización estadounidense SANDIA, especializada en asuntos de seguridad tecnológica, define y estructura las métricas con las siguientes categorías:

  • Misión: métricas que aseguran la misión del sistema y de la compañía. Ejemplos
    • Disponibilidad: % de continuidad de negocio.
    • Indicador: 88% en el sector eléctrico regional.
  • Proceso: asiste en la consecución de los objetivos de la misión. Ejemplos:
    • Control de acceso: % de accesos erróneos a sistemas semi-críticos.
    • Indicador: 0,3%
  • Control: Constituye un atributo particular con su medida. Es parte del proceso. Ejemplo:
    • Fortaleza de cifrado: potencia de cifrado criptográfico en consonancia con el rendimiento del sistema.

Como se puede observar en esta estructuración, las métricas más sencillas de obtener van de abajo a arriba (bottom-up); es decir, de control a misión. Las métricas de control son relativamente sencillas de definir y obtener ya que se enfocan a datos objetivos de un sistema o parte del sistema que se pueden obtener de forma cuasi directa.

En la medida que se vayan definiendo métricas para los niveles superiores, se deberán agregar eventos de fuentes diferentes y hacer que la métrica sea más precisa. Esto ayudará a la gobernanza del sistema.

La aplicación de diversos mecanismos (heurística, computación evolutiva, lógica difusa, etc.) servirá para correlacionar los eventos y proporcionar una vista significativa para que el operador pueda evaluar en cada momento el estado del sistema.

Métricas e Indicadores ampliamente utilizados

La siguiente tabla muestra algunos indicadores esenciales para los procesos industriales según la estructura ASRM de SANDIA:

Gestión y uso de alertas

El despliegue de alertas de seguridad, especialmente en una operadora importante o en una infraestructura crítica, es primordial coordinarlo con las personas responsables de la operación en el centro de control. El despliegue de una nueva alerta supone nuevas responsabilidades que el operador debe entender en su completitud. El operador debe entender que aquello que monitoriza puede ser susceptible de nuevos impactos y debe conocer tanto los planes preventivos como los de contingencia en caso de amenaza o ataque.

El despliegue de una nueva alerta, constituye en sí una responsabilidad más para el operador que debe velar sobre dicha alerta. Por ello, muchos operadores no son receptivos a nuevas alertas, ya que su responsabilidad se agranda, y, por otra parte, dichas alertas suelen informar sobre aspectos poco conocidos por ellos.

Este aspecto es fundamental tenerlo en cuenta y debe aceptarse por toda la organización, desde los directivos hasta los ingenieros (y también conocer su impacto con las aseguradoras pertinentes).

Soluciones de monitorización: Los SIEMs en la industria y su impacto

Los SIEM son soluciones de monitorización muy habituales en sistemas TI que pretenden hacerse un hueco en el ámbito industrial. La introducción de elementos de monitorización de seguridad han sido hasta hace bien poco relativamente intrusiva en entornos industriales, ya que introducen mucho ruido en el medio, y por ello repercuten en el requisito fundamental de la disponibilidad.

En una segmentación típica de red industrial, como se explica el artículo La evolución de los sistemas de red en los sistemas de control, los SIEM únicamente podrían monitorizar aquellos elementos con capacidades de procesamiento elevadas ya que en los segmentos más profundos, estas soluciones pueden acaparar demasiados recursos.

Por tanto, y con objetivo de no interferir en el funcionamiento del sistema, la monitorización debe ser pasiva o, en caso de ser activa, extraer la información de eventos desde réplicas obtenidas de forma pasiva de los elementos integrantes del mismo.

Las actuales SIEM que vienen del mundo de TI tienden a adecuar estas estrategias a los paradigmas industriales.

Monitorización: más vale prevenir…

Uno de los casos más conocidos y que más repercusión produjo en el mundo industrial fue el provocado por Stuxnet. Stuxnet era un virus multivector que se aprovechaba de varios 0-Days y que marcó un antes y un después en la concienciación de la importancia de la seguridad en los sistemas de control industrial. Uno de los vectores empleados en el ataque perpetrado con este malware consistía en modificar un valor de temperatura que era parte de una métrica. El valor era modificado, pero se permitía mandar al centro de control el valor correcto (afín al indicador). Un apropiado sistema de monitorización que gestionase estos eventos hubiera permitido una identificación rápida y precisa de la amenaza.

No cabe duda que la monitorización de la seguridad será el producto estrella, mantenido mediante infinidad de adaptadores y agregadores, que lo harán una herramienta indispensable y no únicamente para los aspectos de ciberseguridad.