Problemática de los antivirus en entornos industriales

Publicado el 11/06/2015, por INCIBE
Imagen antivirus

En el mundo industrial, en el que prima es la disponibilidad y la continuidad de la producción, es difícil encontrar despliegues de determinadas herramientas de seguridad, como antivirus, cortafuegos, etc.; ya que estas herramientas pueden generar latencias, cortes en las comunicaciones o pequeños retardos a las aplicaciones de los sistemas de control.

El despliegue de un antivirus en este tipo de entornos es un reto que debe tener en cuenta al menos los siguientes casos:

  • Un antivirus en un sistema de control industrial no debería apagar un equipo si hay algún riesgo de perder el control del proceso de producción o si el sistema no puede restaurarse a un estado seguro gracias a una copia de seguridad, aunque esté infectado con un virus.
  • Cuando el antivirus ejecuta un análisis deben tenerse en cuenta los tiempos de respuesta; ya que en las pantallas por las que se guían los operadores (HMI Human Machine Interface) se muestran datos provenientes de dispositivos de campo que han podido sufrir algún retraso, haciendo que la respuesta del operador también se ralentice.
  • El envío de informes automáticos a los fabricantes de antivirus cuando se encuentra un virus debería poder desactivarse, de manera que sea el operador de seguridad el encargado de hacer el envío en un momento de baja carga en el sistema.
  • Los archivos de proyectos, como pueden ser bases de datos, que estén infectados con un virus no deberían ser movidos, bloqueados o eliminados automáticamente si tales acciones impiden que la relación entre los datos del proceso se establezca de forma correcta.

 Esquema antivirus centralizado

- Esquema Antivirus centralizado -

Las dificultades que generan las herramientas de seguridad en los sistemas de control se deben principalmente a que la implantación de las mismas se realiza siguiendo las pautas que se siguen en los sistemas corporativos.
Para solventar estas cuestiones es necesario cumplir algunos requisitos. En el caso de  los antivirus, para un funcionamiento correcto dentro de los entornos industriales, han de ser los siguientes: 

  • Muchos antivirus incluyen opciones de seguridad además del propio análisis en busca de virus, como pueden ser servicio de cortafuegos, protección activa de navegación o escaneo de correos en busca de virus. La instalación debería permitir al usuario desactivar todas las opciones que excedan del ámbito funcional de un antivirus convencional, es decir, la instalación del antivirus debe realizarse con cuidado y es recomendable dejar únicamente activa la opción de análisis.
  • Ha de ser posible desactivar la distribución automática de firmas de virus desde el servidor central del antivirus hacia las consolas, para que un proceso de actualización de firmas no bloquee o interrumpa otros procesos de control del proceso en el equipo de destino.
  • Dentro de una arquitectura con antivirus centralizado, deben estar disponibles las opciones para organizar y configurar los clientes del antivirus mediante grupos. De esta manera se pueden separar los equipos críticos de los no críticos y así realizar acciones como la actualización de firmas en diferentes periodos, según el uso de los equipos o su dependencia a la estabilidad del proceso.
  • Debería ser posible el inicio manual de una exploración de archivos y/o del sistema dentro de los grupos, permitiendo al operario de seguridad aprovechar momentos de parada o nulo impacto en el proceso para llevarlos a cabo.
  • Las unidades de red compartidas deben ser analizadas directamente por los antivirus instalados en los servidores de ficheros compartidos. El antivirus de los puestos de trabajo solo debe analizar localmente.
  • La configuración del escaneo en los clientes debe poder hacerse únicamente de ficheros o archivos nuevos que se encuentren en el equipo, partiendo de la base de que todos los datos locales ya han sido analizados al menos una vez.

Los procesos de actualización de las herramientas de seguridad suelen ir asociado a la descarga de material de internet, habitualmente de los fabricantes o distribuidores de los productos. Este método de trabajo no es válido dentro de los sistemas de control, donde la descarga de contenidos directamente desde internet no suele estar permitida, teniendo que utilizar siempre equipos intermedios en redes DMZ destinados a esta función.
El proceso de actualización de las firmas de los antivirus dentro de los sistemas de control, como herramienta de seguridad que es, también es diferente al procedimiento tradicional seguido en entornos corporativos. El proceso debería tener en cuenta los siguientes pasos:

  • El servidor en el que se encuentra el nodo central del antivirus debería ser el encargado de recoger las firmas de los virus, para posteriormente distribuirlas a los clientes dependiendo del grupo en el que se encuentren. De esta manera,  el nodo central será el encargado de conectarse al proveedor del antivirus para descargar las actualizaciones de firmas evitando que todos los equipos de la red de control requieran acceso a internet.
  • El nodo central de actualización de firmas debe contemplar la posibilidad de presentar redundancia, para poder seguir operando en caso de fallo y poder descargar y distribuir las firmas de forma trasparente para los clientes.
  • Las actualizaciones de firmas se deben llevar a cabo sobre entornos de preproducción. Si pasado un tiempo no se han producido fallos, el fabricante del antivirus no ha reportado problemas de compatibilidad y el proceso no se ha visto afectado, la actualización puede ser cargada en producción.
  • Si no se detectan problemas de compatibilidad con las firmas de virus en un periodo definido, las firmas también pueden ser cargadas a otros grupos de equipos.

Actualización de firmas

- Actualización de firmas gracias a un antivirus centralizado -

Además de las consideraciones en la instalación y en la operativa de configuración o actualización, el método de actuación o forma de trabajo de las herramientas de seguridad en los sistemas de control también ha de seguir ciertas consideraciones. Siguiendo con los sistemas antivirus, la actuación de estas herramientas dentro de los sistemas de control ante un positivo ha de tener en cuenta las siguientes recomendaciones: 

  • Cuando un virus es detectado, debe ser posible generar una alerta o notificación sin que esta fuerce la realización de una acción o tratamiento del virus (eliminación, bloqueo o mover el archivo a otra ruta).
  • Todos los mensajes, notificaciones o alertas generados deberían poder guardarse en un servidor de logs.
  • La detección de un virus o una amenaza no debe mostrar avisos al operador que puedan tapar u ocultar información relevante en las aplicaciones de control, aunque sea por un tiempo limitado.

Además de todo lo comentado, que sigue unas directrices generales, hay que tener en cuenta las características propias que puede tener cada software utilizado en los sistemas de control y las especificaciones que pueda ofrecer cada proveedor para la instalación de soluciones de seguridad conjuntamente con sus soluciones industriales.