Vulnerabilidades de día cero, desafío en infraestructura crítica

 

La divulgación de día cero (fallas de software sin un parche disponible) de múltiples vulnerabilidades en los sistemas de control industrial de Schneider Electric (ICS) ejemplifica las dificultades del mundo real que enfrenta el ecosistema de la infraestructura crítica, afirma Marty Edwards, VP de seguridad de Tecnología Operativa  de Tenable  y director de la agencia de seguridad ICS-CERT.

 

Las vulnerabilidades — que afectan los productos de control de la compañía EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack REmoteConnect x70 y Modicon M580 y M340 — plantean varios riesgos, incluida la posibilidad de completar la evasión de autenticación, la ejecución de código arbitrario y la pérdida de confidencialidad e integridad. La investigación de Día Cero de Tenable fue uno de varios proveedores que detectaron las vulnerabilidades de Schneider a través de prácticas de divulgación estándar, (informe técnico aquí).

 

¨Los factores que rodean la divulgación de Schneider, ponen de relieve los numerosos retos implicados en la protección de infraestructura crítica. Los sistemas de control industrial y otras tecnologías utilizadas en el entorno de tecnología operativa generan dificultades enormes para desarrollar e implementar parches. ¿Por qué? Porque los sistemas tienen que ser desactivados y probados exhaustivamente cada vez que se realiza una actualización. Sin embargo, los actuales modelos operativos para la mayoría de entornos de tecnología operativa (OT), tales como centrales eléctricas, gasoductos y plantas de fabricación, dejan poco margen para tiempo de inactividad¨, comentó Marty Edwards.

 

En un entorno típico de Tecnología de la información (TI), los flujos de trabajo y procesos para la colocación de parches en los sistemas de negocios digitales están bien establecidos y han sido comprobados con el tiempo. Por otro lado, en la mayoría de los entornos de tecnología operativa (OT) no hay un flujo de trabajo claro para actualizar el software, que es el punto débil de la infraestructura crítica. Hay una lucha continua entre la producción y la seguridad, cada una de las cuales tiene diferentes métricas de éxito acerca del tiempo de actividad y el rendimiento del sistema.

 

En un entorno de tecnología operativa (OT), es común que los sistemas dependientes de software sean puestos en servicio y nunca se toquen nuevamente durante los siguientes 10 años. Las actualizaciones periódicas de software para tecnologías de tecnología operativa (OT), simplemente no están incorporadas en los procesos estándar en la mayoría de las organizaciones de infraestructura crítica.

 

A continuación, Tenable ofrece tres acciones de alto nivel, así como dos pasos tácticos, que las organizaciones pueden emprender para protegerse a sí mismas mientras pasa la estela de la divulgación de Schneider.

 

Tres acciones para proteger entornos de infraestructura crítica

¨No hay un remedio mágico para proteger los entornos de tecnología operativa (OT). Al igual que con la seguridad de Tecnología de la información (TI), se trata de sentar los fundamentos. Y estamos muy conscientes de que la simplicidad de la orientación oculta la complejidad de la implementación de las recomendaciones. No obstante, creemos que estos elementos de acción deberían repetirse, ya que son fundamentales para cualquier estrategia de ciberseguridad sólida, especialmente cuando los sistemas no pueden ser actualizados¨, continúo Edwards.

 

  1. Implemente una postura de defensa a profundidad. Los entornos de infraestructura crítica no pueden depender de la seguridad de cualquier dispositivo dado. Las organizaciones necesitan implementar una arquitectura de seguridad robusta con controles compensatorios para proteger los dispositivos que se encuentran en mayor riesgo.
  2. Desarrolle políticas sólidas de gobierno y recuperación ante desastres. Estas son esenciales para tratar con el ransomware y otras formas de ciberataques, y deben de tener en cuenta no sólo la tecnología, sino también a las personas y procesos en cualquier organización. Pruebe sus planes de copia de seguridad antes de que los necesite. Debido a que la escasez de conocimiento cibernético es particularmente crítica en los entornos de tecnología operativa (OT), el logro de este nivel de gobierno sigue siendo un desafío para muchas organizaciones.
  3. Escoja las tecnologías sabiamente. Sin las personas y las políticas adecuadas, es imposible obtener el máximo valor de cualquier tecnología que compre. Al mismo tiempo, hay ciertas capacidades que debe buscar en sus opciones tecnológicas. Por ejemplo, el entorno de tecnología operativa (OT) requiere el mismo nivel de análisis continuo en tiempo real que en el mundo de la Tecnología de la información (TI). Los operadores de tecnología operativa (OT), necesitan implementar tecnologías que les brinden el tipo de capacidades de detección y recuperación necesarias para eludir a los maleantes que emplean amenazas sofisticadas.

 

Dos acciones para los usuarios de los sistemas Schneider afectados

Si su organización utiliza los sistemas Schneider afectados por esta divulgación de día cero, aquí hay dos acciones que puede emprender de inmediato:

 

  1. Revise y siga las recomendaciones del proveedor detalladas en la divulgación Schneider aquí.
  2. Los clientes de Tenable pueden saber más aquí acerca de cómo detectar los sistemas afectados en su entorno.

 

¨Es imperativo para investigadores, gobiernos, organizaciones del sector privado y proveedores de tecnología emprender inmediatamente acciones tácticas, así como acciones estratégicas a largo plazo para abordar los desafíos de ciberseguridad considerables a los que se enfrenta nuestra infraestructura crítica. Asimismo, es fundamental desmantelar los silos de infosec, Tecnología de la información (TI) y tecnología operativa (TO) que existen en la mayoría de las organizaciones y replantear la forma en que estos equipos son incentivados para asegurar que se priorice la ciberseguridad¨, finalizó Marty Edwards.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PHP Code Snippets Powered By : XYZScripts.com