Tendencias de seguridad en los Sistemas de control industriales: FireEye
El equipo de iSIGHT Intelligence de FireEye identificó los riesgos más comunes a los Sistemas de control industriales (ICS por sus siglas en inglés), resultado de evaluaciones realizadas en los últimos años en una amplia gama de industrias, incluyendo manufactura, minería, automotriz, energía, química, gas natural y servicios públicos.
Según los hallazgos se concluye que al menos un tercio de los riesgos críticos y de alta seguridad de ICS están relacionados a vulnerabilidades, patches y actualizaciones. Las vulnerabilidades conocidas siguen representando desafíos significativos. Otra confirmación relevante es que algunos de los riesgos más comunes pueden ser mitigados con las prácticas recomendadas de seguridad, como aplicación de una política integral de gestión de contraseñas o el establecimiento de reglas detalladas del firewall.
Asimismo se menciona que en la mayoría de los casos, las mejores prácticas básicas de seguridad serían suficientes para impedir – o dificultar – la actuación de los agentes de amenazas contra los sistemas industriales.
Los resultados
Los datos fueron categorizados como altos, medios y bajos. Al menos 33% de los problemas de seguridad fueron clasificados como de riesgo alto o crítico, lo que indica mayores probabilidades de que los adversarios obtengan el control de los sistemas y, potencialmente, comprometan otros sistemas o redes, causando la interrupción de los servicios, divulgación de información no autorizada y otras consecuencias negativas.
Los riesgos críticos de alta seguridad fueron divididos en nueve categorías, siendo tres las más recurrentes:
–Vulnerabilidades, patches y actualizaciones (32%);
–Administración de identidades y acceso (25%);
–Arquitectura y segmentación de la red (11%).
La segunda categoría más común es la gestión de identidades de acceso, relacionada a las fallas o ausencia de prácticas recomendadas para manejar las contraseñas y credenciales. Los puntos frágiles identificados por los investigadores son:
–Falta de autenticación de varios factores para acceso remoto y cuentas críticas
–Falta de una política de contraseñas completa y aplicada
–Contraseñas débiles con duración o complejidad insuficientes usadas para cuentas privilegiadas, de usuarios del ICS o de servicio
–Contraseñas sin cambios frecuentes
–Uso de credenciales compartidas
De los tres principales riesgos identificados, los puntos débiles de la segregación y segmentación de red son los más importantes. Una vez que la falta de segregación de la red de TI corporativa y de la red ICS permite a los agentes de amenazas crear ataques remotos contra la infraestructura principal, moviéndose lateralmente de los servicios de TI para los ambientes ICS, aumentando el riesgo de propagación de malware de commodity para redes ICS, donde está lista de actuar con activos operativos.
Otros riesgos y mejores prácticas
Riesgos comunes adicionales fueron identificados de otras categorías, pero con menos frecuencia, como la administración de la red y el monitoreo.
De acuerdo con el análisis, la falta de monitoreo de seguridad de red, detección de intrusos y prevención de intrusiones en las organizaciones, incluyendo protección contra malware en terminales ausentes, dejan activas puertas no utilizadas y dan visibilidad limitada a redes ICS.
Por esto, se recomienda desarrollar una estrategia integral de gestión de vulnerabilidades de ICS e incluir procedimientos para implementar correcciones y actualizaciones en los principales activos internos. El establecimiento de un programa formal de seguridad con una estructura definida, debe englobar responsabilidades y gobernanza, además de:
–Expectativas de negocios, políticas y estándares técnicos para seguridad del ICS
–Orientación sobre controles de seguridad proactivos (por ejemplo, implementación de parches y actualizaciones, gestión de cambios o configuraciones seguras)
–Planes de respuesta a incidentes, recuperación de desastres y continuidad del negocio
–Estrategia de gestión de vulnerabilidades, incluyendo identificación de activos e inventario, evaluación de riesgo y metodología de análisis con pruebas de remediación y directrices de implantación
