Antivirus de nueva generación aplicados a entornos TO
Los ataques dirigidos a empresas, aquellos que son menos masivos pero centrados a usuarios u organizaciones concretas, son cada vez más frecuentes. Los antivirus (AV) siempre son útiles a la hora de mejorar nuestra seguridad, aunque en los Sistemas de Control Industrial suele ser más habitual usar listas blancas para los niveles 0, 1 y 2 del modelo Purdue, dejando a los antivirus únicamente en el nivel 3. Por este motivo, las nuevas generaciones (AV NG), los que en lugar de estar basados en firmas utilizan algoritmos de machine learning y otros tipos de mejoras, podrían suponer un cambio a mejor respecto a lo ya conocido en el mundo TO.
Según algunas empresas orientadas a la ciberseguridad industrial, el malware en entornos SCI podrían clasificarse en tres tipos:
- Malware sin objetivo. Este tipo no está diseñado con objetivo de infectar entornos industriales. Como ejemplo, la familia de malware Sality o Ramnit, son virus que se esparcieron en sistemas basados en Windows y que acabaron ganando acceso a sistemas industriales.
- Malware tema-SCI. Aquellos que se propagan por medios específicos para penetrar en entornos SCI. Casos de phishing a través de emails a fabricantes u operadores son ejemplo de este tipo.
- Malware adaptado-SCI. En este tipo se incluyen componentes específicos y esfuerzos de desarrollo de autores de malware para apuntar a entornos industriales específicos. Representan la minoría de los casos y conllevan una gran cantidad de recursos, por lo que suelen ser desarrollados por Estados o grandes organizaciones. Los ejemplos más claros de este tipo de malware son Stuxnet o BlackEnergy 2.
Los antivirus convencionales funcionan en el rango de los dos primeros tipos, pero su eficacia es casi nula frente al malware adaptado-SCI. Además, debido a la facilidad de intrusión que se consigue con malware tema-SCI, la mayoría de las soluciones de antivirus industriales no se centran en identificar el malware más complejo, por ser demasiado específicos y concretos (no válidos para el grueso de los clientes).
Uno de los objetivos principales de los antivirus NG es el de ser capaces de detectar el malware adaptado a SCI.
- Comparativa entre AV tradicionales y de nueva generación -
Características de los antivirus NG
La necesidad de estas herramientas de detección y respuesta de punto final (EDR) es que los archivos, programas o actividades, que puedan ser sospechosas o tener una intención maliciosa, se detecten con la máxima antelación posible, alertando al responsable para que pueda tomar las medidas necesarias a tiempo. Las mejoras de los antivirus de NG pretenden conseguir que los entornos de TO sean más seguros y, de esta manera, prevenir cualquier posible infección. Las características más importantes son:
- Los antivirus NG utilizan inteligencia artificial para bloquear posibles variantes de malware desconocidas y ofrecer así una mejor protección que las soluciones de antivirus tradicionales. De esta forma, se intentan predecir los posibles ataques futuros.
- No sobrecarga los sistemas y son transparentes para el usuario, ofreciéndoles una experiencia de uso que no resulta lenta, ruidosa ni llena de ventanas emergentes asociadas con los productos tradicionales de seguridad para el consumidor.
- Los antivirus NG, al contrario de los antivirus tradicionales, no son dependientes de la actualización de firmas.
- Fáciles de administrar y configurar. Protegen los dispositivos para dar la máxima seguridad.
- Este tipo de antivirus proporcionan a los técnicos responsables de su administración una manera sencilla de visualizar y conocer el estado de la seguridad en dispositivos industriales mediante cuadros de mando.
- Uso de algoritmos mejorados para que la seguridad de los antivirus NG proporcione a los sistemas una manera eficiente a nivel defensivo frente a cualquier ciberataque.
- Aplicación de seguridad predictiva y de prevención, además de servicios de seguridad especializados.
Ventajas e inconvenientes de los antivirus NG en entornos TO
Dentro de los Sistemas de Control Industrial (SCI), el uso de antivirus proporciona una capa más de seguridad frente a posibles ciberataques, pero a su vez, resulta bastante delicado su despliegue, ya que un software que posee un objetivo como el de los antivirus NG (detectar y disuadir amenazas), podría realizar un borrado de archivos fruto de un falso positivo y afectar a la disponibilidad de los procesos industriales, por lo que se ha de extremar la precaución y asegurarse de que está correctamente configurado. Aunque la complejidad de su despliegue es elevada, existen una serie de ventajas a valorar:
- Gracias a la prevención de malware basada en IA, el control de aplicaciones, la protección de memoria, el control de políticas que poseen los dispositivos y otras medidas de seguridad se ven mejoradas notablemente al poder aplicar los conocimientos aprendidos para cada nueva investigación.
- Este tipo de antivirus protege los dispositivos finales sin aumentar la carga de trabajo o los costos del personal.
- El uso de las técnicas predictivas y preventivas que se utilizan por la inteligencia artificial son aplicables a través de plataformas, SSOO, tipos de archivos o dispositivos.
- Es posible la integración de la inteligencia artificial en plataformas SIEM que estén ya desplegadas, además de proporcionar soluciones más flexibles para la seguridad, por medio de inteligencia que hace posible determinar si un determinado tráfico es válido si viene de una ubicación determinada, ya que ese mismo tráfico podría considerarse malicioso si la procedencia es diferente.
- El uso de antivirus tradicionales podría provocar una cantidad ingente de alertas difíciles de manejar, pero el uso de los nuevos algoritmos en los endpoints reduce el uso de memoria y CPU que necesita utilizar.
- Mejora debido al cambio en los antivirus al no tener que actualizar los endpoints, utilizando actualizaciones basadas en firmas y sin necesidad de conectarse a servicios en la nube que podría ser peligroso.
Aunque parece que los antivirus de NG pueden ser un gran avance para el entorno TO, es posible que también haya algunos puntos que no les favorezcan. Estos podrían ser:
- La falta de necesidad a la hora de actualizarse. Al no estar basado en firmas puede suponer un problema debido al cambio de metodología, ya que hoy todos los antivirus que se usan en los Sistemas de Control Industrial tienen una forma concreta de actuar y sobre todo de actualizarse.
- Cambiar de antivirus tradicionales a los de nueva generación supondrá un coste del cual se deberá hacer cargo la empresa, además de un posible rediseño de arquitectura o cambios a la hora de ver donde instalar estos AV.
Conclusiones
La evolución de los AV convencionales a antivirus de NG puede suponer un cambio a mejor en la forma de evaluar la seguridad del entorno TO, gracias al uso de nuevos algoritmos, el machine learning o la introducción de la inteligencia artificial. No obstante, aunque se implanten estos nuevos antivirus no hay que olvidar que siempre tendrá que haber un responsable, seguramente un operador, que esté a cargo de la revisión y la puesta a punto, así como de no dejar de usar las buenas prácticas.