Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Soluciones IDS en entornos industriales

Fecha de publicación 22/06/2023
Autor
INCIBE (INCIBE)
Soluciones IDS en entornos industriales

Debido a los diferentes ciberataques sufridos por los Sistemas de Control Industrial y los sectores críticos, como por ejemplo el ransomware Wannacry, que afectó aproximadamente a 230.000 sistemas en todo el mundo, ha surgido la necesidad de buscar una mayor concienciación sobre la importancia de la ciberseguridad industrial, especialmente en el caso de los sectores que manejan una gran cantidad de datos de gran valor que los convierten en  un objetivo de gran interés por los grupos de atacantes bien organizados, como Chermovite o Kamacite, entre otros.

  • Chermovite: este grupo creo el malware conocido como PIPEDREAM, capaz de proporcionar a los operadores, el escaneo de nuevos dispositivos, realización de ataques de fuerza bruta, conexiones a servidores o incluso poder romper el dispositivo físicamente. Para ello, se utilizaron diferentes protocolos industriales, como FINS, Modbus y la implementación de los dispositivos del fabricante Schneider.
  • Kamacite: este grupo fue el que utilizó el malware BlackEnergy, el cual comprometió varias distribuidoras eléctricas, provocando que una región ucraniana de 1,5 millones de habitantes se quedase sin electricidad.

Por todo lo comentado anteriormente, en el mundo de la ciberseguridad industrial, se están utilizando nuevos métodos y tecnologías que antes estaban directamente relacionadas con el mundo IT. Una de estas herramientas es el IDS o Sistema de Detección de Intrusos. 
El IDS es una aplicación que se usa para detectar accesos no autorizados a un dispositivo o a una red, es decir, son sistemas que monitorizan el tráfico entrante y cotejan con una base de datos de firmas de ataques actualizada en busca de una posible intrusión. Con el paso del tiempo, esta herramienta ha ido evolucionando y adaptándose a las necesidades del mundo TO (Tecnologías de Operación), tal es así que ya hay IDS industriales que permiten identificar dispositivos, como los PLC y HMI o poder comprender los protocolos industriales S7, Modbus, DNP3, etc. 
Además, gracias a estas mejoras de los IDS se pueden introducir reglas Snort o Yara específicas para los protocolos industriales y que así se puedan crear diferentes alertas para que se puedan gestionar de la forma más breve y eficaz por parte del organismo correspondiente. 
En cuanto a los tipos de uso de los IDS, destacan dos, los HIDS y los NIDS.

  • NIDS: enfocados a la monitorización del tráfico de la red en la que se encuentran conectados los dispositivos. Para ello, se podría utilizar un TAP (dispositivo que replica la comunicación que se introduce en un puerto) o realizar un port mirroring de un switch gestionable.
  • HIDS: este tipo de IDS se basa en la monitorización de un host en concreto, por ejemplo, en el mundo TO se podría instalar en un dispositivo donde tiene un SCADA.

    imagen de NIDS vs HIDS 
    - NIDS vs HIDS. Fuente -

Pero esta tecnología no es perfecta, ya que tiene algunas limitaciones como, por ejemplo:

  • No bloquean los ataques que se realizan a las redes o a los dispositivos, ya que únicamente se limita a monitorizar el tráfico y generar alertas. 
  • En ocasiones si el volumen de tráfico es muy grande o si la gestión de alertas no está bien realizada, puede provocar falsos positivos lo que perjudicaría a la detección de las amenazas reales.
  • Debido a la tendencia del cifrado de los protocolos, hace que no se pueda observar correctamente las comunicaciones de nuestros dispositivos lo que impide saber qué datos se están enviando.

En referencia a esta última limitación, sí que es cierto que, en la mayoría de los casos, el cifrado de comunicaciones nos proporciona cierto nivel de seguridad frente a posibles sniffers en la red, pero y ¿si fuésemos nosotros quiénes queremos saber que comunicaciones nos están llegando?

IDS en arquitectura de red 
 - IDS en arquitectura de red. -

En ese caso, podría colocarse un IDS en la red y realizarle un ‘port mirror’ para enviarle la información que llegue y así no ralentizar las comunicaciones, puesto que en el mundo TO lo que premia es la continuidad del negocio y el tiempo real en las comunicaciones. El problema que podemos encontrar en este sistema es que el aviso tardará en llegar, puesto que tendrá que analizar una alta cantidad de paquetes. 
Otra opción, sería utilizar servidores proxy, para conectar nuestro IDS de forma segura e instalar o actualizar la base de firmas. Si quieres conocer más acerca del uso e instalación de un servidor proxy, puedes consultar nuestro artículo ‘Qué es un proxy y cómo se configura” 
Por todo esto, es aconsejable utilizar otras tecnologías o herramientas que permitan complementar a los IDS para poder aumentar la ciberseguridad de la empresa.

Métodos complementarios

Debido a que todas las tecnologías tienen limitaciones, es aconsejable utilizar diferentes métodos que permitan mejorar la ciberseguridad industrial. Algunos de estos métodos son:

  • Segmentación de redes: es aconsejable que las redes de la empresa se encuentren bien segmentadas para evitar que se pueda realizar ataques laterales. Uno de los mejores ejemplos es tener correctamente segmentada la red TI con la red TO.
  • Honeypots: esta tecnología se basa en realizar una simulación, lo más real posible, para que el ciberdelincuente crea que está atacando un objetivo real, pudiendo así monitorizar y estudiar todos sus movimientos y acciones, para poder aprender y desplegar soluciones defensivas en los dispositivos reales.
  • Deception: se trata de una evolución de Honeypots, este método destaca por no ser una simulación estática, sino que dependiendo de las acciones del atacante se van creando diferentes pruebas para saber hasta dónde puede llegar y los métodos que utiliza. Todas estas acciones darán una información muy valiosa para después implementarlas en los dispositivos necesarios. A continuación, se muestran algunas de las técnicas derivadas de este método:
    • Señuelos y honeytokens.
    • Trafico de red falso.
    • Señuelos de interacción media.
    • Señuelos de interacción alta.
  • IPS: Es una tecnología muy similar a la de los IDS, pero la gran diferencia es que si permite bloquear las comunicaciones que no son deseadas.

Conclusiones

Como se ha podido observar a lo largo de este artículo, la ciberseguridad industrial es un aspecto muy importante, ya que nos permite estar preparados para dar respuesta a posibles ciberataques con una mayor rapidez, minimizando los daños sobre el entorno industrial. 
Por ello es aconsejable utilizar la tecnología IDS en el mundo TO, ya que, a diferencia de otras tecnologías, como los IPS, SIEM, Honeypots, esta permitirá detectar de una forma más rápida y precisa los ciberataques que sufre la compañía u organización, evitando que los daños que se puedan producir sean graves o incluso críticos. 
Si quieres conocer más en profundidad que es y cómo trabaja un IDS o las diferentes herramientas de monitorización de la red que podemos encontrar,  te invitamos a consultar nuestro articulo ‘¿Qué son y para qué sirven los SIEM, IDS e IPS?’.