Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Top 20 de mitigaciones en SCI durante 2023. Parte 1

Fecha de publicación 21/12/2023
Autor
INCIBE (INCIBE)
Top 20 de mitigaciones en SCI durante 2023. Parte 1

MITRE ha desarrollado diferentes mitigaciones, tanto para el entorno corporativo como para el entorno industrial. Esta combinación de mitigaciones proporciona a los usuarios diferentes posibilidades a la hora de defender no solo y exclusivamente uno de los dos entornos, sino a buscar un punto de protección entre ambos entornos.

Cabe destacar que una mitigación representa un concepto de seguridad junto con tipos de tecnologías que se pueden utilizar para prevenir que cualquier técnica o subtécnica (contenidas en las matrices de MITRE) se ejecute de forma satisfactoria y pueda afectar, ya sea al entorno IT o al entorno OT.

logo MITRE ATT&CK

- Mitigaciones de MITRE ATT&CK. Fuente. - 

 A continuación, se irán definiendo diferentes mitigaciones para el entorno industrial, aunque puede que ciertas mitigaciones sean también aplicables al entorno IT. Además, algunas mitigaciones concretas de la lista de MITRE para reducir el impacto en el entorno IT, pueden aplicarse al entorno OT y sus correspondientes técnicas de mitigación.

  • 1- Gestión de accesos: las diferentes tecnologías de gestión de accesos permiten aplicar restricciones de autorización. En el entorno industrial, el acceso a los dispositivos de campo no esta suficientemente restringido, ya que no disponen de capacidades para soportar la identificación y la autenticación, en muchos casos. La introducción en la red de un dispositivo pasarela o de gestión de accesos permitiría mitigar esta problemática introduciendo así a los dispositivos la capacidad de integrar un servicio de autenticación mediante la verificación de los usuarios. A continuación, se listan diferentes técnicas que pueden aplicarse para ejecutar la mitigación:
    • Modo de operación: debe existir un control de autenticación antes de poder modificar cualquier lógica, programa o estado del dispositivo. Las técnicas de autenticación centralizada pueden ayudar a gestionar de forma sencilla el gran número de cuentas de los dispositivos de campo.
    • Credenciales por defecto: eliminar las cuentas con credenciales por defecto y habilitar únicamente cuentas de usuarios con unos requisitos de seguridad.
    • Modificación de configuraciones de alarmas: cualquier cambio en el dispositivo relacionado con medidas de seguridad deberá ser autenticado y autorizado. Las tecnologías de gestión de acceso deben incluirse siempre para este tipo de modificación en la configuración ya que puede afectar no solo a la integridad del dispositivo, sino a la seguridad de los operarios.
    • Actualización del firmware: cualquier cambio en el firmware del dispositivo debe autorizarse y validarse antes de introducirlo al dispositivo. Además, el acceso al mismo o a la lógica de los dispositivos debe controlarse mediante programas de accesos.
    • Accesos remotos: las tecnologías de gestión de acceso pueden ayudar a imponer la autenticación en servicios remotos críticos; algunos ejemplos son, entre otros: los servicios de gestión de dispositivos (p. ej.: telnet y SSH), los servidores de acceso a datos (p. ej.; HTTP y históricos) y las sesiones HMI (p. ej.: RDP y VNC).

      Gestión de accesos remotos seguros.

      - Gestión de accesos remotos seguros. Fuente. -

  • 2- Políticas para el uso de cuentas de usuario: configuraciones relacionadas con el uso de la cuenta, como el bloqueo de la cuenta tras un número de intentos de inicio de sesión, horas de uso, etc. 
    • Servicios remotos externos: la configuración de funciones relacionadas con el uso de cuentas es de vital importancia en los accesos remotos, el bloqueo tras un número específico de intentos ha de implementarse, junto con unos requisitos de seguridad específicos en cuanto a la parametrización de la contraseña. A esto, también, se le debe añadir la implementación de franjas horarias y un control periódico de los usuarios habilitados y a que equipos se tiene acceso.
    • Acceso a servicios internos: el acceso a servicios internos del entorno industrial debe estar reducido a usuarios con roles y responsabilidades que requieran el acceso a dichos servicios desde un entorno externo o desde redes internas.
    • Política de contraseñas: a los requisitos anteriormente mencionados, se le debe añadir de forma específica una política de contraseñas, en la que se definan un número mínimo de caracteres, el uso de caracteres especiales, en definitiva, definir unos parámetros mínimos para la construcción segura de la contraseña. A esto se le puede sumar la obligación a cambiar de contraseña cada cierto periodo de tiempo o a que no se pueda repetir contraseña tras un cambio.
  • 3- Cumplimiento de la autorización: el dispositivo o sistema debe restringir los privilegios de lectura, manipulación o ejecución solo a usuarios autenticados que requieran acceso basado en políticas de seguridad aprobadas. Los controles RBAC (control de acceso basado en roles) permiten ayudar a reducir la carga en la asignación de permisos.
  • 4- Integridad del arranque: la utilización de métodos seguros para el arranque de los sistemas en un entorno industrial ha de ser de obligado cumplimiento junto con la verificación de la integridad del sistema operativo y de los mecanismos de carga de software.
    • Integridad de la BIOS/EFI/Firmware: comprobar la integridad de la BIOS, EFI o del firmware existente permitirá determinar si es vulnerable a posibles modificaciones. Existen diferentes tecnologías que permiten comprobar la integridad del sistema y asegurar que esta no ha sufrido modificaciones o si se puede modificar.
  • 5- Firma del código: se debe reforzar la integridad binaria y de las aplicaciones de los dispositivos industriales mediante la verificación de firmas digitales para evitar así la ejecución de código desautorizado o malicioso.
    • Enmascaramiento: se deben solicitar los binarios firmados.
    • Modificación de programas: se deben utilizar firmas de código para verificar que no se ha modificado la integridad del programa instalado en el activo industrial.
    • Infección de archivos: controle la firma de código de cualquier archivo de proyecto almacenado en reposo para evitar manipulaciones no autorizadas. Asegúrese de que las claves de firma no sean fácilmente accesibles en el mismo sistema.
    • Ejecución por parte de usuarios: se debe realizar un control por parte de usuarios del sistema de ejecutables sin firmar tales como instaladores o scripts.
  • 6- Autenticidad de las comunicaciones: la comunicación dentro de redes no confiables debe desautorizarse. Se deben implementar protocolos de red seguros que permitan la autenticación entre los usuarios y así verificar el mensaje enviado. Existen diferentes métodos, algunos de ellos son la autenticación mediante códigos de mensajes (MAC) o mediante las firmas digitales mencionadas anteriormente.
Cifrado de datos en comunicaciones

- Cifrado de datos en comunicaciones. Fuente. - 

  • 7- Prevención de la pérdida de datos: la implementación de tecnologías para la prevención de pérdida de datos pueden utilizarse para identificar posibles exfiltraciones. Se deben configurar diferentes medidas de seguridad para impedir la transferencia de información a través de recursos corporativos, como el correo electrónico, la web o medios físicos como los USB.
    • Cifrado de datos: una técnica que se debe implementar como mitigación es el cifrado de datos, tanto en reposo, como durante la comunicación entre dispositivos. La utilización de técnicas de cifrado comúnmente aceptadas en la industria permite que datos sensibles o con acceso restringido estén seguros respecto a accesos desautorizados.
    • Interceptación de paquetes: o también conocido como sniffing, es una técnica utilizada por los atacantes para robar paquetes durante la comunicación entre dos dispositivos. Es por ello, que en el entorno industrial se deben implementar técnicas y protocolos de autenticación, técnicas de cifrado y protocolos criptográficos como SSL/TLS. Esto debe aplicarse tanto a comunicaciones cableadas como comunicaciones inalámbricas.
  • 8- Desactivar o eliminar funciones o programas: otra posible mitigación básica es la eliminación de restricción de software innecesario o vulnerable. La gestión de vulnerabilidades en lo referente al software del entorno industrial es de vital importancia para tener un control de posibles puntos débiles en la seguridad.
    • Gestión de vulnerabilidades: un plan de gestión de vulnerabilidades permitirá a los responsables del entorno industrial poder responder de forma rápida y eficaz a la publicación de vulnerabilidades. 
    • Puertos TCP: es recomendable realizar cambios en los puertos TCP de comunicaciones por defecto. La utilización de estos puertos por defecto facilita al atacante la obtención de información sobre el programa, servicio o sobre el propio dispositivo industrial.

Conclusión

A lo largo de esta primera parte del blog dedicado al ‘Top 20 mitigaciones en ICS’, se han incluido tanto mitigaciones para reducir el riesgo de fallos en la gestión de usuarios y controles de acceso, como para evitar problemáticas en referencia a la integridad del firmware y el cifrado de comunicaciones. Cabe destacar que estas mitigaciones no implican una reducción total del riesgo pero que su aplicación puede suponer una elevada reducción del mismo. 

La ‘segunda parte del top 20’ se publicará la semana que viene y en ella se explicarán 12 nuevas mitigaciones centradas en la arquitectura de red, la configuración de redes y el escaneo de vulnerabilidad entre otras.