Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Configuraciones seguras en dispositivos industriales

Fecha de publicación 10/08/2023
Autor
INCIBE (INCIBE)
Configuraciones seguras en dispositivos industriales

El bastionado o ‘hardening’ de los equipos es una práctica común en ciberseguridad, que tiene como objetivo la correcta implantación de los diferentes sistemas de ciberseguridad en los dispositivos.

En el mundo industrial, se ha priorizado siempre la disponibilidad, por lo que las comunicaciones se han centrado principalmente en la integridad de los datos y el envío en tiempo real de estos, difiriendo completamente al mundo IT (Information Technology). Los niveles de comunicación que podemos encontrar en la red industrial serían los siguientes:

  • Nivel de información: es el nivel superior de una planta y aquí se pueden encontrar los dispositivos que reúnen la información y que gestionan los sistemas de automatización, como los dispositivos SCADA.
  • Nivel de control: este nivel contiene los PLC (Programmable Logic Controller) y los sistemas automáticos de automatización. La latencia máxima es de una fracción de segundo.

- Pirámide de automatización; Fuente -

  • Nivel de campo: este nivel contiene los dispositivos, como sensores y actuadores, módulos de E/S, etc. Se transmite la información de forma cíclica y se caracteriza por un ciclo de bus corto. Varía desde la décima de microsegundo hasta cientos de milisegundos.
  • Nivel MES: nivel de planificación o de integración, en el que se encuentran los sistemas de ejecución de la producción (MES). Este nivel permite organizar, controlar y monitorizar procesos en fábricas, logrando una máxima eficiencia y reducción de costes.
  • Nivel ERP: último nivel de la pirámide, correspondiente a los sistemas de gestión integral de la empresa (ERP). Este nivel controla todos los procesos de gestión empresarial, pero no está especializado en la gestión productiva de las fábricas.

Para las comunicaciones entre estos dispositivos, se emplean diferentes protocolos como los siguientes:

  • Modbus RTU.
  • Ethernet/IP.
  • Ethernet TCP/IP.
  • Modbus TCP/IP.
  • Profinet.
  • Profibus.

Cada protocolo proporciona unas características diferentes en base a la comunicación. En algunos casos, el uso de alguno de estos protocolos de comunicación, sin otras medidas de seguridad, puede suponer una vulnerabilidad en la comunicación. Es, por ello, que la securización de las comunicaciones mediante protocolos industriales es tan importante como el bastionado de los propios equipos.

¿Cómo crear un baseline acorde a mi entorno industrial?

Inicialmente, es necesario tener un amplio conocimiento de nuestro sistema y qué posibles fallos podemos encontrar dentro de este. Para ello, se tendrá que realizar una evaluación de riesgos, una clasificación y posteriormente, la elaboración un plan de mitigación. 

El problema que se encuentra en este caso es que, dependiendo del tiempo que se pueda tardar en aplicar el plan de mitigación, las soluciones ideadas pueden llegar a quedar obsoletas. 

La implementación de un estándar en ciberseguridad permitirá tener una base de los requisitos mínimos para tener un entorno industrial seguro, sin entrar en casos específicos, ni con proveedores concretos. A continuación, se muestran los estándares que hacen referencia a las implementaciones de seguridad mencionadas anteriormente:

  • ISA/IEC 62443.
  • NIST SP 800-82.
  • FERC (Federal Energy Regulatory Comission)
  • NERC (North American Electric Reliability Corporation).

A continuación, presentamos cuatro pasos a utilizar para bastionar nuestros sistemas, en el ámbito de software, hardware y física.

  • Este plan debe ayudar a inventariar qué hardware y software está autorizado y cuál no, centrándose en los activos críticos de la empresa para su protección. Asegurar y ‘endurecer’ las configuraciones de la red industrial, los puntos finales y sistemas de control; evaluar continuamente las vulnerabilidades, remediarlas; y controlar el uso de los privilegios de administrador. Para ello, se puede hacer uso de los primeros cinco puntos del ‘CIS Critical Security Controls’.
  • Se deberán asegurar todas las conexiones de red y web a los sistemas de control, en caso de ser necesarios. Esto crea problemas que, a menudo, eclipsan los posibles beneficios. Por ello, se deberá minimizar y eliminar esta conectividad siempre que sea posible. También, se deberá asegurar el acceso inalámbrico y remoto, dando las mínimas autorizaciones posibles de conexión.
  • Una autenticación solida ayuda a proteger los sistemas contra ataques digitales. Por ello, se deberán incorporar medidas para una autenticación robusta en entornos OT (Operational Technology). Esto no solo debe incluir contraseñas complejas y únicas, sino también requerir componentes de seguridad, como el doble factor de autenticación (2FA).
  • Comprender que el punto más débil de una infraestructura siempre va a ser el ser humano. Se debe lograr que los trabajadores comprendan el riesgo de las acciones que pueden realizar. La ingeniería social es algo que, aunque se tenga una base sólida de defensa, siempre será el principal punto de ataque.

Bastionado en los entornos industriales

El bastionado es un proceso crítico, el cual se debe realizar en primera instancia al comprar un nuevo dispositivo, puesto que las configuraciones por defecto que traen se pueden obtener muchas veces de los manuales y dentro de estas podemos encontrar características activadas y credenciales por defecto en nuestra red.

Si ya se tienen los dispositivos instalados en el sistema será recomendable ir uno por uno buscando posibles vulnerabilidades o características que no se deseen, como por ejemplo podría ser el caso de un PLC con servicio web al que nunca se accede y además tiene las credenciales predeterminadas.

Se pueden encontrar diferentes tipos de bastionado:

  • Bastionado de servidores: salvaguardar la integridad y protección de los datos, puertos, componentes, funciones y permisos que tenga un servidor, utilizando medidas avanzadas de hardware, firmware y software.
    • Modificación de registros, configuración de servicios… Tener todo actualizado.
  • Bastionado de redes: garantizar la seguridad en la infraestructura básica de comunicación compuesta por múltiples servidores y sistemas informáticos que operan dentro de la red.
    • Implantación de políticas de seguridad, endurecimiento y delimitación clara de privilegios de usuario.
  • Bastionado de aplicaciones software: actualización o implementación de medidas de seguridad adicionales para proteger aplicaciones estándar como las de terceros instaladas.
    • Implementación de cortafuegos, utilización de aplicaciones antivirus, parcheo de las aplicaciones.
  • Bastionado de sistema operativo: aplicación de parches y medidas de seguridad avanzadas para asegurar el sistema operativo de un servidor.
    • Actualizar sistema operativo, configuración de privilegios de usuario dentro del sistema etc.

Conclusiones y buenas prácticas

Para concluir con este artículo, remarcar que son tan importantes las bases del hardware y software que se tienen configuradas e instaladas en el sistema, como las bases de la ingeniería social que se han enseñado a los empleados, puesto que la cadena se rompe por el eslabón más débil y ese, somos los seres humanos.

A continuación, se detallan algunas buenas prácticas para el bastionado de equipos OT:

  • Controlar el acceso remoto para los sistemas OT: de esta manera, se tendrá un control exhaustivo sobre los usuarios que tienen acceso a los sistemas de forma remota.
  • Control de seguridad de los sistemas Modem: uso de contraseñas seguras, tanto en la conexión, como en el portal web. Filtrado de MAC de la manera más restrictiva posible, etc.
  • Seguir una guía de buenas prácticas para implementar un firewall en redes SCADA y de control de procesos: revisión periódica de la configuración, procesos adecuados de gestión y supervisión del cortafuegos.
  • Desarrollar un plan de incidencias de ciberseguridad para OT: identificar los fallos existentes en los sistemas y realizar un plan a largo plazo para ir solucionándolos y revisando que se cumplan las medidas acordadas.
  • Crear un plan de análisis forense para OT: realizar una guía con los pasos a seguir en caso de un incidente y las pruebas que se han de obtener, junto a la custodia de estas.
  • Actualización de firmas y funcionalidades del antivirus: programación de búsqueda de actualizaciones semanales, desde un servidor centralizado, para su posterior distribución, tras las pruebas en un entorno controlado.
  • Formación de ciberseguridad industrial para empleados: contratar personal especializado para la elaboración de cursos y ejecución de ejercicios poniendo en práctica el conocimiento adquirido.
  • Mejorar la ciberseguridad de los sistemas OT con estrategias de defensa en profundidad: utilizar diferentes elementos de seguridad, DMZ, firewalls, diodo de datos, etc.
  • Desactivación de puertos USB: dadas las diferentes familias de malware conocidas en el mundo industrial y la capacidad del software malicioso para propagarse vía dispositivos externos USB, se aconseja deshabilitarlos o elaborar una lista blanca frente a su uso.
  • Implementación de cortafuegos: colocar cortafuegos en los puntos de la red necesarios donde se desee un control de accesos.
  • Sistemas de prevención y detección de intrusiones: combinar ambos elementos, tanto IPS como IDS, para una mayor protección, configurándolos de manera que no den gran cantidad de falsos positivos.