Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Mitigando problemas de disponibilidad en la industria

Fecha de publicación 19/07/2018
Autor
INCIBE (INCIBE)
mitigación de problemas industriales

La disponibilidad es uno de los pilares sobre los que giran todos los procesos a nivel industrial. La pérdida de comunicaciones o el aumento del retardo en ellas, no sólo causarían grandes pérdidas económicas, sino que también podrían originar anomalías en el funcionamiento de los dispositivos. Los comportamientos anómalos no deberían darse, dado que los operarios de la planta u otros empleados de las organizaciones podrían verse en situaciones que nunca han manejado. Un ejemplo claro de esta situación, podría darse en el caso de que un HMI muestre siempre la misma información debido a que las comunicaciones no le están llegando de forma correcta. En este caso, podría tratarse de una denegación de servicio a los dispositivos que proporcionan la información al HMI para que éste las muestre gráficamente, evitando así que envíen la información.

Un atacante puede realizar otro tipo de acciones que originen denegaciones de servicio con el objetivo de evitar que usuarios legítimos accedan a los dispositivos industriales, ya sea de forma temporal o permanentemente. Uno de los métodos más comunes para originar una denegación de servicio consiste en saturar el dispositivo mediante el envío de una gran cantidad de solicitudes con el fin de bloquear las respuestas o hacer que éstas se realicen tan lentamente que el proceso sea considerado ineficiente.

 

Descripción de las fases que tiene un ataque de denegación de servicio

 

Una vez conocidos los pasos comunes a un ataque que origina una denegación de servicio, será interesante conocer la evolución que han sufrido estos ataques y cómo han afectado a sectores industriales en los últimos años. Para tener una visión más precisa de esta estadística, a continuación se muestra una gráfica que recopila los avisos relacionados con las vulnerabilidades detectadas a lo largo del año y que afectaron a dispositivos o software industrial.

 

Numero de avisos

 

Aunque el incremento de estos ataques no ha sido muy significativo, hay que tener en cuenta que suponen uno de los porcentajes más elevados en las estadísticas. Este porcentaje puede deberse, entre otros factores, a la evolución que están experimentando los ataques dirigidos al sector industrial. Los ataques de ransomware dirigidos contra hospitales son un claro ejemplo de ello, ya que han originado problemas a la hora de mantener un estado de normalidad en los servicios sanitarios, llegando a colapsar, en algunos casos, el propio servicio proporcionado en el hospital.

ATAQUES DE DENEGACIÓN DE SERVICIO

A continuación, se describen algunos de los ataques más conocidos que originan denegaciones de servicio en sistemas de control industrial:

  • PING of death: Este tipo de ataque que origina una denegación de servicio, es uno de los ataques de red más antiguos que existen.  El principio de este ataque consiste en crear un datagrama IP cuyo tamaño total supere el máximo autorizado (65.535 bytes). Cuando un paquete con estas características se envía a un sistema que contiene una pila vulnerable de protocolos TCP/IP, éste produce la caída del sistema originando la denegación de servicio.

    Para más información consultar el siguiente enlace que contiene ejemplos que afectaron a dispositivos presentes en los sistemas de control industrial: https://www.sans.org/reading-room/whitepapers/detection/denial-service-attacks-mitigation-techniques-real-time-implementation-detailed-analysi-33764 

  • UDP Flood Attack: Esta técnica que origina una denegación de servicio es muy parecida al ICMP flooding. La diferencia reside en que en UDP se usan datagramas con diferentes tamaños. En este ataque de inundación, el atacante envía un paquete UDP a un puerto aleatorio de la víctima. Cuando la víctima recibe el paquete, verifica que existe una aplicación escuchando en ese puerto. De lo contrario, responderá con un paquete de destino ICMP inalcanzable. Si se entregan suficientes paquetes UDP a suficientes puertos de la víctima, el sistema sufrirá un colapso y no será capaz de liberar recursos para mantener su operativa normal.

    Como ejemplo de estos ataques puede consultarse el siguiente aviso publicado en la página del CERTSI: https://www.certsi.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-productos-siemens-2

Otros ejemplos de ataques que originan denegaciones de servicio por un envío de paquetes malformados o ejecución de código arbitrario a dispositivos industriales pueden consultarse en los siguientes enlaces:

Dados algunos ejemplos de ataques que originan denegaciones de servicio a nivel de red y, teniendo en cuenta la importancia que tiene la disponibilidad para el sector industrial,  a continuación se observará cómo el control de interrupciones de un proceso o la pérdida de algunas comunicaciones de forma no controlada, sumando el tiempo de respuesta, plantean un gran reto. En el caso de las interrupciones críticas, al controlar las paradas, la importancia recae sobre los protocolos de red y la correcta elección de éstos para el diseño de las redes.

En el caso de la pérdida de comunicación no controlada, se podría pensar en el uso de entornos en alta disponibilidad o entornos redundados. La redundancia hace referencia a nodos completos que están replicados o componentes de éstos, así como caminos u otros elementos de la red que están repetidos y que pueden ser utilizados en caso de que haya una caída del sistema, un ciberataque, un mantenimiento de la red principal, etc. Ligado a esto, la alta disponibilidad consiste en la capacidad del sistema para ofrecer un servicio activo durante un porcentaje de tiempo determinado o a la capacidad de recuperación del mismo en caso de producirse un fallo en la red.

 

Diferencias entre Dual LAN, Redundant LAN y PRP

 

Es importante tener en cuenta que la alta disponibilidad no es necesaria para todos los tipos de sistemas, ya que no todos requieren de un acceso continuo, aunque sí es cierto que en la gran mayoría de los entornos industriales la alta disponibilidad es necesaria. Del mismo modo, una organización que posea redes redundadas en su entorno industrial permite, en el caso de producirse una parada por culpa de un ciberataque, mantenimiento o cualquier otra situación, además de no parar la producción, desviando todo el trabajo a la parte redundada.

El uso de cortafuegos en alta disponibilidad o la redundancia de anillos de comunicación formados por multitud de dispositivos PLC, son medidas que permiten dar un servicio con un alto nivel de disponibilidad, pero, en el caso de un ataque DoS o DDoS, ¿Cómo podríamos actuar?

Defensa y mitigación de ataques DoS y DDoS

Una de las medidas más extendidas en los entornos industriales para evitar este tipo de ataques y otros diferentes, es la aplicación de la estrategia “Defensa en Profundidad”. Esta estrategia se basa en la aplicación de una defensa por capas que aúna “medidas” en diferentes ámbitos para mejorar la seguridad global.

 

Defensa en profundidad

 

Además de esta estrategia, muchos dispositivos de red como routers o switches ya incorporan medidas de seguridad de forma nativa contra ataques de denegación de servicio a nivel de red. Es recomendable habilitar y configurar estas medidas correctamente para aumentar la ciberseguridad de nuestro entorno. Gracias a estas buenas prácticas, la efectividad de los ataques anteriormente comentados con sus diferentes variantes que originan denegaciones de servicio se reduce mucho. Esto no quiere decir que no se puedan realizar otro tipo de acciones que originen denegaciones de servicio, pero gracias a la incorporación de estas disposiciones de seguridad se aumenta la capacidad de mitigación con respecto a éstos y a otros posibles ataques dentro de la red industrial.

Otra opción que permite reducir los ataques que originan denegaciones de servicio se base en el uso de guías de configuración segura (hardening) de dispositivos. El uso de estas guías de configuración y la propia distribución de las funcionalidades que poseen los dispositivos industriales, permite evitar diferentes tipos de ataques entre los que se encuentran las denegaciones de servicio. Además de configuraciones seguras, un uso de listas blancas para evitar que algunos procesos generen un gran consumo de recursos en los dispositivos, puede ayudar a evitar posibles problemas con el rendimiento.

Un ejemplo de configuración segura siguiendo unas buenas prácticas a nivel industrial podría ser el uso del protocolo NTP en su versión 4, si el dispositivo soporta esta versión del protocolo y la propia monitorización del servicio (puerto 123/UDP). Existen diferentes técnicas de cómo utilizar servidores NTP para originar denegaciones de servicio y dado que en el mundo industrial el servidor NTP es un activo importante, debería ser un parámetro a monitorizar para saber que siempre funciona de forma correcta.

Otras medidas de seguridad que pueden ser aplicadas para solventar ataques que originan denegaciones de servicio, en este caso más orientado al mundo TI, pero que tienen cabida muchas de ellas en el mundo TO, pueden consultarse en el artículo “Medidas de protección frente ataques de denegación de servicio (DoS)”.

En lo que respecta a las comunicaciones inalámbricas en entornos industriales, ha de tenerse en cuenta que dispositivos como inhibidores de frecuencia o ataques sobre redes wifi, Bluetooth, etc., podrían crear problemas. En este caso, es importante tener en cuenta los posibles accesos por parte de los empleados de la empresa a redes inalámbricas, los dispositivos que se encuentran dentro de ellas y el radio de alcance que puedan tener.

Conclusión

Aunque las denegaciones de servicio se traducen en pérdidas económicas dentro de las empresas industriales, hoy en día existen mecanismos para impedir que se ejecuten ataques que originen estos cortes de servicio. Por ello, es importante tener en cuenta:

  • Una buena segmentación de las redes basada en una estrategia de defensa en profundidad.
  • Revisión de las configuraciones en dispositivos, en concreto los industriales, activando y configurando correctamente todas sus capacidades de seguridad.
  • Utilizar las versiones de protocolos que incorporan seguridad en sus comunicaciones en la medida de los posible (DNP3 secure, SNMPv3, OPC UA, etc.).
  • Lista blanca de procesos que se ejecutan en los sistemas industriales.
  • Control del radio de acción que tienen las redes inalámbricas.
  • Aplicar los parches de seguridad y actualizaciones publicadas por los fabricantes.