Una forma práctica de reducir el riesgo en el taller

Hay mucho ruido sobre la seguridad cibernética para la planta de fabricación, pero ¿por dónde empezar? Simplifiquemos las cosas y analicemos por qué los atacantes hacen lo que hacen y qué puede hacer usted para detenerlos. Se trata de reducir el riesgo y maximizar sus esfuerzos para obtener los mejores resultados. Siga leyendo para obtener más información sobre el panorama de amenazas y algunas tácticas para gestionar las amenazas .

Cualquiera que sea el nombre que le queramos poner, la tendencia ampliamente conocida como digitalización o convergencia en TI/OT en la fabricación tiene sus puntos buenos y malos. El aumento de los datos sobre calidad, eficiencia y sostenibilidad permite tomar decisiones más rápidas e informadas. El aumento de las conexiones y los nuevos sistemas significan que los sistemas tradicionalmente aislados están conectados. En la prisa por conectarnos, expandimos la superficie de ataque, lo que resulta en controles de seguridad y protección deficientes. En esta publicación de blog, analizamos la verdadera naturaleza de las vulnerabilidades y sus soluciones en el taller.

Echemos un vistazo profundo y significativo a las amenazas que enfrentamos hoy:

1. Chicos malos tratando de ganar dinero contigo
2. Tipos malos que intentan ganar dinero con otra persona al dañarte

Sí, eso es un poco. Podemos rebanarlo y trocearlo de muchas maneras, pero las cosas que debemos hacer para prevenirlo y/o solucionarlo son las mismas. Todo se reduce a un conjunto de defensas impactantes que resumimos a continuación.

Así que echemos un vistazo profundo y significativo a las defensas que puede implementar:

1. Puedes corregir vulnerabilidades
2. Puedes perseguir amenazas

Sí, eso es un poco, pero vamos a analizar cómo corregir las vulnerabilidades porque ahí es donde se gasta mejor el dinero. Perseguir intrusiones y amenazas suena glamoroso, muy James Bond con términos geniales que nos apropiamos de las fuerzas armadas. La verdad del asunto es que es bastante caro y requiere empleados a tiempo completo (ETC) dedicados a la caza. Lo que también podemos hacer es buscar los efectos de los ataques y responder rápidamente. Esta es la resiliencia, que es mucho más importante en ICS y mucho más sencilla en ICS. 

Entonces, la gestión de vulnerabilidades es, entonces. Es un tema bastante cargado en el mundo de OT, pero tengan paciencia conmigo. Reparar vulnerabilidades no es solo aplicar parches. De lo contrario, no perdería mi tiempo ni el tuyo.

Entonces, ¿qué es una vulnerabilidad?

El Instituto Nacional de Estándares y Tecnología (NIST ) lo define como: “Debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser explotada o desencadenada por una fuente de amenaza”.

Apuesto a que la mayoría de ustedes pensó en parchear el sistema de Windows, tal vez puntajes CVE o CVSS de un tipo u otro. Modificaría la definición del NIST de «sistema de información» a «sistema». Sería más inclusivo de OT, y realmente de cualquier cosa que introduzca un riesgo cibernético. ¿Eso no te hace pensar en una vulnerabilidad de manera diferente? Con ese contexto, aquí hay algunas vulnerabilidades comunes (también podría llamarlas debilidades si eso ayuda):

1. Fallas en la codificación del software (sí, culpa al otro)
2. Hardware y software diseñados sin tener en cuenta la seguridad, como los equipos heredados, que son muy comunes en los entornos de fabricación.
3. Decisiones de configuración o implementación que ignoran la seguridad 
4. Mal proceso, malos estándares.
5. Conocimiento inadecuado de las capacidades del sistema.

Mi vulnerabilidad favorita cae bajo la tercera viñeta anterior; computadoras de planta que utilizan un nombre de usuario y una contraseña compartidos. Otro ejemplo de una debilidad de configuración son los muchos dispositivos que no tienen ninguna autenticación cuando hay un método disponible.

Tenga en cuenta que solo la primera de las categorías puede corregirse con un «parche». Voy a extenderme aquí y agrupar todo lo que requiera un «parche» de actualización. Descargo de responsabilidad, dependiendo de la naturaleza del sistema que requiera un parche, el proceso puede interrumpir el proceso de producción. Dicho esto, las revisiones de Windows, las actualizaciones, cualquier cosa en Patch Tuesday, actualizaciones de firmware en un controlador, nuevas versiones de software, etc. están en el alcance. Es cierto que es una red amplia, pero queremos tener una visión holística. Tememos y odiamos los parches, le gritamos a TI por sugerirlos, comenzamos peleas en bares, guardamos rencor y discutimos interminablemente en conferencias. estoy divagando Vamos a cubrir los pasos en el proceso de gestión de vulnerabilidades:

• Identificación de vulnerabilidades: las vulnerabilidades en un sistema se detectan mediante el escaneo de vulnerabilidades, las pruebas de penetración o la revisión del código (u otras cosas).
• Evaluación de vulnerabilidad: medir la probabilidad de que un atacante explote una vulnerabilidad y determinar el impacto en caso de que se explote la vulnerabilidad. 

1. Un programa diseñado formalmente llamaría a esto cuantificación del riesgo.

Resolución de vulnerabilidades: Mitigación o remediación. Pero, ¿cuál es la diferencia?

1. Remediación: corrija o elimine la vulnerabilidad; por lo general, un parche. A menudo, esto no es posible en todas las partes de un entorno ICS. En los controladores, rara vez aumenta significativamente su postura de seguridad, lo que da como resultado el siguiente paso.
2. Mitigación: reducir, disminuir o disminuir la probabilidad de un ataque exitoso o disminuir el impacto de un ataque exitoso. Estos a menudo se denominan controles de compensación.

Cómo Tenable OT Security ayuda a los profesionales de ciberseguridad en la industria manufacturera

Veamos el proceso de gestión de vulnerabilidades descrito anteriormente, desde el punto de vista de un profesional de la seguridad que utiliza Tenable OT Security.

Ejemplo 1:

Paso 1: aquí, estamos monitoreando y escaneando continuamente un entorno de fabricación con Tenable OT Security. Puede ver que pudimos identificar CVE-2020-6998 presente en un controlador Rockwell. No solo identificamos la vulnerabilidad, sino que también obtenemos opciones de remediación. Podemos seguir los enlaces en la pantalla para obtener instrucciones y recursos. En la siguiente imagen podemos ver la opción de actualizar el firmware a la versión 33.011 o posterior. 

Opción para actualizar el firmware

Paso 2: según el proceso que ejecute el controlador, es posible que no podamos hacer nada, o incluso mejorar nada. ¿Por qué dije que reparar el dispositivo puede no mejorar nada? Bueno, incluso cuando un proveedor como Siemens o Rockwell proporciona un método de autenticación en un controlador, rara vez se usa. Entonces, todo lo que cualquiera necesita es la herramienta de codificación del fabricante, como Studio 5000 o TIA Portal, para acceder al dispositivo. Aún mejor, un tipo malo podría obtener acceso a la estación de trabajo de Windows que normalmente se usa para programar ese controlador. Mi punto es que las vulnerabilidades para los controladores pueden ser una pérdida de tiempo si no hay autenticación. 

Tenable OT Security aprovecha las clasificaciones de prioridad de vulnerabilidades (VPR), lo que ayuda a los usuarios a comprender la capacidad de explotación de una vulnerabilidad. La siguiente imagen muestra un resumen de nuestra investigación para esta vulnerabilidad específica, y dice que no hay vulnerabilidades conocidas en la naturaleza. La puntuación VPR es baja, lo que indica un riesgo bajo si esta vulnerabilidad está presente en su entorno.

Paso 3: Según la evaluación anterior, la mejor opción podría ser la mitigación. Para este y muchos otros dispositivos Rockwell, eso significa bloquear el tráfico en el puerto 44818 desde «fuera de la zona de fabricación».

Tenable OT Security puede crearle un mapa de red visual que le muestre todas las conexiones en la red ICS y sus direcciones IP. En la figura a continuación, tenemos una vista clara de los dispositivos que necesitan conectividad y los que no, lo que hace que la parte más desafiante de escribir reglas de firewall sea significativamente más fácil.

Con esta información, podemos dar un paso más que bloquear el tráfico en el puerto 44818 mediante la implementación de firewalls u otros controles de red para segmentar la red ICS. Podemos limitar el tráfico para que solo puedan hacerlo aquellos dispositivos que necesitan comunicarse con el controlador. 

La conclusión aquí es que hay muchas vulnerabilidades más importantes que esta y que muchas están cubiertas por la aplicación de reglas de firewall. Por lo tanto, no hay razón para pasar por la ardua tarea de decidir si puede actualizar el firmware en este controlador, lo que elimina la necesidad de programar el tiempo de inactividad para parchear los sistemas. Menos tiempo de inactividad significa ahorrar dinero a la empresa.

Ejemplo 2:

Pasamos a un conjunto menos polémico de vulnerabilidades y las mitigaciones que cubren una amplia gama de ellas. Los veo muchas veces cuando trabajo con clientes de fabricación.

Paso 1: echemos un vistazo a CVE-2020-16233, una vulnerabilidad que se ejecuta en una máquina con Windows. Nessus está integrado en Tenable OT Security, lo que facilita el trabajo de identificar sistemas de TI vulnerables. Esta estación de trabajo de Windows ejecuta el programa de administración de licencias de software CodeMeter. 

Paso 2: muchos entornos de fabricación tienen un inventario considerable de dispositivos de TI en la red OT. La forma en que tratamos las vulnerabilidades de los controladores y sus mitigaciones es independiente y distinta de la forma en que tratamos las vulnerabilidades de las estaciones de trabajo y sus soluciones. 

Paso 3: en la imagen a continuación, puede ver la opción de remediación y recursos adicionales. Debido a que esta vulnerabilidad se encuentra en una estación de trabajo de Windows, no es probable que una actualización de software cause una interrupción, aunque recomendamos confirmar esta suposición antes de iniciar el proceso de aplicación de parches. Es seguro decir que la aplicación de parches al sistema de TI suele ser más fácil que la aplicación de parches al sistema OT.

Conclusiones clave para los profesionales de ciberseguridad de la industria manufacturera

   1. Las amenazas que enfrenta la industria manufacturera se basan en dos motivaciones:

• Chicos malos tratando de ganar dinero contigo
• Tipos malos que intentan ganar dinero con otra persona al dañarte

   Lo que hacemos para reducir la probabilidad de un ataque exitoso es lo mismo.

   2. La estrategia de defensa es simple y consta de dos tácticas principales:

• Puedes corregir vulnerabilidades
• Puedes perseguir amenazas

   3. Las dos tácticas anteriores son importantes. Sin embargo, recomiendo un enfoque proactivo mediante la reparación de vulnerabilidades porque ahí es donde se gasta mejor el dinero. La resiliencia es mucho más importante en ICS. Los pasos en el proceso de gestión de vulnerabilidades son:

• Identificación de vulnerabilidades
• Evaluación de vulnerabilidad
• Resolución de vulnerabilidades
• Remediación
• Mitigación
  
  Fuente: Tenable