redseguridad 076

especial red seguridad xxxxx 2017 41 A rtículo ciberseguridad industrial monográfico red seguridad primer trimestre los diferentes servidores, tanto en el conjunto puramente ICS como en la infraestructura TI corporativa. Si las dos infraestructuras están conecta- das entre sí, una vulnerabilidad en el SO de un servidor corporativo puede crear una posible puerta de entrada a través de la cual un atacante podría infiltrarse en el ICS. También se utilizan determinadas vulnerabilidades en los SO, aplica- ciones y servicios para acometer ata- ques dirigidos en los que un adversa- rio aprovecha estas debilidades para establecer puertas de entrada ocultas o puntos que sirven de cabeza de puente para infiltrarse en un sistema. Como estamos viendo, los ICS son vulnerables, fundamentalmente, a dos tipos de amenazas informáti- cas. Una de ellas es la amenaza a las TI que se utilizan para fines comer- ciales y administrativos. Estos son los ataques que se oyen a menudo y en los que se comprometen equipos de oficina con el resultado de robo o destrucción de datos. Mientras este tipo de amenazas está relativamente bien entendido y existen soluciones avanzadas de protección en forma de aplicaciones antivirus o detección y prevención de intrusiones (IDS/IPS), el segundo tipo de amenazas, que tiene como objetivo a la tecnología operativa (OT), carece todavía de soluciones integrales de seguridad. Actualizaciones La regla por defecto para mitigar y prevenir vulnerabilidades de aplica- ciones en el mundo de los sistemas TI corporativos es la de actualizar las aplicaciones y servicios con su última versión disponible. No obs- tante, la actualización a tiempo de los componentes de software afec- tados no supone una garantía para la ausencia de vulnerabilidades, sino que solo asegura que las vulnerabili- dades conocidas están siendo trata- das. Esta es la razón por la que en los entornos TI corporativos se emplean diferentes tipos de protección como cortafuegos, sistemas de gestión de información y eventos de seguridad (SIEM) o sistemas de detección de intrusiones (IDS) para poder prevenir, o por lo menos detectar de forma temprana, cualquier ataque. Sin embargo, la actualización de los componentes de software en los ICS conlleva unas dificultades añadidas. Debido al prolongado ciclo de vida de muchos de sus componentes, que pueden estar en operación durante decenas de años y sus requisitos de rendimiento en tiempo real, en gran cantidad de casos no es posible actualizarlos con las últimas tecnolo- gías protectoras. Esta situación es la que limita particularmente el empleo de técnicas de criptografía para ase- gurar la integridad y confidencialidad de datos en los ICS, ya que el tiempo añadido necesario para encriptar y desencriptar la información supera los límites de ejecución de muchas operaciones. Otro aspecto que dificulta la apli- cación de políticas de actualización de componentes parecidas a las empleadas en entornos TI es la alta interdependencia de los componen- tes y elementos en un ICS. Por ello, se recomienda efectuar extensas pruebas para garantizar el correcto funcionamiento del sistema antes de desplegar actualizaciones en un sis- tema en producción. Plan de respuesta Existen múltiples vías de infección, pero el factor humano también debe considerarse, ya que en muchos ata- ques el primer paso suele ser obtener información de contacto del sistema y de sus usuarios. Además de conocer las potenciales vulnerabilidades de un ICS es impor- tante intentar minimizar las superficies de ataque, pero también es necesa- rio establecer un plan de respuesta en caso de que se produzcan inci- dentes de ciberseguridad, definiendo componentes redundantes, las reglas para aislar componentes en caso de fallo, las estrategias de degradación elegante para pasar a operaciones reducidas de emergencia o incluso operación manual. Y cómo restaurar el sistema en caso de fallo, definien- do copias de seguridad, tiempos medios de recuperación y los roles y responsabilidades del equipo de respuesta a emergencias. Conclusión Como conclusión, podemos decir que debemos considerar la ciberse- guridad de una forma holística tenien- do en cuenta tanto la tecnología como las personas y los procesos. Y debemos hablar de defensa en pro- fundidad, contemplando diferentes dimensiones como el perímetro físico y virtual, la arquitectura de red, los servidores y sus sistemas operativos, las aplicaciones, los protocolos de comunicación y los dispositivos de campo. El objetivo es disponer de un ICS lo más resiliente posible y que pueda recuperarse rápido y de la mejor forma posible ante un posible ataque. La regla por defecto para mitigar y prevenir vulnerabilidades en los sistemas TI es actualizar las aplicaciones y servicios con su última versión.