Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Las vulnerabilidades de día cero en los sistemas de control industrial destacan los desafíos de proteger infraestructura crítica

Las vulnerabilidades de día cero en los sistemas de control industrial destacan los desafíos de proteger infraestructura crítica

La divulgación de vulnerabilidades de día cero en viarios sistemas de control industrial de Schneider Electric destaca la necesidad de modernizar las prácticas de ciberseguridad en los entornos de tecnología operativa. 

Una divulgación de día cero de múltiples vulnerabilidades en los sistemas de control industrial de Schneider Electric (ICS) ejemplifica las dificultades del mundo real que enfrenta el ecosistema de infraestructura crítica. 

Las vulnerabilidades — que afectan los productos de control de la compañía EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack REmoteConnect x70 y Modicon M580 y M340 — plantean varios riesgos, incluida la posibilidad de completar la evasión de autenticación, la ejecución de código arbitrario y la pérdida de confidencialidad e integridad. 

La investigación de Día Cero de Tenable fue uno de varios proveedores que detectaron las vulnerabilidades de Schneider a través de prácticas de divulgación estándar, puede ver nuestro informe técnico aquí. Aunque somos firmes partidarios de la divulgación total, en este caso hemos optado por no dar a conocer públicamente ciertos detalles técnicos de nuestros documentos. Los sistemas de tecnología operativa (TO) aún no han hecho avanzar su postura de seguridad para estar a la par con sus contrapartes de TI, y como tal, esta es una situación poco común donde no se debe dar una divulgación total. Bajo nuestro punto de vista, el riesgo de éxito de la explotación en la realidad era demasiado grande y la infraestructura crítica en riesgo era demasiado confidencial para que pudiéramos proceder a la divulgación total siendo que había parches que el proveedor liberaría dentro de meses.

Los factores que rodean la divulgación de Schneider, ponen de relieve los numerosos retos implicados en la protección de infraestructura crítica. Los sistemas de control industrial y otras tecnologías utilizadas en el entorno de tecnología operativa generan dificultades enormes para desarrollar e implementar parches. ¿Por qué? Porque los sistemas tienen que ser desactivados y probados exhaustivamente cada vez que se realiza una actualización. Sin embargo, los actuales modelos operativos para la mayoría de entornos de TO, tales como centrales eléctricas, gasoductos y plantas de fabricación, dejan poco margen para tiempo de inactividad. Está claro que una discusión más amplia de la industria es necesaria para determinar si los parámetros de proveedor utilizados para las divulgaciones de día cero en los entornos de TI son apropiadas para las infraestructuras críticas.

En un entorno típico de TI, los flujos de trabajo y procesos para la colocación de parches en los sistemas de negocios digitales están bien establecidos y han sido comprobados con el tiempo. Por otro lado, en la mayoría de los entornos de TO no hay un flujo de trabajo claro para actualizar el software, que es el punto débil de nuestra infraestructura crítica. Hay una lucha continua entre la producción y la seguridad, cada una de las cuales tiene diferentes métricas de éxito acerca del tiempo de actividad y el rendimiento del sistema. 

En un entorno de OT, es común que los sistemas dependientes de software sean puestos en servicio y nunca se toquen nuevamente durante los siguientes 10 años. Las actualizaciones periódicas de software para tecnologías de TO, simplemente no están incorporadas en los procesos estándar en la mayoría de las organizaciones de infraestructura crítica. 

Estamos convencidos de que corresponde a los interesados — incluidos los organismos gubernamentales, los organismos encargados de hacer cumplir la ley, los investigadores, los proveedores y los propietarios y operadores de instalaciones de infraestructura crítica — priorizar la colaboración global con un ojo hacia el desarrollo de las mejores prácticas para proteger los sistemas de TO que puedan aplicarse independientemente de la geografía. 

Creemos que estos debates deben reconocer que los proveedores y operadores de TO tienen mucho que aprender de sus contrapartes de TI y necesitan ser más hábiles a la hora de desarrollar y gestionar el software que sustenta sistemas cruciales. No nos equivoquemos, la responsabilidad no corresponde exclusivamente a los propietarios y gestores de entornos de infraestructura crítica. Los proveedores deben ser responsables de rastrear errores continuamente y realizar el aseguramiento de calidad en su propio software, dedicando recursos a gestionar de manera eficazmente la divulgación de vulnerabilidades y disminuir los tiempos de actualización de versiones. 

Los desafíos son tanto de personas y procesos como de tecnologías. Los operadores de entornos de infraestructura crítica necesitan replantear su gobierno de prácticas de ciberseguridad, riesgo y cumplimiento. La gestión y la corrección de las vulnerabilidades de software en sistemas de TO debe ser una parte rutinaria del mantenimiento de plantas, como lo es hoy el mantenimiento mecánico de hardware.

En los EE. UU., hemos observado una medida positiva en la Orden ejecutiva para Mejorar la ciberseguridad de la nación del 12 de mayo, emitida por la administración Biden, que dicta que la orientación de seguridad de la cadena de suministro de software incorpore programas de divulgación de vulnerabilidades, y en la hoja informativa del 18 de mayo que fue emitida por la Casa Blanca, que menciona que “la ciberseguridad es una parte fundamental de la resiliencia y de la construcción de la infraestructura del futuro”.

Al mismo tiempo, reconocemos la necesidad de medidas más inmediatas que los propietarios y gestores de infraestructuras críticas de entornos puedan implementar hoy. A continuación, ofrecemos tres acciones de alto nivel, así como dos pasos tácticos, que las organizaciones pueden emprender para protegerse a sí mismas mientras pasa la estela de la divulgación de Schneider.

Tres acciones para proteger entornos de infraestructura crítica

No hay un remedio mágico para proteger los entornos de TO. Al igual que con la seguridad de TI, se trata de sentar los fundamentos. Y estamos muy conscientes de que la simplicidad de la orientación, oculta la complejidad de la implementación de las recomendaciones. No obstante, creemos que estos elementos de acción deberían repetirse, ya que son fundamentales para cualquier estrategia de ciberseguridad sólida, especialmente cuando los sistemas no pueden ser actualizados:

  1. Implemente una postura de defensa a profundidad. Los entornos de infraestructura crítica no pueden depender de la seguridad de cualquier dispositivo dado. Las organizaciones necesitan implementar una arquitectura de seguridad robusta con controles compensatorios para proteger los dispositivos que se encuentran en mayor riesgo.

  2. Desarrolle de políticas sólidas de gobierno y recuperación ante desastres. Estas son esenciales para tratar con el ransomware y otras formas de ciberataques, y deben tener en cuenta no sólo la tecnología, sino también a las personas y procesos en cualquier organización. Pruebe sus planes de copia de seguridad antes de que los necesite. Debido a que la escasez de conocimientos cibernéticos es particularmente crítica en los entornos de TO, el logro de este nivel de gobierno sigue siendo un desafío para muchas organizaciones.

  3. Escoja las tecnologías sabiamente. Sin las personas y las políticas adecuadas implementadas, es imposible obtener el máximo valor de cualquier tecnología que compre. Al mismo tiempo, hay ciertas capacidades que debe buscar en sus opciones tecnológicas. Por ejemplo, el entorno de TO requiere el mismo nivel de análisis continuos en tiempo real que en el mundo de la TI. Los operadores de TO necesitan implementar tecnologías que les brinden el tipo de capacidades de detección y recuperación necesarias para eludir a los maleantes que emplean amenazas sofisticadas. 


Dos acciones para los usuarios de los sistemas Schneider afectados

Si su organización utiliza los sistemas Schneider afectados por esta divulgación de día cero, aquí hay dos acciones que puede emprender de inmediato:

  1. Revise y siga las recomendaciones del proveedor detalladas en la divulgación Schneider aquí.

  2. Los clientes de Tenable pueden saber más aquí acerca de cómo detectar los sistemas afectados en su entorno.


Conclusión

Es imperativo para investigadores, gobiernos, organizaciones del sector privado y proveedores de tecnología emprender inmediatamente acciones tácticas, así como acciones estratégicas a largo plazo para abordar los desafíos de ciberseguridad considerables a los que se enfrenta nuestra infraestructura crítica. Asimismo, es fundamental desmantelar los silos de infosec, TI y TO que existen en la mayoría de las organizaciones y replantear la forma en que estos equipos son incentivados para asegurar que se priorice la ciberseguridad. 

Más información

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.