Zero Day Vulnerabilities in Industrial Control Systems Highlight the Challenges of Securing Critical Infrastructure
La divulgación de vulnerabilidades de día cero en viarios sistemas de control industrial de Schneider Electric destaca la necesidad de modernizar las prácticas de ciberseguridad en los entornos de tecnología operativa.
Una divulgación de día cero de múltiples vulnerabilidades en los sistemas de control industrial de Schneider Electric (ICS) ejemplifica las dificultades del mundo real que enfrenta el ecosistema de infraestructura crítica.
Las vulnerabilidades — que afectan los productos de control de la compañía EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack REmoteConnect x70 y Modicon M580 y M340 — plantean varios riesgos, incluida la posibilidad de completar la evasión de autenticación, la ejecución de código arbitrario y la pérdida de confidencialidad e integridad.
La investigación de Día Cero de Tenable fue uno de varios proveedores que detectaron las vulnerabilidades de Schneider a través de prácticas de divulgación estándar, puede ver nuestro informe técnico aquí. Aunque somos firmes partidarios de la divulgación total, en este caso hemos optado por no dar a conocer públicamente ciertos detalles técnicos de nuestros documentos. Los sistemas de tecnología operativa (OT) aún no han hecho avanzar su postura de seguridad para estar a la par con sus contrapartes de TI, y como tal, esta es una situación poco común donde no se debe dar una divulgación total. Bajo nuestro punto de vista, el riesgo de éxito de la explotación en la realidad era demasiado grande y la infraestructura crítica en riesgo era demasiado confidencial para que pudiéramos proceder a la divulgación total siendo que había parches que el proveedor liberaría dentro de meses.
Los factores que rodean la divulgación de Schneider, ponen de relieve los numerosos retos implicados en la protección de infraestructura crítica. Los sistemas de control industrial y otras tecnologías utilizadas en el entorno de tecnología operativa generan dificultades enormes para desarrollar e implementar parches. ¿Por qué? Porque los sistemas tienen que ser desactivados y probados exhaustivamente cada vez que se realiza una actualización. Sin embargo, los actuales modelos operativos para la mayoría de entornos de OT, tales como centrales eléctricas, gasoductos y plantas de fabricación, dejan poco margen para tiempo de inactividad. Está claro que una discusión más amplia de la industria es necesaria para determinar si los parámetros de proveedor utilizados para las divulgaciones de día cero en los entornos de TI son apropiadas para las infraestructuras críticas.
En un entorno típico de TI, los flujos de trabajo y procesos para la colocación de parches en los sistemas de negocios digitales están bien establecidos y han sido comprobados con el tiempo. Por otro lado, en la mayoría de los entornos de OT no hay un flujo de trabajo claro para actualizar el software, que es el punto débil de nuestra infraestructura crítica. Hay una lucha continua entre la producción y la seguridad, cada una de las cuales tiene diferentes métricas de éxito acerca del tiempo de actividad y el rendimiento del sistema.
En un entorno de OT, es común que los sistemas dependientes de software sean puestos en servicio y nunca se toquen nuevamente durante los siguientes 10 años. Las actualizaciones periódicas de software para tecnologías de OT, simplemente no están incorporadas en los procesos estándar en la mayoría de las organizaciones de infraestructura crítica.
Estamos convencidos de que corresponde a los interesados — incluidos los organismos gubernamentales, los organismos encargados de hacer cumplir la ley, los investigadores, los proveedores y los propietarios y operadores de instalaciones de infraestructura crítica — priorizar la colaboración global con un ojo hacia el desarrollo de las mejores prácticas para proteger los sistemas de OT que puedan aplicarse independientemente de la geografía.
Creemos que estos debates deben reconocer que los proveedores y operadores de OT tienen mucho que aprender de sus contrapartes de TI y necesitan ser más hábiles a la hora de desarrollar y gestionar el software que sustenta sistemas cruciales. No nos equivoquemos, la responsabilidad no corresponde exclusivamente a los propietarios y gestores de entornos de infraestructura crítica. Los proveedores deben ser responsables de rastrear errores continuamente y realizar el aseguramiento de calidad en su propio software, dedicando recursos a gestionar de manera eficazmente la divulgación de vulnerabilidades y disminuir los tiempos de actualización de versiones.
Los desafíos son tanto de personas y procesos como de tecnologías. Los operadores de entornos de infraestructura crítica necesitan replantear su gobierno de prácticas de ciberseguridad, riesgo y cumplimiento. La gestión y la corrección de las vulnerabilidades de software en sistemas de OT debe ser una parte rutinaria del mantenimiento de plantas, como lo es hoy el mantenimiento mecánico de hardware.
En los EE. UU., hemos observado una medida positiva en la Orden ejecutiva para Mejorar la ciberseguridad de la nación del 12 de mayo, emitida por la administración Biden, que dicta que la orientación de seguridad de la cadena de suministro de software incorpore programas de divulgación de vulnerabilidades, y en la hoja informativa del 18 de mayo que fue emitida por la Casa Blanca, que menciona que “la ciberseguridad es una parte fundamental de la resiliencia y de la construcción de la infraestructura del futuro”.
Al mismo tiempo, reconocemos la necesidad de medidas más inmediatas que los propietarios y gestores de infraestructuras críticas de entornos puedan implementar hoy. A continuación, ofrecemos tres acciones de alto nivel, así como dos pasos tácticos, que las organizaciones pueden emprender para protegerse a sí mismas mientras pasa la estela de la divulgación de Schneider.
Tres acciones para proteger entornos de infraestructura crítica
No hay un remedio mágico para proteger los entornos de OT. Al igual que con la seguridad de TI, se trata de sentar los fundamentos. Y estamos muy conscientes de que la simplicidad de la orientación, oculta la complejidad de la implementación de las recomendaciones. No obstante, creemos que estos elementos de acción deberían repetirse, ya que son fundamentales para cualquier estrategia de ciberseguridad sólida, especialmente cuando los sistemas no pueden ser actualizados:
- Implemente una postura de defensa a profundidad. Los entornos de infraestructura crítica no pueden depender de la seguridad de cualquier dispositivo dado. Las organizaciones necesitan implementar una arquitectura de seguridad robusta con controles compensatorios para proteger los dispositivos que se encuentran en mayor riesgo.
- Desarrolle de políticas sólidas de gobierno y recuperación ante desastres. Estas son esenciales para tratar con el ransomware y otras formas de ciberataques, y deben tener en cuenta no sólo la tecnología, sino también a las personas y procesos en cualquier organización. Pruebe sus planes de copia de seguridad antes de que los necesite. Debido a que la escasez de conocimientos cibernéticos es particularmente crítica en los entornos de OT, el logro de este nivel de gobierno sigue siendo un desafío para muchas organizaciones.
- Escoja las tecnologías sabiamente. Sin las personas y las políticas adecuadas implementadas, es imposible obtener el máximo valor de cualquier tecnología que compre. Al mismo tiempo, hay ciertas capacidades que debe buscar en sus opciones tecnológicas. Por ejemplo, el entorno de OT requiere el mismo nivel de análisis continuos en tiempo real que en el mundo de la TI. Los operadores de OT necesitan implementar tecnologías que les brinden el tipo de capacidades de detección y recuperación necesarias para eludir a los maleantes que emplean amenazas sofisticadas.
Dos acciones para los usuarios de los sistemas Schneider afectados
Si su organización utiliza los sistemas Schneider afectados por esta divulgación de día cero, aquí hay dos acciones que puede emprender de inmediato:
- Revise y siga las recomendaciones del proveedor detalladas en la divulgación Schneider aquí.
- Los clientes de Tenable pueden saber más aquí acerca de cómo detectar los sistemas afectados en su entorno.
Conclusión
Es imperativo para investigadores, gobiernos, organizaciones del sector privado y proveedores de tecnología emprender inmediatamente acciones tácticas, así como acciones estratégicas a largo plazo para abordar los desafíos de ciberseguridad considerables a los que se enfrenta nuestra infraestructura crítica. Asimismo, es fundamental desmantelar los silos de infosec, TI y OT que existen en la mayoría de las organizaciones y replantear la forma en que estos equipos son incentivados para asegurar que se priorice la ciberseguridad.
Más información
- Lea la documentación de la vulnerabilidad Schneider del equipo de investigación de día cero de Tenable.
- Vea la advertencia del proveedor aquí.
- Asista al seminario web Fortaleciendo la seguridad en la intersección de Active Directory y OT.
Artículos relacionados
Securing IT-OT Environments: Why IT Security Professionals Struggle
December 6, 2021When providing cybersecurity in converged IT and operational technology environments, it’s critical for infosec pros to understand the differences between the two and utilize a toolset that delivers a comprehensive picture of both in a single view.
CISA Directive 22-01: How Tenable Can Help You Find and Fix Known Exploited Vulnerabilities
November 10, 2021While U.S. federal agencies are required to remediate the vulnerabilities outlined in the U.S. Cybersecurity and Infrastructure Security Agency's Binding Operational Directive 22-01, any organization would do well to consider prioritizing these flaws as part of their risk-based vulnerability management program.
How to Choose an OT Cybersecurity Solution Vendor
November 4, 2021Hint: choose a leader in ICS security.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
- Energy Industry
- Executive Management
- Federal
- Government
- OT Security
- SCADA
- Threat Management
- Vulnerability Management
- Vulnerability Scanning