Llegamos a ustedes gracias a:



Reportajes y análisis

Inseguro por diseño

Lo que necesita saber sobre la defensa de la infraestructura crítica

[13/04/2018] Parchar las vulnerabilidades de seguridad en los sistemas de control industrial (ICS) es inútil en la mayoría de los casos y activamente dañino en otros, señaló el experto en seguridad de ICS y ex analista de la NSA, Robert M. Lee de Dragos, al Senado de EE. UU., en un testimonio escrito en marzo pasado. El mantra de "parche, parche, parche" se ha convertido en un principio ciego de la fe en el ámbito de la seguridad de TI, pero tiene poca aplicación a los sistemas de control industrial, donde los equipos heredados a menudo son inseguros por diseño.

La audiencia del comité del Senado destacó el abismo entre la seguridad de la tecnología de la información (TI) y la tecnología operativa (TO), y cómo algunas de las lecciones aprendidas en el espacio de seguridad de TI se transfieren a la seguridad industrial. La "tecnología operativa" es un término nuevo que ha surgido para distinguir las redes y los sistemas industriales de la tecnología de la información tradicional centrada en las empresas.

"Hay dos líneas de pensamiento diferentes", señala Nick Santora, CEO de Curricula y especialista en ciberseguridad de CIP en NERC, el regulador de la red de energía de Norteamérica. "En seguridad de TI, es algo crítico para el negocio. En el lado de la TO, se trata de cosas críticas para la misión que no se pueden apagar. No se pueden interrumpir por un capricho, 'Oh, se cayó un servidor'".

Defender la infraestructura clave de la TO, como la red de energía, requiere un enfoque diferente, le indicó Lee al Senado. "Nuestra misión es diferente, porque asume un aspecto físico y, por lo tanto, centrarse en la prevención del malware o el parche no se dirige a un adversario humano", indicó Lee. "El malware no es la amenaza. El humano del otro lado del teclado es la amenaza".

Todo lo que creía saber era incorrecto

Las lecciones de seguridad de TI obtenidas con esfuerzo no se aplican en el espacio de la TO, y al tratar de administrar la seguridad de TO al "estilo de TI de la empresa" es activamente dañino, muestra el informe de Lee. 64% de todos los parches relacionados con ICS emitidos en el 2017 no abordan completamente el riesgo porque los componentes fueron diseñados para ser inseguros, concluyó Dragos en un informe presentado al senado.

Peor aún, los principales proveedores han fallado con sus parches de seguridad en los últimos meses, señala el informe Dragos, lo que resultó en cortes que han costado dinero a las empresas. Aplicar parches a un sistema de control industrial que hace widgets o bombas de agua es más complicado que reiniciar una PC de escritorio de oficina, y las redes de la TO son mucho menos tolerantes al tiempo de inactividad.

Tampoco es suficiente el parche o la ciberhigiene básica para defenderse contra los adversarios del estado-nación que diariamente investigan y poseen infraestructura crítica en los EE. UU. y en todo el mundo. Mantener una estación de trabajo de monitoreo de la TO que bien puede estar ejecutando Windows 10 parchado y actualizado, lo defenderá contra la mayoría del malware oportunista, pero apenas es suficiente para evitar la intrusión mediante amenazas avanzadas persistentes (APTs, por sus siglas en inglés).

"El paisaje de amenazas industriales es en gran parte desconocido", señala Lee. "Los métodos del sector privado, así como del gobierno, para enfocarse y comprender las amenazas en las redes centrales de negocios no se traducen en industria".

Esa no es una receta para la desesperación, enfatiza Lee. La buena ciberhigiene sigue siendo una referencia mínima para prevenir infecciones de malware oportunistas. "Como mínimo, hay seis mil infecciones únicas en ICS cada año", anota, "y cada una de esas infecciones puede causar problemas operativos y, en casos excepcionales, problemas relacionados con la seguridad".

Asegurar su red de TI y segmentarla de su red de TO es una práctica recomendada mínima. Pero, ¿cómo se puede asegurar una red de OT que fue diseñada para ser insegura desde el principio?

"Digamos que está ejecutando un Windows 10 HMI completamente parcheado (interfaz hombre-máquina, por sus siglas en inglés, es decir, un terminal de control). Todos los puertos están apagados. Ha seguido las pautas correctas para garantizar que la aplicación de Windows sea segura. El problema, según Thomas VanNorman, director de ingeniería de aplicaciones en Veracity Industrial Networks, "es que los protocolos no lo son". Está hablando de ModBus a un PLC (controlador lógico programable, por sus siglas en inglés, un actuador industrial). Puedo conectarme a ese PLC con una computadora deshonesta y modificar esos registros porque es un protocolo no autenticado. Si un atacante tiene acceso a ese nivel, se termina el juego de todos modos.

Asegurar los sistemas de control industrial

Si la mayoría de las lecciones de seguridad de TI no se trasladan al espacio industrial, ¿cómo aseguramos nuestra infraestructura crítica? La respuesta se reduce al modelado de amenazas. Atacar la infraestructura de ICS heredada es costoso y consume mucho tiempo, lo que limita a los actores amenazantes a los estados-naciones y al crimen organizado. Sin embargo, no existe un camino claro para beneficiarse de la piratería de los sistemas de control industrial. Un aspirante a Dr. Evil que tratará de retener a una ciudad como rehén por un dólar, probablemente encontraría su escondite reducido a un cráter humeante con bastante rapidez.

Eso deja a las naciones-estados. En muchos casos, las pequeñas empresas privadas se ocupan de los atacantes del estado-nación que incluso podrían estar ejecutando ejercicios de entrenamiento en las redes de la empresa. Muchos operadores industriales más pequeños tienen tan poca visibilidad de sus propias redes que esta es la realidad que enfrentamos hoy, le dijo Lee al Senado.

"Nuestros rivales geopolíticos definitivamente lo intentan", señala Bryson Bort, fundador y CEO de Scythe y presidente de Grimm. "Estas cosas toman tiempo, pacientes campañas a largo plazo para poner en su lugar palancas o botones para que cuando [las naciones-estado] necesiten sacudir el sable, estas cosas estén en su lugar para hacer eso".

"La verdadera amenaza", agrega Bort, "es el adversario más matizado y complicado, y no harán nada a menos que exista una necesidad del estado nación para que lo hagan".

Frente a los adversarios humanos que se entrometen activamente en las redes de control industrial en busca de influencia política, la única solución, señala Lee, es usar humanos para cazar humanos. Ningún monitoreo reactivo automatizado en el espacio de ICS reemplazará nunca a los defensores humanos activos que buscan adversarios humanos activos en sus redes.

Ese proceso, argumenta, comienza con una buena inteligencia de amenazas: ¿Quiénes son los adversarios humanos que infringen activamente las redes de control industrial? ¿Cuáles son sus motivaciones? ¿Quiénes son sus objetivos? ¿Cómo se ve su tradecraft?

Actualmente, cinco grupos principales de actividades se dirigen a redes ICS, incluidos los responsables de los ataques del 2015 y 2016 a la red energética de Ucrania, y Trisis, el primer malware ICS destinado a quitar vidas humanas, según el análisis de Dragos, presentado al Senado como parte del testimonio escrito de Lee.

Una cosa está clara: los ataques a los sistemas de control industrial están empeorando.

Empeoramiento de ataques a ICS

Al principio, estaba Stuxnet. El malware estadounidense-israelí eliminó las centrífugas iraníes, pero el daño colateral puso al sabotaje en el centro de las noticias como los primeros ataques conocidos del estado contra los sistemas de control industrial. Otras naciones han seguido su ejemplo.

El ataque del 2015 a la red eléctrica de Ucrania fue el primer ataque confirmado para degradar la distribución de electricidad. Dejó a más de 225 mil personas sin energía. En el 2016, el mismo grupo de actividades lanzó un ataque aún más sofisticado contra la red eléctrica de Ucrania, que el informe Dragos denominó "el primer marco de malware diseñado y desplegado para atacar las redes eléctricas". Apodado Crash Override, este framework de malware fue solo el segundo malware, después de Stuxnet, específicamente "diseñado e implementado para interrumpir los procesos industriales físicos", concluyó el informe de Dragos. El marco de Crash Override podría modificarse fácilmente para atacar redes eléctricas en los EE. UU. o Europa, señala el informe.

Las cosas empeoraron en el 2017 con el descubrimiento de Trisis. "El malware Trisis fue específicamente dirigido a matar personas", señala Lee. "Ese es un nivel más allá de todo lo que hemos visto antes". El malware Trisis apunta a sistemas de seguridad industrial, diseñados para proteger la vida humana en caso de un accidente industrial.

2017 fue un momento decisivo para la seguridad de ICS, y la conciencia de cuán vulnerables somos frente a tales ataques está empezando a hundirse. Dicho esto, Lee advierte contra las amenazas de trama de películas demasiado publicitadas. Las cosas están mal, añade, pero este es un problema que se puede resolver.

La mala cobertura de los medios está empeorando las cosas

Un pirata informático con una sudadera con capucha envía un correo electrónico de phishing a una planta de energía nuclear. Corte a: m eltdown nuclear!

No va a suceder, dicen los expertos. Sin embargo, podría ser una divertida película de Hollywood. "No es fatalidad", enfatiza Lee. "Nuestra infraestructura es extremadamente resistente y defendible. Queremos moverla de defendible a defendida".

Comunicar la verdadera naturaleza de estas amenazas al público es importante para tener una conversación imparcial sobre las vulnerabilidades industriales. Bort recuerda la cobertura de la brecha del 2013 de la presa Bowman Avenue al norte de la ciudad de Nueva York, que recibió escandalosos titulares como "piratas informáticos iraníes violaron la presa de Nueva York y causaron alarma en la Casa Blanca".

Solo un problema, anota Bort: "Esa represa era una barrera de tierra. No tenía partes mecánicas. Nadie, salvo las personas que están al tanto, conoce esta parte de la historia. Todos se centraron en la amenaza de Hollywood".

Los atacantes lograron romper el sistema de monitoreo de la presa Bowman Avenue, pero eso fue todo, dice. "Eso destila la esencia de esta conversación sobre este tema durante los últimos cinco años", agrega Bort. "Todos tengamos mucho miedo y, por cierto, miremos el eje del mal".

Los adversarios del estado-nación amenazan la infraestructura crítica, enfatizaron Lee y Bort, pero mantengamos las cosas en perspectiva y hagamos el trabajo, en lugar de asustarnos hasta la muerte sin una buena razón. Hacer el trabajo significa saber quiénes son tus adversarios y cazarlos en tus propias redes.

Obteniendo una mejor inteligencia de amenazas

La industria privada tiene una mejor inteligencia de amenazas, y presionar a los equipos de seguridad de OT para obtener autorizaciones de seguridad para ver esta inteligencia no es muy útil, señala Lee, ex analista de la NSA que trabajó en ambos lados de la brecha.

Las declaraciones de Lee fueron una reprimenda a los otros panelistas, incluido el subsecretario del DoE, Bruce Walker, quien le dijo al comité que agilice las autorizaciones de seguridad para los trabajadores de ICS. Es probable que los equipos de seguridad de OT que por fin obtienen sus autorizaciones de seguridad, se decepcionen cuando obtienen acceso a los informes clasificados, sugirió Lee.

"Este enfoque en el análisis de intrusiones ha llevado al sector privado a producir informes de inteligencia que rivalizan y, en muchos casos, exceden en mucho a informes similares en entornos gubernamentales clasificados", anota el testimonio escrito de Lee. "En pocas palabras, el mejor lugar para recopilar datos relevantes para las amenazas cibernéticas es en las redes de las empresas objetivo".

Lee le dijo al comité que tiene una mejor amenaza de inteligencia ahora que está en el sector privado, en comparación de cuando trabajaba en la NSA viendo en el mismo problema. "En la NSA, construimos la misión para ver cómo los Estados-nación se introducen en los sistemas de control industrial", indica Lee. "Se hizo muy obvio que nuestra propia colección estaba extremadamente limitada en ese panorama de amenazas".

A pesar del deseo del gobierno de abordar las preocupaciones de seguridad nacional planteadas por una infraestructura crítica vulnerable, los expertos técnicos, incluido Lee, dicen que es probable que una mayor intervención del gobierno sea contraproducente, incluido el aumento del ritmo de una regulación más fuerte.

Cumplimiento considerado dañino

Las casillas de verificación para garantizar el cumplimiento de las mínimas líneas de base de seguridad pueden evitar infecciones oportunistas de malware, pero es completamente inútil contra los ataques al estado nación objetivo. Peor aún, demasiadas medidas de cumplimiento pueden ser dañinas, ya que crean una falsa sensación de seguridad. Como resultado, Lee y otros expertos instaron a un retraso en la regulación adicional, mientras que la industria desarrolla sus propias mejores prácticas.

Por un lado, muchas redes ICS ahora no cumplen con los estándares mínimos. "Hay sitios industriales, incluidos los de América del Norte, cuyos equipos internos ni siquiera han investigado las redes", señala el testimonio escrito de Lee. "Estoy al tanto de pequeñas cooperativas eléctricas, servicios de agua, instalaciones de gasoductos, refinerías de petróleo, parques eólicos y redes de fabricación en las que ni siquiera se han intentado los principios básicos de seguridad, aunque son vitales para la civilización moderna".

Por otro lado, los sistemas de TO enfrentan adversarios del estado nación, y la defensa contra esa amenaza requiere un monitoreo agresivo y un programa de respuesta a incidentes muy por encima de lo que cualquier medida de cumplimiento podría exigir. "He visto de primera mano el desarrollo de una mentalidad de regulación, check-box en empresas sujetas a fuertes regulaciones", señala Lee ante el Senado en un testimonio escrito.

Desarrollar un sólido programa de seguridad TO capaz de cazar atacantes del estado nación en una red ICS requiere profesionales capacitados en seguridad cibernética, con el apoyo de la administración y el presupuesto para que coincida. La gran y creciente escasez de habilidades de ciberseguridad y la falta de comprensión a nivel de gestión de OT hacen que este objetivo parezca distante.

TI, conoce a TO

La seguridad de TI continúa luchando por comprender los desafíos únicos que enfrentan los sistemas TO, pero aún más dramática ha sido la respuesta de los operadores industriales tradicionales a la idea de que ahora, después de 40 años de funcionamiento de su planta, los hackers con capucha en el otro lado del planeta podrían causar una interrupción.

Santora habla sobre su tiempo como auditor en NERC. "Volamos a diferentes compañías, y algunos literalmente nos maldecían", señala, "diciendo: 'No creo en ninguna de estas cosas de seguridad, es una pérdida de tiempo, esto no es real, no nos va a pasar a nosotros'".

La naturaleza novedosa y poco intuitiva de la ciberseguridad alarma a la generación anterior de trabajadores industriales, añade. "Es un riesgo desconocido del que la gente tiene miedo de hablar a veces".

Contratar expertos en seguridad cibernética para aumentar esas décadas de experiencia con una perspectiva más nueva sería la respuesta lógica, si solo hubiera profesionales de la seguridad disponibles para contratar. Según algunas estimaciones, la escasez mundial de profesionales de la seguridad llegaría a los dos millones en el 2020. No es probable que los mejores talentos busquen una carrera en TO debido a los salarios mucho más bajos que suelen pagar las empresas industriales.

"No hay mucha gente con estos conjuntos de habilidades", anota Lee. "Alrededor de 500 personas en América del Norte tienen las habilidades ICS y de ciberseguridad".

Resolver ese problema significa becas o pasantías que colocan a los graduados talentosos en puestos de seguridad de TO a cambio de su educación. ¿O tal vez simplemente pagarles más? Cualquiera que sea la solución, parece poco realista para el gobierno federal etiquetar a las pequeñas empresas de servicios públicos como una preocupación de seguridad nacional, y luego no ofrecer apoyo financiero para defender esos activos.

"Si estamos diciendo que es un problema nacional de infraestructura crítica", señala Bort, "entonces no se puede depender de una pequeña ciudad gastando el dinero para resolver eso". En el corto plazo, la seguridad puede ser contratar personal de seguridad de TI.

¿Se necesita un pueblo?

Durante los últimos años, el ICS Village y Def Con junto con la RSA le han ofrecido al personal de seguridad la oportunidad de ensuciarse las manos con el equipo ICS del mundo real. Desenmascarar los mitos sobre la seguridad de TO y ayudar a los profesionales de TI a comprender mejor los desafíos en TO es la razón por la que lo hacen, señalan VanNorman y Bort, organizadores de ICS Village. "Permitimos que alguien toque y piratee las diferentes plataformas para que puedan comenzar ese viaje", anota Bort.

Todo el mundo ha escuchado historias de que nmap está desconectando un gasoducto, pero, añade VanNorman, los sistemas TO no son tan frágiles como muchos piensan y son mucho menos complejos. "No se va a romper si lo toca", indica VanNorman. "Les mostramos la diferencia entre lo que hace un Raspberry Pi y un PLC. Un Pi hace muchas cosas. No es un PLC".

ICS Village trabaja para cerrar la brecha entre TI y la seguridad TO, y cuenta el éxito de un hacker a la vez. "La reacción más común", indica Bort, "es: 'Oh, vaya, lo entiendo ahora'".