Implementación de la Autenticación Multifactorial (MFA) en el SecureCloud de WisePlant
En el SecureCloud de WisePlant la utilización del doble y/o múltiples factores de autenticación es selectiva (obligatorio para determinados perfiles de usuarios) y/o bajo solicitud (el usuario deberá solicitar que habilitemos las funciones adicionales de seguridad).
Qué tan bueno seria disponer de un mecanismo doble o multifactorial que lo podamos utilizar en todos los diferentes sistemas y aplicaciones, que sea lo suficientemente bueno y efectivo para verificar la identidad y lo suficientemente práctico, ágil y simple! Desde WisePlant estamos comprometidos con la seguridad pero también tomamos el desafio de implementar y promover el uso de métodos y técnicas que hagan de nuestras vidas más simples, seamos más efectivos y productivos.
La autenticación multifactorial (MFA) es un método de autenticación en el que se concede acceso a un usuario unicamente después de presentar correctamente dos o más piezas de evidencia (o factores) a un mecanismo de autenticación: conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario tiene), y la herencia (algo que solo el usuario es).
La autenticación de dos factores (también conocida como 2FA) es un tipo, o subconjunto, de autenticación multifactorial. Es un método para confirmar las identidades reclamadas por los usuarios emepleando una combinación de dos factores diferentes: 1) algo que saben, 2) algo que tienen, o 3) algo que son.
Un buen ejemplo de autenticación de dos factores es la retirada de dinero de un cajero automático; sólo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite realizar la transacción.
Otros ejemplos pueden ser completar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un dispositivo (por ejemplo, un token de seguridad o un teléfono inteligente) que solo el usuario posee.
Muchas personas evitan la configuración doble o multifactorial porque es engorroso y requiere de mayor tiempo, cuando en realidad esto es falso dependiendo del método utilizado. Es cuestión de práctica y buen hábito. Una vez que se familiariza con el tema y se adquiere práctica, la seguridad aumenta siginificativamente e iInclusive existen métodos que son todavía más ágiles y rápidos que la simple utilización de la contraseña.
La verificación o autenticación en dos pasos es un método para confirmar la identidad reivindicada de un usuario mediante la utilización de algo que conocen (contraseña) y un segundo factor distinto de algo que tienen o algo que son. Un ejemplo de un segundo paso es el usuario repitiendo algo que se envió a ellos a través de un mecanismo fuera de banda. O, el segundo paso podría ser un número de seis dígitos generado por una aplicación que es común para el usuario y el sistema de autenticación.
En la tabla se demuestra los diferentes tipos y métodos de autenticación de usuarios y el nivel de seguridad que cada uno de estos métodos provee.
Todos estos métodos pueden ser utilizados en el SecureCloud. Los métodos son ofrecidos de acuerdo con el perfil del usuario, de la criticidad de la información que cada usuario gestiona y del acuerdo de servicios contratado.
Factores de AutenticaciónDefiniciones, tipos, métodos y técnicas
El uso de varios factores de autenticación para probar la identidad se basa en la premisa de que es improbable que un actor no autorizado pueda suministrar los factores necesarios para el acceso. Si, en un intento de autenticación, al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se establece con suficiente certeza y el acceso al activo está protegido por la autenticación multifactorial permanecerá bloqueada. Los factores de autenticación de un esquema de autenticación multifactorial pueden incluir:
- Algún objeto físico en posesión del usuario, como una memoria USB con un token secreto, una tarjeta bancaria, una llave, etc.
- Algún secreto conocido por el usuario, como una contraseña, PIN, TAN, etc.
- Alguna característica física del usuario (biometría), como una huella dactilar, iris ocular, voz, velocidad de mecanografía, patrón en intervalos de pulsación de teclas, etc.
- En algún lugar, como la conexión a una red informática específica o la utilización de una señal GPS para identificar la ubicación.
Factores de ConocimientoAlgo que solo el usuario sabe
Los factores de conocimiento son la forma más comúnmente utilizada de autenticación. En este formulario, el usuario debe probar el conocimiento de un secreto para autenticarse.
El uso de las contraseñas y de la preguntas de seguridad son los métodos de verificación y autenticación más débiles que existen. La utilización de doble o múltiple factor de seguridad hace que la responsabilidad por la seguridad no dependa en su totalidad de una contraseña. En un buen sistema de seguridad el uso de la contraseña pasa a un plano completamente secundario y a veces hasta casi irrelevante.
Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación de usuario. Este es el mecanismo de autenticación más comúnmente utilizado. Muchas técnicas de autenticación multifactorial se basan en la contraseña como un factor de autenticación. Las variaciones incluyen las más largas formadas a partir de varias palabras (una frase de contraseña) y el número de identificación personal (PIN) más corto, puramente numérico, utilizado comúnmente para el acceso ATM. Tradicionalmente, se espera que las contraseñas sean memorizadas.
La gran cantidad de sistemas y aplicaciones que utilizamos a diario requieren autenticación del usuario por medio de contraseña complejas. Esto provoca en los usuarios la necesidad de aplicaciones para almacenar contraseñas, reutilizar contraseñas en tantos sitios como sea posible y hasta requieren de cierto tiempo para su uso, almacenamiento y consulta.
Muchas preguntas secretas como “¿Dónde naciste?” son ejemplos pobres de un factor de conocimiento porque pueden ser conocidos por un amplio grupo de personas, o ser capaces de ser investigados.
Existen aplicaciones en el mercado negro que son muy hábiles para el descubriento de las claves utilizadas por las personas. Motivo por el cual muchas cuentas son violadas día tras día con gran facilidad. Esto sin mencionar cuando un determinado es hackeado y todos nuestros datos personales quedan expuestos.
Factores de PosesiónAlgo que solo el usuario tiene
Los factores de la posesión (“algo el usuario y solamente el usuario tienen”) se han utilizado para la autenticación por siglos, en la forma de una llave a un bloqueo. El principio básico es que la clave encarna un secreto que se comparte entre la cerradura y la clave, y el mismo principio subyace en la autenticación del factor de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de un factor de posesión.
Token Desconectados
El conocido Token RSA SecurID es un ejemplo de un generador de tokens desconectado. La tarjetas de coordenadas son otro ejemplo. Los tokens desconectados no tienen conexiones con el equipo cliente. Normalmente usan una pantalla integrada para mostrar los datos de autenticación generados, que el usuario escribe manualmente.
Token Conectados
Los tokens conectados son dispositivos que están conectados físicamente al equipo que se utilizará. Esos dispositivos transmiten datos automáticamente. Hay un número de diferentes tipos, incluyendo lectores de tarjetas, etiquetas inalámbricas y tokens USB.
Token de Software
Un token de software (alias Soft token) es un tipo de dispositivo de seguridad de autenticación de dos factores que se puede utilizar para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como un ordenador de sobremesa, un ordenador portátil, un PDA o un teléfono móvil, y pueden duplicarse. (Tokens de hardware de contraste, donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar (ausencia de invasión física del dispositivo)). Un token suave puede no ser un dispositivo con el que el usuario interactúa. Un certificado cargado en el dispositivo y almacenado de forma segura puede servir a este propósito también.
Factores InherentesAlgo que solo el usuario es
Estos son factores asociados a la Usuario y suelen ser métodos biométricos, como la huella dactilar, la cara, la voz o el reconocimiento del iris. También se pueden utilizar biometría conductual, como la dinámica de pulsación de tecla.
Factores de LocalizaciónBasados en la ubicación
Uso de Teléfonos CelularesAnálisis de su ventajas y desventajas
Muchos proveedores de autenticación multifactorial ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en inserción, autenticación basada en código QR, autenticación de contraseña única (basada en eventos y basada en el tiempo) y verificación basada en SMS. La verificación basada en SMS sufre algunos problemas de seguridad. Los teléfonos pueden ser clonados, las aplicaciones pueden ejecutarse en varios teléfonos y el personal de mantenimiento del teléfono celular puede leer textos SMS. No menos importante, los teléfonos celulares pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que sólo el usuario tiene.
El principal inconveniente de la autenticación, incluyendo algo que el usuario posee es que el usuario debe llevar alrededor del token físico (la memoria USB, la tarjeta bancaria, la clave o similar), prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben transportar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido al malware y los riesgos de robo de datos, y la mayoría de las máquinas importantes no tienen puertos USB por la misma razón. Los tokens físicos normalmente no se escalan, por lo general requieren un nuevo token para cada nueva cuenta y sistema. La adquisición y posterior sustitución de tokens de este tipo conlleva costos. Además, existen conflictos inherentes y compensaciones inevitables entre la usabilidad y la seguridad.
La autenticación de dos pasos de telefonía móvil que involucra dispositivos como teléfonos móviles y smartphones fue desarrollada para proporcionar un método alternativo que evitaría tales problemas. Para autenticarse a sí mismos, las personas pueden utilizar sus códigos de acceso personales al dispositivo (es decir, algo que sólo el usuario individual sabe) más una contraseña de una sola vez-válida, dinámica, que normalmente consta de 4 a 6 dígitos. El código de la clave se puede enviar a su dispositivo móvil por SMS o notificación PUSH o puede ser generado por una aplicación de una sola vez-clave-generador. En los tres casos, la ventaja de usar un teléfono móvil es que no hay necesidad de un token dedicado adicional, ya que los usuarios tienden a llevar sus dispositivos móviles en todo momento.
A partir de 2018, SMS es el método de autenticación multifactorial más ampliamente adoptado para las cuentas orientadas al consumidor. A pesar de la popularidad de la verificación por SMS, el NIST de los Estados Unidos lo ha desusado como una forma de autenticación, y los defensores de la seguridad lo han criticado públicamente.
En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer autenticación de dos pasos de usuario con notificación PUSH como método alternativo.
La seguridad de los tokens de seguridad entregados por dispositivos móviles depende plenamente de la seguridad operativa del operador móvil y puede ser fácilmente violada mediante escuchas telefónicas o clonación de SIM por las agencias de seguridad nacionales.
Cada vez más, un cuarto factor está entrando en juego que implica la ubicación física del usuario. Aunque está conectado a la red corporativa, se puede permitir a un usuario Iniciar sesión utilizando solamente un código PIN mientras que fuera de la red que ingresa un código de un token suave también podría ser requerido. Esto podría considerarse como un estándar aceptable donde se controla el acceso a la oficina.
Los sistemas para el control de admisión de red funcionan de maneras similares en las que su nivel de acceso a la red puede estar supeditado a la red específica a la que está conectado su dispositivo, como la conectividad Wi-Fi y por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red en cada uno.
Ventajas
- No hay tokens adicionales y no son necesarios porque utiliza dispositivos móviles que son (generalmente) transportados todo el tiempo.
- A medida que cambian constantemente, las contraseñas generadas dinámicamente son más seguras de usar que la información de registro fija (estática).
- Dependiendo de la solución, los códigos de uso que se han utilizado se reemplazan automáticamente para garantizar que un código válido esté siempre disponible, los problemas de transmisión/recepción no impiden, por tanto, los inicios de sesión.
Desventajas
- Los usuarios deben llevar un teléfono móvil, cargado y mantenido en el rango de una red celular, siempre que sea necesaria la autenticación. Si el teléfono no puede mostrar mensajes, como si se daña o se apaga para una actualización o debido a temperaturas extremas (por ejemplo, exposición invernal), el acceso es a menudo imposible sin planes de copia de seguridad.
- Las compañías de telefonía móvil pueden cobrar al usuario por cargos de mensajería.
- Los mensajes de texto a teléfonos móviles que utilizan SMS son inseguros y pueden ser interceptados. Por lo tanto, los terceros pueden robar y utilizar el token.
- Es posible que los mensajes de texto no se entreguen instantáneamente, añadiendo retrasos adicionales al proceso de autenticación.
- La recuperación de la cuenta normalmente omite la autenticación de dos factores del teléfono móvil.
- Los smartphones modernos se utilizan tanto para navegar por correo electrónico como para recibir SMS. Por lo general, el correo electrónico siempre está conectado. Así que, si el teléfono se pierde o es robado, todas las cuentas para las que el correo electrónico es la clave puede ser hackeado como el teléfono puede recibir el segundo factor. Así que los teléfonos inteligentes combinan los dos factores en un factor.
La clonación de SIM permite a los hackers acceder a conexiones de teléfonos móviles. Los ataques de ingeniería social contra empresas de operadores móviles han dado lugar a la entrega de tarjetas SIM duplicadas a criminales.
Avances de la Tecnología en Teléfonos CelularesUtilización de dos factores en teléfonos móviles
Los avances en la investigación de la autenticación de dos factores para los dispositivos móviles consideran diferentes métodos en los que se puede implementar un segundo factor sin suponer un obstáculo para el usuario. Con el uso continuado y las mejoras en la exactitud del hardware móvil tal como GPS, micrófono, y girocompás/acelerómetro, la capacidad de utilizarlos como segundo factor de autenticación es cada vez más digno de confianza. Por ejemplo, registrando el ruido ambiente de la ubicación del usuario desde un dispositivo móvil y comparándolo con la grabación del ruido ambiental desde el ordenador en la misma sala en la que el usuario intenta autenticarse, uno puede tener un segundo factor efectivo de Autenticación. Esto también reduce la cantidad de tiempo y esfuerzo necesarios para completar el proceso.
Manteniendo la Sesión ActivaCierre de sesión por inactividad
Una vez que el usuario ha sido autenticado y validado para iniciar la sesión, se han configurado tiempos para cerrar la sesión del usuario que se encuentra inactivo con la finalidad de proteger su información personal y su cuenta frente a un descuido o inclusive frente a un cierre de la venta o aplicación en al cual se encontraba trabajando. No obstante ello es muy importante que el usuario sea responsable y cuidadose en el uso de su sesión.
Proveedores de Servicios de IdentidadMétodos alternativos para el inicio de sesión con Redes Sociales
Proveemos un método alternativo en el inicio de sesión para ingresar al SecureCloud utilizando sus cuentas de usuario existentes en otros proveedores de servicios de identidad (IDP). El inicio de sesión por medio de alguna de las Redes Sociales ofrecidas (Amazon, Facebook, LinkedIn y Microsoft) permitirá a los visitantes ingresar a los contenidos públicos sin la necesidad de completar el formualrio de registro.
Al ingresar por medio de alguna de las Redes Sociales el visitante es automáticamente asignado con el perfil de Suscriptor Básico. Es decir que podrá acceder a una gran cantidad de contenidos en la biblioteca digital y configurar su perfil de usuario entre muchas otras capacidades.
En la actualidad las Redes Sociales disponen de mecanismos para la configuración de factores de autenticación. Es responsabilidad de los usuarios configurarlos y utilizarlos adecuadamente. Una vez configurados se puede obtener seguridad y rapidez al mismo tiempo.
Para escalar o acceder a mayores privilegios necesariamente debemos verificar la autenticidad y credibilidad de la Cuenta del Usuario. Si bien podrá acceder y bajar documentos de la biblioteca digital, todos sus comentarios y acciones en el SecureCloud será moderados por un administrador en la Web, hasta que su perfil de suscriptor básico sea actualizado. Los usuarios que ingresan con una Cuenta Social podrán solicitar actualizar sus privilegios entrando en contacto con el Administrador de la Web enviándonos un mensaje o creando un Ticket en el área de Soporte Técnico.
Es bien sabido que los proveedores de servicios de identidad (Google, Facebook, etc.) tienen muchos perfiles falsos y que en promedio los usuarios de las redes sociales sulen tener un mínimo de dos o tres perfiles sociales. Por este motivo que a todos aquellos usuarios que comienzan a utilizar los servicios del SecureCloud por medio de otros proveedores de identidad son moderados y les asignamos la categoría más baja de Suscriptor Básico. Antes de escalar sus provilegios debemos verificar y estar seguros de la identidad del usuario.
Si bien el SecureCloud de WisePlant actua como proveedor de servicios de identidad (REST API), no proveemos acceso a plataformas de terceros. Las únicas plataformas con acceso al servicio de identidad del SecureCloud de WisePlant son las aplicaciones y sistemas de WiseGroup. Estas son Academy Campus, CRM, Accounting, Projects, Cyber-HAZOP Tool entre otras.
Perfiles de UsuariosVisitante, registrado, cliente, proveedor, partner, funcionario, administrador y otros.
En el SecureCloud tenemos diferentes tipos de perfiles. Cada uno de los perfiles tiene una serie de características generales del perfil y otras características particulares que pueden ser modificados para cada usuario específicamente. La modificación de los perfiles de usuario y de sus privilegios pueden ser realizadas únicamente por un usuario adminsitrador. Sin embargo, ningún Administrador del sistema puede realizar el 100% de los cambios.
- Visitante: este perfil corresponde a un visitante de la Web que no se ha iniciado sesión. El visitante sin iniciar sesión tiene funciones limitadas para acceder a la Biblioteca de Contenidos Digitales, crear un caso de soporte (ticket) y enviarnos algún tipo de consulta entre muchas otras acciones.
- Registrado: Una vez que el visitante ha creado e iniciado sesión podrá acceder a una gran cantidad de información disponible de forma pública y gratuita. Existen múltiples diferentes tipos de usuarios registrados en función de los roles y privilegios asignados por los administradores del SecureCloud. No todos los perfiles tiene la posibilidad de configurar alguno de los factores de autenticación.
- Funcionarios: por la naturaleza de la información que manejan y los contenidos a los cuales tienen acceso, todos los funcionarios miembros de WiseGroup deben utilizar como mínimo algúno de los factores de autenticación disponibles en el SecureCloud, sin excepción pudiendo extenderse a múltiples factores de autenticación.
Mecanismos Adicionales de SeguridadMétodos y técnicas adicionales para la seguridad de contenidos
Una vez dentro del sistema los diferentes ítems o contenidos pueden disponer de métodos, técnicas y mecanismos de validación adicionales, pudiendo ser válidos y reutilizados todos los mecanismos empleados para la autenticación del usuario al momento de inicio de la sesión o nuevos métodos de seguridad, incluyendo:
- Claves de Acceso individuales
- Claves de Acceso Grupales
- Aceptación de las Políticas de Confidencialidad, No divulgación y/o privacidad.
- Aceptación de las Políticas de Derecho a la Propiedad Intelectual
- CAPTCHA (Verificación de Persona Humana – No Robot)
- Políticas de seguridad y acceso definidas en los perfiles de usuarios
- Utilización de Firmas Digitales o Electrónicas
- Encriptación con intercambio de llaves públicas previamente
- Limitación de la Dirección IP del usuario. Ejemplo: Puede ser que para acceder a determinado tipo de información únicamente le sea permitido desde una ubicación específica, o rango específico.
- Reconocimiento y Validación del Dispositivo.
- … otros métodos y tecnologías están siendo incorporados.
Estuvimos en el Seminario de CiberSeguridad Industrial ARPEL 2018
Una vez más estuvimos presentes en el Seminario de CiberSeguridad Industrial e infraestructuras Críticas ARPEL 2018 organizado por ARPEL, OAS, YPF y el Ministerio de Modernización de la República Argentina, con al apoyo de importantes empresas del mercado.
En la actualidad, la CiberSeguridad industrial se ha convertido en una temática muy importante para las empresas debido al aumento de los ciber-crímenes y del volumen de datos que manejan. Es fundamental que las grandes, pequeñas y medianas empresas, establezcan una estrategia adecuada para proteger los activos de la empresa.
Esta segunda edición del Seminario bajo el lema “CiberSeguridad en Infraestructuras Críticas, Riesgos, Oportunidades y Prioridades” fue organizado por la Asociación Regional de Empresas del Sector Petróleo, Gas y Biocombustibles en Latinoamérica y el Caribe (ARPEL), a través de su Grupo de Trabajo de CiberSeguridad. Este Grupo está integrado por expertos de las empresas asociadas y que operan en la región.
El evento contó con la participación de expertos de alto nivel, quienes abordaron la temática desde un punto de vista estratégico, de gestión y operativo, representados por especialistas de fabricantes de equipos, consultoras, usuarios finales e infraestructuras críticas. El Seminario fue de especial interés para las siguientes industrias:
- Industria de petróleo y gas (exploración, producción, almacenamiento, distribución, etc.);
- Industria química y nuclear (producción, almacenamiento y transportes de mercancías peligrosas, materiales químicos, biológicos, radiológicos, etc.);
- Agua (embalses, almacenamiento, tratamiento y redes);
- Centrales y redes de energía (producción y distribución);
- Tecnologías de la Información y las Comunicaciones (TIC);
- Salud (infraestructura sanitaria);
- Transporte (aeropuertos, puertos, ferrocarriles y redes de transporte público, sistemas de control del tráfico, etc.).
El evento fue una excelente oportunidad para conocer la situación de esta disciplina de la mano de líderes internacionales y de establecer valiosas relaciones que favorezcan la colaboración en distintos ámbitos a nivel nacional e internacional.
Para más información del Seminario Visite www.arpelciberseguridad.org
Análisis de un Ataque a los Sistemas Instrumentados de Seguridad y cómo protegerse de este tipo de amenazas
Quedó claro que los sistemas instrumentados de seguridad también son blancos de ataque con motivo de causar y provocar severos daños a infraestructuras industriales con graves consecuencias.
El pasado mes de agosto de 2017 un ataque cibernético fue dirigido a los Sistemas Instrumentados de Seguridad en una instalación de petróleo y gas localizada en algún lugar del Medio Oriente.
Un nuevo malware identificado como TRITON (Bautizado por Fireeye), TRISIS (Bautizado por Dragos) o también conocido como HatMan, fue desarrollado para actuar sobre las funciones de seguridad de los sistemas TRICONEX con la finalidad de interferir en las protecciones de los sistemas poniendo en riesgo la planta de producción y la vida de las personas provocando daños en gran escala.
El malware fue desarrollado específicamente para actuar sobre los sistemas TRICONEX y TRICON fabricados por la empresa Schneider Electric (Originalmente Foxboro/Invensys). Sin embargo, el vector de ataque utilizado no sería exclusivo de esta marca ya que podría ser utilizado o modificado para actuar sobre otros fabricantes de sistemas instrumentados de seguridad.
El ataque a los Sistemas Instrumentados de Seguridad tuvo como resultado final, en esta ocasión, la parada de la planta. Sin embargo, los investigadores hallaron que los responsables buscaban modificar las funciones de seguridad configuradas y así provocar un incidente de mucha mayor magnitud. Un error en la intervención del sistema por parte de los responsables termina por provocar que el sistema entre en falla y por consiguiente automáticamente desencadena una parada segura de la planta.
De haber sido exitosos en el objetivo final seguramente hoy hubiésemos sido testigos de un incidente de magnitudes mayúsculas.
La empresa Schneider Electric luego de una rápida investigación puso a disposición del mercado un informe para advertir al mercado mundial y principalmente a otros usuarios, sobre dicho malware recomendando medidas inmediatas de seguridad para evitar que otras compañías sean víctimas del mismo tipo de ataque quizá con daños mucho más graves que el actual incidente. Los funcionarios de Schneider Electric anunciaron en su comunicado oficial que se trató de un incidente aislado. Sin embargo, recomendaron enfáticamente a todos los usuarios, que tomen medidas de seguridad al respecto.
Impacto de SPECTRE y MELTDOWN en los Sistemas Industriales y cómo responder a la Amenaza
Durante los últimos meses se han dado a conocer varias vulnerabilidades atribuidas a los microprocesadores que ponen en evidencia la importancia de disponer de sistemas con CiberSeguridad interna. Este tipo de vulnerabilidades nos están alertando de los potenciales riesgos cibernéticos en las tecnologías emergentes basadas en IoT e IIoT. Hace un tiempo difundimos un artículo muy interesante de MAXIM INTEGRATED sobre cripto-procesadores que se puede acceder desde aquí.
SPECTRE y MELTDOWN son dos vulnerabilidades recientemente descubiertas que afectan el hardware que se ejecuta en la mayoría de los dispositivos del mundo. Lo más probable es que cada usuario tenga un dispositivo afectado en su proximidad.
Casi todas las máquinas con un procesador moderno se ven afectadas, desde estaciones de trabajo hasta, sistemas de control, servidores, teléfonos y tabletas.
Esto incluye Microsoft Windows, Linux, Android, Google ChromeOS, macOS de Apple en procesadores Intel, ARM y sistemas embebidos. La mayoría de los chips INTEL fabricados después de 2010 son vulnerables, mientras que muchos chips AMD, ARM y otros también se ven afectados.
SPECTRE y MELTDOWN son vulnerabilidades diferentes, pero relacionadas. SPECTRE comprende dos vulnerabilidades: CVE-2017-5753: circunvalación de verificación de límites y CVE-2017-5715: inyección de blanco de ramificación, mientras que MELTDOWN consta de uno: CVE-2017-5754: carga de caché con datos falsos.
Estas vulnerabilidades hacen que los sistemas sean susceptibles a los llamados ataques de “canal lateral”, que se basan en la implementación de hardware físico y no atacan directamente la lógica o el código. Estos tipos de ataques generalmente incluyen a acciones tales como rastrear la radiación electromagnética (es decir TEMPEST), monitorear el consumo de energía, analizar luces intermitentes, análisis de caché, etc.
Dado que los dispositivos IT, IoT y IIoT son muy frecuentes y se actualizan con poca frecuencia, la presencia de dispositivos vulnerables puede permanecer en entornos de producción por varias generaciones venideras.
¿Cuál es el impacto de SPECTRE y MELTDOWN?
Si una de estas vulnerabilidades se utiliza para comprometer un dispositivo, esto podría dar a un atacante acceso a datos privilegiados en el sistema. Las vulnerabilidades no otorgan acceso al sistema; solo permiten a los atacantes leer datos que, de lo contrario, deberían restringirse. En otras palabras, un atacante aún necesita ingresar al sistema para ejecutar el ataque.
Mientras que esto puede sonar “alentador”, en realidad es una preocupación crítica en sistemas con múltiples usuarios, donde los datos de un espacio de memoria perteneciente a un usuario aún deben estar aislados de los demás.
En pocas palabras, en entornos compartidos o multi-tenant, como un entorno virtual, en la nube o cualquier otro entorno multiusuario, deben existir barreras estrictas entre los usuarios. De lo contrario, cualquier cliente en la nube podría acceder a los datos que pertenecen a otros clientes que comparten la misma CPU.
La misma compartimentación se produce dentro de las aplicaciones, que deben aislarse unas de otras. Por ejemplo, un navegador web no debe tener acceso directo a los datos que usa el sistema operativo Windows para almacenar contraseñas u otra información confidencial.
Todos los sistemas operativos implementan múltiples niveles de seguridad para evitar que ocurra este comportamiento, incluidos Windows UAC, SELinux y más. Por esa razón, resulta que las vulnerabilidades de SPECTRE y MELTDOWN pueden no ser tan malas como se las ha reportado, especialmente si no eres un usuario de la nube.
Explicación Sencilla
En los dos videos siguientes se explican las vulnerabilidades de SPECTRE y MELTDOWN de forma simple pero muy clara y concreta. La noticia es que mientras los parches están siendo desarrollados y publicados en los sistemas operativos para evitar este problema, estos provocan demoras en los sistemas. La vulnerabilidad aprovecha una técnica creada en los microprocesadores modernos que les permite adelantar parte del trabajo para mejorar su rendimiento.
En caso de que estos cálculos anticipados no sean necesarios el sistema los descarta y elimina dejándolos en zonas de memoria desprotegidas al alcance de otras aplicaciones y/o usuarios no autorizados.
Explicación en términos de Layman
Imaginemos, por un momento, que ha sido recientemente galardonado con: Spectre Meltdown Mindreading Capability
Para simplificar, vamos a llamarlo SMMC. SMMC le da el ‘poder’ para leer la mente de otra persona, siempre y cuando ambos estén en la misma habitación.
Su SMMC puede funcionar en casi cualquier persona, en cualquier lugar: el centro comercial, el teatro e incluso las mesas de póquer en Las Vegas. Independientemente de su ubicación, puede leer la mente de los demás, siempre y cuando esté en la misma habitación que ellos. Ahora tiene acceso a datos que deben ser privados, como secretos, información confidencial o crítica, y más.
SMMC no funciona de forma remota; debe estar cerca de la otra persona y en la misma habitación. Además, debe tener permiso para ingresar a esta sala (es decir, en Las Vegas, debe tener al menos 21 años para ingresar a ciertos casinos).
Ahora, imaginemos un escenario diferente: usted está en su propia habitación, usted mismo, y usa SMMC para obtener acceso a sus propios datos. Además del potencial estallido del reflejo mental, ¿qué sentido tiene ejecutar un ataque en tu propia mente? Ya tiene acceso a los datos, y puede recuperarlos a voluntad.
En pocas palabras, esa es la idea detrás de SPECTRE y MELTDOWN. Son efectivos en una sala de múltiples inquilinos donde los secretos de más de una persona deben mantenerse en privado.
Sin embargo, no tiene sentido ejecutar un ataque en una habitación con un solo propietario, ya que, técnicamente, no hay secretos. Mientras seas la única persona que alguna vez ocupe la habitación, tus datos estarán seguros, aunque sigas siendo vulnerable al ataque.
Explicación Detallada
Una explicación técnica bien detallada requiere conocimientos de programación en microprocesadores. En este LINK tendrá acceso a información relevante publicada por los descubridores de estas dos vulnerabilidades que afecta a todos los microprocesadores modernos del mercado, salvo aquellos que sean cripto-procesadores.
¿Por qué SPECTRE y MELTDOWN han recibido tanta difusión?
SPECTRE y MELTDOWN han generado cobertura en los medios convencionales debido a la gran cantidad de sistemas que han impactado. Casi todos poseen un dispositivo que es vulnerable al ataque.
Sin embargo, ser vulnerable no significa necesariamente que este le afectará en sus sistemas de la planta. A veces, como en el caso del parche de Microsoft, la cura causa el dolor, no el ataque en sí mismo. Como se sugiere en la norma ANSI/ISA99/IEC-62443 las acciones de mitigación deben ser el resultado de una evaluación de riesgos cibernéticos en OT y un análisis de criticidad además de un cuidadoso proceso de instalación y de gestión de cambios.
Un claro ejemplo es el impacto del parche MELTDOWN/SPECTRE en Rockwell Factory Talk, que provocó interrupciones en los servidores FactoryTalk. A partir de ahora, el parche aún no ha sido probado por Rockwell, y actualmente no está aprobado para su uso en ningún sistema FactoryTalk (puede que no sea por un tiempo …). En el caso de Wonderware el parche afectó al tradicional histórico de planta. La actualización de Microsoft “KB4056896” a generado consecuencias inesperadas para el líder de software SCADA provocando inestabilidad en el sistema y bloqueo del acceso a los servidores de datos.
Las mitigación es todavía un tema de considerable debate. Algunos han tenido un impacto negativo en el rendimiento, inutilizando los sistemas y creando otros problemas que aún están siendo resueltos por varios proveedores y comunidades de usuarios. Algunos parches ya no están disponibles para el público y aún no se han vuelto a emitir.
Los ataques a los sistemas industriales son cada vez más sofisticados capaces de causar cada vez más daños. Al inicio los ataques se concentraban en las capas más altas de las redes industriales y tecnologías comerciales de IT, mientras que en los últimos años los ataques han golpeado sobre las redes más bajas y propietarias de los sistemas de control y tecnologías de OT. Los daños provocados por año, ante la misma cantidad de incidentes, se han incrementado en 10 veces!
¿Cuál es el impacto de SPECTRE y MELTDOWN en los sistemas industriales?
Los entornos industriales poseen una gran variedad de equipos, de los cuales algunos de ellos suelen incluir a los siguientes:
- Estaciones de Operacipon.
- Estaciones de Ingeniería.
- Servidores sobre Windows (DNS, AD, etc.)
- Servidores sobre Linux (historiadores, firewalls, sistemas de automatización)
- PLCs de varios fabricantes
- DCSs de varios fabricantes
- Sistemas Instrumentados de Seguridad
- Sistemas de Control de Motores CCM
- HMI de varios fabricantes
- Interruptores en estaciones eléctricas
- y muchos otros dispositivos con sistemas embebidos
Casi todas las redes de ICS son vulnerables al ataque. Que un dispositivo específico esté o no en riesgo depende de múltiples factores, como el conjunto de chips, el nivel de firmware, etc. No está demás decir que podemos esperar una investigación sustancial y parches en el futuro cercano.
Muchos HMI, paneles y pantallas utilizan los microprocesadores afectados. La gran mayorías de los fabricantes sistemas industriales todavía están evaluando la amenaza. Muchos sistemas que admiten controladores industriales como sistemas de automatización, sistemas de control de lotes, servidores de control de producción, impresoras, sistemas OPC, sistemas SCADA, dispositivos periféricos y dispositivos IIoT, incluidas cámaras, sensores, etc., son los más vulnerables.
¿Cómo podemos ayudar a mitigar este tipo de vulnerabilidades?
Se trate de sistemas nuevos que serán incorporados en las plantas industriales y que luego deberán ser soportados por décadas, o bien se trate de sistemas industriales existentes tendremos que tomar una decisión para mitigar los riesgos asociadas a este tipo de amenazas. Lo mismo que sucede con otras amenazas.
En el ámbito industrial existen tantos dispositivos inteligentes distribuidos en la planta que no podemos tratar a todos por igual. Una evaluación de riesgos cibernéticos para ámbitos industriales es de un valor sustancial para determinar las acciones correctas. Esta evaluación nos proveerá de los elementos necesarios para tomar decisiones y determinar los requerimientos de seguridad cibernética para satisfacer el nivel de riesgo tolerable por la organización. Una buena evaluación de riesgos dará los elementos necesarios para no gastar de más ni invertir de menos.
La segmentación de los sistemas industriales en Zonas y Conductos nos permitirá crear sistemas industriales seguros por diseño. Existen muchos tipos de vulnerabilidades en todas las etapas del ciclo de vida de los sistemas, desde el diseño y concepción, pasado por las etapas de construcción, configuración, instalación, puesta en marcha, la operación y el mantenimiento. Muchas personas creen que la tecnología tiene todas las respuestas a la seguridad cuando en realidad esto es completamente falso. La metodología de ISA99 registrada ANSI/IEC-62443 nos garantiza una seguridad óptima por diseño que satisface las necesidades de la organización a la medida de cada Zona y cada Conducto.
La forma más práctica consiste en incorporar sistemas industriales con Seguridad Cibernética intrínsecamente embebida dentro del equipo (BUILT-IN, por su definición del inglés) evitando la necesidad de tener que incorporar Seguridad Cibernética Agregada. Los sistemas con tecnologías de Seguridad Cibernética embebida proveen de varias ventajas para los usuarios finales e integradores. Estas ventajas se resumen en (a) menor costo de propiedad del sistema. (b) menor coste de la seguridad, (c) mayor confiabilidad del sistema – menor tasa de fallas, (d) mayor vida útil, (e) mayores de nivel de seguridad cibernética para satisfacer los más elevados requerimientos.
Un claro ejemplo de este tipo de soluciones los podemos encontrar en los sistemas de BEDROCK AUTOMATION. Para sistemas nuevos la mejor forma y más segura consiste en la implementación de sistemas industriales con CiberSeguridad embebida como la de BEDROCK. Estos sistemas de BEDROCK han sido concebidos con Cripto-Procesadores haciendo que este tipo de vulnerabilidades sean virtualmente imposibles. La tecnología de BEDROCK permite a los usuarios crear una Red de Confianza (ROOT OF TRUST) que se puede extender al respecto de la organización.
Los vectores de ataque a los sistemas industriales son cada vez más sofisticados. El exponencial crecimiento del mercado negro en el descubrimiento y el notable interés por utilizar estos métodos cada vez más sofisticados hacen pensar que las tecnologías de los sistemas sin Ciber-Seguridad embebida serán un juego de niños para los chicos malos en apenas unos pocos años. Mucho antes de que estos sistemas piensen en ser reemplazados.
Para los sistemas ya instalados en primer lugar, ser consciente de lo que existe en su entorno industrial es fundamental para asegurarlo con éxito. No podrá proteger lo que no conoce. A su vez, tener un inventario de activos automatizado en su caja de herramientas es esencial para entender qué equipo está en riesgo y requiere atención.
Tener visibilidad en profundidad de su inventario de activos es vital. Sin esto, se queda con una lista de dispositivos industriales que deben examinarse manualmente para determinar si su módulo de hardware específico se ve afectado.
Un inventario de activos automatizado es clave para identificar activos vulnerables y seguir los esfuerzos de su mantenimiento. Una solución de CiberSeguridad industrial como la de INDEGY recopila automáticamente esta información de dispositivos industriales y la pone a disposición en su Inventario de activos.
Finalmente, para explotar estas vulnerabilidades, un atacante necesita acceso a la red. Esto enfatiza la importancia de tener un sistema de monitoreo de red, que le permita identificar a cualquier persona que se conecte a la red, comunicándose con o modificando activos clave.
Aplicacion de parches en sistemas vulnerables
Los sistemas de aplicación de parches en entornos industriales de ningún modo son un proceso trivial, ya que a menudo se requieren estos sistemas para garantizar la seguridad y la estabilidad de los procesos industriales.
Podemos ayudar a las organizaciones con el proceso de parches de dos maneras:
- Para la supervisión del progreso de parchado INDEGY le permite ver qué sistemas se han parcheado y cuáles son aún vulnerables. Si un sistema no está parcheado por error, el sistema de INDEGY le informará sobre esto.
- Para el monitoreo de personal y sistemas involucrados en la aplicación de parches existe la posibilidad de que varias personas implementen varias mitigaciones, parches, actualizaciones de firmware, etc. en una variedad de plataformas, desde estaciones de trabajo hasta servidores, PLC, HMI y dispositivos IIoT. Esto puede dar como resultado que varias personas, en una variedad de funciones, de diferentes organizaciones entren potencialmente en su entorno de producción. ¿Cómo sabrá en qué está trabajando cada persona? ¿Puede alguna de sus actividades causar interrupciones en sus procesos industriales? ¿Qué pasa con el uso de portátiles de terceros no administrados que pueden verse comprometidos? ¿O casos en los que se abren conexiones remotas para habilitar el trabajo necesario? Todos estos pueden exponer sus sistemas industriales a amenazas no deseadas.
Con la plataforma de INDEGY, se puede monitorear los sistemas industriales de forma segura a medida que los empleados y contratistas externos entran y salen de la planta, o cuando se conectan y desconectan de su red. La plataforma le permite realizar un seguimiento de todas sus actividades y recibir alertas en tiempo real sobre cualquier actividad no autorizada o sospechosa.
Indegy le permite confirmar que sus sistemas de control industrial de misión crítica no han sido tocados por usuarios no autorizados, y que no se cometieron errores al intentar actualizar sus sistemas. Póngase en contacto con nosotros si desea obtener más información sobre cómo proteger a los sistemas de control industrial.
Bedrock Automation recibe el premio Vaaler Award 2017 de la revista Chemical Processing
San José, California, Estados Unidos — 12 de octubre de 2017 — Bedrock Automation ha ganado el premio Vaaler de la revista Chemical Processing por el sistema de automatización Abierto y Seguro (OSA, Open Secure Automation), el primer sistema de control industrial universal que se diseñó con seguridad cibernética intrínseca. Bedrock es uno de los dos únicos ganadores del prestigioso premio, que se ofrece sólo una vez cada dos años.
“Establecimos los premios Vaaler en 1964 para reconocer productos que prometen una mejoría significativa en las operaciones de las plantas químicas y la economía. Nuestro panel de jueces imparciales seleccionó el sistema de control Bedrock porque aborda las cuestiones operacionales y económicas ofreciendo un sistema de seguridad cibernética incorporado a su electrónica. Felicitamos a todo el equipo de Bedrock”, dijo Mark Rosenzweig, redactor jefe de Chemical Processing.
El premio rinde homenaje a John C. Vaaler, Presidente del Consejo editorial de Chemical Processing desde 1961 hasta su muerte el 1963. Los jueces de este año representaron a expertos en ingeniería, seguridad y sostenibilidad de algunas de las principales compañías químicas del mundo. Seleccionaron el sistema de automatización segura, basado en su significado técnico, su singularidad y amplitud de aplicabilidad.
A diferencia de los principales diseñadores de control de automatización, cuyos sistemas se basan en arquitecturas fundamentales implementadas antes de que la seguridad cibernética fuera un problema, los diseñadores de Bedrock comenzaron su solución de seguridad cibernética con una hoja de papel en blanco con nuevas y mejores requerimientos fundamentales. El control resultante y la arquitectura de E/S ofrece una placa de electromagnética sin Pines, seguridad cibernética profundamente incrustada y potencia computacional que sobrepasa los sistemas convencionales de PLC, RTU o DCS.
“Estamos muy honrados de haber sido reconocidos por nuestros esfuerzos para llevar un sistema de control muy necesario, simple, escalable y seguro para el mercado. Nos complace especialmente haber sido seleccionados por un panel de jueces que representan a algunas de las compañías químicas más respetadas del mundo “, dijo el fundador y CEO de Bedrock, Albert Rooyakkers.
Publicación Original por Bedrock Automation Aquí
El Sistema Instrumentado de Seguridad HiMax recibe la Certificación de ISA Secure®
El sistema de seguridad funcional HiMax de HIMA recibe el certificado ISA Secure® por TÜV Rheinland cumpliendo con estrictas normas de ciberseguridad
Seguridad cibernética avanzada: el controlador de seguridad HiMax de HIMA ha recibido el nuevo certificado de seguridad cibernética de TÜV Rheinland. La agencia de prueba certificó el procesador y el módulo de comunicaciones de acuerdo con los estándares internacionales IEC 62443-4-1, IEC 62443-4-2 e ISASecure EDSA 2.0.0. El certificado se basa en rigurosas pruebas y evaluaciones de todos los requisitos relacionados con la seguridad cibernética durante toda la vida útil del controlador de seguridad, y dice que HiMax cumple los requisitos del nivel de seguridad SL 1. Al combinar la seguridad funcional más alta (hasta SIL 3) con la seguridad cibernética en un solo sistema, el controlador de seguridad proporciona una protección óptima para las personas, las instalaciones y el medio ambiente en tiempos de creciente criminalidad cibernética.
Para conocer más de los Sistemas HiMax de HIMA visite Aquí
Fuente: LINK
WisePlant firmó acuerdo de patrocinio con la sección de ISA Sao Paulo
WisePlant HQ – A WiseGroup Company – firmó un contrato para el patrocinio de la seccion de ISA Sección San Pablo confirmando la confianza en sus actividades. Ambas entidades están seguras de que esta asociación será muy exitosa!
ISA Sao Paulo es una de las secciones más desarrolladas en Sudamérica que organiza eventos, cursos de capacitación, congresos, libros técnicos con la finalidad de difundiar las mejores prácticas en intrumentación y control y facilitar la vinculación de los profesionales de la comunidad con nuevas oportunidades para el aprendizaje, el desarrollo continuo y nuevas oportunidades de crecimiento.
WisePlant fue fundada en 2012 por un grupo de profesionales y empresarios que decidieron su creación para proporcionar soluciones innovadoras con productos y sistemas de tecnologías seguras para la infraestructura industrial crítica y el desarrollo de ciudades digitales seguras. Nuestras áreas de experiencia, soluciones y servicios incluyen la instrumentación, automatización, control, ingeniería, software, redes de OT, la ciberseguridad industrial, consultoría y servicios profesionales con muchos años de experiencia consolidando un equipo de trabajo multidisciplinario y orientado a proporcionar soluciones tecnológicas de la más alta calidad.
Junto con los integradores de sistemas especializados, ayudamos a seleccionar la tecnología a utilizar y proporcionar servicios específicos para implementar las soluciones de acuerdo con las mejores prácticas y metodología probada proyectos de implementación tanto requeridos para cada proyecto y para el suministro de productos.
Nuestro equipo de técnicos e ingenieros han trabajado en grandes proyectos para empresas internacionales en América Latina. Nuestro conocimiento y tecnología se aplican en diversas industrias tales como petróleo y gas, química, petroquímica, minería, metales, alimentos, bebidas, automotriz, farmacéutica y otras.
Para obtener más información sobre las actividades que desarrolla ISA Sección Sao Paulo, visite www.isasp.org.br
Nuevo Programa para Partners e Integradores de Sistemas 2017
¡Prepárese! ¡Ya está aquí! El Programa para Partners e Integradores de Sistemas de WiseGroup, que lanzamos especialmente diseñado para el mercado sudamericano. Acumulamos más de 20 años de experiencia habiendo trabajado con canales en la región, en un nuevo extraordinario programa.
No tenemos ninguna duda que este será el programa del canal más destacado del sector. Un programa Simple, Predecible, y Rentable. Un programa para destacar. Un programa para superar.
Cuando dimos a conocer el programa para partners de WiseGroup, anunciamos los tipos de niveles: Agente, Registrado, Certificado y Premier.
- Desde que se haya registrado en nuestro programa recibirá diversos cursos de entrenamiento para sus profesionales sobre todos los productos y sistemas distribuidos por WisePlant. Más de 10 Cursos de capacitación disponibles además de todas las herramientas necesarias para que el Integrador adquiera una buena autonomía y confianza.
- Sabemos que la mejor forma para ser exitosos es que todos estamos comprometidos. Por eso que no somos amigos de las relaciones oportunistas. Los leads que recibamos de clientes interesados serán canalizados a través de integradores Certificados. Nosotros no realizamos integración de sistemas y es por esto motivo que el 100% de los proyectos deben ser ejecutados por Integradores de Sistemas capacitados.
- Indendientemente de que el Integrador de Sistemas Certificado adquiera una gran cantidad de conocinientos y autonomía, tanto comercial como técnica, siempre estaremos acompañando y soportando sus actividades para el éxito.
Nuestro compromiso es de ser transparentes y mantenerlo informado durante el proceso de desarrollo. Hoy, nos complace compartir nuestra estrategia para integradores y sus niveles, en una metodología adecuada a su organización con el apoyo de los fabricantes representados por WiseGroup.
La Fuente de Energía Segura de Bedrock gana el premio al Producto Innovador 2016 de la revista Processing
El pasado 20 de Diciembre, 2016 – La revista Processing nombra a la Fuente de Energía SPS.500 de Bedrock Automation como un Producto Innovador del 2016. Processing reconoce al producto por su diseño único, que une CiberSeguridad y conexión Ethernet en una fuente de energía para sistemas de críticos, de alta resistencia y alto rendimiento.
El editor en jefe de la revista Processing, Lito Ditoro, dijo: “Las fuentes de energía están entre los componentes de un sistema de control de procesos con mayor tendencia a fallar, y de los más vulnerables a los ataques cibernéticos. La SPS.500 de Bedrock nos impresiona, no solo por su diseño, sino porque también parece ser el único producto que aborda este problema.”
Bedrock Automation diseñó la fuente de energía SPS.500 independiente para ser la más segura, inteligente y duradera disponible al dia de hoy. Hace de la fuente de energía, una participe viable de la industria del internet de las cosas, al proveer las siguientes características, poco comunes en fuentes de energía actuales:
- Protección de ciberseguridad intrínseca.
- Comunicaciones de Ethernet y OPC/UA, permitiendo monitoreo local y remoto de la salud de la fuente de energía.
- Un poderoso microprocesador ciber seguro, y memoria incorporada para diagnósticos y funcionalidad definida para el software.
- Un módulo de redundancia integrado que simplifica la instalación y aumenta la fiabilidad.
- Dos relays de contacto tipo C incorporados, configurables por software, para el estado operativo y de diagnóstico.
El fundador, CTO y vicepresidente de ingeniería de Bedrock, Albert Rooyakkers dijo: “Cuando nos propusimos a diseñar nuestro sistema de control, empezamos con una hoja de papel en blanco, y lo construimos con simplicidad, escalabilidad y seguridad desde el principio. Extendimos este principio más allá del controlador, llevándolo al ambiente de ingeniería, a las entradas y salidas, y a la fuente de energía. Nuestros equipos de ingeniería se dedican a entregar la CiberSeguridad más completa posible, y el reconocimiento de este esfuerzo por la revista Processing es realmente gratificante para todos nosotros.”
Para ver información del Sistema de Energía SPS.500 de Bedrock siga AQUI
Tema de Estudio: ¿Qué hay de cierto, aciertos y desaciertos cuando se habla de la Convergencia IT/OT?
Para hablar de Convergencia entre los ambientes de IT y de OT deberíamos antes aclarar que este no es un tema nuevo. Desde hace décadas que se viene desarrollando la convergencia. Se han ido incorporando las tecnologías de IT en los ámbitos industriales y con importantes beneficios. Resulta difícil encontrar en el mercado un criterio común al respecto de este tema ya que la palabra convergencia es empleada de muchas formas y con diferentes objetivos. En los últimos años con la nueva tendencia de CiberRiesgos en los Sistemas Industriales, habituales en el ambiente de IT, vuelve a agitarse el tema.
Históricamente, la tecnología de la información y la tecnología operacional se han desarrollado por caminos independientes, con diferentes objetivos y responsabilidades, operando en ambientes muy distintos. Sin embargo, hubo y aún hay mucho que ganar, alineando e integrando el trabajo entre ambos. La tecnología de OT involucra a numerosos sectores e industrias, donde cada uno tiene sus propias normas, tecnologías, requerimientos, etc. Con la creciente sofisticación y aplicación de tecnologías de redes inteligentes en la industria, aplicaciones de TI trabajan en sincronismo con aplicaciones de OT para aumentar el rendimiento, mejorar la eficiencia operacional con la eliminación de los silos de información, la mejora de los procesos, reducción de costos, incremento de la seguridad, entre otros beneficios.
La gran mayoría de las industrias han desarrollado y gestionado OT e IT como dos dominios diferentes (que de hecho lo son), donde cada uno mantiene tecnología, protocolos, estándares, modelos de gobernanza y unidades organizativas. Durante las últimas dos décadas, OT ha ido adoptando progresivamente tecnologías de IT, como IP (Internet Protocol), que ha ganado aceptación como un protocolo de red común, y Microsoft Windows que es más frecuente en una amplia gama de sistemas. En la actualidad se requiere de una gestión de gobernanza más integrada, que no es lo mismo que decir “comunes”, ya que las mismas reglas no son válidas en ambos dominios, y disponer de equipos de trabajo con profesionales de ambos dominios.
La integración o convergencia entre IT y OT se viene desarrollando desde hace por lo menos dos décadas, habiendo tomado un muy fuerte impulso la incorporación de redes industriales y el uso de protocolos industriales basados en TCP/IP, como así también en la incorporación de sistemas operativos comerciales, tales como Microsoft Windows, en una gran cantidad de sistemas.
Para una descripción más comprensiva de IT y de OT, debemos hacer referencia a una de las normas de ISA, conocida como ISA95, que define un modelo para el intercambio de información entre los ambientes de IT y de OT. ISA es una organización sin fines de lucro que desarrolla estándares aceptados globalmente en todos los sectores industriales y de todas partes del mundo. ISA95 se compone de modelos y terminología que puede utilizarse para determinar la información a ser intercambiada entre sistemas comerciales (por ejemplo, finanzas y logística), sistemas de producción, mantenimiento y calidad. La información se estructura modelando los procesos, que también sirven como base para el desarrollo de interfaces entre sistemas de IT y OT. Existen en la norma mecanismos y procesos específicos para realizar dichos intercambios con validaciones y confirmaciones. Es muy buena práctica emplear una Zona de Intercambio de Información denominada como Nivel 3,5 estableciendo una Zona Demilitarizada o DMZ.
Históricamente, el diseño de sistemas de OT tuvo que cumplir con requisitos específicos incluyendo la disponibilidad en tiempo real y la introducción de datos técnicos, como temperatura y presión, así como resistencia a condiciones ambientales de trabajo muy agresivas, como la humedad, corrosión, interferencias electromagnéticas severas y la vibración. En el pasado, las comunicaciones Ethernet y TCP/IP no eran consideradas una opción para OT debido a su fragilidad y otras limitaciones técnicas. Desde entonces, y con el aumento de las velocidades, esto ha cambiado dramáticamente. Dispositivos recientes que soportan TCP/IP y otras formas de conexión Wi-Fi (IEEE 802.11) de red pueden cumplir la mayoría de requisitos de OT. Si bien es cierto que las Redes Industriales basadas en tecnologías de IT se han ido incorporando de forma progresiva, al momento de analizar la totalidad de las Redes del tipo industriales, estas no llegan a cubrir la cuarta parte. Es decir que, a pesar de la gran aceptación tres cuartos de las redes Industriales no son TCP/IP. Además de ello el hecho de que sean basadas en TCP/IP las compañías y proveedores de automatización han agregado funciones específicas, poco comunes para los ambientes de IT, aun basados en TCP/IP. Las redes industriales requieren de un comportamiento determinístico. Por lo tanto, los fabricantes agregan funcionalidades para construir protocolos con un comportamiento cercano al “determinístico” aun basadas en TCP/IP. El diseño de estas Redes industriales, tienen requerimientos específicos que resultan inusuales en los ámbitos de IT.
Otro importante alineamiento se refiere a los sistemas operativos (OSs). Tradicionalmente, una elección necesaria entre tiempo compartido (IT) y sistemas operativos en tiempo real (OT). Con el aumento de capacidad de sistemas embebidos y el despliegue de arquitectura dirigida por eventos (‘RT-SOA’ o en tiempo real Service Oriented Architecture), un creciente uso del tradicional OS (Unix-like o Windows MSFT) fue siendo integrado en el entorno de OT. Este tipo de restricciones tecnológicas históricas condujo al desarrollo de un conjunto completo de normas específicas de OT, que cubren las áreas de comunicaciones, seguridad industrial, automatización, mediciones, y muchas otras hasta los procesos de integración IT/OT. La mayoría de estas normas son ahora de facto y promovidas por grandes fabricantes de OT, como Siemens, Rockwell, Emerson, ABB, Yokogawa, GE, Schneider y tantos otros.
El Camino a la Convergencia
La incorporación de DOS, Windows NT, Windows 32, la creación de OPC (OLE for Process Control), y así sucesivamente en los ambientes industriales vienen siendo una clara demostración de esta convergencia. La creación de innumerables protocolos industriales basados en tecnologías Ethernet TCP/IP. La propia creación de la norma ISA95, como muchas otras normas, son también una clara evidencia de la necesidad y conveniencia por la convergencia.
OPC Foundation, en la actualidad una organización mundial soportada por un gran número de compañías de todas partes del mundo, fue creada en el año 1995 por 5 empresas innovadoras líderes con una clara visión de futuro. Estas empresas fueron: Microsoft, Intellution, Opto22, Camstar, y SAP. Si bien OPC es un protocolo industrial basado en TCP/IP este contiene características y funciones inusuales para los ambientes de IT.
En la industria de OT como en IT, hemos sido testigos del famoso Y2K, donde muchos “expertos” nos decían que los sistemas fallarían, si no hacíamos un up-grade, por un problema de la cantidad de dígitos en el manejo de las fechas por los dispositivos. Las consecuencias que esto ocasionaría podrían provocar daños de alcances impredecibles.
La incorporación de los Buses de Campo Industriales basados en la comunicación inalámbrica, como los protocolos industriales Wireless HART e ISA100, también son una clara evidencia de la incorporación de las tecnologías inalámbricas en el ámbito industrial. En un principio empleados únicamente para la lectura de datos y progresivamente cada vez más utilizados para funciones de control.
Podemos seguir enumerando ejemplos de que la Integración y Convergencia de IT/OT se inició hace ya mucho tiempo y ha ido creciendo de forma constante. No hay duda de ello. La cuestión es, cómo continuará este proceso de integración y convergencia hacia adelante.
La falta de conocimiento y de investigación, también genera inversiones erradas y la implementación de soluciones ineficientes. Cuántos profesionales hablan de las normas y las tecnologías como si las conocieran de toda la vida, y nunca han leído ni una sola página de ellas. Repiten lo que alguien dijo sin conocer adecuadamente el origen ni sus fundamentos. La mejor forma de combatir esta realidad inevitable es por medio de la Capacitación.
Muchos creen que los incidentes a la CiberSeguridad Industrial provienen del ambiente de IT y más aún, estos son una consecuencia de haber aceptado las tecnologías comerciales de IT en el ámbito industrial. Lo cual es falso. En la actualidad las tecnologías y los sistemas industriales son mucho más vulnerables que los sistemas industriales basados en las tecnologías de IT. Lo que sucede es que ahora hay interés por aprovechar estas vulnerabilidades para causar daño u obtener algún tipo de beneficio. Antes esto no era una preocupación como si lo es en la actualidad.
Industrial Internet of Things (IIoT) o bien Industry 4.0 como también se vienen desarrollando son otra clara evidencia de este avance constante de la convergencia entre los ámbitos de IT y de OT. Esta es una tendencia irreversible y sería una necedad negarla.
Definiendo IT y OT
Si bien existen definiciones de IT y OT como en el caso de las normas de ISA, OT se asocia típicamente con dispositivos de campo conectados a los procesos y la infraestructura para la vigilancia y control de los procesos industriales. Esto incluye sistemas DCS (Distributed Control Systems), SIS (Safety Instrumented Systems), ESD (Emergency Shut Down Systems), PLC (Programmable Logic Controllers), Control de supervisión y adquisición de datos SCADA (Scan, Control And Data Acquisition Systems), sistemas de gestión de distribución DMS (Distribution Management Systems), Sistema de detección de pérdidas en ductos LDS (Leak Detection Systems), AMS (Assets Management Systems), y muchos otros. La mayoría de estos sistemas están ejecutando acciones del tipo dispositivo-a-dispositivo, o dispositivo-a-sistemas de forma automática con muy poca interacción humana.
IT se asocia tradicionalmente con sistemas de información back office usados para la realización de transacciones de tipo de negocio, como costo impuestos contabilidad, facturación y recaudación de ingresos, seguimiento de activos y depreciación, registros de recursos humanos y tiempo y registros de clientes. Entrada manual de datos a menudo está implicado, y los recursos informáticos han tendido a centrarse en oficinas, salas de servidores y data centers corporativos.
Desde los ámbitos de IT existe una generalización por denominar a los sistemas industriales, como si todos fuesen sistemas SCADA, lo cual es incorrecto y un claro desacierto. Los sistemas SCADA tienen un uso muy específico en las industrias y representan solamente una porción pequeña de los sistemas industriales. También existe la idea de que la protección de los sistemas industriales debe ser realizada sobre las redes TCP/IP y sobre los Sistemas que utilizan Sistemas Operativos Windows. Lo cual también es otro gran desacierto. Las estadísticas de los incidentes industriales suministrados por organizaciones dedicadas a la CiberSeguridad Industrial, reflejan que menos del 5% son generados en las tecnologías de IT. Por otro lado, los acercamientos propuestos por muchas organizaciones con amplia experiencia en la Seguridad de la Información proponen un acercamiento errado al momento de abordar la CiberSeguridad Industrial. Es más, en algunos casos hemos visto que las medidas propuestas por sectores de seguridad de IT se vuelven en una verdadera amenaza para la Seguridad Industrial.
El incidente ocurrido en Ukrania el pasado 23 de diciembre de 2015, pone en evidencia la ineficiencia en las implementaciones de protecciones parciales sobre las redes industriales. Ukrania, uno de los países, supuestamente mejor preparados en materia de CiberSeguridad, CiberGuerra y/o CiberDefensa, fue prácticamente puesto en ridículo al resultar víctimas de un CiberAtaque en sus redes de distribución eléctrica en la zona Oeste del país, además de las pérdidas económicas enormes. Se puede acceder al Caso de Estudio en el link al final de la nota.
Desarrollo Técnico
Cada sector industrial tiene su propia característica, y típicamente en cada tipo de industria vamos a encontrar protocolos, tecnologías y normas específicas para cada uno de estos segmentos, tales como, petróleo & gas, farmacéutico, energía eléctrica, alimentos, aguas, etc. Cada uno con sus particularidades y muchas especificidades.
Solamente por comentar uno de ellos, los sistemas de distribución eléctrica se han constituido con un alto grado de inteligencia de OT por mucho tiempo, en el desarrollo de los reguladores de voltaje, LTCs (cambiadores de carga), Bancos de interruptores, reconectadores, seccionadores, interruptores de ruptura de carga y relés electromecánicos con inteligencia local. Se están convirtiendo en sistemas cada vez más sofisticados y el nivel de datos OT para las organizaciones de distribución eléctrica sigue aumentando con muchos más dispositivos inteligentes en comunicación que se añaden a las redes casi de forma constante.
El amplio desarrollo tecnológico en ambos dominios de IT y OT en organizaciones industriales reclama una mejora organizacional integral que incorpore a la CiberSeguridad Industrial. Los silos de información entre los ambientes de IT y OT no son un problema, ya que las redes de IT y OT están interconectadas en la amplia mayoría de las industrias. Surge la urgente necesidad de crear políticas y medidas para la protección de la CiberSeguridad Industrial, y esta debe ser encarada como un trabajo conjunto entre ambos dominios de IT y de OT. Esto es un desafío tanto para los profesionales de IT que desconocen el dominio industrial como para los profesionales de OT que son normalmente más renuentes a ser usados como conejillos de indias en la implementación de nuevas tecnologías.
La CiberSeguridad Industrial o mejor dicho los riesgos a la Seguridad en la industria como consecuencia de las vulnerabilidades tecnológicas de los sistemas, está agitando nuevamente el debate sobre la convergencia entre IT/OT.
En la actualidad, no termina de salir y madurar una tecnología que ya está saliendo otra nueva superadora de la anterior. ¿Cómo se puede superar a una tecnología inmadura con una nueva tecnología aún más inmadura? Cuando en el ámbito de IT existe una tendencia a seguir la ola e incorporar las nuevas tecnologías con avidez en los ámbitos industriales, se requiere que estas pasen antes por un proceso de maduración mayor, y con más razón, antes de incorporarlas en los ambientes críticos.
Podemos llegar a decir que estos temas han sido el disparador que trae nuevamente sobre la mesa la mayor cantidad de discusiones respecto de la convergencia. Para comprenderla debemos volver a las bases. Cuando hablamos de CiberSeguridad Industrial, en OT la prioridad está enfocada en la Disponibilidad, mientras que en el ámbito corporativo la prioridad está enfocada en la Confidencialidad de la información. Fiel a cada Dominio cada ambiente continuará manteniendo su esencia. La principal diferencia que existe en el ámbito industrial es que los sistemas de control tienen un impacto sobre el mundo físico y por lo tanto la seguridad física es lo primordial. Solo por mencionar una de las muchas diferencias. Por mucho que se fuerce la convergencia No va a cambiar las características esenciales de ambos ambientes.
La CiberSeguridad Industrial representa un desafío para las organizaciones de cualquier industria, lo mismo que para una nación preocupada por la seguridad de su infraestructura crítica y de su población. No importa que los profesionales provengan de los ámbitos de IT o de OT, la CiberSeguridad Industrial será altamente desafiante para ambos perfiles de profesionales.
Es un error pensar a la CiberSeguridad Industrial o de OT como un anexo o extensión de la CiberSeguridad para IT. Como así también es un error pensar que los sistemas de OT no presentan riesgos y que estas son solo creadas en los ambientes y tecnologías IT. Puesto que estos dos enfoques son incorrecto y falso.
Las vulnerabilidades en los Sistemas Industriales están en todos los niveles. No solamente en las redes industriales basadas en TCP/IP, también están en los PLCs, en los protocolos industriales seriales, en los protocolos de las redes de control, en las redes inalámbricas, en los sistemas de cableado, etc.
Entonces, ¿Cómo encarar el desafio que nos reclama la Ciberseguridad Industrial?
La Matriz de CiberSeguridad de OT, solamente en América existen más de 30 normas, guías y marcos de referencia, destinadas a la CiberSeguridad Industrial e infraestructuras Críticas. En la mayoría de los artículos y notas que observamos, muchos suelen llamarles a todas ellas como normas, cuando en realidad no lo son, y son todas diferentes. Comprender las diferencias entre ellas no es una tarea menor. Para proteger a las redes industriales de forma efectiva y eficiente se requiere de un enfoque metodológico con un Sistema de CiberDefensa o CiberSeguridad Comprensivo. De lo contrario, lamentablemente para muchos, será como no hacer nada. Basta con revisar nuevamente el caso de Ukrania como tantos otros casos similares. No se puede proteger a una casa solamente colocando protecciones en la puerta de servicio. También hay ventanas, puerta principal, cochera, entrada del perro y del gato, etc. La CiberSeguridad Industrial debe ser encarada de forma comprensiva y ejecutado de forma correcta.
¿De quién es la responsabilidad por la Ciberseguridad Industrial?
De forma más amplia, la responsabilidad por la CiberSeguridad Industrial es, como mínimo, de todos aquellos que participan en la cadena de valor. La capacitación y certificación de profesionales dedicados a la CiberSeguridad Industrial es uno de los primeros pasos razonables por dar, al igual que acceder a un esquema de calificación y certificación de proveedores de sistemas de automatización y control industrial.
Usuarios Finales: deberán como primera medida definir políticas, procedimientos, especificaciones, etc. como parte de un buen programa de CiberSeguridad Industrial. Incluyendo:
- Efectuar un relevamiento de todo lo que tienen instalado en sus procesos, clasificar a su infraestructura según su criticidad, efectuar análisis detallado de los riesgos, identificar las vulnerabilidades de los sistemas actuales en todos los Niveles 0, 1, 2, y 3; definir los niveles de aceptación de riesgos, construir e implementar medidas de protección adecuadas entre muchas otras actividades.
- Será necesario generar nuevas especificaciones técnicas al momento de adquirir nuevos sistemas, además de realizar las pruebas adecuadas y controles adecuados antes de su instalación en la planta. Esto requiere un buen involucramiento del sector de Ingeniería para la adecuada especificación, compra y recepción de los nuevos sistemas industriales.
- Evaluar y clasificar a los integradores, proveedores y fabricantes. Los usuarios finales exigirán que los integradores de sistemas demuestren buenas prácticas de ingeniería, además de los sistemas configurados y probados para la CiberSeguridad,
- Al igual que el item anterior, que los Sistemas y Productos tengan certificaciones demostrables de CiberSeguridad.
Integradores de Sistemas: Es necesario que los integradores de sistemas puedan comprender las especificaciones y requerimientos de los proveedores relativos a la CiberSeguridad Industrial. Suministrar soluciones de Ingeniería, con su documentación, realizar pruebas con sus demostrativos, de la misma forma. Además de realizar los diseños y configuración de los Sistemas Industriales. Implementar las mejores prácticas y técnicas de diseño, configuración y desarrollo del sistema de acuerdo con los nuevos requerimientos. Los integradores, deberán conocer las cuestiones técnicas como las cuestiones metodológicas y las mejores prácticas de Ingeniería para los sistemas que ellos ensamblan y proveen.
Proveedores de Sistemas Industriales: Los proveedores de sistemas deberán suministrar y mantener sistemas libres de vulnerabilidades, que satisfagan las necesidades actuales de Seguridad. Durante muchos años los sistemas fueron desarrollados sin considerar los riesgos a la ciberseguridad Industrial. Los fabricantes, deberán además de asegurar que el Software de sus sistemas es segurizado. Arquitecturas recomendadas, software y hardware homologado, compatible con los sistemas tal que permita cumplir con los nuevos requerimientos de seguridad del mercado. La mayoría de las empresas proveedores de Sistemas de Control ya han tomado iniciativa en este tema, y la gran mayoría ya tienen soluciones y recomendaciones de Seguridad Agregada, a pesar de que aún muchos no tienen sus productos homologados ni certificados. Aquí es donde surge uno de los más importantes progresos en la CiberSeguridad de los Sistemas de Control, “La CiberSeguridad Embebida por diseño vs. La CiberSeguridad Agregada”.
Los Fabricantes de Productos Industriales: muchos fabricantes de productos que luego son utilizados como partes de los sistemas de control también deberán producir partes que sean lo suficientemente seguras y puedan soportar los más persistentes ataques a la seguridad digital. Los fabricantes ya comenzaron a construir sistemas con CiberSeguridad embebida, en vez de la CiberSeguridad construida o desarrollada por fuera. Un claro ejemplo de esto es el caso del sistema de Bedrock Automation.
Algunas Referencias Citadas en el Estudio
- Programa de Capacitación y Certificación Profesional. LINK
- Sistema Bedrock Automation Platforms. LINK
- OPC Foundation. (opcfoundation.org)
- ISA International Society of Automation. (isa.org)
- ISA Secure (isasecure.org)
- Caso de Estudio de Ataque al Sistema Interconectado Eléctrico de Ukrania. LINK
