Incrementar el nivel de conectividad de las redes industriales ofrece muchos beneficios pero también conlleva un incremento de los riesgos de ciberseguridad que puedan afectar al control de las operaciones.

Los ciberataques siguen evolucionando, siendo cada vez más difíciles de detectar y mitigar. Por esta razón, debería ser una prioridad establecer mecanismos para adaptarnos a la nueva situación y minimizar este tipo de amenazas.

Lo más fácil es monitorizar la red: cuanto más rápido seamos a la hora de responder, menor será el impacto de los posibles ataques recibidos. La monitorización juega un papel muy importante al permitirnos detectar incidentes y actuar de forma rápida. Por tanto, la protección de los PLC y PAC debe empezar antes de recibir ataques.

Existen herramientas de monitorización que utilizan “port-mirror” de la electrónica de red para detectar fácilmente los protocolos de comunicación, conexiones o tipos de comunicación no esperados. Aunque estas comunicaciones no tienen porqué representar una amenaza real, si que puede utilizarse como un indicador a investigar para entender perfectamente qué es lo que está sucediendo en nuestra red OT y poder discernir sobre qué es lo correcto y qué no lo es.

La mayoría de las empresas son conscientes de que se debe implementar soluciones anti-malware en los servidores SCADA o equipos HMI, pero es igualmente importante aplicar estas soluciones en “cualquier” dispositivo que se conecte a la red de control, incluyendo portátiles, tabletas, móviles, etc. ya que cualquier dispositivo puede ser aprovechado para realizar acciones maliciosas y/o movimientos laterales.

Cuando la solución anti-malware se implementa de forma transversal y centralizada para toda la instalación, ésta puede prevenir, detectar y eliminar código malicioso; también ayuda al proceso de monitorización para que sea más efectivo y eficiente.

PROTEGIENDO PLCS de amenazas

Limitar los daños

No importa lo preparado que estés, los ataques continúan y continuarán, por tanto, no solo es necesario prevenir que tengan éxito sino también limitar el daño en caso que sean satisfactorios.

Una manera de limitar los daños es implementar una estrategia de defensa en profundidad donde se plantee  aplicar una serie de medidas de seguridad, independientes entre ellas, por capas. De esta manera, un posible atacante tendrá que conseguir superar varias defensas para comprometer con éxito el sistema. Tener una buena estrategia de defensa en profundidad ayuda a evitar problemas de seguridad y paradas de producción.

Segmentar las redes entre diferentes zonas lógicas ayuda a minimizar amenazas internas, que, aunque menos comunes, sus resultados pueden ser catastróficos. Disponer de diferentes zonas segmentadas puede suponer un reto adicional para la gestión y mantenimiento de la red industrial, sin embargo, está considerado por la IEC 62443 como una de las mejores maneras de proteger entornos OT.  Aislar, auditar y monitorizar los accesos de las redes de PLC suele ser el mecanismo idóneo para garantizar que el núcleo productivo de la planta se encuentra lo menos expuesto posible.

Otro mecanismo para limitar los daños es el uso de redundancias, arquitecturas de alta disponibilidad / tolerancia a fallos y disponer de copias de seguridad de los sistemas de control. De esta manera, los sistemas podrán seguir funcionando en caso de averías hardware/software de sus componentes.

Finalmente, el mejor mecanismo para limitar el impacto de las amenazas de ciberseguridad es establecer políticas y procedimientos de continuidad de negocio.

Deshabilitar y bloquear todos los puertos de comunicación no usados, así como los desactivar los servicios no necesarios son otras actividades que suelen pasar desapercibidas y no se realizan. Desde el prisma de ciberseguridad, deberían realizarse para minimizar la superficie de exposición a posibles ataques.

Monitorizar las comunicaciones entre máquinas (M2M) es otro paso crucial para asegurar que no está teniendo lugar ningún tipo de ataque. Todas las comunicaciones deberían utilizar protocolos seguros como OPC UA, el cual ofrece una seguridad robusta de autenticación y autorización, cifrado e integridad.

Gestión de credenciales

Los fallos no intencionados pueden ser una de las principales amenazas para una organización. Es importante liderar y educar a los compañeros del trabajo para que sean conscientes que sus acciones pueden representar amenazas de ciberseguridad. Concienciación y formación continua son claves para evitar ataques de ingeniería social.

Otro ejemplo típico y una de los mayores amenazas es la elección de contraseñas. En un mundo donde las contraseñas más utilizadas son ‘admin’ o ‘123456’ indican que no se siguen políticas para utilizar credenciales seguras. No podemos parar de repetir lo importante de utilizar contraseñas fuertes y robustas, utilizar autenticaciones multi-factor y permisos basados en roles para incrementar el nivel de ciberseguridad de acceso.

Si después de leer este post aún te quedan dudas sobre cómo proceder para la adecuada protección de tus PLCs ¡no dudes en contactarnos!