[ Publicado el 2 de octubre de 2011]
[ Publicado en la prestigiosa revista Automática e Instrumentación número 433 ]
Aunque parece obvio a primera vista no es sencillo implantar una
protección antivirus sin un esfuerzo adicional dentro de un plan
integral de ciberseguridad.
Fuentes : Experiencia personal
Somos muchos los que ahora estamos en la tesitura y obligación profesional de revisar el concepto de protección AV dentro del panorama de la ciberseguridad industrial.
Prestigiosos investigadores de la ciberseguridad en industria como Eric Byres han afirmado y recomendado en varias ocasiones la necesidad de integrar la protección de un sistema antivirus (AV) dentro de un plan integral de ciberseguridad.
La ciberseguridad en nuestras industrias es un tema que esta costando muchisimo trabajo de mover por cuanto existen muchos obstáculos en el camino, bien sean administrativos, organizativos, financieros o técnicos.
En ningún caso una solución parcial de ciberseguridad logrará alcanzar un nivel de protección satisfactorio, solo conseguirá aparentar un nivel de protección cara a la dirección de las compañías o cara al mercado que pronto mostrará sus debilidades frente a un problema real.
Hoy día ya no se puede hacer distinción entre grandes compañías, con varias plantas industriales, y pequeñas factorías en cuanto a tecnología IT porque todas ellas en mayor más que en menor medida implantan e integran soluciones IT en un mismo universo de ventajas (sobre todo costes) e inconvenientes (dolores de cabeza para nosotros los técnicos).
Si mantenemos la referencia del modelo CIM recuperado por la ISA-99 nos daremos cuenta del enorme riesgo que ha supuesto compartir los recursos de los sistemas de información de las capas 5 y 4 (negocio) con las 1,2 y 3 de los sistemas de control industrial ICS/SCADA/DCS. En una amplia mayoría de instalaciones industriales de nuestro pais conviven PLCs con estaciones de trabajo (de negocio o ingenieria) y servidores multipropósito (correo, ERP y SCADAS) con pasarelas a internet ( sin IDS/IPS ).
Para que recordar la facilidad de uso de las memorias portátiles de tipo stick como principal caballo de batalla de los hackers, crackers y terroristas cibernéticos estatales (Stuxnet) y mafiosos (derivados de Stuxnet).
El antivirus juega un papel de "coctel medicinal" para ser en si en primera instancia un cortafuegos de propagación de malware desde los equipos mas "informatizados" hacia los controladores ICS. Los controladores PLCs, PACs e incluso IPCs suelen implementar pilas TCP/IP menos complejas y protegidas que la de productos de sobremesa y servidores con Windows o Linux. Además los dispositivos de control ICS son menos amigables de las constantes actualizaciones que sufren los sistemas operativos modernos.
Pero el despliegue de tecnología AV supone en si mismo un problema logístico de gestión y otro de implementación e impacto técnico.
El primero se resuelve con soluciones integrales de consola que algunos fabricantes ofrecen en su formato "enterprise". La principal característica y premisa es la capacidad de control centralizado de la gestión de parámetros de motor, actualizaciones y monitorización de alertas. La agrupación de equipos respecto a planes de protección conforme a las prestaciones de los motores AV es vital. Para un equipo IPC de control la interferencia del motor del AV puede ser en un momento puntual motivo de conflicto y origen de un incidente en el normal funcionamiento, por ello un determinado plan recogería los parámetros necesarios para reducir el riesgo de conflicto. Sin embargo para un servidor SCADA, cuyas posibilidades de recursos en hardware superan el consumo de cualquier motor AV, lo que supone una amenaza para la aplicación industrial es el hecho de bloqueos de archivos sospechosos, ejecución de scaneos totales o actualizaciones de motor.
El equipo IPC y el servidor SCADA son ejemplos de capa 1 y 3 con determinados patrones de planes de protección para los elementos de la misma capa, pero normalmente incluso en la misma capa existen equipos que necesitan planes diferentes.
Los problemas técnicos que pueden plantear el uso de los AV estan en consonancia con la capa CIM y las caracterisiticas concretas del proceso de control. Algunos son :
- El consumo de recursos y conflictos entre el motor AV y la aplicación de control.
- La presencia de diólogos interactivos que secuestran archivos sospechosos en espera de respuestas.
- El bloqueo de acceso a ficheros sospechosos.
- El excesivo recelo heurístico de los motores.
- Operaciones de sandbox.
- El consumo de recursos I/O en los escaneos totales.
- Operaciones de actualización de motor.
La principal premisa y requerimiento que hay que cumplir a la hora de diseñar un despliegue de protección AV (centralizado o no) es que :
"nunca el funcionamiento del AV debe interrumpir o interferir en el funcionamiento de un sistema de control y supervisión de proceso industrial". De la cual se extrae la regla de oro : " Una protección AV nunca deberá parar una planta o provocar un accidente".
Bueno, pensareis, si "capamos" precisamente la principal utilidad de un antivirus que es bloquear la actividad del malware una vez que los detecta, ¿ para que queremos la protección AV con las dificultades de despliegue, coste y mantenimiento que ello puede plantear ?
Pues precisamente ese es un aspecto que probablemente no guste a las mentes convencionales españolas en IT, es necesario crear y mantener un sistema humano de alerta y reacción para que de una forma controlada y sincronizada con los departamento de producción y mantenimiento de una factoría llevar al sistema de control afectado a un "estado seguro para hombre y maquina" y proceder a una investigación mas exhaustiva y/o la eliminación sistemática del malware. ¿ Y por qué digo que no gusta ? porque entre otros el recorte de costes tiende por un lado a usar la técnica de externalización y por otro a la de reducción al mínimo de esos recursos externalizados para seguir siendo rentables, y, el hecho de implantar un sistema de proteccion AV en los términos que destaco supone precisamente ir hacia el lado contrario de reducir costes : formación específica, procedimientos de respuesta, técnica y metodología, herramientas y la coordinación con el area de producción (esto último quizás es el punto más débil de todos).
Hay un riesgo mas grave que el propio riesgo que puede plantear la presencia de una amenaza malware en nuestra industria y es que al final se implante una "guarreria" de plan de protección AV con el único y equivocado objetivo de escenificar la implantacion de una medida de protección proactiva fantasma.
En resumen, la protección antivirus dentro de un plan integral de ciberseguridad para los sistema de información en genaral de negocio y en específico de planta de nuestra industria, sea infraestructura crítica o no, es vital. Requiere un esfuerzo económico, de organización y técnico que no puede languidecer ante la tentación de atajar por caminos engañosamente más sencillos y dudosamente rentables.
Javier G. Sáenz
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos
Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK
No hay comentarios:
Publicar un comentario