Recomendaciones de acciones inmediatas de la NSA y la CISA para OT

Revisar las recomendaciones de la NSA y la CISA para redes industriales OT

En el segundo semestre del 2020 la NIST-NVS (National Institute of Standards and Technology National Vulnerability Database) emitío una serie de recomendaciones de acciones inmediatas a tomar en OT (tecnologías de la operación) así como ICS (sistemas de control industrial). En este artículo te presento un resumen ejecutivo sobre las recomendaciones. El gobierno de estados unidos a través de las dependencias antes mencionadas ha emitido recomendaciones que todo ambiente industrial debe tomar de forma inmediata a raíz del incremento de la ciber actividad maliciosa de los últimos meses. La accesibilidad de internet de los dispositivos de OT ha incrementado la vulnerabilidad de 16 sectores clave de EE.UU., debido al monitoreo y soporte remoto, descentralización de la fuerza de trabajo, outsourcing de ciertas áreas de habilidades de instrumentación y control, administración de activos OT, y en algunos casos, procesos de mantenimiento y operación.  

Técnicas de ataque observadas:

• Phising, se obtiene acceso inicial a la red de IT y posteriormente atacan activos de OT
• Ataque de ramsonware tanto en IT como en OT
• Conexiones a los PLC’s que tienen acceso a internet
• Accediendo a los puertos tradicionales de comunicación de los equipos de control, modificando la programación de los mismos
• A través de un firmware modificado

Impactos:

• Falta de disponibilidad de la red OT
• Pérdida parcial del proceso hacia los operadores
• Manipulación del producto final
• Pérdida de productividad y utilidades

Recomendaciones de la NSA y la CISA:

1. Tener un plan para OT relisciente
   1. Adopta un framework industrial que te guiará
   2. Desconecta accesos directos al internet
   3. Remueve funcionalidades que pueda inducir a riesgo (vulnerabilidades)
   4. Identifica los sistemas y sus dependencias
   5. Asigna roles y responsabilidades para la red de OT
   6. Respaldos de recursos (firmware, software, programaciones, contratos de servicios, etc)
   7. Prueba los respaldos
2. Prueba tu plan
   1. Haz más de un ejercicio simulando alguna falla
   2. Incluye al departamento legal y relaciones públicas
   3. Asigna diferentes responsables
   4. Ten a la mano soporte externo
3. Endurece tu red
   1. Elabora tu lista blanca de direcciones IP externas
   2. Reduce al mínimo conexiones externas, de ser posible nulas, los accesos tienen que ser observados desde una consola aislada
   3. Parches necesarios y probados en un ambiente no productivo
   4. Segmenta tu red, implementa DMZ, Defense-in-Depth, firewalls de diferentes marcas, etc.
   5. Revisa las VPN, conexiones desde y hacia
   6. Revisa continuamente las políticas de los firewalls
   7. Examina el tráfico con DPI (Deep packet inspection) y bloquea comandos de control peligrosos de usuarios no autorizados
4. Implementa un sistema de monitoreo vigilante
   1. Almacena y revisa los logs de los equipos
   2. Monitorea cambios en equipos, red, comportamiento
   3. Establece setpoints

    Fuente: https://us-cert.cisa.gov/ncas/alerts/aa20-205a

Contáctanos para cualquier duda o ayuda que requieras.

  Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

ISA99 / IEC62443