Aplicación de tecnologías antimalware en entornos OT

Como comentábamos en esta entrada, la organización ENISA (European Union Agency for Network and Information Security) publica en su informe “ENISA Threat Landscape 2014” que la aparición de malware específico o malware que utiliza vulnerabilidades asociadas a los sistemas CPS (Cyber Physical Systems) para alcanzar sus objetivos, se sitúa en el primer lugar de las amenazas emergentes. Teniendo en cuenta este contexto, parece recomendable llevar a cabo políticas, procedimientos y estándares que ayuden a mitigar, minimizar y si es posible eliminar este tipo de amenazas.

Por otro lado, la incorporación de tecnologías que sustenten la aplicación de dichos procedimientos es una buena práctica. Entre estas tecnologías, se encuentran las soluciones antimalware. Se trata de programas que pueden ser instalados tanto en hosts, servidores o en firewalls, que detectan virus y malware comparando los archivos almacenados en estos equipos con una base de datos de firmas (que se actualiza en muchas ocasiones horariamente) en la que se recogen todos los virus y malware conocidos. Además de detectar, estos sistemas proceden a la eliminación y/o puesta en cuarentena de los archivos infectados.

¿Qué ocurre cuando queremos utilizar este tipo de tecnologías en entornos OT? Que debemos ser conscientes de la idiosincrasia de estos entornos para que la incorporación de estas soluciones no afecte a la disponibilidad y óptimo funcionamiento del proceso productivo. En particular, hay que considerar que en los entornos OT existen sistemas o CPS (como indica el informe ENISA) que:

• Son críticos y en muchas ocasiones no pueden pararse ni reiniciarse para realizar actualizaciones.
• Han quedado obsoletos y ya no disponen de soporte por parte del fabricante del antivirus.
• Están aislados y no pueden actualizarse por la red.

¿Existen soluciones antimalware no invasivas y que no degraden el rendimiento de los sistemas críticos? La respuesta es afirmativa.

En aquellos equipos en los que por razones de seguridad no puedan conectarse a Internet (ni si quiera a través de un servidor ubicado en una zona desmilitarizada en el que se descarguen las firmas actualizadas); no esté permitida la instalación de software anti-malware porque el SO ya no está soportado (recordemos que en los entornos OT el SO más extendido es XP sin soporte por parte de Microsoft) o porque el propio fabricante del sistema HMI, SCADA, OPCServer, Historian, MES desaconseja su instalación, la solución pasa por realizar una protección en modo offline.

Algunos fabricantes proporcionan la posibilidad de realizar el escaneo de diferentes equipos, utilizando para ello un “antimalware portable”. Este antimalware se encuentra instalado en una llave USB que se conecta al equipo. Sin instalar ningún tipo de librería o archivo, se realiza el escaneo y posterior limpieza de malware.

Otra opción para realizar esta protección “offline” es la instalación de agentes que permitan llevar a cabo lo que se conoce como “whitelisting” de aplicaciones, o “lockdown”. En este caso, el agente mapea todos los ejecutables existentes en un determinado equipo (.exe, .dll, etc…), se determinan que estos son los programas que pueden lanzarse/ejecutarse desde este equipo y a partir de que se realiza el bloqueo o “lockdown”, cualquier aplicación que quiera instalarse o cualquier ejecutable malicioso que quiera desplegarse no podrá hacerlo, ya que no es una aplicación autorizada para hacerlo.

Para finalizar y a modo de conclusiones:

• La seguridad de los entornos OT puede verse afectada por el efecto de distintos tipos de malware y de APTs.
• Se deben incorporar soluciones que protejan de estas amenazas, pero teniendo en cuenta la idiosincrasia de los sectores industriales y de infraestructuras (en particular evitando la degradación del rendimiento del sistema).