Protocolos industriales seguros, whitelisting de protocolos y fortificación de servidores de comunicación para incrementar la seguridad de las comunicaciones industriales
Los protocolos industriales se caracterizan por ser muy heterogéneos, a diferencia de lo que ocurre en el ámbito de las tecnologías de información en el entorno corporativo. ¿Qué otras particul...
Uno de los rasgos diferenciadores más importantes existentes entre las redes IT y las redes OT es la utilización de lo que se denomina protocolo industrial en las redes de operación para comunicar dispositivos de campo entre sí (PLC, RTU, controladores de forma horizontal) o comunicar estos dispositivos con sistemas de tiempo real (tipo HMI, SCADA, MES de forma vertical).
Estos protocolos, entre los que se encuentran por ejemplo Modbus, Profibus, OPC, Ethernet/IP, DNP3, etc., se caracterizan entre otras cosas por ser muy heterogéneos (a diferencia de lo que ocurre en el ámbito de las tecnologías de información en el entorno corporativo, donde organizaciones como IETF y la ISCO, a través de sus RFC, estandarizan la práctica totalidad de los protocolos, en el ámbito industrial cada fabricante define el suyo propio) y por no ser seguros.
Es decir, las comunicaciones en los entornos OT a través de la mayoría de protocolos industriales carecen de la posibilidad de autentificación, autorización, encriptación y/o auditabilidad. Esto hace que las tecnologías y arquitecturas de comunicaciones industriales sean objetivo claro de ataques que pueden afectar principalmente a la integridad y a la disponibilidad de los sistemas de control, afectando negativamente a la normal ejecución de los procesos de producción. La suplantación entre maestros y esclavos que hablan un determinado protocolo, el “sniffing” de protocolos para alterar las funciones u objetos típicos de un protocolo, la realización de acciones no permitidas o ataques de denegación de servicio, son tan sólo algunas de las amenazas asociadas al comportamiento no seguro de las comunicaciones industriales.
Teniendo en cuenta este contexto, la industria dispone de tres formas básicas de asegurar las comunicaciones industriales:
- Utilizar especificaciones asociadas a protocolos industriales seguros.
- Incorporar tecnologías específicas que doten de seguridad a protocolos industriales no seguros.
- Fortificar los servidores que centralizan las comunicaciones industriales.
Actualmente las especificaciones más conocidas en el ámbito industrial que proporcionan seguridad a los protocolos son las siguientes: La realizada por la OPC Foundation a través de OPC UA (Open Connectivity Unified Architecture) y la realizada por la IEC (International Electrotechnical Commission) a través de la serie IEC 62351, que dota de seguridad a su vez a la serie de protocolos TC 57, entre los que se incluyen los IEC 60870-5 series, IEC 60870-6 series, IEC 61850 series, IEC 61970 series y los IEC 61968 series.
En cuanto a las tecnologías específicas que dotan de seguridad a protocolos industriales no seguros, es posible llevar a cabo segregación de redes y/o asegurar la integridad de los protocolos utilizando lo que se denomina whitelisting de protocolos. Es decir, se trata de incluir tecnologías que aseguren que la comunicación entre los dispositivos de campo entre sí o bien entre los dispositivos y los sistemas de tiempo real se realiza utilizando un determinado protocolo en el que ha realizado una lista blanca de funciones y objetos específicos asociados al protocolo seleccionado. Por otro lado, la utilización de estándares tradicionalmente vinculados a los entornos IT como OpenVPN puede ser una buena práctica para encriptar y autenticar protocolos industriales. En este caso, la solución pasa por crear redes privadas virtuales (VPN) entre los dispositivos de campo y los sistemas de tiempo real para que esta comunicación no se realice en claro. En este punto será crucial evaluar el retardo en las latencias de las comunicaciones. También existen tecnologías que permiten encriptar y autenticar utilizando claves simétricas como AES256 tráfico industrial, haciéndolo seguro.
En cuanto a fortificar servidores de comunicación, es conocido que cada vez se despliegan servidores dedicados a centralizar las comunicaciones industriales. Con la irrupción de la especificación/tecnología OPC, esto es una práctica habitual. Estos servidores, que se despliegan tanto en formato tradicional como virtualizado, deben estar física y lógicamente protegidos. Su alteración, ataque o mal funcionamiento, afectaría a la visibilidad de la planta y de los procesos. Una forma tradicional de asegurar la disponibilidad de los servidores de comunicación es recurrir a procedimientos que permitan que los servidores sean tolerantes a fallos. Entre ellas la más conocida es la de desplegar arquitecturas redundantes de servidores de comunicación. En paralelo, ocurre que en estos servidores dedicados de comunicación industrial no se ha instalado ningún tipo de solución antimalware ya que el fabricante del servidor OPC no lo recomienda y/o soporta, son críticos y en muchas ocasiones no pueden pararse ni reiniciarse para realizar actualizaciones y/o están aislados y no pueden actualizarse por la red. En estos casos, la utilización de herramientas de escaneo de malware realizada de forma manual y no invasiva (sin instalar agentes) o la instalación de software específico que permita realizar “whitelisting” o “lockdown” de aplicaciones son soluciones que permiten también fortificar los servidores de comunicación industrial.