Conformidad, Industria, Privileged Access Management

La seguridad SCADA y la Gestión de Acceso Privilegiado (PAM)

Las plantas industriales y las empresas eléctricas suelen emplear el consolidado Sistema de Control Supervisor y Adquisición de Datos (SCADA) para gestionar sus sistemas de Tecnología Operativa (OT). En los últimos años, la exposición al riesgo cibernético de SCADA ha aumentado con la llegada de Internet y la habilitación de IP de los elementos del sistema SCADA que tradicionalmente estaban aislados.

El sistema de ciberseguridad SCADA recomienda controles para defender estos sistemas de ciberataques, ya que estos incidentes pueden llegar a causar estragos e incluso pérdida de vidas. Los controles de acceso, incluida la Gestión de Acceso Privilegiado (PAM), ocupan un puesto destacado en la seguridad SCADA al defender los sistemas industriales de actores malignos.

SCADA es el sistema establecido para gestionar y prevenir ciberataques en sistemas de tecnología operativa como plantas industriales y compañías eléctricas.

¿Qué es SCADA?

Tradicionalmente, la seguridad de un sistema SCADA no era una preocupación muy importante para los administradores de estos sistemas. Al emplear protocolos de comunicación propios y operar en redes aisladas, los sistemas SCADA se volvían difíciles de acceder y de hackear. Los arquitectos de seguridad consideraban el «air gap» como una táctica defensiva y extremadamente sólida contra las posibles amenazas. Este término se refiere a la separación completa de las redes SCADA del mundo exterior.

Dicho esto, los impactos potenciales de los ataques a los sistemas SCADA son significativos. Abarcan desde contrariedades, como un corte de energía, hasta catástrofes absolutas como la fusión de un núcleo nuclear, una falla en una presa o lesiones de trabajadores industriales e incluso la muerte de los mismos. Si bien estas consecuencias fueron alguna vez tan solo remotas posibilidades, a día de hoy pueden llegar a ser potencialmente nefastas.

Hay dos factores que están incrementando el riesgo de los sistemas SCADA. En primer lugar, puede que el air gap nunca haya sido una capa de protección tan eficaz como la gente pensaba. Varios hackeos conocidos, como el ataque Stuxnet a las instalaciones nucleares iraníes, revelaron que los hackers pueden en realidad acceder a sistemas con air gap utilizando ingeniería humana, unidades de USB y técnicas similares.

Sin embargo, el avance más importante es la tendencia actual a habilitar tecnologías SCADA con el protocolo IP. Se trata de una medida totalmente comprensible, dado lo práctica y extendida que se ha vuelto la propiedad intelectual. Hoy en día se puede acceder a los sistemas SCADA a través de Internet, con toda el alcance y flexibilidad que eso implica. Sin embargo, desde la perspectiva de la seguridad, es un desastre.

El cambio a sistemas SCADA habilitados para IP da lugar a un campo completamente nuevo de posibilidades de infracciones potencialmente catastróficas.

Los sistemas SCADA habilitados para IP son ahora tan vulnerables a los ataques como cualquier otro dispositivo en Internet, si no más. A diferencia de los sistemas IT convencionales, como servidores o bases de datos, durante décadas SCADA se ha ocultado detrás de air gaps y barreras organizativas. OT no es TI. SCADA entró en la era de Internet más o menos preparado para los ciberataques. Por el contrario, el IT ha pasado por varios años complicados en los que ha tenido que aprender a defenderse de los hackers. OT suele ser una organización separada de IT y no tiene el mismo tipo de mandato de seguridad que los departamentos IT. La industria ha tenido que ponerse a la altura de las circunstancias e idear medidas de seguridad para los sistemas SCADA habilitados para IP.

La seguridad de un sistema SCADA

La industria utiliza la Publicación Especial NIST 800-82 como guía definitiva sobre la seguridad SCADA. La segunda revisión, publicada en 2015, contiene una «Guía de seguridad sobre sistemas de control industrial (ICS)», así como «Sistemas de control de supervisión y adquisición de datos (SCADA)», «Sistemas de Control Distribuidos (DCS)» y configuraciones del sistema como «Controladores Lógicos Programables (PLC)».

La norma NIST engloba la gestión y evaluación de riesgos de ICS, el desarrollo e implementación de programas de seguridad y la arquitectura de seguridad. También ofrece una extensa guía acerca de la aplicación de controles de seguridad a ICS. Con casi 250 páginas, esta guía es más que exhaustiva. En un artículo publicado por ISACA, puede encontrar un análisis útil y conciso de sus controles.

Seguridad PAM y SCADA

¿Cuál es el elemento más importante de la norma NIST para SCADA e ICS? Está claro que es difícil de determinar ya que todos son importantes. Para mantener seguro un sistema SCADA, los responsables de seguridad deben realizar evaluaciones e implementar los controles recomendados por la norma. Sin embargo, un ámbito de control es fundamental para el éxito de prácticamente todos los demás aspectos de la norma. Este es el control de acceso, es decir, el control sobre el acceso privilegiado.

Los usuarios privilegiados

Un usuario privilegiado es una persona (o máquina) que puede llevar a cabo funciones administrativas en los backends de sistemas críticos. Pueden configurar, modificar o eliminar cuentas de usuario. Sus privilegios pueden incluir la capacidad de configurar sistemas, actualizar software y acceder a datos o incluso eliminarlos.

El acceso privilegiado

La Gestión de Acceso Privilegiado (PAM) comprende una colección de prácticas y herramientas que permiten a los administradores supervisar y gobernar el uso de cuentas de usuarios privilegiados. Una solución PAM es un software diseñado para controlar y monitorear este acceso privilegiado. También suele registrar las sesiones de cuentas privilegiadas para utilizarlas en la respuesta e investigación de incidentes de seguridad. En algunos casos, las soluciones PAM emiten alertas si se viola la política de acceso privilegiado.

PAM y la norma NIST

El término «Gestión de Acceso Privilegiado» no aparece en la norma NIST, en cambio, los principios de PAM sí que están incluidos. El artículo 5.6 de la norma, que analiza la necesidad de una «defensa en profundidad», recomienda que los responsables de seguridad de OT comprendan los «ataques a cuentas privilegiadas y compartidas» y se defiendan de ellos. La norma incluye una recomendación para «restringir los privilegios de los usuarios de ICS y concederles solo aquellos que sean necesarios para que realicen su trabajo (es decir, establecer un control de acceso basado en roles y configurar cada rol según el principio del privilegio mínimo)».

NIST 800-82 también aconseja restringir el acceso físico a la red y a los dispositivos ICS. Esta recomendación se refiere a PAM. Después de todo, es casi imposible restringir el acceso a los dispositivos físicos y permitir que se administren sin ningún tipo de capa de protección intermedia, como lo es una solución PAM.

Aunque los términos «Gestión de Acceso Privilegiado» o «PAM» no aparecen en la norma NIST, los principios que PAM puede aplicar sí que están incluidos.

La necesidad de una solución PAM en SCADA

Las soluciones PAM proporcionan a los responsables de seguridad OT las herramientas necesarias para gestionar el acceso privilegiado en un entorno SCADA complejo. La norma en sí incluye referencias a las dificultades propias de la autenticación y autorización de un gran número de usuarios de SCADA. Por ejemplo, el artículo 5.15 de la norma, que trata sobre la autenticación y autorización, dice así:

«Un ICS puede contener una gran cantidad de sistemas a los que deben acceder una gran variedad de usuarios. Llevar a cabo la autenticación y autorización de estos usuarios es un desafío para el ICS. La gestión de las cuentas de estos usuarios puede resultar problemática cuando se agregan y eliminan empleados o las funciones de estos cambian. A medida que crece la cantidad de sistemas y usuarios, el proceso de administración de estas cuentas se vuelve más complicado».

PAM proporciona las herramientas que los equipos de seguridad necesitan para gestionar de forma eficaz el acceso privilegiado en un entorno SCADA complicado.

Además, la norma advierte de la adopción de un enfoque distribuido para la autenticación y autorización, donde cada sistema almacena sus propias credenciales de usuario, «el hecho de que no escale bien a medida que aumenta el tamaño del sistema resulta problemático». También señala: «Por ejemplo, si un usuario abandona la organización, la cuenta de usuario correspondiente debe eliminarse de cada sistema de forma individualizada». Al disponer de un control centralizado de los usuarios privilegiados, PAM puede desactivar el acceso de los usuarios cuando uno de ellos abandona la organización. La solución PAM responde a la necesidad que la norma recomienda: «La norma es aplicada por algún mecanismo de control de acceso».

La solución PAM de WALLIX Bastion

Por ejemplo, WALLIX Bastion ofrece a los administradores SCADA un mecanismo de este tipo. WALLIX Access Manager consiste en un locus de control centralizado para todos los accesos privilegiados en todo el ecosistema SCADA. Los usuarios privilegiados inician sesión en el Access Manager para realizar operaciones de cuentas privilegiadas en dispositivos SCADA. Con WALLIX Password Manager los usuarios privilegiados no necesitan conocer la verdadera contraseña del dispositivo físico. Esto evita que los usuarios violen de manera accidental o maligna un dispositivo físico utilizado en el control industrial.

WALLIX Session Manager registra sesiones de cuentas privilegiadas. Hace que los registros y vídeos de las sesiones estén disponibles para los equipos de operaciones de seguridad (SecOps) en caso de que se produzca un incidente en este ámbito. El Session Manager proporciona respuestas a las preguntas más urgentes que surgen en ese momento: quién hizo qué, cuándo y con qué sistema. Sin este tipo de grabación de sesiones, SecOps puede perder un valioso tiempo de respuesta tratando de averiguar los factores causales básicos en una violación o acto de sabotaje.

PAM es fundamental para cumplir con la norma SCADA

y el público está en riesgo si las amenazas no se mitigan de manera adecuada. PAM surge como un elemento crítico de una estrategia de seguridad SCADA. Es necesario proteger el acceso administrativo sensible a los sistemas SCADA. PAM también es un soporte indirecto de muchos otros controles obligatorios en la norma NIST. La aplicación de parches, por ejemplo, solo funciona cuando PAM está disponible. De lo contrario, sería imposible hacer un seguimiento eficaz de los parches. PAM es un factor clave de éxito para una seguridad SCADA sólida.

¿Está interesado en saber más sobre cómo WALLIX Bastion puede hacer cumplir el sistema SCADA utilizando funciones de PAM sólidas? Para obetener más información, póngase en contacto con nosotros.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

La seguridad SCADA y la Gestión de Acceso Privilegiado (PAM)

¿Qué es SCADA?

La seguridad de un sistema SCADA

Seguridad PAM y SCADA

Los usuarios privilegiados

El acceso privilegiado

PAM y la norma NIST

La necesidad de una solución PAM en SCADA

La solución PAM de WALLIX Bastion

PAM es fundamental para cumplir con la norma SCADA

Todos los ojos puestos en nosotros: Monitoreo de sesiones de 4 ojos

Emotet ha vuelto: Cómo detener el malware a través de la gestión de los endpoints

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca