Cómo PAM posibilita la implementación de la IEC 62443

Access the whitepaper

La norma IEC 62443 es un vasto conjunto de normas de ciberseguridad muy complejas que trata las necesidades únicas que tienen los Sistemas de Automatización y Control Industrial (IACS). Esta norma abarca todo el ámbito de la seguridad, desde el análisis de riesgos hasta la definición e implementación de las políticas de seguridad para los IACS. Como ocurre con la mayoría de normas de seguridad, las cuestiones sobre el control del acceso y la gestión de identidades son factores decisivos para el éxito de las mismas. Es más, una organización que busque la certificación de la norma IEC 62443 debe abordar el tema de la Gestión del Acceso Privilegiado (PAM), que está relacionado con los usuarios administradores o privilegiados que pueden establecer o modificar los elementos de los IACS protegidos por la norma.

¿Qué es la IEC 62443?

Llamar a la IEC 62443 «norma» puede inducir a error, ya que en realidad se trata de una biblioteca de reglas y normas conectadas de entidades como el Instituto Nacional Estadounidense de Normalización (ANSI) y las Normas Internacionales de Auditoría (NIA). La conocida y respetada Comisión Electrotécnica Internacional (IEC) , que desde 1906 ha estado promulgando normas de uso de productos eléctricos y electrónicos, es la que publica la IEC 62443 (básicamente, ¡esta comisión es la que nos proporcionó la norma Hertz!). Cabe mencionar que un gran número de organismos de certificación han establecido los programas de certificación de la IEC 62443, definiendo su propio sistema en base a las normas y procedimientos de referencia.

La IEC 62443 es una biblioteca de reglas y normas conectadas que vela por la seguridad de los Sistemas de Automatización y Control Industrial (IACS)

Los elementos de esta norma pretenden ser de naturaleza multisectorial, por lo que incluyen métodos y técnicas de protección de la ciberseguridad. Dentro de la IEC 62443 existen decenas de componentes y normas específicas. Elementos fundamentales para comprender que es la IEC y el control de accesos:

Grupo de normalización Elementos
Políticas y procedimientos (vinculados a la seguridad de los IACS)

 

  • 62443-2-1: lo que se necesita para definir e implementar un sistema de gestión de la ciberseguridad de los IACS eficaz
  • 62443-2-2: una guía sobre qué es necesario para operar un sistema de gestión de la ciberseguridad de los IACS eficaz
  • 62443-2-3: ofrece orientación en cuanto a la gestión de los parches para los IACS
  • 62443-2-4: requisitos para los proveedores de los IACS
Requisitos del sistema: abordar los requisitos a nivel de sistema

 

  • 62443-3-1: aplicación de varias tecnologías de seguridad para un entorno IACS
  • 62443-3-2: evaluación del riesgo de seguridad y diseño del sistema para los IACS
  • 62443-3-3: requisitos principales de seguridad del sistema y niveles de garantía de seguridad
Fuente: The 62443 Series of Standards, publicada en diciembre de 2016 por ISA

Entender la Gestión del Acceso Privilegiado (PAM)

Una de las mejores formas de implementar las normas de la IEC es mediante la utilización de una solución PAM que mantenga el control completo del acceso a los datos y sistemas más críticos.

Los usuarios privilegiados tienen la autorización (o podríamos decir «el privilegio») para acceder a los controles administrativos de un sistema determinado. También se les llama usuarios administrativos o «root», y son capaces de configurar, modificar o eliminar otras cuentas de usuario. Asimismo, con frecuencia pueden acceder o modificar datos y, en algunos casos, estos usuarios pueden llegar a alterar las configuraciones del sistema o desinstalarlo por completo.

Los riesgos de seguridad aumentan cuando los usuarios privilegiados no son gestionados correctamente. Por ejemplo, si un hacker se hace pasar por un usuario privilegiado, puede causar estragos en los IACS. Con el fin de mitigar dichos riesgos, las soluciones PAM establecen una forma segura y directa para autorizar y monitorear a todos los usuarios privilegiados.

La soluciones PAM como WALLIX otorgan y revocan derechos de acceso privilegiado. Pueden actuar como intermediarios entre los usuarios privilegiados y los sistemas que gestionan para que así un usuario privilegiado no tenga acceso directo y de back-end. Con algunas soluciones, como la de WALLIX, el usuario privilegiado ni si quiera sabe la contraseña del sistema que está administrando. Esta función reduce el riesgo de que se produzca una invalidación manual, que para un entorno industrial supone una grave amenaza.

PAM proporciona las capacidades que las organizaciones necesitan para limitar y monitorear el acceso a sistemas críticos

Mapear la IEC 62443 a PAM

PAM propone un planteamiento óptimo para la implementación de varios elementos de la IEC 62443. Dado que las normas pueden ser un poco abrumadoras, la siguiente tabla las enumera y las asocia con partes conocidas del marco de ciberseguridad de NIST.

Lo cierto es que PAM se alinea con la IEC 62443 en cuanto a los controles de acceso, que están sujetos a las normas NIST PR.AC: el acceso a activos e instalaciones asociadas se limita a los usuarios, procesos o dispositivos autorizados, así como las actividades y transacciones aprobadas.

Parte importante del Marco de Ciberseguridad del NIST

Elemento IEC/ISA 62433 correspondiente El papel de PAM en la implementación
PR.AC-1: Las identidades y credenciales se gestionan para los dispositivos y usuarios autorizados ISA 62443-2-1:2009

4.3.3.5.1. Acceso a cuentas (e) implementación de la política de autorizaciones: «Los privilegios de acceso implementados para las cuentas de acceso deben ser establecidos de acuerdo con la política de seguridad de autorización de la organización (4.3.3.7.1)»

La solución PAM es capaz de definir y aplicar la política de seguridad de autorizaciones en los múltiples back-ends administrativos de los IACS
ISA 62443-2-1:2009

4.3.3.7.1. Definir una política de seguridad de autorizaciones

La solución PAM funciona como un repositorio de políticas de seguridad de autorizaciones en relación con todos los IACS de una instalación industrial
ISA 62443-3-3:2013 (Seguridad de los sistemas de automatización y control industrial Parte 3-3: requisitos de seguridad del sistema y niveles de seguridad)

SR 1.1. Identificación y autenticación del usuario humano: «El sistema de control debe proporcionar la capacidad de identificar y autenticar a todos los usuarios humanos. Esta capacidad deberá aplicar dicha identificación y autenticación a todas las interfaces que proporcionen acceso de usuarios humanos al sistema de control para apoyar la segregación de funciones y el menor privilegio de acuerdo con las políticas y procedimientos de seguridad de la aplicación»

El «privilegio mínimo» es un concepto de PAM. La solución PAM puede otorgar privilegios a determinados usuarios o revocarlos, garantizando que cada usuario tenga unos «privilegios mínimos» de acuerdo con la política
ISA 62443-3-3:2013

SR 1.3. Gestión de cuentas: «El sistema de control deberá proporcionar la capacidad de apoyar la gestión de todas las cuentas por parte de los usuarios autorizados, incluyendo la adición, activación, modificación, desactivación y eliminación de cuentas»

Bajo este elemento, se supone que cada sistema de control apoya la gestión de todas las cuentas de los usuarios autorizados y privilegiados. Esto no resulta práctico en un entorno con múltiples IACS. PAM puede proporcionar un único punto de gestión para todos los usuarios privilegiados que afecte a todos los IACS
ISA 62443-3-3:2013

SR 1.4. Gestión de identificadores: «El sistema de control deberá proporcionar la capacidad de apoyar la gestión de identificadores por usuario, grupo, función o interfaz del sistema de control»

PAM puede gestionar el acceso privilegiado de acuerdo con el usuario, grupo o papel
ISA 62443-3-3:2013

SR 1.5. Gestión de autenticadores: «El sistema de control deberá proporcionar la capacidad de cambiar o renovar todos los autenticadores, así como protegerlos de la divulgación y modificación no autorizada cuando se almacenen y transmiten»

PAM proporciona a los administradores de los IACS un único punto de control sobre los autenticadores utilizados por usuarios privilegiados. Puede proteger a los autenticadores de divulgaciones y modificaciones no autorizadas.
ISA 62443-2-1:2009

4.3.3.3.8. Establecer procedimientos de control y alarma

La supervisión y las alertas son características fundamentales de la mayoría de las soluciones PAM y permiten a los administradores estar al tanto de posibles violaciones de las políticas de cuentas privilegiadas
PR.AC-3: El acceso remoto está gestionado ISA 62443-2-1:2009

.3.3.6.6. Desarrollar una política de conexiones e inicios de sesión remotos

El acceso remoto es un riesgo para las cuentas privilegiadas. Aquellos que se hacen pasar por usuarios privilegiados con frecuencia intentan iniciar sesión de forma remota para llevar a cabo actos malignos. PAM puede mitigar este riesgo
ISA 62443-3-3:2013

SR 1.13. Acceso por medio de redes que no son de confianza: «El sistema de control deberá proporcionar la capacidad de supervisar y controlar todos los métodos de acceso al sistema de control a través de redes que no son de confianza»

PAM puede monitorear sesiones de cuentas privilegiadas, así como rastrear y grabar información sobre accesos a la red
ISA 62443-3-3:2013

SR 2.6. Terminación de la sesión remota: «El sistema de control deberá proporcionar la capacidad de terminar una sesión remota, ya sea automáticamente después de un período de tiempo de inactividad que se puede configurar o manualmente por el usuario que inició la sesión»

Muchas soluciones PAM pueden ejecutar flujos de trabajo preestablecidos basándose en alertas. Por ejemplo, si la solución PAM detecta actividad no autorizada, esta puede ser configurada para terminar la sesión de la cuenta privilegiada
PR.AC-4: Se gestionan los permisos de acceso incorporando el principio del privilegio mínimo y la separación de funciones ISA 62443-2-1:2009

4.3.3.7.3 – Establecer métodos de permisos lógicos y físicos adecuados para acceder a los dispositivos IACS

El acceso a dispositivos físicos constituye una superficie de ataque para aquellos atacantes que se hacen pasar por usuarios privilegiados. Si el atacante consigue iniciar sesión en un dispositivo local, este podrá eludir las políticas de uso de las cuentas privilegiadas. PAM reduce este riesgo al prohibir al usuario privilegiado conocer la verdadera contraseña del dispositivo físico
ISA 62443-3-3:2013

SR 2.1. Aplicación de la autorización: «En todas las interfaces el sistema de control deberá proporcionar la capacidad de aplicar las autorizaciones asignadas a todos los usuarios humanos para controlar el uso del sistema de control y así apoyar la segregación de funciones y el privilegio mínimo»

PAM proporciona una solución general para la segregación de funciones y privilegios mínimos, un planteamiento más eficaz y seguro que tratar que las interfaces de cada IACS desempeñen su tarea

Implementar PAM para la seguridad del ICS

Las soluciones PAM posibilitan la optimización del proceso de obtención de la certificación de la norma IEC 62443. Esto es cierto tanto de manera directa como indirecta. Tal y como muestra la tabla, varios elementos de la IEC 62443 están vinculados directamente con el control de accesos y la protección de cuentas privilegiadas. De manera indirecta, una solución PAM fuerte incide en la capacidad de una organización de cumplir con los extensos controles de la IEC 62443. Por ejemplo, si se dispone de una solución PAM implementada, estar al día con la gestión de parches y la evaluación de riesgos (ambos ámbitos dependen el uno del otro) se vuelve más sencillo. De eso es de lo que WALLIX se trata.

Para obtener más información sobre como la solución de PAM de WALLIX puede aplicar las normas IEC 62443, descargue el libro blanco o ¡póngase en contacto con nosotros!