La seguridad SCADA y la Gestión de Acceso Privilegiado (PAM)

Las plantas industriales y las empresas eléctricas suelen emplear el consolidado Sistema de Control Supervisor y Adquisición de Datos (SCADA) para gestionar sus sistemas de Tecnología Operativa (OT). En los últimos años, la exposición al riesgo cibernético de SCADA ha aumentado con la llegada de Internet y la habilitación de IP de los elementos del sistema SCADA que tradicionalmente estaban aislados.

El sistema de ciberseguridad SCADA recomienda controles para defender estos sistemas de ciberataques, ya que estos incidentes pueden llegar a causar estragos e incluso pérdida de vidas. Los controles de acceso, incluida la Gestión de Acceso Privilegiado (PAM), ocupan un puesto destacado en la seguridad SCADA al defender los sistemas industriales de actores malignos.

SCADA es el sistema establecido para gestionar y prevenir ciberataques en sistemas de tecnología operativa como plantas industriales y compañías eléctricas.

¿Qué es SCADA?

Tradicionalmente, la seguridad de un sistema SCADA no era una preocupación muy importante para los administradores de estos sistemas. Al emplear protocolos de comunicación propios y operar en redes aisladas, los sistemas SCADA se volvían difíciles de acceder y de hackear. Los arquitectos de seguridad consideraban el «air gap» como una táctica defensiva y extremadamente sólida contra las posibles amenazas. Este término se refiere a la separación completa de las redes SCADA del mundo exterior.

Dicho esto, los impactos potenciales de los ataques a los sistemas SCADA son significativos. Abarcan desde contrariedades, como un corte de energía, hasta catástrofes absolutas como la fusión de un núcleo nuclear, una falla en una presa o lesiones de trabajadores industriales e incluso la muerte de los mismos. Si bien estas consecuencias fueron alguna vez tan solo remotas posibilidades, a día de hoy pueden llegar a ser potencialmente nefastas.

Hay dos factores que están incrementando el riesgo de los sistemas SCADA. En primer lugar, puede que el air gap nunca haya sido una capa de protección tan eficaz como la gente pensaba. Varios hackeos conocidos, como el ataque Stuxnet a las instalaciones nucleares iraníes, revelaron que los hackers pueden en realidad acceder a sistemas con air gap utilizando ingeniería humana, unidades de USB y técnicas similares.

Sin embargo, el avance más importante es la tendencia actual a habilitar tecnologías SCADA con el protocolo IP. Se trata de una medida totalmente comprensible, dado lo práctica y extendida que se ha vuelto la propiedad intelectual. Hoy en día se puede acceder a los sistemas SCADA a través de Internet, con toda el alcance y flexibilidad que eso implica. Sin embargo, desde la perspectiva de la seguridad, es un desastre.

El cambio a sistemas SCADA habilitados para IP da lugar a un campo completamente nuevo de posibilidades de infracciones potencialmente catastróficas.

Los sistemas SCADA habilitados para IP son ahora tan vulnerables a los ataques como cualquier otro dispositivo en Internet, si no más. A diferencia de los sistemas TI convencionales, como servidores o bases de datos, durante décadas SCADA se ha ocultado detrás de air gaps y barreras organizativas. OT no es TI. SCADA entró en la era de Internet más o menos preparado para los ciberataques. Por el contrario, TI ha pasado por varios años complicados en los que ha tenido que aprender a defenderse de los hackers. OT suele ser una organización separada de TI y no tiene el mismo tipo de mandato de seguridad que los departamentos de TI. La industria ha tenido que ponerse a la altura de las circunstancias e idear medidas de seguridad para los sistemas SCADA habilitados para IP.

La seguridad de un sistema SCADA

La industria utiliza la Publicación Especial NIST 800-82 como guía definitiva sobre la seguridad SCADA. La segunda revisión, publicada en 2015, contiene una «Guía de seguridad sobre sistemas de control industrial (ICS)», así como «Sistemas de control de supervisión y adquisición de datos (SCADA)», «Sistemas de Control Distribuidos (DCS)» y configuraciones del sistema como «Controladores Lógicos Programables (PLC)».

La norma NIST engloba la gestión y evaluación de riesgos de ICS, el desarrollo e implementación de programas de seguridad y la arquitectura de seguridad. También ofrece una extensa guía acerca de la aplicación de controles de seguridad a ICS. Con casi 250 páginas, esta guía es más que exhaustiva. En un artículo publicado por ISACA, puede encontrar un análisis útil y conciso de sus controles.

Seguridad PAM y SCADA

¿Cuál es el elemento más importante de la norma NIST para SCADA e ICS? Está claro que es difícil de determinar ya que todos son importantes. Para mantener seguro un sistema SCADA, los responsables de seguridad deben realizar evaluaciones e implementar los controles recomendados por la norma. Sin embargo, un ámbito de control es fundamental para el éxito de prácticamente todos los demás aspectos de la norma. Este es el control de acceso, es decir, el control sobre el acceso privilegiado.

Los usuarios privilegiados

Un usuario privilegiado es una persona (o máquina) que puede llevar a cabo funciones administrativas en los backends de sistemas críticos. Pueden configurar, modificar o eliminar cuentas de usuario. Sus privilegios pueden incluir la capacidad de configurar sistemas, actualizar software y acceder a datos o incluso eliminarlos.

El acceso privilegiado

La Gestión de Acceso Privilegiado (PAM) comprende una colección de prácticas y herramientas que permiten a los administradores supervisar y gobernar el uso de cuentas de usuarios privilegiados. Una solución PAM es un software diseñado para controlar y monitorear este acceso privilegiado. También suele registrar las sesiones de cuentas privilegiadas para utilizarlas en la respuesta e investigación de incidentes de seguridad. En algunos casos, las soluciones PAM emiten alertas si se viola la política de acceso privilegiado.

PAM y la norma NIST

El término «Gestión de Acceso Privilegiado» no aparece en la norma NIST, en cambio, los principios de PAM sí que están incluidos. El artículo 5.6 de la norma, que analiza la necesidad de una «defensa en profundidad», recomienda que los responsables de seguridad de OT comprendan los «ataques a cuentas privilegiadas y compartidas» y se defiendan de ellos. La norma incluye una recomendación para «restringir los privilegios de los usuarios de ICS y concederles solo aquellos que sean necesarios para que realicen su trabajo (es decir, establecer un control de acceso basado en roles y configurar cada rol según el principio del privilegio mínimo)».

NIST 800-82 también aconseja restringir el acceso físico a la red y a los dispositivos ICS. Esta recomendación se refiere a PAM. Después de todo, es casi imposible restringir el acceso a los dispositivos físicos y permitir que se administren sin ningún tipo de capa de protección intermedia, como lo es una solución PAM.

Aunque los términos «Gestión de Acceso Privilegiado» o «PAM» no aparecen en la norma NIST, los principios que PAM puede aplicar sí que están incluidos.

La necesidad de una solución PAM en SCADA

Las soluciones PAM proporcionan a los responsables de seguridad OT las herramientas necesarias para gestionar el acceso privilegiado en un entorno SCADA complejo. La norma en sí incluye referencias a las dificultades propias de la autenticación y autorización de un gran número de usuarios de SCADA. Por ejemplo, el artículo 5.15 de la norma, que trata sobre la autenticación y autorización, dice así:

«Un ICS puede contener una gran cantidad de sistemas a los que deben acceder una gran variedad de usuarios. Llevar a cabo la autenticación y autorización de estos usuarios es un desafío para el ICS. La gestión de las cuentas de estos usuarios puede resultar problemática cuando se agregan y eliminan empleados o las funciones de estos cambian. A medida que crece la cantidad de sistemas y usuarios, el proceso de administración de estas cuentas se vuelve más complicado».

PAM proporciona las herramientas que los equipos de seguridad necesitan para gestionar de forma eficaz el acceso privilegiado en un entorno SCADA complicado.

Además, la norma advierte de la adopción de un enfoque distribuido para la autenticación y autorización, donde cada sistema almacena sus propias credenciales de usuario, «el hecho de que no escale bien a medida que aumenta el tamaño del sistema resulta problemático». También señala: «Por ejemplo, si un usuario abandona la organización, la cuenta de usuario correspondiente debe eliminarse de cada sistema de forma individualizada». Al disponer de un control centralizado de los usuarios privilegiados, PAM puede desactivar el acceso de los usuarios cuando uno de ellos abandona la organización. La solución PAM responde a la necesidad que la norma recomienda: «La norma es aplicada por algún mecanismo de control de acceso».

La solución PAM de WALLIX Bastion

Por ejemplo, WALLIX Bastion ofrece a los administradores SCADA un mecanismo de este tipo. WALLIX Access Manager consiste en un locus de control centralizado para todos los accesos privilegiados en todo el ecosistema SCADA. Los usuarios privilegiados inician sesión en el Access Manager para realizar operaciones de cuentas privilegiadas en dispositivos SCADA. Con WALLIX Password Manager los usuarios privilegiados no necesitan conocer la verdadera contraseña del dispositivo físico. Esto evita que los usuarios violen de manera accidental o maligna un dispositivo físico utilizado en el control industrial.

WALLIX Session Manager registra sesiones de cuentas privilegiadas. Hace que los registros y vídeos de las sesiones estén disponibles para los equipos de operaciones de seguridad (SecOps) en caso de que se produzca un incidente en este ámbito. El Session Manager proporciona respuestas a las preguntas más urgentes que surgen en ese momento: quién hizo qué, cuándo y con qué sistema. Sin este tipo de grabación de sesiones, SecOps puede perder un valioso tiempo de respuesta tratando de averiguar los factores causales básicos en una violación o acto de sabotaje.

PAM es fundamental para cumplir con la norma SCADA

y el público está en riesgo si las amenazas no se mitigan de manera adecuada. PAM surge como un elemento crítico de una estrategia de seguridad SCADA. Es necesario proteger el acceso administrativo sensible a los sistemas SCADA. PAM también es un soporte indirecto de muchos otros controles obligatorios en la norma NIST. La aplicación de parches, por ejemplo, solo funciona cuando PAM está disponible. De lo contrario, sería imposible hacer un seguimiento eficaz de los parches. PAM es un factor clave de éxito para una seguridad SCADA sólida.

¿Está interesado en saber más sobre cómo WALLIX Bastion puede hacer cumplir el sistema SCADA utilizando funciones de PAM sólidas? Para obetener más información, póngase en contacto con nosotros.