Soluciones PAM para aumentar la seguridad de los SCADA

SCADA (Supervisory Control and Data Acquisition) es un marco probado que las empresas industriales y de servicios públicos utilizan para gestionar sus sistemas de tecnología operativa (OT). Sin embargo, en los últimos años, el riesgo cibernético ha aumentado a medida que los componentes del sistema SCADA se han interconectado más debido al éxito de Internet y la capacidad de utilizarlo basado en IP.

El marco de ciberseguridad de SCADA recomienda controles para contrarrestar el riesgo de ciberataques en los sistemas SCADA. Estos ataques pueden causar daños devastadores o incluso costar vidas. Los controles de acceso, incluido Privileged Access Management (PAM), son un elemento fundamental para la seguridad de los SCADA, ya que defienden los sistemas industriales contra los agentes maliciosos.

¿Qué es el SCADA?

SCADA son las siglas de Supervisory Control and Data Acquisition. En general, se trata de un sistema que puede supervisar y gestionar sensores y controles en diferentes lugares.

SCADA es un marco tecnológico maduro que abarca muchos dispositivos y aplicaciones de software diferentes. En conjunto, las tecnologías impulsadas por SCADA forman una especie de sistema nervioso industrial. Se encuentran en fábricas, centrales eléctricas y hospitales. Los sistemas de calefacción y refrigeración de los edificios también se controlan de esta manera. La combinación de sensores, ordenadores centrales y terminales de control remoto (RTU) permite supervisar y controlar los procesos físicos. Por ejemplo, un sistema SCADA en la industria siderúrgica puede detectar cuándo el acero fundido está lo suficientemente caliente para ser vertido. De este modo, se activan los actuadores adecuados en el momento oportuno para verter el acero en los moldes. El SCADA también proporciona interfaces hombre-máquina para la elaboración de informes y la entrada de control. Esta función permite hacer un seguimiento de todos los datos de producción relevantes e intervenir en caso necesario.

La seguridad de los SCADA en la era de Internet es de suma importancia.

La seguridad de los sistemas SCADA siempre ha sido una de las principales preocupaciones de los administradores de sistemas. Dado que los protocolos de comunicación patentados utilizaban redes aisladas, los sistemas SCADA eran difíciles de alcanzar y de piratear. Los arquitectos de seguridad podían señalar el "air gap", el completo aislamiento de las redes SCADA del mundo exterior; se consideraba una medida extremadamente sólida contra las posibles amenazas. Sin embargo, los ataques a los sistemas SCADA tienen un impacto considerable. Hablamos de perturbaciones molestas como los cortes de electricidad, pero desgraciadamente también de catástrofes como fusiones, roturas de presas o lesiones o muertes de trabajadores industriales. Estas posibilidades de consecuencias, antes remotas, son ahora mucho más probables.

Hay dos factores que aumentan enormemente el potencial de riesgo de los sistemas SCADA. En primer lugar, es posible que el Air Gap nunca haya sido esa capa de protección eficaz que la gente esperaba. Una serie de hackeos profesionales, como el ataque Stuxnet a las centrales nucleares iraníes, dejó claro que los hackers podían acceder a los sistemas del Air Gap mediante ingeniería humana, unidades USB y tecnología similar. Sin embargo, el desarrollo más importante en este momento es el sistema SCADA basado en IP. El movimiento en esta dirección es comprensible dado lo práctica y extendida que se ha vuelto la propiedad intelectual. Ahora es posible acceder a los sistemas SCADA íntegramente a través de Internet, incluyendo, por supuesto, la misma flexibilidad y alcance de Internet. Sin embargo, en términos de seguridad, este desarrollo es un desastre.

Los sistemas SCADA, que ahora también han llegado a la era de Internet, también deben estar protegidos de los hackers. Se trata de un gran reto para el sector, ya que los sistemas SCADA no han recibido las mismas medidas de seguridad que los departamentos de TI.

El marco de seguridad de SCADA

Lapublicación especial 800-82 del NISTes la fuente más relevante en lo que respecta a la seguridad de los SCADA. El apéndice 2 de 2015 contiene una "Guía de seguridad de los sistemas de control industrial (ICS)" detallada, así como información complementaria sobre "Sistemas de control y adquisición de datos (SCADA), sistemas de control distribuido (DCS) y otras configuraciones de sistemas de control, como los controladores lógicos programables (PLC)". La norma del NIST abarca los ámbitos de la gestión de riesgos de los sistemas de información geográfica (ICS), la evaluación y el desarrollo adecuados de los riesgos y la aplicación de programas y arquitecturas de seguridad. Se trata de una guía exhaustiva sobre la aplicación de controles de seguridad en los sistemas de control de la información (ICS) y cuenta con casi 250 páginas de investigación exhaustiva.

Soluciones PAM y seguridad SCADA

Las soluciones PAM (Privileged Access Management) y la seguridad SCADA (Supervisory Control and Data Acquisition) son importantes para garantizar que sólo el personal autorizado tenga acceso a los sistemas críticos. Las soluciones PAM proporcionan una forma centralizada de gestionar los permisos y controlar quién tiene acceso a qué, mientras que la seguridad SCADA proporciona capas adicionales de protección para los sistemas de control industrial.

Cuando se trata de la seguridad de los sistemas SCADA e ICS, todos los puntos de la norma del NIST son importantes. El personal de seguridad responsable debe realizar las evaluaciones adecuadas y aplicar los controles recomendados en la norma. Pero un control en particular es fundamental para el éxito de prácticamente todos los demás aspectos de la norma: Control de acceso - es decir, control sobre cualquier acceso privilegiado.

Usuarios con privilegios

Los usuarios con privilegios son usuarios que tienen derechos especiales y acceso a determinados sistemas o información. Esto puede ir desde el simple acceso a contenidos de mayor valor hasta el control total de un sistema. A menudo el término "privilegiado" se asocia con los derechos de administrador, pero los usuarios normales también pueden ser privilegiados.

Acceso de usuarios con privilegios

Los accesos privilegiados son permisos especiales que permiten a los usuarios acceder a recursos protegidos. Este tipo de acceso suele estar disponible sólo para los administradores u otro personal de alto nivel.

PAM significa "gestión de acceso privilegiado". Se trata de un conjunto de prácticas y herramientas que ayudan a los administradores a supervisar y controlar el uso de las cuentas de usuarios con privilegios. Una solución PAM es un software especializado que registra las sesiones de las cuentas con privilegios especiales, permitiendo un análisis de emergencia. Además, esta solución puede alertar sobre las violaciones de las normas.

Aplicar las especificaciones de la norma NIST mediante una solución PAM.

El Instituto Nacional de Estándares y Tecnología (NIST) recomienda Privileged Access Management (PAM) para establecer un estándar de gestión de credenciales. Esta norma debería aplicarse por igual a las pequeñas y a las grandes empresas, pero es especialmente relevante para las grandes empresas que cuentan con más de 1.000 sistemas. Pam Solution X le permite implantar la norma NIST en su empresa y aumentar así la seguridad de sus sistemas.

El NIST 800-82 recomienda restringir el acceso físico a las redes y dispositivos ICS. Esta recomendación apoya los principios de la APM. Si los dispositivos no pueden ser gestionados a través de algún tipo de capa intermedia de protección, como una solución PAM, es prácticamente imposible restringir el acceso a estos dispositivos físicos.

Las soluciones PAM proporcionan a los responsables de la seguridad OT exactamente las herramientas que necesitan para gestionar el acceso privilegiado en un entorno SCADA complejo. El NIST también ofrece orientación sobre las dificultades de autenticar y autorizar a un gran número de usuarios de SCADA. Por ejemplo, la sección 5.15 de la norma aborda las autenticaciones y los permisos: "Un ICS puede incluir un gran número de sistemas, a los que a su vez deben acceder numerosos usuarios. Asignar los permisos adecuados a estos usuarios y autentificarlos es un reto importante para los SIC. La gestión de las cuentas de usuario puede resultar problemática a medida que se añaden y eliminan empleados, y también cuando los roles de los usuarios cambian con el tiempo. Una vez que el número de sistemas y usuarios sigue aumentando, la gestión de estas cuentas se vuelve aún más complicada".

La norma también advierte enérgicamente contra la adopción de un enfoque distribuido de la autenticación y la autorización, en el que cada sistema tiene sus propias credenciales de usuario: "El problema con esto es que no es particularmente escalable de esa manera una vez que el sistema crece". Además, "por ejemplo, la cuenta de usuario de un empleado que ha dejado la empresa tiene que ser eliminada individualmente en cada sistema". Mediante el control centralizado de los usuarios privilegiados, PAM puede desactivar fácilmente el acceso de los usuarios cuando los empleados abandonan la empresa. La solución PAM cubre las recomendaciones del NIST: "La autorización se realiza a través de un sistema de control de acceso".

La solución PAM VISULOX aumenta la protección de los accesos al SCADA

La solución VISULOX PAM de amitego proporciona un control centralizado de todos los accesos privilegiados en el ecosistema SCADA. Los usuarios con privilegios se conectan a un portal central y pueden realizar acciones privilegiadas en los dispositivos SCADA. Gracias al VISULOX Pass Cache, los usuarios privilegiados no necesitan conocer la contraseña real del dispositivo correspondiente, lo que evita que los usuarios comprometan accidental o intencionadamente un dispositivo físico en un controlador industrial. VISULOX Session Recorder registra las sesiones de las cuentas privilegiadas y crea registros y vídeos de las sesiones que están a disposición de los equipos de operaciones de seguridad (SecOps)" en caso de incidentes de seguridad. VISULOX Session Recorder proporciona respuestas a las preguntas más apremiantes que deben abordarse en caso de incidente: Quién hizo qué, cuándo y en qué sistema. Sin este tipo de grabación de la sesión, los "SecOps" podrían perder un tiempo valioso al tratar de aclarar lo que se hizo para resolver el incidente.

La PAM desempeña un papel crucial en el buen funcionamiento del marco de seguridad SCADA.

La seguridad de los sistemas SCADA es una cuestión compleja y central. Si las amenazas no se detectan y evitan adecuadamente, el público está en juego. PAM es un elemento indispensable de cualquier estrategia de seguridad SCADA: es absolutamente necesario para proteger el acceso crítico a los sistemas SCADA. Además, PAM también apoya indirectamente otros numerosos controles previstos por la norma NIST, como la aplicación de parches a los sistemas. Sin embargo, esto sólo funciona si se utiliza PAM de forma eficaz; de lo contrario, sería imposible aplicar parches de forma selectiva. En resumen, PAM es un factor de éxito crítico para la seguridad robusta de SCADA.

VISULOX Privileged Access Management ofrece una sólida solución PAM que protege su ecosistema SCADA de los ataques. Póngase en contacto con nosotros para obtener más información.