ICS
Llevo diciéndolo años: el antivirus ha muerto.
Esto puede sonar extraño al principio, sobre todo viniendo de alguien que estuvo moviendo los hilos desde el principio de todo lo relacionado con virus y antivirus a finales de los ochenta y principios de los noventa. Sin embargo, si profundizamos un poco más en el tema AV (D. E. P.) y consultamos algunas fuentes autorizadas en este (antiguo) campo, la afirmación parece bastante lógica: por un lado, los “antivirus” se han convertido en soluciones de protección “contra todo” y, por otro, el virus, como una especie particular de programa malicioso, se ha extinguido. Casi. Y es ese aparentemente inofensivo, casi insignificante que acabo de describir lo que causa problemas en la ciberseguridad actualmente, ¡a fines del año 2022! Y esa es casi la base de esta entrada de blog de hoy…
Así que, virus. Los últimos que quedan en la Lista Roja: ¿dónde están ahora y qué están haciendo…?
Resulta que tienden a residir en uno de los subcampos más conservadores de la automatización industrial: el de la tecnología operativa (OT, que no debe confundirse con TI). La OT es el “hardware y software que detecta o provoca un cambio, a través de la supervisión y/o el control directo de los equipos, activos, procesos y eventos industriales” (Wikipedia). Básicamente, la OT está relacionada con un entorno de sistemas de control industrial (ICS por sus siglas en inglés).
OT = sistemas de control especializados en fábricas, centrales eléctricas, sistemas de transporte, sector de servicios públicos y la extracción, el procesamiento y otras industrias pesadas. Sí, infraestructura, y a menudo infraestructura crítica. Y sí de nuevo: es en esta infraestructura industrial/crítica donde los virus informáticos “muertos” se encuentran vivos y coleando: alrededor del 3 % de los incidentes cibernéticos a ordenadores OT son a causa de este tipo de malware.
Pero ¿cómo?
En realidad, la respuesta ya le he dado: la OT, más bien, su aplicación en la industria, es muy conservadora. Si existe un campo que cree firmemente en el viejo dicho “¡si no está roto, no lo arregles!”, ese es la OT. Lo principal en este campo es la estabilidad, no las últimas tendencias. Las nuevas versiones, las mejoras e, incluso, las actualizaciones (por ejemplo, del software) se miran con escepticismo, desdén e, incluso, ¡con miedo! De hecho, la tecnología operativa de los sistemas de control industrial suele incluir viejos y chirriantes ordenadores que funcionan con Windows 2000 (!), además de una variedad de software antiguo lleno de vulnerabilidades (también hay agujeros gigantes en sus políticas de seguridad y otras muchas pesadillas para los equipos de seguridad TI). En resumen: el kit del departamento TI en las oficinas, no en la planta de fabricación ni en las instalaciones auxiliares/técnicas, está vacunado contra todos los virus desde hace mucho tiempo, y se actualiza y revisa oportunamente, además de estar completamente protegido por modernas soluciones de ciberseguridad. Mientras tanto, en el resto de las áreas (la OT), sucede exactamente lo contrario; por lo tanto, los virus sobreviven y prosperan.
Estos son los 10 programas maliciosos de la “vieja escuela” más extendidos que se encontrarán en los ordenadores del ICS en el 2022:
¿Qué nos dice este gráfico?
En primer lugar, déjame decirte que los porcentajes que se muestran están relacionados con una fase del “sueño” de estos virus de la vieja escuela. Pero, de vez en cuando, pueden escapar de los límites de un único sistema infectado y propagarse por toda la red, lo que provocaría una grave epidemia local. Y, en lugar de un tratamiento completo, generalmente se recurre a copias de seguridad antiguas, que no siempre están “limpias”. Además, la infección puede afectar no solo a los ordenadores del ICS, sino también a los controladores lógicos programables (PLC por sus siglas en inglés). Por ejemplo, mucho antes de la aparición de Blaster (un gusano de prueba de concepto capaz de infectar el firmware de los PLC), el loader Sality ya estaba presente; bueno, casi: no en el firmware, sino en forma de script en archivos HTML de la interfaz web.
Sí, Sality puede generar un verdadero desastre en los procesos de producción automatizados, pero eso no es todo. Puede estropear la memoria a través de un driver malicioso e infectar los archivos y la memoria de las aplicaciones, lo que podría provocar el fallo total de un sistema de control industrial en cuestión de días. Y en caso de una infección activa, podría caerse toda la red, ya que Sality ha estado utilizando la comunicación entre pares para actualizar la lista de centros de control activos desde el 2008. Es muy complicado que los fabricantes de ICS hayan escrito su código con este entorno de trabajo tan agresivo en mente.
En segundo lugar, 0,14 % en un mes no parece mucho, pero representa miles de casos de infraestructura crítica en todo el mundo. Es una vergüenza cuando piensas cómo se podría excluir este riesgo de manera completa, simple y con los métodos más fundamentales.
Y tercero, dado que la ciberseguridad de las fábricas es un colador, no es de extrañar que a menudo escuchemos noticias sobre ataques exitosos por parte de otros tipos de malware, en particular el ransomware (como el caso de infección del ransomware Snake contra Honda).
Está claro por qué la gente de la OT es conservadora: lo principal para ellos es que los procesos industriales que supervisan no sufran interrupciones, lo que podrían causar las nuevas tecnologías/mejoras/actualizaciones. Pero ¿qué pasa con las interrupciones causadas por los ataques de virus de la vieja escuela que se permiten al quedarse atrás en el tiempo? Precisamente, ese es el dilema al que se enfrenta la TO que no se adapta a las nuevas tecnologías, de ahí las cifras que se muestran en el gráfico.
Pero ese dilema puede ser cosa del pasado con nuestra “píldora”.
Lo ideal sería que existiera la capacidad de innovar, mejorar o actualizar el kit de la OT sin poner en riesgo la continuidad de los procesos industriales. Por ello, el año pasado patentamos un sistema que garantiza precisamente eso…
En resumen, funciona así: antes de introducir algo nuevo en los procesos que DEBEN seguir funcionando, los prueba en un simulador, un soporte especial que emula las funciones industriales críticas.
Esta plataforma se compone de una configuración de la red OT dada, que enciende los mismos tipos de dispositivos utilizados en el proceso industrial (ordenadores, PLC, sensores, equipos de comunicaciones, paquete del IdC) y los hace interactuar entre sí para replicar la fabricación u otro proceso industrial. En el terminal de entrada de la plataforma hay una muestra del software probado, que comienza a ser observado por una sandbox, que registra todas sus acciones, observa las respuestas de los nodos de la red, los cambios en su desempeño, la accesibilidad de las conexiones y muchas otras características atómicas. Los datos recopilados de esta forma permiten construir un modelo que describe los riesgos del nuevo software, lo que a su vez permite tomar decisiones informadas sobre si introducir o no este nuevo software y también qué se debe hacer con la OT para cerrar las vulnerabilidades descubiertas.
Pero espera, que la cosa se pone interesante…
Se puede probar literalmente cualquier cosa en el terminal de entrada, no solo el nuevo software y las actualizaciones que se implementarán. Por ejemplo, puedes probar la resiliencia contra programas maliciosos que sortean los medios de protección externos y penetran en una red industrial protegida.
Esta tecnología tiene mucho potencial en el campo de los seguros, ya que permite a las compañías juzgar mejor los riesgos cibernéticos para calcular de una forma más precisa las primas, mientras que los asegurados no pagarán de más sin razón. Además, los fabricantes de equipos industriales podrán utilizar la plataforma de prueba para la certificación de software y hardware de otros desarrolladores. Si desarrollamos aún más este concepto, dicho esquema también se adaptaría a los centros de acreditación específicos de la industria, ¡por no hablar del potencial de investigación en las instituciones educativas!
Pero por ahora, volvamos a la plataforma original…
No hace falta decir que ninguna emulación puede reproducir con un 100 % de precisión la variedad completa de procesos en las redes OT. Sin embargo, según el modelo que hemos construido teniendo en cuenta nuestra vasta experiencia, ya sabemos dónde se pueden esperar las “sorpresas” después de presentar un nuevo software. Además, podemos controlar la situación de manera confiable con otros métodos, por ejemplo, con nuestro sistema de alerta temprana de anomalías, MLAD (sobre el cual ya escribí con detalle aquí), que puede identificar problemas en secciones particulares de una operación industrial en función de correlaciones directas o incluso indirectas. Esto podría evitar la pérdida de millones, si no miles de millones de dólares por causa de los incidentes.
Entonces, ¿qué impide que la gente de la OT compita para adoptar nuestro modelo de plataforma?
Bueno, tal vez, hasta ahora, dado que son tan conservadores, no estén buscando activamente una solución como la nuestra, ya que podrían no considerarla necesaria (!). Haremos todo lo posible para promover nuestra tecnología y ahorrar millones a la industria, por supuesto, pero mientras tanto, permitidme añadir esto: nuestro modelo de soporte, aunque complejo, se amortizará muy rápidamente si lo adopta una gran industria u organización infraestructural. Y no es un modelo de suscripción ni nada por el estilo: pagas una vez y te protege durante años sin inversión adicional (minimizando los riesgos regulatorios, reputacionales y operativos). Ah, también protegerá el estado emocional de la gente de la OT… o la cordura.
Consejos