Según dos hackers éticos holandeses, la separación estricta entre TI y redes de tecnología operativa (TO) en entornos industriales no es sostenible.
dan keuper y Thijs Alkemade Recientemente ganó la competencia internacional de piratería debido a las graves vulnerabilidades que encontraron en varios sistemas utilizados en entornos industriales.
El tema de este año Hacker internacional Pwn2Own La competencia en Miami fue Industrial Control Systems. Debido a la creciente digitalización en la industria manufacturera, se ha invitado a los piratas informáticos a buscar vulnerabilidades en diferentes categorías de software y sistemas industriales.
Alkemade y Keuper codirigen el departamento de investigación del Sector 7 de la consultora holandesa Computest, donde analizan la seguridad del mundo digital, centrándose en las vulnerabilidades con impacto social. «Descubrimos que en las operaciones diarias de Computest, no siempre hay suficiente tiempo y prioridad para investigar las vulnerabilidades que marcan una diferencia social», dijo Keuper. «Es por eso que creamos nuestro propio departamento donde podemos hacer esto sin los plazos de los clientes y nuestra propia agenda de investigación».
Alkemade y Keuper también ganaron la competencia de piratería del año pasado utilizando las vulnerabilidades que encontraron en la plataforma de teleconferencia Zoom. «Para nuestra investigación, observamos los desarrollos actuales en el mundo y en los Países Bajos por igual», dijo Keuper. «Cuando de repente todos comenzaron a usar Zoom durante el confinamiento, investigamos la seguridad de este programa».
También examinaron esto críticamente aplicación de verificación de coronacon los holandeses convertir su certificado de vacunación y recuperación en un código QR para un billete nacional o internacional.
«Hace mucho tiempo que queríamos trabajar con sistemas industriales», dice Keuper. “Recibimos solicitudes de clientes para probar los pisos de sus fábricas con bastante regularidad. Pero con los sistemas OT, la disponibilidad es la máxima prioridad. En el momento en que mencionamos que, como piratas informáticos éticos, estaríamos enviando tráfico sospechoso a sus sistemas que podría hacer que los sistemas fallaran, las conversaciones con los clientes se detuvieron de inmediato, ya que el tiempo de inactividad es inaceptable para la industria manufacturera. Eso hace que sea difícil mirar realmente la seguridad de estos entornos”.
La competencia de Miami fue una buena oportunidad para que Keuper y Alkemade abordaran la vulnerabilidad de la automatización industrial sin una comisión del cliente, y encontraron cinco vulnerabilidades. Alkemade dijo: «No puedo entrar en detalles todavía, ya que el proveedor no ha resuelto todo. Pero había vulnerabilidades en las aplicaciones utilizadas para administrar sistemas o controlar comunicaciones. No en las máquinas del piso de la fábrica, sino en el sistema de control de derechos en la parte superior”.
Keuper agregó: “Vemos que las empresas de fabricación hacen todo lo posible para mantener a los atacantes fuera de la red OT. En casi todas las empresas industriales existe una separación estricta entre la red OT y la red TI, pero en base al conocimiento adquirido, no considero que este modelo sea sostenible”.
Todo está conectado
La industria se está volviendo más inteligente: la cuarta revolución industrial es digital. Casi todas las máquinas y sistemas están conectados a Internet o lo estarán en un futuro próximo. La conectividad es clave, y eso no es sorprendente, ya que es mucho más económico controlar 30 puentes desde una ubicación central que emplear 30 operadores de puentes.
«Esta mayor conectividad significa que las personas también buscan más análisis e información», dijo Keuper. “Esto significa inevitablemente que TI y OT se entrelazarán cada vez más. Esto requiere una nueva estrategia para su seguridad”.
Muchas de las máquinas y otros dispositivos que se usan en las fábricas son viejos o están desactualizados y nunca fueron diseñados para conectarse a Internet o soportar las medidas de seguridad actuales. Por lo tanto, la seguridad principal está en la red de TI y esta red forma un búfer adicional para la red OT en la mayoría de los entornos industriales.
“Vemos que muchas empresas industriales han blindado muy bien su red de TI”, dijo Alkemade. “Por lo tanto, las vulnerabilidades que encontramos no son fáciles de explotar. Realmente tienes que conectarte a la red primero, y eso a menudo no es fácil. Pero cuando lo hacen, estas vulnerabilidades hacen que sea relativamente fácil hacerse cargo de las máquinas, modificar los procesos o derribar todo con consecuencias de largo alcance”.
Por lo tanto, la estrategia actual de redes separadas de TI y OT no está preparada para el futuro, dijo Keuper. «Es como tener un viejo castillo, con murallas, puertas y un foso para garantizar que ningún atacante pueda llegar a tu castillo. Esto funciona muy bien si solo tiene uno o dos puentes levadizos porque puede protegerlos bien. Pero en las redes digitales de hoy existen mil puentes levadizos. Esto es imposible de monitorear o asegurar”.
Donde la seguridad de las redes de OT y TI está principalmente en manos de diferentes personas hoy en día, Keuper aboga por unirlas. «Si quieres marcar la diferencia, tienes que trabajar juntos», dijo. “La seguridad de TI y OT siguen siendo dos mundos muy diferentes. Cuando me reúno con alguien en una conferencia de seguridad de TI y le pregunto si asistirá a una próxima conferencia de seguridad de OT, la respuesta casi siempre es no.
“La mayoría de las veces, la seguridad de la red de TI es responsabilidad de una persona, mientras que la seguridad de OT es responsabilidad de otra. Probablemente hablen entre ellos, pero tienen intereses muy diferentes. Para llevar la seguridad de un entorno industrial a un nivel superior, es necesario que estas dos personas asuman la responsabilidad conjunta de toda la red, en lugar de que cada uno se defienda por sí mismo”.
desafío para el futuro
Este no es un problema específicamente holandés, dijeron los hackers éticos: las organizaciones industriales de todo el mundo están luchando contra él. «Es necesario un cambio de cultura para unir TI y OT», dijo Keuper. “Es un problema tan complejo que no se puede resolver fácil y rápidamente. Los intereses son muy diferentes. Si bien OT se trata de disponibilidad, la confidencialidad y la integridad son primordiales para TI”.
Alkemade agregó: “Creo que este desafío solo se puede resolver por completo en nuevas instalaciones. Si construye una fábrica desde cero, puede incorporar TI y OT en su infraestructura y configurar la red asumiendo que todo estará conectado a Internet”.
Esto es mucho más difícil para las fábricas existentes y otros entornos industriales, ya que los cambios afectan directamente la disponibilidad. Alkemade y Keuper esperan haber demostrado su experiencia en esta área y les gustaría ayudar a las empresas industriales a hacer que las redes e instalaciones sean más seguras.
«Demostramos que las aplicaciones industriales son muy vulnerables, pero las vulnerabilidades que encontramos eran frutas al alcance de la mano», agregaron. “Eran bastante fáciles de encontrar y abusar. Así que todavía hay un mundo en juego”.
