Início / Descargas / Siemens / Ciberseguridad / La defensa contra el malware industrial. Stuxnet y nuevos tipos de amenzas

La defensa contra el malware industrial. Stuxnet y nuevos tipos de amenzas

  • Publicado: 07 Mayo 2011
  • Siemens
  • Leído Visto: 3693 veces

Comprender la complejidad del troyano Stuxnet, cómo se encuentra y encaja en los sistemas de destino, y por qué es diferente de los virus tradicionales, es clave para proteger su planta o proceso de la infección. Siga este plan de protección para minimizar el riesgo de exposición.

El troyano Stuxnet, que muchos dicen que comienza una nueva etapa en la seguridad informática, se ha infiltrado en las instalaciones industriales y vejado compañías antivirus. A pesar de que sigue siendo peligrosa, se han tomado medidas para anular en gran medida su impacto.

El software malicioso es más sofisticado que muchos de sus predecesores, ocultando sus codigos binarios y modificando su código. Eso, junto con su enfoque en los autómatas en vez de PCs, hace de este ataque un recordatorio de que las empresas necesitan para mantener constantemente la conciencia y cambiar los programas de seguridad informática.

Charles Ross de McAfee que califica de nuevo tipo de amenaza, diciendo: "Fue la primera amenza persistente avanzada." Ralph Langner de Langner Communications comento. "No podría haber sido escrito por los aficionados".

929_01

Siemens recibió por primera vez información sobre la existencia del troyano que se habían infiltrado en las plantas industriales el 15 de julio de 2010. Se había escondido por algún tiempo antes de que, eludiendo incluso los expertos. "Lo tuvimos en nuestros sistemas durante una semana antes de que nos dimos cuenta de que era dañino", dice Roel Schouwenberg de Kaspersky Lab Américas.

Los equipos de seguridad se dirigieron a la amenaza rápidamente. Las cuatro vulnerabilidades de día cero en Microsoft Windows se parcheado rápidamente, y los dos certificados robados VeriSign  que le ayudó a empezar ahora han sido anulados.

Es muy importante darse cuenta de que la variante Stuxnet actual no se dirige a un proveedor específico o marca o la tecnología de proceso, sino más bien un proceso específico o una planta específica o tipo de planta. Esto quiere decir que no era un ataque de amplio espectro sobre los sistemas de control de Siemens, ya que muchos se pensaba, sino un ataque contra una planta específica o tipo de planta que emplea a los controles de Siemens. En muchos casos, se detectó el virus, pero no había sido activado, por lo que podrían ser borrados sin daños.

La sofisticación del malware Stuxnet significa que la seguridad de control industrial necesita moverse agresivamente para defenderse, no sólo Stuxnet, sino por otro tipo de malware de este nivel de sofisticación que pueden producirse en el futuro. La mayoría de los investigadores creen que Stuxnet no es un incidente aislado.

En un principio, a partir de mediados de julio hasta finales de agosto de 2010, un total de 15 casos fueron reportados a Siemens, donde fue detectado el malware Stuxnet en varias plantas. La mayoría de las infecciones, aproximadamente una tercera parte, se encontraban en Alemania.

Ahora que las vulnerabilidades de día cero se han parcheado, el equipo identificó la raíz para el aislamiento y el retiro, y los certificados VeriSign se han invalidado, es dudoso que esta variante del troyano se propagará aún más.

Sin embargo, esto no es una señal para rebajar la vigilancia. La falta de revisión de los sistemas y actualizar el software antivirus puede ofrecer una entrada a Stuxnet que de otro modo podría ser cerrado. Otras amenazas podría utilizar tácticas similares para explotar otras vulnerabilidades.

Stuxnet es diferente

Stuxnet es diferente de todos los otros tipos de malware, ya que no es "Network Centric", sino más bien centrada en el dispositivo en el entorno de controles industriales. Parece que la búsqueda deliberada de una constelación técnica con ciertos módulos y ciertos patrones de programa que se aplican a un proceso de producción específico.

Si no encuentra esa constelación técnica específica, que se descarga de esa red y los intentos de propagar a uno nuevo. "Dispositivo céntrica" ​​significa que Stuxnet puede penetrar con eficacia un sistema de control industrial. Incluso cuando el sistema no está conectado a una red de plantas de TI, es eficaz para el uso "candy drop," en el que las unidades USB infectadas de un empleado  curiosos al conectarlo a un ordenador.

El patrón que está buscando puede ser localizado por un bloque de datos específicos y dos bloques de código. Si estos bloques ya están presentes en el sistema, el malware no se infiltra en el programa de usuario. Si estos bloques (por ejemplo, DB890, FC1865 y 1874) no estuvieron presentes en el programa original, y ahora están presentes, el malware ha infectado el sistema, y ​​Siemens recomienda urgentemente la restauración del sistema de control de la planta a su estado original.

Proteja su planta

Hay una serie de guías para las empresas que desean iniciar o mejorar sus programas de seguridad. Los dos mejores son el ISA-99 normas e informes técnicos y el CIPS NERC si usted está en la industria de la energía. Que detalle un enfoque por capas a la seguridad que puede manejar tanto los ataques desde el exterior y los ataques y accidentes que se originan dentro del cortafuegos.

Las empresas deben comenzar por determinar qué proteger y cuánto para protegerlo. Los accidentes suceden todo el tiempo.

Un análisis de riesgos es la mejor manera de empezar es con. Esto comienza con una evaluación de las amenazas y las vulnerabilidades de su sistema.

Hay tres vectores básicos Cyber ​​incidente de seguridad:

1. Dirigida ataque desde fuera de la planta

2. Dirigida ataque desde el interior de la planta

3. Incidente accidental  originado en el interior o fuera de la planta

Cada uno tiene los riesgos relativos. No use "no ha ocurrido todavía", como parte del análisis. ISA-99 toma prestado mucho de las metodologías de evaluación de seguridad de ISA-84. Al igual que en el dominio de seguridad, evaluar el riesgo en el ámbito de la seguridad es un proceso continuo. El análisis de riesgos para una planta puede muy bien haber cambiado en el Stuxnet día se informó a Siemens.

Una vez que la evaluación del riesgo se ha completado, será la base para generar un plan de seguridad completa para todos los sistemas de automatización de procesos. Este plan de seguridad debe ser cambiado cada vez que se actualiza el análisis de riesgo, que constituye su base. Esto debe ser por lo menos una vez al año.

Defensa en profundidad

Tomando una página de ISA-84, ISA-99 y la mayoría de los consultores de seguridad recomiendan que se establece un enfoque de defensa en profundidad. Sin embargo, como Stuxnet puso claramente de manifiesto, la defensa en la topología de profundidad, que suele ser comparado con una cebolla, las necesidades en vez de proteger también contra los incidentes de ataque cibernético y desde dentro del firewall. Proporcionar una Línea Maginot de cortafuegos hojas defensas frágiles y vulnerables de la planta.

Por encima de todo, la seguridad es más cultural que técnica. La única vez que la "candy drop" Stuxnet método utilizado en sus obras la infección primaria por vector es cuando los empleados no reconocen su responsabilidad para contribuir a la planta de la seguridad cibernética. Cultura viene de arriba hacia abajo. La alta dirección de la empresa debe estar totalmente comprometido con una planta más segura e inculcar una cultura de seguridad. Deben ser visto y creído. La cultura debe entender la diferencia entre la seguridad y el aumento del simple cumplimiento de normas y políticas.

Es mejor gastar más dinero en el cambio cultural y educación de los empleados que en los enfoques tecnológicos para la seguridad cibernética. Un empleado que recoge una memoria USB infectada con Stuxnet u otro malware en el estacionamiento y la pone en un equipo que está en la red de control de procesos puede derrotar a muchos de los enfoques tecnológicos para defenderse de los ataques de fuera de la red, hacerlo sin las señales de advertencia de costumbre.

Parches y las pruebas

Todo el software tiene errores y "características de indocumentados" que puede ser necesario revisar. Este "parche" es realizada por todos los vendedores de software. Microsoft distribuye los parches oficiales para los sistemas operativos de Windows en "martes de parches", una vez al mes. En la informática empresarial, los parches pueden aplicarse sin un estudio o ensayo.

Esto no es aceptable en el entorno de control de procesos industriales. Por lo tanto, la estrategia de seguridad debe incluir un plan de evaluación, pruebas, y la instalación de parches. En un sentido similar, instalar y actualizar software anti-virus requiere la misma atención al detalle.

929_02

Dispositivo de seguridad

Como Stuxnet acaba de demostrar, no es suficiente tener un plan de seguridad que protege los ordenadores y la red en un entorno de control de procesos. El plan debe incluir los medios para proteger los dispositivos de control de sí mismos. Stuxnet añade un rootkit oculto para el PLC que infecta. Cada PLC debe ser protegido con una especie de concepto límite servidor de seguridad para que sea invisible para los usuarios y partes de la red que no están autorizados a verlo.

Sistemas de protección especificos de Siemens

Siemens ha desarrollado un concepto de seguridad específicas para los usuarios de los sistemas de WinCC y PCS 7 que incluye muchos de estos temas, entre ellos:

• Adecuada arquitectura de red

• División de la red de control en las células de control

• Seguridad de las estrategias de seguridad para las plantas grandes 

• Seguridad para las pequeñas plantas

• Acceso a técnicas que son seguras por diseño

• Asegurar la publicación web

• Asegurar la integración con los sistemas de control de fabricación

• Protección de acceso al servicio

• Protección de control remoto para la optimización y la ingeniería

• Endurecimiento

• Gestión de la red de control

   - Gestión de equipos y usuarios

   - Gestión de permisos de control basados ​​en roles

   - Parche y la administración de actualizaciones de seguridad

   - Virus de la gestión del escáner

• Registro, auditoría y análisis forense para la gestión y mantenimiento de activos

• Seguridad y pruebas de penetración de la red

Siemens ha presentado un libro blanco y muchas otras herramientas para ayudar a sus clientes en el desarrollo de planes de seguridad para sistemas de control de Siemens.

Libro blando de seguridad: 
http://support.automation.siemens.com/WW/view/en/26462131

Administration of Virus Scanners for WinCC and PCS 7: 
http://support.automation.siemens.com/WW/view/en/38625951

Administration of Virus Scanners for STEP7
http://support.automation.siemens.com/WW/view/en/37208360

 

Fuente: http://www.totallyintegratedautomation.com