Introducción a la seguridad en redes industriales (I)

martes, 8 de julio de 2014

Aunque algunos prefieran pensar que el mundo de la seguridad es exclusivo del "underground" y que solo personas muy esmeradas y profesionales están en ello, no podemos negar que en nuestra profesión también existen modas, nombres "cool" y por supuesto, existe el marketing. Nos encanta lo que hacemos pero no deja de ser un negocio y una profesión además de un hobby. Por eso, el hecho de enfrentarse con una nueva moda en seguridad, nos pone frente a una situación muy particular: la necesidad de volver a estudiar. Aunque parezcan conceptos viejos, aunque la seguridad sea cíclica en cuanto a sus errores, cada nueva moda, o cada nueva tecnología o cada nueva implementación supone un nuevo desafío y no podemos darnos el lujo de abordarlo desde la confianza. Al contrario debemos ser muy cautos y volver a nuestras bases. Volver a estudiar.

Por qué explicar la seguridad industrial

Hoy en día, las modas de la seguridad de la información están relacionadas directamente con las redes de sistemas industriales, con drones, con dispositivos médicos, con el internet de las cosas, ciberguerra y algún que otro tema más. En esta serie de entradas, trataremos exclusivamente la relacionada con los sistemas industriales. Los métodos "tradicionales" de abordar esta disciplina (se puede buscar "hacking scada" o "ataques a redes scada" en Google) no ofrecerán más que exploits, sin conocer qué afecta realmente o cuáles son los vectores de ataque en una red industrial. Pero en esta serie veremos por qué se supone que los SCADA son distintos a los demás sistemas.

Parece necesario porque hay mucha información pero no tantos datos concretos, porque el mercado empieza incluso a lanzar carreras relacionadas con este tema; porque se organizan congresos sobre seguridad en las redes industriales; porque está relacionada directamente con la ciber-defensa de un país o una región; porque sus vulnerabilidades afectan a todos de una manera diferente a las que puedan existir en otros ambientes: está en juego incluso la vida y la salud de las personas.

Safety is not security

Un sistema de control industrial tiene por objeto controlar de manera automática un proceso industrial (antes controlado manualmente, aunque cabe aclarar que todavía existen en muchas fábricas) sin tener que depender de la reacción o interpretación de un operador sobre una medida. Los procesos industriales manuales dependen en gran parte de la experiencia del operador, pero agregan variables difíciles de controlar: el nivel de cansancio, su estado de ánimo, las frecuencias en que el cerebro humano puede tener huecos o vacíos de atención ante un proceso de alta concentración, etc. La automatización de estos temas no es algo novedoso, los sistemas de control industrial existen desde hace muchísimos años y funcionan bien.

La integración a las redes TCP/IP es lo que ha hecho que se convierta en una moda porque principalmente cambia varios escenarios. Ahora están expuestos a internet, cualquier usuario de la LAN puede alcanzar los controles del sistema, el malware comienza a desarrollarse con el fin de afectarlos directamente, etc.), pero sobre todo plantean una especie de dogma: "safety is not security". En los sectores o áreas de operaciones, hablar de "safety" (hablar de la protección de las vidas humanas) es algo muy común y sobre todo muy tenido en cuenta; pero hablar de "security" no es cosa de todos los días. Un buen objetivo como profesionales de la seguridad es tener presente siempre que una planta industrial que piensa en concepto de "safety" no necesariamente involucra "security". Sin embargo una que piensa en "security", colabora a mantener los niveles de "safety" donde deben permanecer. Vamos a ir entendiendo por qué a medida que avancemos en el tema.

Los sistemas de control industriales se basan en 3 etapas:

  • Medición de los datos del proceso (monitorización).
  • Evaluación de la información obtenida en cuanto a parámetros estándar.
  • Control del proceso en base a la información medida y evaluada.

Estos sistemas de control pueden ser completamente manuales, automatizados en su totalidad, o ambas formas (híbridos). Los sistemas conocidos particularmente como SCADA ("supervisory control and data acquisition") pueden permitir evaluar desde una consola la información de múltiples puntos de un proceso y tomar decisiones de control.

Esto nos lleva a la necesidad describir cuáles son los componentes habituales, y por qué no, de una forma que nos resulte conocida como el modelo OSI.

Un modelo de capas

En este modelo, de la misma manera que en el modelo OSI, las capas están relacionadas entre sí.


Fuente cci-es.org

Empezando por la capa inferior (1), la capa de los Sensores y Actuadores (equipos que regulan las variables y ejecutan los controles), sería algo así como la capa física, donde lo que importa es el medio o los dispositivos de campo. Básicamente, aquí se concentran a nivel de dispositivos de campo, los sensores de movimiento, sensores de temperatura (termopar o termocuplas), sensores de niveles, sensores magnéticos, etc. y por otro lado, a este nivel lo que se transmiten son señales.

En la capa siguiente (2), se encuentran:
  • Los famosos PLC (Programmable Logic Controller o Controlador Lógico Programable) 
  • Las RTU (Remote Terminal Unit o Unidad Terminal Remota) que básicamente son un microprocesador capaz de adquirir señales de campo y actuar en consecuencia en base a una programación existente
  • DCS (Distributed Control System). Son un Sistema de Control Distribuido (se comunica con los dispositivos de campo y presenta los datos a un HMI o interfaz para humanos), que obtiene información de los PLC o de las RTU. Por lo general la forma antigua más común de interconexión era RS232 o Ethernet utilizando protocolos específicos como MODBUS o DNP3, entre otros (existen más protocolos y más medios de interconexión). Los términos y conceptos de DCS y SCADA son muy similares entre sí, y en ocasiones se utilizan indistintamente, dependiendo del sector en el que se esté trabajando.

Subiendo un poco más en el modelo hasta la capa (3), nos encontramos con el nivel de los HMI/SCADA donde, fundamentalmente, se recolecta toda la información de los PLC y/o RTU distribuidos de manera automática, y donde empezamos a encontrarnos con un protocolo conocido como TCP/IP.

En la capa superior siguiente (4) aparece un nuevo jugador pocas veces mencionado, el MES (Manufacturing Execution System) cuyo objetivo no es la evaluación del proceso en sí mismo, sino la de su eficiencia a partir de la información recibida. Por ejemplo, si determinada máquina no tuvo el mantenimiento necesario en fecha y tiene disponible otro equipo que sí lo tuvo como para asegurar la calidad; el cumplimiento de un determinado proceso; o si el turno de tarde produce más que el turno  de mañana, etc.

Y finalmente, en la última capa (5) se encuentra el también conocido ERP, donde básicamente se decide qué tipo de controles se ejecutarán, con qué frecuencia y con qué esfuerzo, con el objetivo de disponer de una planificación coherente.

No todas las plantas industriales o las fábricas disponen de la totalidad de estos componentes aplicados en sistemas. Por ejemplo, puede que  muchas no cuentan con un ERP y todo lo relacionado a ella lo hacen "en procesos manuales". Pero lo importante es comprobar la existencia de vectores de ataque, que veremos en el próximo artículo junto a los principales protocolos.

* Introducción a la seguridad en redes industriales (II)
* Introducción a la seguridad en redes industriales (y III)

Claudio Caracciolo
claudio.caracciolo@11paths.com

3 comentarios:

  1. Muy buena entrada Claudio, pero me gustaría matizar que también existen elementos en "Capa 2" e incluso "Capa 1" que se comunican mediante protocolo TCP/IP.

    ResponderEliminar
  2. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  3. Genial explicación sobre la seguridad de redes industriales, un sector que puede sufrir grandes daños si no securiza correctamente cada tramo de su sistema de telecomunicaciones, cuyos daños pueden producir grandes pérdidas de dinero e incluso de imagen de marca.

    ResponderEliminar