La investigación de OMICRON revela brechas generalizadas de ciberseguridad en las redes de tecnología operativa (OT) en subestaciones, plantas de energía y centros de control de todo el mundo. Basado en datos de más de 100 instalaciones, este análisis destaca problemas técnicos, organizativos y funcionales recurrentes que dejan la infraestructura energética crítica vulnerable a las ciberamenazas.
Los hallazgos se basan en varios años de implementación del sistema de detección de intrusiones (IDS) StationGuard de OMICRON en sistemas de protección, automatización y control (PAC). Esta tecnología, que monitorea pasivamente el tráfico de la red, proporciona una visibilidad profunda de los entornos OT del mundo real. Los resultados destacan la creciente superficie de ataque en los sistemas energéticos y los desafíos que enfrentan los operadores para proteger infraestructuras obsoletas y arquitecturas de red complejas.
Conexión de IDS en el sistema PAC (el círculo indica el puerto espejo)
Las implementaciones de StationGuard a menudo se realizan durante evaluaciones de seguridad, que descubren vulnerabilidades como dispositivos sin parches, conexiones externas inseguras, segmentación de red débil e inventarios de activos incompletos. Estas debilidades de seguridad a menudo se identificaban dentro de los primeros 30 minutos de conectarse a la red. Además de los riesgos de seguridad, la evaluación también descubrió problemas operativos como configuraciones erróneas de VLAN, errores de sincronización horaria y problemas de redundancia de red.
Además de las deficiencias técnicas, los hallazgos apuntan a factores organizacionales que contribuyen a estos riesgos, incluida la responsabilidad poco clara sobre la seguridad de OT, recursos limitados y silos departamentales. Estos hallazgos reflejan tendencias de crecimiento en todo el sector energético. Los entornos de TI y OT están convergiendo rápidamente, pero las medidas de seguridad a menudo no han seguido el ritmo. ¿Cómo se están adaptando las empresas de servicios públicos a estos riesgos complejos y qué brechas persisten que podrían poner en riesgo los sistemas críticos?
¿Por qué su red OT necesita detección de intrusiones?
La capacidad de detectar incidentes de seguridad es una parte integral de la mayoría de los marcos y pautas de seguridad, como el Marco de ciberseguridad NIST, IEC 62443 y la serie de estándares ISO 27000. En subestaciones, sistemas de control de centrales eléctricas y centros de control, muchos dispositivos funcionan sin un sistema operativo estándar, lo que hace imposible instalar software de detección de terminales. En dichos entornos, la funcionalidad de descubrimiento debe implementarse a nivel de red.
Las implementaciones StationGuard de OMICRON suelen utilizar puertos espejo de red o TAP Ethernet para monitorear pasivamente las comunicaciones. Además de detectar intrusiones y ciberamenazas, la tecnología IDS también proporciona importantes beneficios, entre los que se incluyen:
Visualice las comunicaciones de red Identifique servicios innecesarios y conexiones de red riesgosas Cree automáticamente un inventario de activos Detecte vulnerabilidades de dispositivos basándose en este inventario
Evaluación del riesgo: la metodología detrás de los hallazgos
Este informe se basa en muchos años de instalaciones de IDS. La primera instalación data de 2018. Desde entonces, se han realizado cientos de instalaciones y evaluaciones de seguridad en subestaciones, centrales eléctricas y centros de control en decenas de países. Los hallazgos se dividen en tres categorías:
Riesgos técnicos de seguridad Cuestiones de seguridad organizacional Cuestiones operativas y funcionales
En la mayoría de los casos, los problemas operativos y de seguridad graves se descubren a los pocos minutos de conectar el IDS a la red.
Por lo general, los sensores se conectaban a un puerto espejo en la red OT (a menudo una puerta de enlace u otro punto de entrada de la red crítica) para capturar flujos de comunicación críticos. En muchas subestaciones, el monitoreo a nivel de bahía no fue necesario porque la propagación de multidifusión proporciona visibilidad del tráfico en otras partes de la red.
Dispositivos ocultos y puntos ciegos de activos
Un inventario preciso de activos es esencial para proteger sistemas energéticos complejos. Crear y mantener dichos directorios manualmente requiere mucho tiempo y es propenso a errores. Para solucionar este problema, OMICRON utilizó métodos tanto pasivos como activos para el descubrimiento automático de activos.
La identificación de activos pasivos se basa en archivos de descripción de configuración del sistema (SCD) existentes, estandarizados en IEC 61850-6, que contienen información detallada del dispositivo. Sin embargo, la monitorización pasiva por sí sola resulta insuficiente en muchos casos, ya que datos críticos como la versión del firmware no se transmiten a través de la comunicación normal del PAC.
Por otro lado, las consultas activas de información del dispositivo aprovechan el protocolo MMS para recuperar datos de la placa de identificación, como el nombre del dispositivo, el fabricante, el número de modelo, la versión del firmware y posiblemente los identificadores de hardware. Esta combinación de tecnologías pasivas y activas proporcionó un inventario completo de activos en toda la instalación.
Ejemplos de información del dispositivo disponible a través de consultas activas SCL y MMS
¿Cuáles son los riesgos técnicos de ciberseguridad más comunes?
El análisis de OMICRON identificó varios problemas técnicos recurrentes en las redes OT de energía.
Dispositivos PAC vulnerables:
Se descubrió que muchos dispositivos PAC ejecutaban firmware obsoleto que contenía vulnerabilidades conocidas. Un ejemplo notable es la vulnerabilidad CVE-2015-5374. Esto permite un ataque de denegación de servicio contra el relé protegido con un único paquete UDP. Aunque hay un parche disponible desde 2015, muchos dispositivos siguen sin parchear. Existen vulnerabilidades similares en la implementación de GOOSE y en la pila de protocolos MMS, lo que crea riesgos adicionales.
Conexiones externas peligrosas:
En algunas instalaciones, se encontraron conexiones TCP/IP externas no documentadas y, en algunos casos, hubo más de 50 conexiones persistentes a direcciones IP externas dentro de una sola subestación.
Servicios innecesariamente inseguros:
Los hallazgos comunes incluyen servicios de intercambio de archivos de Windows (NetBIOS) no utilizados, servicios IPv6, servicios de administración de licencias que se ejecutan con privilegios elevados y funcionalidad de depuración de PLC no segura.
Segmentación de red débil:
Muchas instalaciones funcionaban como una única gran red plana, lo que permitía una comunicación ilimitada entre cientos de dispositivos. En algunos casos, incluso las redes informáticas de las oficinas eran accesibles desde subestaciones remotas. Una arquitectura de este tipo amplía enormemente el alcance de un incidente cibernético.
Dispositivo inesperado:
Cámaras IP, impresoras e incluso dispositivos automatizados sin seguimiento aparecían con frecuencia en las redes sin estar documentados en los inventarios de activos, lo que creaba importantes puntos ciegos para los defensores.
Factores humanos: debilidades organizativas en la seguridad OT
Más allá de las deficiencias técnicas, Omicron también observó desafíos organizacionales recurrentes que exacerban los riesgos cibernéticos. Estos incluyen:
Límites funcionales entre los equipos de TI y OT Falta de personal de seguridad de OT dedicado Las limitaciones de recursos restringen la implementación de controles de seguridad
En muchas organizaciones, los departamentos de TI siguen siendo responsables de la seguridad de OT. Este modelo a menudo tiene dificultades para abordar los requisitos únicos de la infraestructura energética.
En caso de falla operativa: Riesgos funcionales de la subestación
La introducción de IDS también ha revelado una serie de problemas operativos que no están directamente relacionados con las amenazas cibernéticas pero que aún afectan la confiabilidad del sistema. Los más comunes son:
Los problemas de VLAN fueron los más frecuentes, y el etiquetado de VLAN de los mensajes GOOSE a menudo era inconsistente en toda la red. Las discrepancias entre RTU y SCD interrumpieron la comunicación entre dispositivos y, en algunos casos, impidieron las actualizaciones de SCADA. Los errores de sincronización horaria pueden variar desde simples configuraciones erróneas hasta dispositivos que funcionan en una zona horaria o marca de tiempo predeterminada incorrecta. Los problemas de redundancia de red relacionados con bucles RSTP y chips de conmutador mal configurados provocaron una grave degradación del rendimiento en algunas instalaciones.
Estas debilidades operativas no solo afectan la disponibilidad, sino que también pueden amplificar el impacto de un incidente cibernético.
Mensajes de alerta relacionados con la supervisión de funciones
¿Qué pueden aprender las empresas de servicios públicos de estos hallazgos?
El análisis de más de 100 instalaciones energéticas destaca la necesidad urgente de soluciones de seguridad sólidas y diseñadas específicamente para los desafíos únicos de los entornos tecnológicos operativos.
Con una profunda comprensión del protocolo y visibilidad de los activos, las soluciones StationGuard brindan a los equipos de seguridad la transparencia y el control que necesitan para proteger la infraestructura crítica. Una lista blanca incorporada detecta incluso la más mínima desviación del comportamiento esperado y la detección basada en firmas identifica amenazas conocidas en tiempo real.
El sistema puede monitorear protocolos de TI y OT, como IEC 104, MMS y GOOSE, lo que permite a las empresas de servicios públicos detectar y responder a amenazas en cada capa de la red de la subestación. Al combinar StationGuard con características como inventario automatizado de activos, control de acceso basado en roles e integración perfecta en flujos de trabajo de seguridad existentes, las organizaciones pueden aumentar la resiliencia sin interrumpir las operaciones.
Para obtener más información sobre cómo StationGuard está ayudando a las empresas de servicios públicos a cerrar estas brechas de seguridad críticas, visite nuestro sitio web.
solución de guardia de estación
Source link
