Según el Instituto Nacional de Estándares y Tecnología (NIST) por sus siglas en inglés, la vulnerabilidad a las amenazas de ciberseguridad de los Sistemas de Control Industrial (SCI) está aumentando debido a la adopción de Tecnologías de Información disponibles comercialmente, que promueven la conectividad de los sistemas de negocio y el acceso remoto.

Para abordar estas amenazas, el NIST ha demostrado un conjunto de capacidades que mitigan los ataques de malware y otras amenazas, por medio de la detección de comportamientos anómalos en ambientes operativos.

NIST ha mapeado estas capacidades demostradas para el Framework de Ciberseguridad y ha documentado como este conjunto de controles basados en estándares puede abordar los escenarios de anomalías a los que se enfrentan los fabricantes.

1. Dispositivos no autorizados conectados a la red

Es importante identificar todos los dispositivos en la red SCI para poder hacer un análisis de riesgos completo y para minimizar los vectores de ataque potenciales. La presencia de dispositivos no autorizados puede indicar actividades anómalas.

2. Credenciales HTTP no cifradas detectadas en la red

Credenciales sin cifrar o en texto plano transmitidas sobre la red son una vulnerabilidad para las redes SCI. Si los paquetes que contienen estas credenciales son interceptados, entonces las credenciales se pueden utilizar para acceder a los dispositivos o servicios.

3. Escaneo no autorizado de la red

Durante la fase de reconocimiento, un atacante puede intentar localizar servicios vulnerables en una red SCI y probablemente buscará servicios específicos de un SCI. Una vez que es descubierto un servicio, host o dispositivo, un atacante puede intentar explotar esa entidad.

4. Sesiones SSH no autorizadas habilitada en un servidor basado en Internet

Una sesión de Secure Shell (SSH) es una conexión cifrada y segura para enviar comandos de forma remota a través de una red. Sin embargo, sesiones SSH no autorizadas en servidores basados en Internet podrían indicar actividad maliciosa. Los atacantes pueden usar una sesión SSH para obtener acceso al dispositivo SCI y a la red.

5. Exfiltración de datos a Internet a través de DNS Tunneling

Los ataques contra un SCI, con el objetivo de obtener información, debe intentar exfiltrar datos sensibles o patentados de la red SCI, utilizando potencialmente Internet como el mecanismo de transporte.

El monitoreo de dispositivos SCI que se comunican con otros dispositivos a través de Internet puede ayudar a detectar datos eventos de exfiltración, especialmente si el dispositivo afectado normalmente no se comunica a través de Internet.

6. Descarga no autorizada de la lógica de un SCI

Muchos dispositivos SCI brindan servicios para actualizar remotamente la lógica de control a través de la red. Estos servicios de red también pueden proporcionar a los atacantes un mecanismo para reemplazar la lógica de control válida, con lógica maliciosa, si el dispositivo no está protegido.

7. Códigos indefinidos de función Modbus TCP transmitidos a PLCs

Las comunicaciones que no se ajustan a las especificaciones definidas por el protocolo industrial pueden causar que un dispositivo SCI actúe de manera indefinida o insegura.

Dependiendo del proceso de fabricación y del dispositivo SCI, las comunicaciones deficientes pueden o pueden no ser impactantes, pero la investigación sobre la causa está justificada.

8. Ataque de contraseña por fuerza bruta sobre un dispositivo de red

Los sistemas de autenticación que tienen pocas restricciones pueden ser vulnerables a ataques sobre las contraseñas, especialmente si no se han cambiado las credenciales predeterminadas del dispositivo. Con el tiempo suficiente, un atacante puede acceder a estos sistemas vulnerables mediante un ataque de contraseña por fuerza bruta.

9. Exfiltración de datos al lnternet a través del Protocolo de Copia Segura (SCP)

Los ataques contra un SCI, con el objetivo de la recopilación de información, puede intentar, en algún momento, exfiltrar los datos de la red SCI, utilizando potencialmente el Internet como medio de transporte. El monitoreo de dispositivos SCI que se comunican con otros dispositivos a través de Internet puede ayudar a detectar eventos de exfiltración de datos, especialmente si el dispositivo afectado normalmente no se comunica sobre Internet.

Dependiendo del protocolo utilizado para exfiltración, el contenido de archivos y/o los datos que están siendo exfiltrados pueden ser comprobables, proporcionando información sobre el impacto del evento.

10. Detección de archivos de virus en la red

El malware y los virus informáticos pueden minar la seguridad, la confidencialidad y la estabilidad de un SCI, con el potencial necesario para sabotear el SCI. La capacidad de detectar virus y malware en la red de los SCI es importante para minimizar el riesgo en los sistemas de manufactura.