En un entorno globalizado, y en plena expansión de la “mal” llamada integración IT/OT, realizamos una serie de búsquedas de activos OT que nuestras empresas tienen publicados en Internet.
Así evaluamos el nivel real de exposición, y extraemos ciertas conclusiones en materia de Ciberseguridad, en entornos industriales.
La llamada industria 4.0 obliga a muchas empresas a tomar la decisión de conectar sus dispositivos industriales a la “red”.
Con ello ofrecen mejores servicios, o simplemente tareas de monitorización y optimización de sus procesos. También para acceso remoto a estos dispositivos mediante telecontrol, o para realizar tareas de mantenimiento sobre los mismos.
Toda esta conectividad, ofrece un amplio espectro de funcionalidades positivas en toda la cadena de producción o control.
Pero por otra parte oculta una serie de aspectos preocupantes en materia de Ciberseguridad frente a ataques dirigidos a OT, o accesos incontrolados a los sistemas.
Son generalmente sistemas de alta disponibilidad 24×7 o infraestructuras críticas, por lo que la preocupación es mayor.
Antecedentes
Tras una búsqueda de activos expuestos a Internet dentro el estado español, realizando búsquedas filtradas para ciertos modelos, protocolos de comunicación o servicios expuestos, podremos extraer una serie de conclusiones, afirmaciones y categorizaciones sobre la exposición y vulnerabilidad de estos activos, evaluando un rango de vulnerabilidad de los mismos.
Operativa
Se realiza una búsqueda exhaustiva de algunos de los equipos mas comunes y utilizados en las empresas en materia de automatización.
Por ejemplo, plc’s de Siemens, Omron ,Modicon, Mitsubishi, y equipos que utilizan el protocolo (de propósito general y ampliamente utilizado y desplegado) Modbus, junto con routers industriales de acceso remoto Ewon .
La muestra se basa en la recolección de información de los diversos elementos publicados, y el análisis de puertos, acceso sin credenciales y servicios activos desactualizados según cve’s:
- Modicon 463 equipos
- Ewon 102 equipos
- Siemens S7 394 equipos
- Omron 486 equipos
- Modbus 1367 equipos
Después de realizar todo el análisis y filtrar los datos, los resultados en cuanto a vulnerabilidades de los equipos y servicios expuestos se resume de la siguiente forma, en base al riesgo calculado en base a:
Número de equipos expuestos por provincia, puertos abiertos, posible acceso sin credenciales y servicios desactualizados.
Valorándolos de la siguiente forma:
- 0-5 Leve
- 5-7 Media
- 7-10 Grave
Como conclusión final, se observa que existen centenares de dispositivos expuestos, que tal vez deberíamos plantearnos si realmente deben estar conectados a Internet
En caso afirmativo aplicar sobre estos elementos de OT, las mismas políticas de seguridad del área de IT, actualizando firmware’s o servicios que corren sobre estos sistemas.
Jordi ubach @jubachm