CIBERSEGURIDAD APLICADA AL SECTOR INDUSTRIAL: un análisis desde la gestión de identidades y accesos como método de prevención.

Autora: Alba Barranco

Continuamos con este proyecto conjunto entre Bidaidea y Sec2Crime sobre Ciberseguridad Industrial que aborda desde una visión integral las vulnerabilidades y amenazas en la industria 4.0 a través de un conjunto de artículos en los que se realizan una serie de reflexiones y recomendaciones sobre como paliar, prevenir y anticiparse a posibles violaciones en la seguridad a mediante la correcta implantación de un plan de acción adecuado en materia de ciberseguridad

Pincha aquí para ver más artículos sobre Ciberseguridad Industrial

Resumen

El artículo tratará sobre la gestión de identidades y accesos como método de prevención en las empresas. En este caso, se pondrá el foco en el sector de la industria, aunque se trata de un tipo de rama de la ciberseguridad abordable en gran cantidad de sectores. Se dará importancia a poner en práctica ciertos métodos y conductas en esta dirección para fomentar sobre todo la prevención. Se podrá mitigar la frecuencia de éxito de diversos tipos de ataques y técnicas, como la escalada de privilegios por parte de un atacante externo o de ‘insiders’. Eso podría causar grandes daños y costes a la empresa si se filtran determinados accesos o informaciones, así como causar daños a nivel físico en máquinas y elementos destinados a la producción industrial. Es por ello que con este artículo se busca mostrar la importancia de poner el foco en este tipo de ramas también.

Palabras clave:

Identidad, acceso, rol, autenticación, autorización, escalada de privilegios.

Gestión de Identidades y Accesos

En ocasiones, cuando el imaginario colectivo piensa en el concepto de ciberseguridad, se consideran en primer lugar elementos como la protección de sistemas mediante antivirus, los ciberataques, el concepto cinematográfico de la figura del hacker… Sin embargo, existe una rama de la ciberseguridad cuyo impacto es relevante en el día a día de una empresa y que no es uno de los métodos primordiales a la hora de protegerla: se trata de la Gestión de Identidades y Accesos.

En primer lugar, ¿qué es una identidad? Podríamos entender la identidad como aquella entidad digital a la cual se le gestionará un acceso. Los accesos se configurarán de tal forma que dicha identidad pueda acceder a lo necesario tras proporcionarle una serie de permisos y privilegios. Las identidades pueden considerarse tanto usuarios como otros elementos (como dispositivos IoT), y los accesos pueden ser tanto entornos como aplicaciones, dispositivos o datos.

Estas identidades son gestionadas y monitoreadas por una serie de administradores en todos los puntos de su proceso: desde el inicio de sesión y autenticación, hasta el acceso al punto final (endpoint). Dentro de los inicios de sesión, podemos analizar si la identidad está autorizada, así como la forma en la que esta debe de autenticarse.

Métodos de Autenticación

Como métodos de autenticación que se podrían considerar más seguros, podemos destacar los siguientes tipos:

  1. Método multifactor (MFA). Lo seguro de este método es que la identidad debe de proporcionar al menos dos formas de autenticación para que su inicio de sesión sea válido. Por ejemplo, es muy común en las empresas el uso de una contraseña y un código que llega a un dispositivo al que el usuario tenga acceso (como puede ser un teléfono corporativo) como segundo método.
  2. Inicio de sesión único. Existen procesos en los que la doble autenticación no se solicita a menos que se considere un inicio de sesión sospechoso que no cumple con el comportamiento normal del usuario. En este caso, una vez el usuario se ha autenticado con las credenciales correspondientes, no será necesario que vuelva a hacerlo en ninguno de los entornos o aplicaciones a los que acceda. Esto aumentaría el grado de eficiencia a la hora del día a día del usuario.
  3. Zero Trust. Se trata de un método de autenticación en el que el sistema nunca se fía dos veces del mismo usuario. Es decir, en cada inicio de sesión, la identidad deberá de autenticarse para lograr el acceso. Se trata de un método que, a pesar de ser menos eficiente y rápido que el inicio único de sesión, es más seguro y restrictivo al no permitir ningún acceso a las aplicaciones sin autenticación.

Además de ser necesaria una autenticación robusta, un método sólido y organizado de gestión de los privilegios y accesos es vital a la hora de mantener un sistema seguro. Aquí podemos introducir el concepto de least privilege o de mínimo privilegio, el cual defiende que a la hora de gestionar accesos se otorguen los mínimos con los que el usuario o identidad pueda realizar sus funciones diarias, nunca teniendo más privilegios de los estrictamente necesarios. De lo contrario, se podría generar una holgura de permisos peligrosa, permitiendo que la identidad acceda a determinados entornos, tareas o datos que no le corresponden y que pueden considerarse críticos.

En este sentido, existe una gestión específica de aquellas cuentas que se consideran como privilegiadas, dado el tipo de función que tienen, así como el tipo de entornos y datos a los que acceden. Un mal control de este tipo de cuentas privilegiadas incrementa en gran medida el riesgo de sufrir un ataque que afecte a la seguridad de la información y de los entornos. En este caso, dentro del sector industrial podría incluso afectar al funcionamiento de máquinas destinadas a la producción.

Del mismo modo, un método eficiente para gestionar los accesos en una empresa a un gran número de empleados es mediante roles: en función del rol asignado a los usuarios, se poseerán una serie de permisos u otros. Esta asignación se puede hacer filtrando por diversos atributos o características que los usuarios pueden poseer (por ejemplo, la oficina a la que pertenecen). De esta forma, permitiría asignar permisos de manera masiva en un menor tiempo. Además, si se emplean una serie de políticas o reglas que definan ciertas asignaciones que son rutinarias, se podrían automatizar ciertos flujos y procesos, facilitando dicha labor (por ejemplo, si un usuario abandona la organización, se le retiran automáticamente los permisos que poseía cuando se encontraba activo en la misma).

El Sector Industrial

Dada la importancia de esta rama de la ciberseguridad, es aplicable al campo que actualmente se está tratando en el presente artículo: el sector industrial. Se trata de un sector que, dada su funcionalidad productiva y cuya historia es mayor que otros sectores de tipo más tecnológico, puede que la digitalización se haya introducido de una forma más progresiva.

Sin embargo, la importancia en el mismo es igual que en el resto de sectores. En este caso, además de poder verse afectada la información y datos importantes de una empresa, también sus máquinas y los elementos físicos que ayudan a la producción pueden verse dañados, tal y se ha mencionado anteriormente. Todo ello con un auge progresivo y cada vez mayor del Internet de las Cosas (aquellos dispositivos que tienen acceso a Internet; puede ser desde elementos del hogar como coches o máquinas de fabricación en una industria), supone un blanco cada vez mayor para los ciberatacantes.

Caben destacar ataques como el de Stuxnet en el año 2010, el cual afectó por primera vez a gran escala al sector industrial, sobre todo iraní. Previamente a Stuxnet, se dedicaba menos recursos a la prevención y protección de este sector, por lo que marcó un antes y un después en este ámbito. Aunque en este caso el ciberataque se produjo explotando vulnerabilidades zero days (aquellas cuya existencia es desconocida y por tanto no se posee un parche ni solución para remediarlas), su daño a máquinas de control y monitorización de la actividad industrial fue grave y mediante un ciberataque de escalada de privilegios se podrían causar daños semejantes.

Las escaladas de privilegios, aprovechando vulnerabilidades en la gestión de accesos e identidades, se trataría del principal tipo de incidente de seguridad que una empresa puede sufrir a raíz de un método menos robusto tanto de autenticación como de accesos. Este riesgo ocasionaría otros ciberataques a consecuencia de haber podido entrar en los sistemas: entre estos se pueden destacar ataques como el ransomware o el robo de información.

En ocasiones se realizan ciberataques aprovechando cuentas ya existentes con los permisos que el atacante necesita, debido a que se trata de un método por el cual se puede pasar más desapercibido. Esto se debe a que no se estarían creando nuevas cuentas ni generando ningún tipo de actividad sospechosa. Otro método sería escalando de una cuenta a otra hasta poder acceder a una cuya identidad permita realizar funciones como, por ejemplo, de administrador de los sistemas y máquinas de una empresa.

Para llegar hasta este punto, el atacante emplea diversas metodologías que le permiten vulnerar todos los obstáculos que se intenten poner a su paso. Sin embargo, una correcta gestión de accesos e identidades impediría en mayor medida el éxito de dichos intentos.

Conclusiones

Actualmente en las empresas también hay accesos externos a sus entornos e información, debido a la colaboración con terceros. Este tipo de gestión se da sobre todo en empresas proveedoras de servicios, donde clientes, socios, contratistas, etc. organizan sus proyectos en común. Por tanto, y dado que actualmente se ha visto un aumento de los ciberataques cuyo target son las cadenas de suministro, se debería poner un foco a este flujo de accesos.

Así, se ha visto que una correcta gestión de las identidades y los accesos debe considerarse una parte vital dentro de la ciberseguridad de una empresa, independientemente del sector.

El sector industrial, puede incluso causar daños a nivel físico en lo que son las estructuras encargadas de la producción dentro de las organizaciones. Es importante monitorear la administración de cuentas e identidades, así como generar estrategias cuyas políticas y flujos permitan una gestión segura de las mismas. Una metodología robusta impactará de manera directa en la reducción de ataques en los que se exploten vulnerabilidades en autenticación y cuentas para fines maliciosos.

Alba Barranco

Criminóloga especializada en gestión de identidades.

Bibliografía