Nuevas investigaciones en Belden muestran que el patching es usualmente ineficaz para brindar protección contra la multitud de vulnerabilidades divulgadas y de malware centrado en infraestructura crítica de los sistemas de hoy en día.

Mientras que el patching de estos sistemas sigue siendo importante como parte de una estrategia integral en defensa a profundidad, las dificultades implementar parches para los sistemas industriales significa que los controles de compensación se constituyen como un mejor método para proveer protección inmediata.

Desde el descubrimiento del malware Stuxnet en 2010, la infraestructura industrial se ha convertido en un punto clave para los investigadores en seguridad, hackers y agentes gubernamentales.

Diseñado hace años con un enfoque centrado en la confiabilidad, más que en la seguridad, los productos de Control de Supervisión y adquisición de Información (SCADA) y Sistemas de Control Industrial (ICS) son a menudo fáciles de explotar.

Como resultado, ha habido un crecimiento exponencial en las alertas de seguridad a nivel gubernamental para estos sistemas en los últimos dos años. Además, han atraído algunos de los ciberataques más sofisticados (Stuxnet, Night Dragon, Flame) y dañinos (Shamoon) de los que se tengan registro.

Eric Bytes, encargado de tecnología y vicepresidente de Ingeniería en Tofino Security, investigó sobre la efectividad de los parches de actualizaciones en la protección de sistemas de control contra la explotación de vulnerabilidades y malware. Su trabajo reveló que:

• El número de vulnerabilidades existentes en aplicaciones SCADA/ICS es alto, con cerca de 1,805 vulnerabilidades existentes por descubrir en computadoras de sistemas de control.
• La frecuencia de los parches necesarios para hacer frente a vulnerabilidades futuras en controladores y computadoras SCADA/ICS supera la tolerancia de la mayoría de los operadores SCADA/ICS para reinicios del sistema. A diferencia de los sistemas de TI, la mayor parte de los procesos industriales operan 24x7 y demandan un alto nivel de actividad. Detener semanalmente los sistemas para aplicar parches es inaceptable.
• Aun cuando los parches se instalen, puede ser problemático. Existe una probabilidad de ¿ 1 por cada 12 casos, de que cualquier parche afectará la confiabilidad del sistema, además hay una tasa de fallos del 60% en los parches que arreglan las vulnerabilidades en los productos de sistemas de control. Además, los parches requieren de la presencia de un staff con habilidades especiales. En muchos casos, esos expertos no están certificados para acceder a sitios industriales regulados de forma segura.
• Muchos operadores críticos de infraestructura son reacios a la implementación de parches debido a que puede degradar el servicio y aumentar el tiempo de inactividad.

Cuándo no es posible aplicar parches o mientras se espera el paro anual o semi-anual para instalar parches, una alternativa es implementar una solución conocida como ‘control de compensación’.

Los controles de compensación no corrigen la vulnerabilidad subyacente; en vez de eso, ayudan a bloquear vectores de ataque conocidos. Algunos ejemplos de controles de compensación incluyen reconfiguraciones de productos, la aplicación de reglas de firewall sugeridas o reglas de instalación que reconocen y bloquean malware.