Un estudio de OMICRON ha revelado brechas generalizadas de ciberseguridad en las redes de tecnología operativa (OT) de subestaciones, centrales eléctricas y centros de control en todo el mundo. Basándose en datos de más de 100 instalaciones, el observación destaca problemas técnicos, organizativos y funcionales recurrentes que dejan la infraestructura energética crítica delicado a las amenazas cibernéticas.
Los hallazgos se basan en varios primaveras de implementación del sistema de detección de intrusiones (IDS) StationGuard de OMICRON en sistemas de protección, automatización y control (PAC). La tecnología, que monitorea el tráfico de la red de forma pasiva, ha proporcionado una visibilidad profunda de los entornos OT del mundo verdadero. Los resultados subrayan la creciente superficie de ataque en los sistemas energéticos y los desafíos que enfrentan los operadores para proteger la infraestructura obsoleta y las arquitecturas de red complejas.
 |
| Conexión de un IDS en sistemas PAC (los círculos indican puertos espejo) |
Las implementaciones de StationGuard, a menudo realizadas durante evaluaciones de seguridad, revelaron vulnerabilidades como dispositivos sin parches, conexiones externas inseguras, segmentación de red débil e inventarios de activos incompletos. En muchos casos, estas debilidades de seguridad se identificaron internamente de los primeros 30 minutos de conectarse a la red. Más allá de los riesgos de seguridad, las evaluaciones incluso descubrieron problemas operativos como configuraciones erróneas de VLAN, errores de sincronización horaria y problemas de sobra de red.
Encima de las deficiencias técnicas, los hallazgos apuntan a factores organizacionales que contribuyen a estos riesgos, incluidas responsabilidades poco claras para la seguridad de OT, capital limitados y silos departamentales. Estos hallazgos reflejan una tendencia creciente en todo el sector energético: los entornos de TI y OT están convergiendo rápidamente, pero las medidas de seguridad a menudo no logran seguir el ritmo. ¿Cómo se están adaptando las empresas de servicios públicos a estos riesgos complejos y qué brechas persisten que podrían dejar expuestos los sistemas críticos?
Por qué las redes OT necesitan detección de intrusiones
La capacidad de detectar incidentes de seguridad es una parte integral de la mayoría de los marcos y directrices de seguridad, incluido el Entorno de ciberseguridad del NIST, IEC 62443 y la serie de estándares ISO 27000. En subestaciones, sistemas de control de centrales eléctricas y centros de control, muchos dispositivos funcionan sin sistemas operativos normalizado, lo que hace inverosímil instalar software de detección de terminales. En tales entornos, las capacidades de detección deben implementarse a nivel de red.
Las implementaciones StationGuard de OMICRON suelen utilizar puertos espejo de red o TAP Ethernet para monitorear pasivamente la comunicación. Encima de detectar intrusiones y amenazas cibernéticas, la tecnología IDS proporciona beneficios secreto, que incluyen:
- Visualización de la comunicación en red.
- Identificación de servicios innecesarios y conexiones de red riesgosas.
- Creación cibernética de inventario de activos
- Detección de vulnerabilidades de dispositivos en almohadilla a este inventario
Evaluación de riesgos: metodología detrás de los hallazgos
El crónica se pedestal en primaveras de instalaciones de IDS. La primera instalación se remonta a 2018. Desde entonces, se han realizado varios cientos de instalaciones y evaluaciones de seguridad en subestaciones, centrales eléctricas y centros de control en decenas de países. Los hallazgos se agrupan en tres categorías:
- Riesgos técnicos de seguridad
- Problemas de seguridad organizacional
- Problemas operativos y funcionales.
En la mayoría de los casos, los problemas operativos y de seguridad críticos se detectaron a los pocos minutos de conectar el IDS a la red.
Por lo militar, los sensores se conectaban a puertos espejo en redes OT, a menudo en puertas de enlace y otros puntos de entrada críticos a la red, para capturar flujos de comunicación secreto. En muchas subestaciones, no era necesario el monitoreo a nivel de bahía, ya que la propagación de multidifusión hacía que el tráfico fuera visible en otras partes de la red.
Dispositivos ocultos y puntos ciegos de activos
Los inventarios de activos precisos son esenciales para proteger sistemas energéticos complejos. Crear y abastecer dichos directorios manualmente requiere mucho tiempo y es propenso a errores. Para solucionar este problema, OMICRON utilizó métodos tanto pasivos como activos para el descubrimiento automatizado de activos.
Identificación pasiva de activos Se pedestal en archivos de descripción de configuración del sistema (SCD) existentes, estandarizados según IEC 61850-6, que contienen información detallada del dispositivo. Sin confiscación, en muchos casos la monitorización pasiva por sí sola resultó insuficiente, ya que en la comunicación PAC frecuente no se transmiten datos esenciales como, por ejemplo, las versiones de firmware.
Consulta activa de información del dispositivo.por otro flanco, aprovecha el protocolo MMS para recuperar datos de la placa de identificación, como nombres de dispositivos, fabricantes, números de maniquí, versiones de firmware y, a veces, incluso identificadores de hardware. Esta combinación de técnicas pasivas y activas proporcionó un inventario completo de activos en todas las instalaciones.
 |
| Ejemplo de información del dispositivo recuperable mediante consultas activas SCL y MMS |
¿Qué riesgos técnicos de ciberseguridad son los más comunes?
El observación de OMICRON identificó varios problemas técnicos recurrentes en las redes OT de energía:
- Dispositivos PAC vulnerables:
Se descubrió que muchos dispositivos PAC funcionaban con firmware obsoleto que contenía vulnerabilidades conocidas. Un ejemplo importante es la vulnerabilidad CVE-2015-5374, que permite un ataque de denegación de servicio en relés de protección con un único paquete UDP. Aunque los parches han estado disponibles desde 2015, numerosos dispositivos siguen sin parches. Vulnerabilidades similares en implementaciones GOOSE y pilas de protocolos MMS plantean riesgos adicionales.
- Conexiones externas riesgosas:
En varias instalaciones se encontraron conexiones TCP/IP externas no documentadas, superando en algunos casos las 50 conexiones persistentes a direcciones IP externas en una sola subestación.
- Servicios inseguros innecesarios:
Los hallazgos comunes incluyeron servicios de intercambio de archivos de Windows (NetBIOS) no utilizados, servicios IPv6, servicios de agencia de licencias que se ejecutan con privilegios elevados y funciones de depuración de PLC no seguras.
- Segmentación de red débil:
Muchas instalaciones funcionaban como una única gran red plana, lo que permitía una comunicación sin restricciones entre cientos de dispositivos. En algunos casos, incluso las redes informáticas de las oficinas eran accesibles desde subestaciones remotas. Estas arquitecturas aumentan significativamente el radiodifusión de impacto de los incidentes cibernéticos.
- Dispositivos inesperados:
Cámaras IP, impresoras e incluso dispositivos de automatización sin seguimiento aparecían con frecuencia en las redes sin estar documentados en los inventarios de activos, lo que creaba graves puntos ciegos para los defensores.
El creador humano: debilidades organizativas en la seguridad de OT
Más allá de las fallas técnicas, OMICRON incluso observó desafíos organizacionales recurrentes que exacerban el aventura cibernético. Estos incluyen:
- Límites departamentales entre los equipos de TI y OT
- Desidia de personal de seguridad OT dedicado
- Las limitaciones de capital están limitando la implementación de controles de seguridad.
En muchas organizaciones, los departamentos de TI siguen siendo responsables de la seguridad de OT, un maniquí que a menudo tiene dificultades para encarar los requisitos únicos de la infraestructura energética.
Cuando fallan las operaciones: riesgos funcionales en las subestaciones
Las implementaciones de IDS incluso revelaron una variedad de problemas operativos no relacionados con amenazas cibernéticas directas pero que aún afectan la confiabilidad del sistema. Los más comunes fueron:
- Problemas de VLAN fueron, con diferencia, los más frecuentes y, a menudo, implicaron un etiquetado VLAN inconsistente de los mensajes GOOSE en toda la red.
- Desajustes entre RTU y SCD provocó una comunicación rota entre dispositivos, impidiendo las actualizaciones de SCADA en varios casos.
- Errores de sincronización horaria Los problemas iban desde simples configuraciones erróneas hasta dispositivos que funcionan con zonas horarias incorrectas o marcas de tiempo predeterminadas.
- Problemas de sobra de red La décimo de bucles RSTP y chips de conmutador mal configurados provocó una reservado degradación del rendimiento en algunas instalaciones.
Estas debilidades operativas no solo afectan la disponibilidad sino que incluso pueden amplificar las consecuencias de los incidentes cibernéticos.
 |
| Mensajes de alerta relacionados con la supervisión utilitario |
¿Qué pueden educarse las empresas de servicios públicos de estos hallazgos?
El observación de más de 100 instalaciones energéticas resalta la menester urgente de soluciones de seguridad sólidas y diseñadas específicamente para los desafíos únicos de los entornos tecnológicos operativos.
Con su profundo conocimiento del protocolo y visibilidad de los activos, el EstaciónGuardia Posibilidad proporciona a los equipos de seguridad la transparencia y el control necesarios para proteger la infraestructura crítica. Su directorio de permitidos incorporada detecta incluso desviaciones sutiles del comportamiento esperado, mientras que su detección basada en firmas identifica amenazas conocidas en tiempo verdadero.
La capacidad del sistema para monitorear protocolos de TI y OT (incluidos IEC 104, MMS, GOOSE y más) permite a las empresas de servicios públicos detectar y objetar a amenazas en cada capa de su red de subestaciones. Combinado con características como inventarios de activos automatizados, control de llegada basado en roles e integración perfecta en los flujos de trabajo de seguridad existentes, EstaciónGuardia permite a las organizaciones robustecer la resiliencia sin interrumpir las operaciones.
Para educarse más sobre cómo EstaciónGuardia apoya a las empresas de servicios públicos para cerrar estas brechas de seguridad críticas, visite nuestro sitio web.
 |
| Posibilidad StationGuard |
