El sistema de automatización de edificios que existe en la gestión de instalaciones, es decir, la seguridad de la red de BAS, es el vínculo que más fácilmente se pasa por alto. Muchos gerentes creen erróneamente que BAS se ejecuta en una red cerrada, pero de hecho, el BAS moderno se ha integrado profundamente en la arquitectura de TI de la empresa y se ha convertido en un punto de entrada ideal para los ataques a la red. Este artículo proporcionará una lista de verificación práctica de seguridad de la red BAS, que cubre aspectos clave desde el aislamiento de la red hasta la respuesta a incidentes, para ayudarlo a construir un sistema de defensa.
Por qué la seguridad de la red BAS se pasa por alto fácilmente
Muchos equipos de instalaciones se adhieren al concepto de que BAS es un sistema independiente y está físicamente aislado de la red de la oficina. Sin embargo, de hecho, para facilitar la gestión remota, los controladores BAS suelen estar expuestos a Internet a través de redes privadas virtuales o mapeo de puertos. Los mantenedores pueden usar cuentas predeterminadas para la depuración remota y estas rutas de acceso temporales rara vez se cierran.
Otro malentendido común es que "la seguridad funcional es lo primero". A los gerentes les preocupa que las medidas de seguridad afecten la estabilidad del sistema, retrasando así las actualizaciones críticas. Sin embargo, muchos ataques de ransomware a sistemas de edificios en los últimos años han confirmado que el tiempo de inactividad causado por vulnerabilidades de seguridad supera con creces el mantenimiento planificado. La seguridad BAS debe incluirse en la estrategia general de seguridad de la red de la empresa, en lugar de remediarse después del hecho.
Cómo implementar correctamente el aislamiento de red BAS
El aislamiento de la red no consiste solo en dividir las VLAN, sino también en diseñar reglas de acceso basadas en flujos comerciales para separar el controlador central BAS de la estación de operación frontal. Sólo de esta manera la red donde se encuentra la estación de operación puede tener acceso restringido a puertos específicos del controlador. Se debe prohibir que la red BAS acceda directamente a Internet. Todo el mantenimiento remoto debe realizarse a través de una máquina trampolín y se deben registrar registros de sesión completos.
Igualmente importante es el aislamiento físico. Verifique el uso de todos los puertos serie del controlador BAS y también verifique el uso de su interfaz USB. Los puertos no utilizados deben desactivarse o sellarse. Si el punto de acceso inalámbrico se utiliza como dispositivo BAS, debe utilizar cifrado de nivel empresarial, utilizar un SSID independiente y cambiar la clave periódicamente para evitar la penetración a través del lado inalámbrico.
Cómo cambiar completamente la contraseña predeterminada de BAS
El mayor riesgo de seguridad radica en la contraseña predeterminada establecida cuando el equipo BAS sale de fábrica. Los atacantes pueden obtenerlo fácilmente con la ayuda de manuales públicos. Al cambiar la contraseña, no solo es necesario cambiar la cuenta de administrador, sino que también es necesario verificar todas las cuentas de servicio y la información de autenticación de la interfaz API. Para esos equipos antiguos, si no hay forma de cambiar la contraseña, entonces se debe utilizar la ACL de red para restringir sus fuentes de acceso.
La política de contraseñas debe formularse en base a las características del BAS. Los estándares de TI no se pueden aplicar simplemente y directamente. Algunos controladores tienen ciertas restricciones en cuanto a la longitud de la contraseña y la compatibilidad con caracteres especiales, por lo que es necesario lograr un equilibrio entre seguridad y compatibilidad. Se recomienda utilizar herramientas de administración de contraseñas para almacenar centralmente las credenciales de BAS, auditar periódicamente el uso de contraseñas y las cuentas de los empleados renunciados deben deshabilitarse de manera oportuna.
Cómo actualizar el firmware del dispositivo BAS periódicamente
Haga un inventario de activos de BAS y anote el modelo, la versión de firmware y el estado de soporte del proveedor de cada controlador y puerta de enlace. Establezca un acuerdo de mantenimiento con el proveedor para garantizar que las actualizaciones de seguridad se reciban de manera oportuna. Verifique la compatibilidad en un entorno de prueba antes de actualizar, especialmente el impacto de las interfaces de integración de terceros.
Para equipos antiguos que ya no cuentan con soporte, evalúe la prioridad de actualización y reemplazo. Si no hay forma de reemplazarlo en este momento, utilice medidas de defensa perimetral para reducir los riesgos, como implementar firewalls industriales para permitir el paso solo de los protocolos necesarios. Preste atención a los avisos de seguridad de control industrial emitidos por organizaciones como CISA y desarrolle planes de parcheo específicos para las vulnerabilidades que afectan a BAS.
Cómo administrar con precisión los permisos de usuario de BAS
Las cuentas se asignan según el principio de privilegio mínimo. Los operadores solo necesitan derechos de control de interfaz y los derechos de modificación de programación deben autorizarse por separado. Establezca un control de acceso basado en roles, también conocido como RBAC, y utilice diferentes cuentas para desarrolladores, mantenedores y operadores diarios. Todos los cambios de permisos requieren registros de aprobación y la validez de la cuenta se revisa periódicamente.
Para los proveedores de mantenimiento externos, lo que se proporciona no es una cuenta general compartida, sino una cuenta temporal. Las cuentas temporales tienen un período de validez claramente establecido y se desactivan inmediatamente una vez que se completa la tarea. Es necesario monitorear comportamientos de inicio de sesión anormales, como iniciar sesión desde varios lugares al mismo tiempo y acceder al controlador central fuera del horario laboral. Es probable que estas situaciones sean señales de que las credenciales se han visto comprometidas.
Cómo responder eficazmente a los incidentes de seguridad de BAS
Desarrolle un proceso de respuesta a incidentes de seguridad específicamente para BAS, colabore con el equipo de seguridad de TI pero divida responsabilidades. Aclarar el nivel de criticidad del sistema BAS y determinar el tiempo de recuperación aceptable para diferentes sistemas. Prepare una copia de seguridad fuera de línea de los programas del controlador y los datos históricos para garantizar una reconstrucción rápida después de un ataque de cifrado.
Realice periódicamente simulacros especiales de seguridad de BAS para simular la manipulación de la lógica del PLC, el exceso malicioso de HVAC, etc., registre las barreras de comunicación y las deficiencias técnicas expuestas en los simulacros, mejore continuamente los planes de respuesta, establezca contacto con agencias de seguridad de redes locales y comprenda la inteligencia de amenazas más reciente dirigida a la infraestructura crítica.
En su sistema BAS, ¿hay algún dispositivo que utilice contraseñas predeterminadas? ¿Puede compartir en el área de comentarios los mayores desafíos que encontró durante la implementación de las medidas de seguridad de la red BAS? Si este artículo es útil para usted, dele me gusta y compártalo con el equipo de administración de sus instalaciones.
Deja una respuesta