NOTA: Este artículo no es sólo para las organizaciones que ya han sido hackeadas... La IEC 62443 es una norma genérica reconocida como aplicable en sectores críticos como la fabricación, la energía, el transporte, la sanidad y muchos otros.
Este artículo es el segundo episodio de una serie de 8, que cubre las principales prácticas que debe implementar cualquier organización que pretenda cumplir con el Estado del Arte en Ciberseguridad para los sistemas de control industrial y de automatización. Basado en un enfoque pragmático, este artículo le guía sobre cómo manejar la definición de los requisitos relacionados con un ciclo de vida de desarrollo seguro (IEC 62443-4-1) dentro de los procesos actuales de su organización.
Para desarrollar sistemáticamente productos seguros, hay que hacer hincapié en la seguridad a lo largo de todo el ciclo de vida del software, de manera que los resultados sean seguros por diseño. Por lo tanto, cada fase de un ciclo de vida de software común tiene que ser mejorada con prácticas de seguridad. Esto conduce a un ciclo de vida de desarrollo seguro, como se ilustra a continuación. En este segundo episodio, nos centraremos en las buenas prácticas necesarias para construir un sistema seguro desde el principio, el Proceso de Diseño Seguro .
El término seguridad por diseño describe las prácticas utilizadas para garantizar que un producto sea seguro y siga los principios de defensa en profundidad desde el principio de la fase de diseño. Los procesos necesarios para el diseño seguro deben aplicarse a todas las fases del diseño del producto, desde el diseño conceptual hasta el detallado, y a todos los niveles del diseño del producto, desde la arquitectura general hasta el diseño de los componentes individuales.
En la parte de la norma 62443-4-1 se abordan cuatro temas principales para el diseño seguro. Estos puntos se describen a continuación.
En primer lugar, la documentación de diseño seguro es necesaria para garantizar que la seguridad de acceso a los activos se aborda de forma exhaustiva desde la perspectiva de las interfaces externas e internas del producto a través de las cuales se pueden montar los ataques. Disponer de este proceso significa que las interfaces del producto se identifican y caracterizan por las interacciones que tienen lugar sobre ellas (por ejemplo, los flujos de datos y de control), los mecanismos de seguridad diseñados para protegerlas y los activos que pueden verse comprometidos si no se protegen adecuadamente. La visión de las interfaces en el marco del contexto de seguridad del producto permite que el diseño seguro se centre en el entorno específico en el que se espera que funcione el producto, incluyendo tanto las protecciones ofrecidas por el contexto de seguridad del producto como las vulnerabilidades resultantes. A continuación se presenta un ejemplo. Se debe responder a la misma pregunta para cada interfaz con un enfoque sistemático:
En segundo lugar, se requiere un diseño de defensa en profundidad. Este principio consiste en proporcionar múltiples capas de seguridad para frustrar las amenazas a la seguridad. Cada capa de una estrategia de defensa en profundidad está diseñada para proteger los activos de un ataque en el caso de que todas las demás capas hayan sido comprometidas. Se empleará un proceso para implementar estas múltiples capas de defensa utilizando un enfoque basado en el riesgo a partir del modelo de amenazas.
Por ejemplo, la pila TCP/IP podría comprobar la existencia de paquetes no válidos, un servidor HTTP podría autenticar la entrada, y luego otra capa podría validar que la entrada y los registros de auditoría se producen para los cambios administrativos. Cada capa proporciona un mecanismo de defensa adicional, tiene una responsabilidad y proporciona una reducción de la superficie de ataque para la siguiente capa. Cada capa asume que la capa que la precede puede ser comprometida. La siguiente figura presenta este enfoque a mayor escala.
En tercer lugar, la revisión del diseño de la seguridad es necesaria para garantizar que el diseño de la seguridad aborda los requisitos y las amenazas definidas para el producto, y que se han seguido las mejores prácticas de diseño (véase el último tema). Todos los problemas descubiertos relacionados con la seguridad deben ser documentados y rastreados. Tener este proceso significa que cada versión del diseño se revisa para determinar:
- si los requisitos de seguridad de los productos no han sido tratados adecuadamente por la estrategia de defensa en profundidad
- si existen vectores de amenaza (caminos que siguen las amenazas) que eluden la estrategia de defensa en profundidad o que son capaces de violar la estrategia de defensa en profundidad.
En cualquier caso, el modelo de amenazas debe actualizarse para reflejar los problemas de seguridad descubiertos como resultado del proceso de revisión.
Como cuarto y último tema, las mejores prácticas de diseño seguro son necesarias para garantizar que se proporciona orientación a los desarrolladores para ayudarles a evitar errores comunes durante el diseño que podrían conducir a problemas de seguridad posteriores. Contar con este proceso significa que el proveedor del producto tiene una lista de mejores prácticas de seguridad que se mantiene y sigue durante el desarrollo del diseño seguro del producto. Estas mejores prácticas deben basarse en las mejores prácticas de seguridad comúnmente aceptadas en la industria para el tipo de producto que se está desarrollando. Corresponde completamente al proveedor determinar qué prácticas considera más apropiadas para sus prácticas de diseño. Estas prácticas se mantienen actualizadas como resultado tanto de los cambios en la industria como de la aplicación de las lecciones aprendidas por el proveedor del producto.
A continuación, ejemplos de buenas prácticas:
- El menor privilegio (conceder sólo los privilegios a los usuarios/software necesarios para realizar las operaciones previstas);
- utilizar componentes/diseños seguros de eficacia probada siempre que sea posible;
- economía de mecanismos (búsqueda de diseños sencillos);
- utilizando patrones de diseño seguros;
- reducción de la superficie de ataque;
- documentar todos los límites de la confianza como parte del diseño;
- eliminar los puertos de depuración, las cabeceras y las trazas de las placas de circuito utilizadas durante el desarrollo del hardware de producción o documentar su presencia y la necesidad de protegerlas del acceso no autorizado.
Incluso si el cumplimiento de la norma 62443 no es un objetivo final, el proceso de diseño seguro debe ser considerado como la línea de base que debe ser implementada y manejada por la organización que desarrolla un producto seguro.
Si tiene alguna pregunta sobre los procesos de diseño seguro y/o los criterios de certificación, no dude en ponerse en contacto con nuestro especialista en ciberseguridad: Kilian Marty