Tenable señala que las contraseñas son un mecanismo comúnmente utilizado para el control de acceso a los sistemas informáticos. y desempeñan un papel muy importante en la seguridad de los entornos OT.
De acuerdo con Tenable, normalmente los sistemas OT utilizan el modelo Purdue para protegerse que es la forma más común de diseñar y proteger una red ICS (sistemas de control industrial) y se basa en gran medida en la segmentación, al adoptar un enfoque en capas donde los componentes más sensibles conectados directamente al equipo se ejecutan en las capas más bajas y son los más protegidos. Normalmente, cada capa está en una LAN o VLAN independiente y los firewalls controlan el acceso entre las capas.
De este modo los dispositivos más sensibles que se ejecutan en las capas más bajas, los controladores lógicos programables (PLC), suelen tener los controles de acceso más débiles. Históricamente, esto se debe al hecho de que están protegidos detrás de múltiples capas de firewalls y solo alguien físicamente en el sitio puede acceder a ellos directamente. Sin embargo, las amenazas de malware emergentes como Stuxnet, CrashOverride, Pipedream, Havex y BlackEnergy han demostrado tener la capacidad de vulnerar incluso sistemas con espacios aislados. Esto se puede lograr infectando la computadora portátil de un técnico que luego se conecta a la red que contiene los PLC.
Por lo tanto, es cada vez más importante asegurarse de que cada pieza del equipo, incluidos los PLC, estén protegidas con los controles de acceso más estrictos posibles. Si están disponibles, las claves criptográficas proporcionan el mejor control de acceso. No se puede adivinar ni forzar una clave criptográfica generada correctamente y las claves criptográficas son mucho más fáciles de administrar y controlar, incluida la capacidad de revocarlas fácil y rápidamente si se ven comprometidas.
Si los controles de acceso criptográfico asimétrico no están disponibles en un PLC, se deben utilizar contraseñas siguiendo las mejores prácticas. Esto incluye la rotación periódica de contraseñas y requisitos mínimos de complejidad. Por supuesto, estas contraseñas deben almacenarse y protegerse adecuadamente.
De acuerdo con la firma de TI Hive Systems, una contraseña simple de ocho caracteres se puede descifrar en sólo 37 segundos usando fuerza bruta.
Pero se necesita más de un siglo para descifrar una de 16 caracteres, por lo que es recomendable que las contraseñas sean sensiblemente más largas y que contengan una combinación de letras, números y símbolos.
Por otro lado, las puertas de enlace y los sistemas como las HMI (interfaces hombre-máquina) que se ejecutan en capas superiores deben protegerse mediante autenticación multifactor, y cada interacción debe registrarse y monitorearse.
Tenable señala que depender de una única contraseña para el control de acceso conlleva el mayor riesgo, especialmente en un entorno OT. Con algunos dispositivos OT, ese podría ser el único mecanismo de seguridad que admite un dispositivo. Sin embargo, siempre que sea posible, es mejor utilizar controles criptográficos y autenticación multifactor y rotar y proteger las contraseñas.
