Probablemente haya oído hablar de la vulnerabilidad de ciberseguridad log4j. Sin embargo, lo más probable es que haya escuchado sobre todo cómo esto afecta principalmente a los sistemas de Internet de cara al público. Algunas de las incursiones de muy alto perfil de esta vulnerabilidad incluyen la penetración del Ministerio de Defensa de Bélgica, varios ataques de ransomware y toma de control de las computadoras para extraer criptomonedas, según el Washington Post.
Aunque aún no se ha informado sobre incursiones en sistemas de control industrial a través de la vulnerabilidad log4j, sabemos que existe el potencial. Según aDolus Technology, un proveedor de ciberseguridad de la cadena de suministro, varios millones de paquetes de software de tecnología de operaciones (OT) utilizan log4j. La mayoría de los proveedores de software OT usan log4j porque es un software de código abierto que maneja de manera efectiva las tareas de registro requeridas. aDolus explica que la vulnerabilidad log4j (llamada Log4Shell) es "el resultado de funciones demasiado aprovisionadas habilitadas por... una configuración predeterminada insegura y la confianza implícita de los mensajes".
La base de datos nacional de vulnerabilidades del National Institute of Standards de Estados Unidos informa que Log4Shell se desactivó de log4j 2.15.0 y se eliminó por completo de la versión 2.16.0.
Al igual que con la mayoría de las medidas de corrección de ciberseguridad, proteger sus operaciones requiere la identificación de la vulnerabilidad en sus sistemas. Después de todo, como señala aDolus, si no sabe que el software que usa contiene log4j, no se sabrá si debe corregir o bloquear cierto tráfico, o quizás no hacer nada al respecto.
Según aDolus, una lista de materiales de software (SBOM) es la "mejor herramienta para descubrir vulnerabilidades ocultas como Log4Shell". Según se informa, la plataforma FACT de aDolus proporciona "SBOM enriquecidos que informan sobre todos los subcomponentes de un paquete de software" y puede ser una herramienta valiosa para las evaluaciones de ciberseguridad. El análisis del código fuente es otra opción si tiene acceso al código fuente, pero ese no suele ser el caso en el mundo OT, según aDolus.
Puede encontrar información más detallada sobre cómo mitigar Log4Shell y otras vulnerabilidades relacionadas con log4j en https://www.cisa.gov/uscert/ncas/alerts/aa21-356a
Actualización ISA99
Cuando comenzó 2022, el Comité ISA99 sobre Ciberseguridad de Sistemas de Control de Automatización Industrial (IACS) emitió una actualización para las partes interesadas sobre su enfoque para avanzar considerando las amenazas de ciberseguridad en constante evolución que enfrenta la industria.
Los aspectos clave de este aviso del comité incluyen:
· 62443-1-1 (Terminología, conceptos y modelos) – La primera edición de este documento fue publicada por ISA en 2007 y luego distribuida como especificación técnica por IEC. Desde entonces, la comprensión del tema por parte del comité ha evolucionado considerablemente, como se refleja en los estándares más detallados de la serie. Estos cambios se han incorporado en la segunda edición de 62443-1-1 que actualmente circula para revisión y comentarios tanto en ISA99 como en IEC TC 65 WG 10.
· 62443-1-3 (Métricas de rendimiento para la seguridad de IACS): este informe técnico define una metodología para el desarrollo de métricas cuantitativas derivadas de los requisitos técnicos y de procesos definidos en la serie ISA/IEC 62443. Se ha circulado para su revisión y comentarios y se están realizando más revisiones.
· 62443-1-6 (Aplicación de los estándares ISA/IEC 62443 a la Internet industrial de las cosas): este informe técnico describe las consideraciones para los propietarios de activos cuando deciden implementar tecnologías de Internet industrial de las cosas (IIoT) y brinda orientación sobre los requisitos de la serie ISA/IEC 62443 para aclarar y mitigar cualquier problema de ciberseguridad. Se distribuirá para revisión y comentarios a principios de 2022.
· 62443-2-3 (Administración de actualizaciones de seguridad [parche]): ISA publicó este informe técnico en 2015 para abordar los requisitos para un programa efectivo de administración de parches del sistema de automatización. Se completó una segunda edición y pronto se distribuirá para una segunda ronda de revisión y comentarios.
· 62443-2-2 (Protección de seguridad IACS): este documento prescribe los requisitos para realizar una clasificación de nivel de protección durante la operación de un sistema de automatización. Recientemente se distribuyó para revisión y comentarios.
· 62443-3-3 (Requisitos de seguridad del sistema y niveles de seguridad): publicado por primera vez en 2013, este documento prescribe los requisitos de seguridad para los sistemas de control relacionados y asigna niveles de seguridad del sistema al tenido en consideración. El comité está preparando actualmente una segunda edición.
