20/07/2017
Trend Micro
El estado de las vulnerabilidades de SCADA HMI
Trend Micro Trend Micro

Atacando SCADA a través de HMI


Los sistemas SCADA ejecutan varias de las infraestructuras críticas de diversos sectores en todo el mundo, lo que les convierte en inherentemente atractivos para diferentes agentes de amenazas. Los creadores de amenazas pueden usar su acceso a los sistemas SCADA para recopilar información como el diseño de una instalación, umbrales críticos o ajustes y configuraciones de dispositivos para utilizarlos en ataques posteriores. El sabotaje, incluyendo la interrupción de los servicios o la posibilidad de desencadenar situaciones peligrosas, e incluso letales que implican a materiales inflamables o recursos críticos, representan un extremo indeseable.

Amenazas como Stuxnet y los ataques de la red eléctrica de Ucrania dan ideas claras sobre cuánto daño puede infligir un adversario determinado no sólo en el negocio o en una operación en cuestión, sino también en la población general. Los atacantes se infiltran en los sistemas SCADA a través de diversos medios, uno de los cuales es a través de la explotación de vulnerabilidades de software que prevalecen en las HMI. A menudo, el operador controla un sistema SCADA a través del HMI, que con frecuencia se instala en una ubicación habilitada para la red. Como tal, el HMI debe ser considerado como un objetivo prioritario dentro de un sistema SCADA, por lo que solo debería instalarse en una red air gap1 o aislada sobre una red confiable. La experiencia demuestra que no siempre es así.

Un sistema Air Gap es un sistema informático que no se conecta a internet, normalmente por motivos de seguridad.

¿Qué es un HMI?


Una Interfaz de Máquina Humana (HMI, por sus siglas en inglés) muestra datos de máquinas a un humano y acepta comandos de un operador humano a máquinas. A través de esta interfaz, un operador monitoriza y responde a la información mostrada en un sistema. Un HMI moderno proporciona una visualización altamente avanzada y personalizable sobre el estado actual de un sistema.

Categorías de vulnerabilidades HMI más comunes


El equipo Trend Micro Zero Day Initiative (ZDI) ha examinado el estado actual de la seguridad de SCADA HMI revisando todas las vulnerabilidades publicadas en el software SCADA que se han reparado desde 2015 y 2016, incluyendo 250 vulnerabilidades adquiridas a través del programa ZDI.

Los investigadores de Trend Micro han encontrado que la mayoría de estas vulnerabilidades se encuentran en las áreas de corrupción de memoria, administración de credenciales deficiente, falta de autenticación/autorización y valores predeterminados inseguros, y errores de inyección de código, todos los cuales se pueden prevenir a través de prácticas seguras de desarrollo.
Corrupción de memoria: 20,44%
Gestión de credenciales: 18,98%
Falta de autenticación/autorización y valores predeterminados inseguros: 23,36%
Inyección de código: 8,76%
Otros: 28,46%

Más noticias sobre SCADA HMI
COMPARTIR
OPINE SOBRE ESTA NOTICIA
* Campos obligatorios
Automática e Instrumentación le anima a comentar los artículos publicados al tiempo que le solicita hacerlo con ánimo constructivo y desde el sentido común, por lo que se reserva el derecho de no publicar los comentarios que considere inapropiados, que contengan insultos y/o difamaciones.
Actualidad
Rodamientos de bolas y rodamientos de rodillos para sistemas hidráulicos y neumáticos.
I+D
RS Components, marca comercial de Electrocomponents plc (LSE:ECM), el mayor distribuidor de productos de electrónica y...
IM-7000 de Keyence
IM-7000 de Keyence
Este proyector de perfiles digital es más rápido a la hora de realizar mediciones, es más fácil de usar gracias a la...
Innoday 2017
Innoday 2017
I+D
Ayer 18 de octubre se celebró en Madrid el Innoday 2017, organizado por Principia Ingenieros y Dassault Systèmes, para...
Autobús eléctrico 7900e de Volvo
I+D
En esta prueba piloto, apadrinada en Mánchester por el alcalde Andy Burnham el pasado 22 de septiembre, confluyen por...
enerTIC
enerTIC
enerTIC  impulsó con éxito a los principales actores del Sector Tecnológico y Energético, la implementación de la...
IoT Solutions World Congress
IoT Solutions World Congress
Excelentes cifras de participación y asistencia en la tercera edición del Internet of Things Solutions World Congress...
Salicru
Salicru
Para regular la velocidad de los motores de instalaciones y procesos industriales, adaptándose a las necesidades de la...
IN(3D)USTRY From Needs to Solutions
IN(3D)USTRY From Needs to Solutions
La segunda edición de IN(3D)USTRY From Needs to Solutions, el certamen dedicado a la impresión 3D, ha cerrado después...
  • Lo más visto
  • Lo más comentado
LA REVISTA Y EL BOLETÍN A UN SOLO CLIC
Boletín
Lea gratis la revista y reciba toda la actualidad del sector a través de nuestro boletín.

Síguenos en las redes sociales
Twitter
Facebook
LinkedIn
Empresas destacadas
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación y mostrarle publicidad y contenidos de su interés. Al continuar navegando, consideramos que acepta su uso. Más información
Digital Newspapers © Copyright 2017 - automaticaeinstrumentacion.com | Todos los derechos reservados | Aviso Legal | Política de privacidad | Mapa web