Segmentación y fortificación de redes OT

Proporcionamos servicios y tecnologías que ayudan a proteger, fortificar y segmentar redes OT

 

 

No disponer de dispositivos que permitan el acceso seguro a la red OT, no configurarlos correctamente, desplegarlos con configuraciones por defecto y/o la falta de políticas de segmentación de red, hacen que los equipos, procesos y sistemas ubicados en el entorno de operaciones sean más vulnerables a amenazas tanto externas como internas. Es por ello que la incorporación de dispositivos que fortifiquen el acceso perimetral y la correcta segmentación de redes, sea unas de las contramedidas básicas que deben considerarse dentro de una estrategia de defensa en profundidad.

[button type=”big” link=”http://www.ciberseguridadlogitek.com/wp-content/uploads/ciberseguridadlogitek_segmentación-redes_wp.pdf” color=”green” newwindow=”yes”] Lee nuestro whitepaper y aprende cómo fortificar y segmentar tu entorno OT[/button]

Proporcionamos servicios y tecnologías que ayudan a proteger, fortificar y segmentar redes:

Análisis y auditoría de seguridad de redes industriales y sistemas SCADA (MAASERISv2.1)

Algunos de nuestros clientes nos han transmitido la necesidad de conocer hasta qué punto su entorno OT (Operation Technology), y en particular, su arquitectura de red de control industrial es vulnerable. Es decir, si ha sido correctamente desplegada y configurada desde el punto de vista de la seguridad (disponibilidad, integridad, confidencialidad).

Hemos desarrollado una metodología denominada MAASERISv2.1 (Metodología para el Análisis y Auditoría de Seguridad de redes Industriales & SCADA) que:

  • Permite analizar el estado actual del entorno OT (redes industriales) desde el punto de vista de la seguridad.
  • Realiza un estudio basado en 8 dimensiones.
  • Facilita un profundo análisis de las principales amenazas y vulnerabilidades asociadas al entorno OT.
  • Proporciona una evaluación del riesgo operativo.

Solicítanos más información sobre MAASERISv2.1

Segmentación a través de whitelisting de protocolos

El whitelisting de protocolos es una técnica de segmentación que consiste en incorporar dispositivos de electrónica de red que segreguen redes asegurando que el protocolo hablado entre los dispositivos de campo entre sí o bien entre los dispositivos y los sistemas de tiempo real es uno determinado en el que se ha realizado una lista blanca de funciones y objetos específicos asociados al protocolo seleccionado.

Es decir se trata de realizar una inspección profunda de paquetes (deep packet inspection o DPI) de las funciones, objetos, clases específicas asociadas a un determinado protocolo industrial, de manera que se asegure la integridad del protocolo.

En el momento en que se produzca una inyección de código o se detecte que se quiere realizar una comunicación sobre un protocolo que no sea el autorizado, el dispositivo de segmentación bloqueará este intento, evitando así la alteración en la comunicación que se está llevando a cabo.

Fortificación mediante firewalls industriales DPI

Seguro que te preguntas qué diferencias existe entre el firewall que tu departamento IT despliega en las “oficinas” y el firewall que te recomendamos que utilices en entornos OT. Aquí tienes la respuesta:

  • Los firewalls industriales se han diseñado de forma específica pensando en los entornos ambientales y operación de las redes industriales.
  • Su instalación y despliegue no es intrusiva ni invasiva.
  • Su configuración y módulos de gestión de reglas son fáciles de utilizar.
  • Incorporan funcionalidades específicas que permiten incrementar la seguridad de las redes OT.
  • Pueden instalarse entre los sistemas SCADA y PLCs realizando DPI (Deep Packet Inspection). Es decir permiten segmentar tráfico especificando protocolos típicamente industriales (Modbus TCP/IP, Ethernet IP, OPC, etc).

En esta figura te resumimos las principales diferencias entre los firewalls tradicionales y los industriales.

Firewall industrial

Lee nuestro Whitepaper sobre firewalls industriales DPI

Separación utilizando diodo de datos

El diodo de datos es un dispositivo hardware (no existe firmware como el caso de los firewalls) que separa/protege dos redes asegurando la unidireccionalidad en el flujo de información.

Asegura que la información de una red llegue a otra red (pero no viceversa). Si tu entorno es realmente crítico y quieres dotar a tus infraestructuras de un nivel de seguridad casi infranqueable, la solución que debes desplegar es el diodo de datos.

Los diodos sustituyen a la tradicional DMZ y suelen tener certificaciones como la Common Criteria EAL 7+ (Netherlands Scheme), Common Criteria EAL 4+ (Norwegian Scheme), NATO (Secret), NATO Green Scheme Evaluated, NL-NCSA (Secret), BSI (Secret) y NERC-CIP Compliance Vendor.

Se basan en la utilización de proxies a cada lado del diodo, con appliances específicas para infraestructuras críticas y entornos OT como el Modbus replicator, OPC replicator, OSIsoft PI replicator y generalistas como el file transfer, software updates, E-mail, database replication, network printing o network monitoring.

Protege tu entorno industrial

Ahora