Secure by design
Dispositivos y tecnologías desarrolladospara crear entornos seguros y fortificados.
La adquisición de dispositivos y tecnologías que se hayan desarrollado “Secure by design” o que ayuden a crear fácilmente entornos seguros y fortificados, es otra buena práctica que debe considerarse a la hora de desplegar estrategias de defensa en profundidad. Asociada a la informática industrial, se definen tres elementos básicos: los dispositivos de campo que permiten controlar el proceso (PLC, RTU, DCS) y los protocolos industriales que permiten comunicar estos dispositivos con el tercer elemento, las aplicaciones industriales y los sistemas tiempo real (SCADA, HMI, Historian).
Logitek Ciberseguridad Industrial proporciona, para cada uno de estos tres elementos, soluciones tecnológicas “Secure by design”:
Remotas fortificadas
Suite de remotas LK Remote que incluyen las funcionalidades de un PLC que permiten el acceso autorizado (password management) remoto a través de protocolos seguros como SSL o HTTPS.
Utilizan el estándar IEEE802-1X para la autenticación segura en puntos de acceso inalámbricos.
Incorporan más de 40 protocolos industriales entre los que se incluye DNP3 Secure.
Incluyen un firewall integrado, incorporan software OpenVPN para que la remota pueda ser cliente de cualquier red privada virtual y tienen protección IP67 para garantizar su disponibilidad bajo temperaturas extremas (-40º a 75º).
Protocolos industriales seguros
Dos soluciones para fortificar el protocolo OPC. Software OPC UA y firewall con firmware específico.
Los servidores Kepware OPC UA (Open Connectivity Unified Architecture) se caracterizan por integrar el resto de especificaciones (DA, HDA, A&E), ser independiente del sistema operativo, estar desarrollados bajo SOA, ser accesible a través de protocolos HTTP e integrar seguridad nativa.
Son “OPC UA Certified”, es decir proporcionan las funciones de seguridad especificadas por el estándar: confidencialidad, integridad, disponibilidad, autenticación de aplicación y usuario, autorización y auditabilidad
Comúnmente la configuración que permite realizar comunicaciones OPC seguras recibe el nombre de túnel OPC (tanto el cliente como el servidor deben soportar OPC UA). En el caso de Kepware, no se trata de un producto, sino de la utilización y correcto despliegue de los siguientes componentes:
- KEPServerEX v5
- OPC Connectivity Suite
Todos los servidores OPC DA que Kepware distribuye incluyen la posibilidad de ser parametrizados como OPC UA
La mayoría de protocolos utilizan puertos fijos para atender peticiones (por ejemplo Modbus utiliza el 502). En el caso de OPC, este protocolo asigna dinámicamente puertos TCP a cada petición de un cliente, siendo un entorno “no amigable” en caso de que se haya desplegado un firewall entre un dispositivo de campo y el sistema SCADA.
El LSM (Loadable Security Module) Tofino OPC Enforcer (asociado al firewall Eagle 20 Tofino), inspecciona, traza y dota de seguridad a cada una de las conexiones realizadas entre un servidor y un cliente OPC. Para ello, abre sólo el puerto TCP que se requiere en cada comunicación y sólo entre un determinado cliente y un determinado servidor
Soluciones SCADA fortificados
Las soluciones software suministradas por Wonderware han sido desarrolladas con metodologías de programación seguras, permiten ser desplegadas con diferentes niveles de redundancia (comunicación, aplicación, históricos, visualización) y pueden ser virtualizadas para aprovechar las ventajas que proporciona esta tecnología (reutilización, alta disponibilidad, recuperación ante desastres).
