Soluciones para la fortificación basadas en la defensa en profundidad

Proporcionamos soluciones específicas que permiten la implementación de una estrategia de defensa en profundidad en entornos ICS OT.

 

 

Para aumentar los niveles de ciberseguridad de los entornos ICS OT hace falta implementar contramedidas que mitiguen las vulnerabilidades o debilidades de los diferentes activos, redes o sistemas.

El estándar de ciberseguridad industrial ISA99/IEC62443 nos dice que tenemos que contemplar 7 requisitos fundamentales:

  1. Control de acceso: proteger los activos de accesos e información de accesos no autorizados.
  2. Control de uso: proteger a los activos de operaciones no autorizadas.
  3. Integridad de la información: proteger los canales de comunicación contra de cambios no autorizados de la información que transportan.
  4. Confidencialidad de la información: asegurar que la información del espionaje.
    Restringir los flujos de datos: proteger los canales de comunicación para evitar que la información llegue a destinos no autorizados.
  5. Respuesta a incidentes: asegurar que se responde a incidentes de ciberseguridad de forma correcta. Implica: monitorización, reporting, alertas y la ejecución de acciones correctoras.
  6. Disponibilidad de recursos: asegurar que todos los recursos del sistema están disponibles y protegerlos de denegaciones de servicio.

Tenemos que tener en consideración que existen diferentes tipos de amenazas, por ejemplo las externas que requieren de controles de acceso, uso de cifrados, segregación de redes, monitorización, seguridad física; o las internas que en este caso se requiere poner más énfasis en las políticas y procedimientos, separación de roles, monitorización de las actividades y auditorías de sistemas.

Por tanto, una tecnología, producto o solución única no es suficiente para proteger adecuadamente los sistemas de control. Se requiere emplear una estrategia multi-capa que incluya dos o más mecanismos de seguridad que se superpongan, es decir, emplear estrategias de defensa en profundidad.

A continuación, te ofrecemos un conjunto de soluciones de Logitek para la protección de cada una de las capas de la defensa en profundidad:

Defensa en profundidad
  • Políticas y procedimientos de seguridad: La Dirección debe aprobar, difundir y comunicar a todos los empleados un documento de política de seguridad de la información. Se debe establecer el compromiso de la Dirección y el enfoque de la organización para gestionar la seguridad de la información. Esta política debe distribuirse por toda la organización, llegando hasta los destinatarios, en una forma que sea apropiada, entendible y accesible.
  • Seguridad física y del entorno: Evitar que un posible atacante disponga de acceso físico a los equipos e infraestructuras de red industrial (al Hardware). Barreras, mecanismos de control de acceso físico y la vigilancia son los pilares para incrementar la seguridad de esta dimensión.
  • Defensa perimetral: El perímetro es el punto o conjunto de puntos de la red interna de confianza gestionada por la propia organización en contacto con otras redes externas o no fiables, como puede ser Internet o redes gestionadas por terceros. El atacante puede tener acceso a los servicios ofrecidos o accesibles desde el exterior. Las medidas en esta capa se centran en el aseguramiento de los accesos a la red.
  • Defensa de red: Si el atacante tiene acceso a la red, puede monitorizar el tráfico que circula por ésta, de forma pasiva (solo lectura) o activa (modificación posible). Para proteger la red de estas amenazas suelen utilizarse sistemas de detección de intrusiones y sistemas de prevención de intrusiones.
  • Defensa de equipos: La seguridad de equipos, tanto servidores como clientes, se basa en la implementación de las siguientes salvaguardas:

           – Instalar parches de seguridad para eliminar vulnerabilidades conocidas,
           – Desactivar todos los servicios innecesarios para minimizar el factor de exposición del equipo
           – Disponer de un anti-malware activo,
           – Controlar las comunicaciones entrantes mediante un cortafuego.
           – Restringir la ejecución de aplicaciones.

 

  • Defensa de aplicaciones: Las aplicaciones se protegen realizando un control de acceso mediante la sólida implantación de mecanismos de autenticación y autorización.
  • Defensa de datos: Si un atacante ha conseguido traspasar todas las protecciones anteriores y tiene acceso a la aplicación, la autenticación y autorización, así como el cifrado, constituyen las tecnologías más empleadas para proteger los datos.
  • Se recomienda el uso de mecanismos automatizados para realizar copias de seguridad de los sistemas de control que permita disponer de un control de versiones.
  • Se recomienda redundar el almacenamiento de las copias.
Defensa perimetral
  • Firewalls Next-Gen con capacidades de:

  • Control de tráfico entrante y saliente
  • Control de accesos por VPNs con doble factor de autenticación.
  • Control de aplicaciones.
  • Control de navegación web.
  • IDS / IPS.
  • Detección de Malware y ataques conocidos.
  • Facilidad de configuración.
  • Gestión centralizada.
Defensa red interna
  • Electrónica de red industrial, altamente configurables, con capacidades de controlar el acceso a la red, implementar NAC (Network Access Control), Diodos de datos y DPI, así como implementar arquitecturas de red escalables y de alta disponibilidad.
  • Sistemas de monitorización de la infraestructura de red para verificar que todos los equipos y sus enlaces se encuentran en un estado correcto.
  • Sistemas no intrusivos de monitorización del tráfico e IDS de red industrial, proporcionando ciberresiliencia y una visibilidad profunda de los sistemas de control industrial (ICS) y sus comunicaciones. Protección de redes SCADA y detección de comunicaciones anómalas.
Defensa de los equipos
  • Sistemas de protección de equipos finales (estaciones de trabajo y servidores) para evitar tanto la infección de malware como ataques dirigidos, incluso si éstos no están parcheados.
  • Virtual-Patching para la protección de amenazas 0-day.
  • Soluciones para implementar el whitelisting de aplicaciones. Es decir, evitar la ejecución de aplicaciones no permitidas, reduciendo el riesgo de ejecución de código malicioso.
  • Gestión centralizada de la defensa de todos los equipos.

Defensa de las aplicaciones
  • Sistemas de protección de las aplicaciones críticas analizando el flujo de ejecución de las instrucciones CPU y posiciones de memoria RAM utilizadas.
  • Detección y bloqueo de los intentos de ejecución de otros flujos de ejecución (por ejemplo, causados por malware o ataques, explotación de vulnerabilidades, etc. ya sean conocidos o desconocidos y/o si la aplicación está parcheada o no).
  • Evita ataques 0-day, ataques de memoria (fileless), desbordamientos de búffer, inyección de DLLs maliciosas, movimientos laterales, ataques WEB (XSS, SQL injection, Path Traversal, etc.), ataques de fuerza bruta, manipulación de archivos o registros, etc.
  • Sistemas sin falsos positivos y sin necesidad de actualizaciones.
Defensa de los datos
  • Sistemas para el control de versiones y almacenado automatizado de las copias de seguridad de PLC’s y objetos de Wonderware System Platform.
  • Ofrecen trazabilidad y reversibilidad de los cambios sufridos en PLC o SCADA.
  • El sistema de control de cambios permite proteger la propiedad intelectual al generar un repositorio centralizado de los programas industriales.
  • Detecta cambios realizados fuera del sistema de control de cambios revisando periódicamente si las versiones de cada dispositivo coinciden con las versiones almacenadas en el sistema.
  • Capacidad de recuperar versiones y/o cambios no autorizados de manera ágil y rápida.

No dudes en ponerte en contacto con nosotros para recibir información adicional