Buenas prácticas en segmentación de redes industriales

Fecha de publicación 04/05/2023
Autor
INCIBE (INCIBE)
Buenas prácticas en segmentación de redes industriales

Las arquitecturas de las redes industriales están formadas por dispositivos diseñados específicamente para medios industriales, esto quiere decir que deben presentar una alta fiabilidad en su funcionamiento, para poder aguantar condiciones extremas, tener una larga vida útil y otras muchas características que diferéncienles diferencian de otros dispositivos más cotidianos u orientados al ámbito TI. Los dispositivos industriales más comunes son:

  • PLC (Programmable Logic Controllers);
  • HMI (Human Machine Interface);
  • SCADA (Supervisory Control And Data Acquisition);
  • DCS (Distributed Control Systems);
  • SIS (Safety Instrumented Systems).

Pero debido a la gran cantidad de dispositivos conectados que hay en una fábrica y el preocupante crecimiento de ciberataques sufridos en este sector, se hace necesario tener muy en cuenta la manera de conectar estos dispositivos. Por ello, los expertos han estado investigando y creando modelos y normativas que permitan que las conexiones se realicen de la forma más segura y sin perder la eficacia en las comunicaciones, como por ejemplo creando el modelo Purdue, uno de los modelos más conocidos y utilizados en el mundo industrial; o la creación de nuevas aplicaciones como la Defensa en Profundidad a nivel de Red

El modelo purdue y los diferentes activos presentes

El modelo Purdue es uno de los estándares más conocidos para realizar una correcta segmentación y gestión de las redes SCI. En el cual, sigue de referencia el concepto de red industrial PERA (arquitectura de referencia empresarial de Purdue) de la normativa ISA-95. 

 
 - Modelo Purdue. Fuente -

En el pasado, el modelo Purdue solo tenían seis niveles, pero, con el paso del tiempo y la necesidad de tener una arquitectura más cibersegura, ha provocado que se inserte un nivel nuevo entre el nivel tres y cuatro, como se observa en la ilustración.  

  • Nivel 0: formado por los dispositivos de campo que permiten obtener datos o realizar acciones para el correcto funcionamiento de la planta, como por ejemplo sensores y actuadores.
  • Nivel 1: dispositivos que permiten controlar los actuadores y sensores y además envía información a otros dispositivos que se encuentran en un nivel superior. En este nivel se suele encontrar los PLC.
  • Nivel 2: activos que controlan y monitorizan las actividades para que el funcionamiento sea el correcto.
  • Nivel 3: este nivel es muy similar al nivel tres, ya que también es donde se gestiona el funcionamiento de la planta, pero en este nivel se diferencia por haber servidores, estaciones de ingeniería y accesos remotos.
  • Nivel 3,5 (DMZ): este nivel se encuentra entre los niveles tres y cuatro y permite separar la parte IT y OT de la empresa. Esta zona es muy importante, ya que permite evitar o por lo menos dificultar que los ciberataques producidos en la parte IT pasen a la zona OT o viceversa.
  • Nivel 4: sistemas IT que soporta los procesos de producción en una planta.
  • Nivel 5: normalmente, es donde se encuentra una red corporativa.   

Defensa en profundidad a nivel de red

Esta estrategia de ciberseguridad se basa en una serie de medidas defensivas, redundantes en capas, permitiendo que permiten mejorar la protección de los datos confidenciales, la información de identificación personal y otros aspectos. Esta estrategia se puede utilizar para diferentes activos, como por ejemplo un endpoint.  
En la siguiente imagen se puede obtener una idea más representativa sobre esta aplicación.  

Capas para la defensa en profundidad
- Capas para la defensa en profundidad. Fuente -

Las partes en la que se divide esta aplicación son:

  • Políticas y procedimientos: proporciona un medio para que la dirección oriente el programa de seguridad.
  • Física: es aconsejable limitar el acceso físico a personas que no estén autorizadas
  • Seguridad de red: dirigida a defender la red y los dispositivos que se encuentran en ella. Para ello, se puede utilizar diferentes métodos, como por ejemplo la segmentación de redes, diodos de datos o el uso de firewalls.
  • Equipo: destinada a proteger y reforzar los sistemas informáticos, como, por ejemplo, la gestión de parches, la eliminación de aplicaciones innecesarias o que supongan algún riesgo, el cierre de puertos lógicos innecesarios y la protección de los puertos físicos.
  • Aplicación: es donde los usuarios finales interactúan con el sistema, a través de las API, portales u otras interfaces.
  • Dispositivo: en esta capa incluye parcheo, restricciones de acceso, tanto lógico como físico o hardening del dispositivo.

Conclusión

Como se puede observar los ciberataques sufridos en el mundo industrial están creciendo considerablemente, esto se debe a que se trata de uno de los sectores donde actualmente la madurez de la ciberseguridad es bajo y los problemas que se pueden ocasionar al sufrir un ciberataque son muy graves. 
Por eso, gracias a la creación de los métodos que se han comentado anteriormente, es posible que la ciberseguridad industrial continúe evolucionando y mejorando, para que así en un futuro cercano la gran mayoría las plantas industriales vayan aumentando la madurez de la ciberseguridad, para que cuando sufran un ciberataque se pueda actuar lo más rápido posible y así reducir o evitar los daños que puedan ocasionar.

Etiquetas