Diseño y configuración de IPS, IDS y SIEM en Sistemas de Control Industrial
En los últimos años, algunos cibercriminales han considerado como objetivo de sus ataques a las infraestructuras industriales donde se están usando nuevas técnicas que han ido surgiendo y evolucionando y que aprovechan vulnerabilidades que se encuentran en las redes que se utilizan en estos entornos y en concreto en las que se utilizan las TO (tecnologías de la operación) propias de un entorno industrial.
Como respuesta al aprovechamiento de las posibles vulnerabilidades, se han desarrollado arquitecturas, técnicas y sistemas que permiten detectar o prevenir acciones indebidas. Así aparecen los IDS e IPS, sistemas originalmente enfocados al mundo TI pero que han evolucionado para poder ser efectivos también en entornos TO, incorporando el conocimiento en detalle de los protocolos y comunicaciones propios de los entornos industriales y de las TO.
-Arquitectura de seguridad con sondas IDS-
Para hacer la vida más fácil al personal de ciberseguridad, aparecen también los SIEM, dispositivos que se encargarán de recoger los eventos recogidos por los IDS e IPS, analizarlos y señalizar alertas que estén previamente configuradas en base a reglas que procesan los eventos recibidos, permitiendo su agregación y correlación.
-Distribución Linux especializada en monitorización de incidentes.-
INCIBE ha publicado un estudio donde además de dar a conocer las citadas tecnologías (IPS, IDS y SIEM) y las topologías de despliegue más habituales en el ámbito de la seguridad industrial, se ofrece información de varias herramientas software que permitirán desplegar un entorno completo y totalmente funcional de detección/prevención de intrusiones así como de gestión de los eventos generados.
El estudio, disponible en inglés y español, se puede descargar de los siguientes enlaces: