Segmentados Administración sistemas y redes TI

Los Sistemas de Control Industrial (SCI), presentan numerosos riesgos de sufrir ataques cibernéticos que pueden afectar severamente al proceso industrial al que dan servicio, esto hace que la fase de contención sea fundamental en la gestión de ciberincidentes. Para ello, es de vital importancia desde un punto de vista de ciberseguridad hacer una correcta distribución de zonas y conductos.

Disponer de una arquitectura de red segura es clave dentro de una estrategia de defensa en profundidad. Esta defensa en profundidad tiene como objetivo cubrir las carencias del eslabón más débil (la fortaleza de una cadena es tanta como su componente menos robusto) envolviendo el sistema con una solución de seguridad encima de otra cubriendo posibles insuficiencias. En los Sistemas de Automatización y Control Industrial (IACS) el acceso desde el exterior es muy importante, por lo que acotar y limitar la exposición hacia el exterior puede reducir considerablemente las probabilidades de una infección.

La recolección y la gestión de logs en seguridad industrial siempre se han visto como acciones realizadas por sistemas dependientes del SCADA o se han relegado a las herramientas provistas por los fabricantes para ello. Además, estos logs, tradicionalmente, han estado centrados en aspectos operacionales de los sistemas, algo que por suerte está cambiando en los nuevos modelos de sistemas y dispositivos.

Hace poco menos de un año, se anunciaba que WPA2 había sido hackeado, pudiéndose descifrar tráfico que había sido capturado previamente usando un ataque que se denominó KRACK. WPA3 ha nacido con la misión de evitar que se puedan producir ese tipo de ataques aumentando además la robustez criptográfica e introduciendo una serie de mejoras y de facilidades que se detallarán en este artículo.

En los últimos años hemos sido testigos de cómo los sistemas de control industrial no se encontraban exentos de recibir un ciberataque. En este artículo haremos un repaso a las últimas amenazas detectadas, intentando ver cómo podríamos defendernos ante ellas.

Dado que la disponibilidad es siempre un punto crítico a tener en cuenta dentro de los entornos industriales, es necesario evitar los ataques que originan denegaciones de servicio y afectan a estos entornos. Las formas de originar una denegación de servicio pueden ser muy diversas, al igual que la forma de mitigar estos problemas. En este artículo se repasarán todos estos puntos, así como la manera en la que se pueden reducir los riesgos derivados de estos ataques.

Los avances en seguridad dentro de los sistemas de control han llevado gran parte de las herramientas y servicios de seguridad ofrecidos en TI a este entorno. Hasta ahora, la protección se basaba en medidas reactivas, actuar una vez que se tenía la evidencia del ataque, pero esa tendencia cambia con el despliegue de la monitorización y las acciones de defensa proactiva que ésta puede proporcionar.

La defensa en profundidad y, en especial, la definición de zonas y conductos es un tema considerado por muchos expertos como “teórico”, pero con la ayuda de este artículo, se verá su aplicabilidad, explicando las claves para abordar la creación de zonas y conductos, así como los elementos que entran en juego.

Los honeypots y su implantación en red, conocida como honeynet, son una potente herramienta a la hora de defender tu sistema y realizar un análisis de los ataques realizados hacia el mismo de una manera segura. En este artículo veremos en qué consisten los honeypots, su aplicación en entornos OT, qué ventajas y qué inconvenientes conlleva su implantación en el sistema y los últimos honeypots desarrollados para sistemas de control industrial.

La interpretación del tráfico de red es muy importante no solo a la hora de poder analizar la seguridad y el comportamiento de una infraestructura de red, sino también en otras tareas como pueden ser la gestión de incidencias, en la optimización de nuestra infraestructura de red o para fines didácticos. Para ello, es necesario contar con disectores que ayuden a la separar cada uno de los campos que componen un protocolo y permitir de esta forma su análisis individualizado.

Desde el punto de vista de la ciberseguridad, el acceso a los sistemas de automatización y control industrial es uno de los puntos más críticos y por ello, se debería de tener especial cuidado a la hora de aplicar políticas de seguridad y bastionado de accesos. En ocasiones, es necesario realizar algunas tareas de forma remota, como por ejemplo, las labores de mantenimiento, de actualización o de gestión de dispositivos y aplicaciones. Así mismo, el personal que realiza dichas tareas puede ser ajeno a nuestra empresa, tales como fabricantes, mayoristas o proveedores de servicios, por lo que es necesario proteger estos accesos frente a potenciales amenazas.

Los indicadores de compromiso se han convertido en los últimos años en la mejor forma de intercambio de información a la hora de gestionar un incidente. Pero, ¿realmente sabemos cómo gestionar un indicador de compromiso? La intención de un indicador de compromiso es esquematizar la información que se recibe o se extrae durante el análisis de un incidente, de tal manera que pueda reutilizarse por otros investigadores o afectados, para descubrir la misma evidencia en sus sistemas y llegar a determinar si han sido o no comprometidos.