Blog

por: Katherine Brocklehurst 9/13/17

¿Has estado sintiendo «¿la  Fatiga de la ciberseguridad»? No te culpamos. Los ciberataques o los errores de los empleados que causan interrupciones y pérdidas de ingresos a las organizaciones industriales y de infraestructura crítica son particularmente populares en los medios de comunicación hoy en día. Eso se debe en parte a que una interrupción exitosa dentro de las infraestructuras críticas puede causar consecuencias físicas que llamen la atención del público.
Los ingenieros de automatización industrial y control de procesos a menudo sienten que el riesgo cibernético es exagerado porque hay sistemas instrumentados de seguridad (SIS) diseñados específicamente para asumir el control cuando ocurren condiciones inseguras. Desafortunadamente, como se describe en nuestro último blog en «CRASHOVERRIDE» (también conocido como «Win32 / Industroyer» o «Industroyer»), los diseñadores de malware sofisticados han demostrado la capacidad de utilizar las protecciones SIS de la propia red eléctrica para causar cortes de energía, y este marco es extensible para muchas industrias, no solo para el poder.
Existen peligros y riesgos en cualquier aplicación industrial, lo que hace que la protección del personal, los procesos y el entorno circundante sea una parte importante de cualquier estrategia de automatización industrial. Muchas organizaciones autorizadas han dicho durante algún tiempo que la seguridad y la seguridad cibernéticas están interrelacionadas; un sistema no puede ser seguro si no es seguro.

¿Ya estás convencido de la necesidad de mejorar la ciberseguridad industrial en tu sitio? ¿Te gustaría ir más allá del fuerte tamborileo de preocupación por las ciberamenazas inevitables? ¿Pero todavía no estás seguro de dónde empezar? La probabilidad de experimentar un incidente perturbador, como una interrupción del sistema, es alta por muchas métricas, incluso si no crees que eres un objetivo. Si bien es desafiante, la preparación proactiva de incidentes en su plan industrial en funcionamiento es de vital importancia.

Aquí hay una «lista corta» prioritaria de qué hacer ahora para evitar una interrupción comercial significativa y la pérdida de ingresos derivados de incidentes comúnmente vistos, revisión forense, hallazgos de evaluación de riesgos y lagunas típicas. Estas son todas las cosas sobre las que puedes hacer algo.

La «Lista abreviada» de Top tres de Cyber ​​de la industria industrial

Esta lista se deriva de múltiples estándares industriales, expertos y órganos de gobierno y está orientada a tomar medidas proactivas antes de que ocurra un incidente. Estos pasos no son disruptivos y acortarán el tiempo de recuperación y minimizarán el impacto comercial de un incidente cibernético en la planta, independientemente de su industria.

Nota: Esta lista también hace tres suposiciones: que tiene 1) cierto grado de defensa perimetral con cortafuegos 2) una zona desmilitarizada (DMZ) que separa la planta de los activos corporativos, y 3) una planta que ha adoptado completamente la segmentación de la red

# 1 – Priorice sus activos
Identifique los sistemas más importantes para las funciones de su planta / negocio y dónde se encuentran. Esta no es una lista exhaustiva de todos los activos; debería ser el subconjunto con mayor prioridad, sin el cual la empresa inmediatamente comienza a sentir el impacto y perder ingresos. Puede que se sorprenda de lo difícil que es determinar la ubicación de los activos, tanto físicos como virtuales. También suele ser necesario un grupo más grande que las operaciones de la planta para debatir y acordar la priorización, pero ese es un blog diferente.

Emerson Lost Revenue Example

Esta tabla de un informe blanco de Emerson muestra una vista simplificada de la pérdida potencial de ingresos promedio asociada si un generador de 500MW se caía debido a una interrupción forzada. El impacto en los ingresos por interrupciones, interrupciones y sistemas bloqueados por ransomware en muchas industrias puede afectar el resultado final.

# 2 – Monitoreo continuo de seguridad
Como mínimo, monitorear sus activos críticos ahora es una ciberseguridad empresarial esencial. Al igual que el control de la automatización industrial y los controles de proceso, la seguridad industrial requiere un monitoreo continuo para garantizar la salud e higiene cibernéticas (¡sí, salud e higiene!) De los sistemas dentro de las operaciones de su planta.

Tripwire-for-Industrial-Automation .jpg

Esta es una muestra de colocación de tecnología de Tripwire, una marca Belden, para monitorear activos industriales y de plantas críticas. Las soluciones de Tripwire pueden monitorear la seguridad industrial desde la zona desmilitarizada (DMZ) de la planta, hasta el nivel 2. Tripwire también detecta y alerta sobre amenazas y cambios (autorizados o no) a los activos industriales.

Si tiene servidores, bases de datos y otros sistemas que se ejecutan en Windows o Linux, debe priorizar estos sistemas intrínsecamente débiles y no parcheados para el monitoreo de Tripwire, una de las marcas de Belden. Pueden ayudarlo a saber cuándo las configuraciones y servicios de esos sistemas deben ser reforzados contra riesgos cibernéticos típicos y frecuentemente altamente clasificados. (Altamente calificado significaría que tienen un alto puntaje de vulnerabilidad, como 9.5 de 10, tanto para los riesgos «susceptibles de ser explotados» como «si se explotan, probablemente sean muy malos»).

 

Un servicio de particular importancia es el acceso remoto. La mayoría de los expertos recomiendan que suspenda el acceso remoto a cualquier activo crítico, especialmente a sus sistemas de control. Algunas veces esto se puede hacer, otras veces no será posible. Una capacidad valiosa que Tripwire tiene es que puede descubrir y perfilar los puntos de acceso inalámbrico y también identificar los sistemas que tienen el software de acceso remoto cargado donde usted no lo esperaba. Las plantas se sorprenden continuamente en estas áreas. Tripwire puede encontrarlo y ayudarlo a solucionar estas áreas comunes de debilidad.

«Casi todas las evaluaciones de riesgos o análisis forense de un incidente que he visto en mi carrera apuntan a un tema común: la falta de comprensión de qué sistemas son importantes y la segmentación de red apropiada de estos sistemas de tecnología operativa (AT) de misión crítica de otros sistemas empresariales tales como sistemas corporativos de tecnología de la información (TI).

Serás atacado o infectado … solo es cuestión de tiempo, y solo actuando ahora puedes minimizar el daño resultante y reducir la propagación de la infección «.

– Marty Edwards, director general, Automation Federation y ex director de ICS-CERT, Departamento de Seguridad Nacional de los EE. UU.

También debe considerar un registro y monitor de eventos. Piense en este dispositivo de seguridad pasiva como su «historiador de datos centrado en la seguridad». Úselo para recopilar y correlacionar de forma no invasiva los registros y la actividad de eventos desde servidores, sistemas de gestión de activos, bases de datos, firewalls, enrutadores e incluso HMI, ya que los HMI son uno de los muchos activos dentro de la planta que suelen ser objeto de compromiso. Si un adversario posee (o «potencia» – en lenguaje de amenazas) sus servidores HMI o FTP, puede causar interrupciones y potencialmente afectar el ICS y la E / S que controlan, causando daño físico. Incluso el solo hecho de introducir la latencia en muchos entornos puede interrumpir los procesos y afectar la fabricación.

Como herramienta forense (cuando llega el día en que la necesita), los registros son lo primero que preguntan los investigadores y la mayoría de los sitios. ¿instalaciones? operadores? no los habilite o los atacantes los apaguen sin que la organización objetivo se dé cuenta. Tener una herramienta de correlación que reúna automáticamente los registros y marque los eventos de interés con todo el contexto requerido puede ser invaluable para recomponer las cosas y comprender cómo pudo haber ocurrido un incidente. El Centro de registro de Tripwire es un ejemplo de este tipo de herramienta y se está implementando ampliamente en entornos industriales para la seguridad, así como el valor de análisis, ya que los datos reunidos se pueden reenviar fácilmente a las herramientas de análisis, como Splunk.

# 3 – Plan de recuperación de desastres
Para estos sistemas críticos y priorizados, asegúrese de haber implementado un plan de recuperación ante desastres que incluya respaldos regulares, recientes y probados y repuestos de hardware críticos. Las copias de seguridad deben incluir todos los activos críticos físicos y virtualizados, sistemas operativos (SO), archivos de configuración documentados y «bien conocidos» y todo el software de aplicaciones y sistemas, incluidas integraciones y personalizaciones, si corresponde.

El ransomware actual normalmente se propaga automáticamente a través de las redes y de sistema a sistema, y ​​muchas organizaciones descubren después de un ataque que sus copias de seguridad también se encriptaron. Por lo tanto, mantenga estas copias de seguridad en un lugar seguro que no esté «en línea»; en otras palabras, no solo copie a un servidor de archivos y olvídese de ello. Tener una lista controlada y limitada de personal (con información de contacto) que sepa dónde se guardan estos respaldos y repuestos, y preferiblemente tener detalles documentados para la recuperación.

 

RESUMEN
Evidentemente, hay muchos otros pasos para avanzar en el camino hacia una seguridad cibernética industrial mejorada, y cada organización aborda el tema con sus propias prioridades. Sin embargo, estos tres pasos reducirán significativamente el riesgo cibernético en la planta de fuentes externas e internas. Si se realiza ahora, puede estar mucho mejor preparado para las actividades de recuperación cuando ocurre un incidente. Conocer sus activos más importantes, controlarlos en cuanto a seguridad y estado del sistema, y ​​tener respaldos confiables y probados puede ayudar. Esta «Lista Corta de Ciberseguridad Industrial» finalmente acortará su tiempo de recuperación y reducirá las pérdidas de ingresos y negocios cuando ocurra un incidente dentro de su planta.

Para quienes estén interesados ​​en pasos adicionales y más avanzados, considere los dispositivos de seguridad Tofino Xenon para ayudarlo con la segmentación de redes indolora a ISA99 / IEC 62443. Los Xenones Tofino se sientan frente a los activos críticos en su planta o campo e inspeccionan profundamente el protocolo industrial marcos (Modbus TCP, EtherNet / IP, OPC, DNP3 e ​​IEC 104) para cargas maliciosas o acceso inapropiado. Tofino Xenons no tiene una dirección IP y puede proteger contra actividades maliciosas conocidas y desconocidas y la entrada, así como la salida. En otras palabras, pueden «contener» la amenaza para usted y desactivar su capacidad de propagarse. Y Tripwire también puede monitorear estos dispositivos sin dirección IP y sus configuraciones por usted.

 

Toda la información, imágenes y productos mencionados en el presente articulo son marcas registradas y propiedad de su fabricante y han sido utilizados con fines informativos tomando la información de www.belden.com todos los derechos reservados
articulo original en  https://www.belden.com/blog/industrial-security/3-steps-to-take-now-the-industrial-cyber-security-short-list

Está es una traducción y adaptación  del artículo original.

Related Posts

29May

Que es posible en un edificio inteligente hoy

https://www.youtube.com/watch?v=EDUeChoFzck&t=10s read more
07Ago

Consejos para la Prueba de Cables para Certificar tu Sistema de Cableado de Cobre

Por Molly HunterSeguir estos consejos puede ayudar a garantizar que los resultados de la prueba de cables sean aceptados y... read more
20May

7 preguntas para elegir a su proveedor de IoT

Elegir una solución para edificios inteligentes es una decisión importante, y no debe tomarse a la ligera. Hay innumerables factores... read more
11Nov

Cables Prysmian Group

13Ago

Logicallis

      SM24TBT2DPBSwitch PoE++ Ethernet Gigabit Administrado(24) Puertos 10/100/1000Base-T + (2) Puertos Combo 100/1000Base-X SFP/RJ-45Integrado con la plataforma de soluciones IoT edge... read more
02Abr

Distribución de AC  montada en rack para cargas críticas Transtector

Distribución de AC  montada en rack para cargas críticas El AC Edge 120 de Transtector ofrece un panel de distribución de... read more
22Mar

Monomodo vs Multimodo: Las diferencias reales

Por:Jim Zimnicki  3/21/19 A medida que se intensifica el uso del ancho de banda, los costos del cable de... read more
07Jul

Mitos Comunes del PoE

https://youtu.be/uz8s3xMzEpgConozca los mitos comunes de Power-over-Ethernet (PoE) a partir de una discusión de realidad versus ficción dirigida por el... read more
14Jul

Forma A, B y C: ¿Conoce cuales conectores de Válvula DIN tiene?

Por Ryan SmithLos conectores de válvulas pueden ser pequeños en términos de tamaño y costo al considerar todo lo que... read more
07Nov

Formas más rápidas y sencillas de diseñar redes inalámbricas en edificios

Por Ron Tellas de Belden La mayor parte del tráfico celular y de red actual se genera en interiores,... read more