Blog

Por Zane Blomgren

Recientemente tuve el placer de dirigirme al Grupo de trabajo conjunto de sistemas de control industrial (ICSJWG) dentro del Departamento de Seguridad Nacional de los Estados Unidos. Nos invitaron a discutir la importancia del monitoreo de las redes industriales para una visibilidad completa, así como a presentar algunas opiniones sobre la mejor manera de hacerlo. Creo que muchos profesionales de OT que se encuentran fuera de esa sala, o cualquier persona preocupada por la seguridad cibernética industrial, también encontrarán algo de valor en el tema, por lo que me gustaría ofrecer un poco del sabor de esa discusión.

GettyImages-170961882

Hay pocas dudas de que la necesidad de que los operadores de OT se adapten a posturas de seguridad cibernética más fuertes es cada vez más urgente. Sin embargo, hay muchos mitos y conceptos erróneos que podrían muy bien impedir que muchos operadores tomen las medidas adecuadas. Por ejemplo, muchos suponen que los «eventos cibernéticos» equivalen a los «piratas informáticos». De hecho, la gran mayoría de los eventos cibernéticos (eventos que afectan la eficacia de la línea de producción) provienen de fuentes como errores humanos o fallas de equipos, y, si son de naturaleza nefasta, es más probable que provengan de un empleado descontento que de un pirata informático externo. Algunas prácticas que son buenas para la visibilidad de errores humanos y fallas de equipos también son las mismas prácticas óptimas que se pueden usar para detectar comportamientos maliciosos.

Otro concepto erróneo es que las operaciones industriales más pequeñas son inmunes a captar la atención de los hackers. En realidad, nada podría estar más lejos de la verdad: las organizaciones con menos experiencia, menos personal de investigación y menos recursos generales son en realidad mucho más atractivos para los piratas informáticos, ya sea para la práctica o para «esclavizar» su equipo y utilizarlo para una mayor difusión. hazañas No puedes controlar si eres un objetivo de comportamiento malicioso.

Comparo la situación con responder a un huracán. Definitivamente está llegando, ya que tenemos un radar para verlo venir, pero estamos preparados. Así que podemos elegir aprender tanto sobre su trayectoria, ubicación, velocidad y demás, y tomar las precauciones adecuadas para mitigar y minimizar su impacto, o dejar que sea un golpe sorpresa y luego sacudir nuestros puños en los cielos como pueblos antiguos. hizo. Sugiero lo primero. ¿Podemos ver los eventos cibernéticos que vienen?

Obtener la información necesaria para mantenerse a la vanguardia de posibles eventos cibernéticos significa monitorear la red y recopilar resmas de datos que, cuando se manejan correctamente, serán a) ejecutados a través de sofisticados análisis y b) traducidos en información práctica.

Todo comienza con datos

Como se señaló, obtener los datos sin procesar es el primer paso. Tradicionalmente, ha habido dos formas principales de hacerlo: monitoreo pasivo, que básicamente significa «escuchas ilegales» en la red y toma de muestras de la información que pasa, o monitoreo activo, que significa escanear / sondear la red directamente en busca de respuestas específicas. . El monitoreo activo, obviamente, puede ser más eficiente y completo, mientras que el monitoreo pasivo nos deja con buena información, pero en muchos casos no toda la información necesaria en la profundidad adecuada o de manera oportuna.
El problema es que el monitoreo activo ha tenido una historia desafortunada entre los profesionales de OT. Al principio, los profesionales de TI tomaron algunos métodos de monitoreo activo utilizados en el entorno de oficina y trataron de usarlos al por mayor en las redes OT más sensibles. El resultado: algunos dispositivos funcionaron mal y causaron paradas costosas en la línea de producción. Incluso hoy en día, “escanear” se ha convertido en una palabra que puede dejar a muchos profesionales del AT temblorosos.

Pasivo y activo … e híbrido

Afortunadamente, hay una manera de obtener muchos de los beneficios del monitoreo activo sin algunos de los riesgos potenciales. Se llama monitorización híbrida, o, más descriptivamente, «hablar con lo que se refiere a la cosa». Es decir, en lugar de hablar directamente con los puntos finales sensibles, dispositivos como un PLC o VFD que podrían erizarse bajo la consulta y el mal funcionamiento. en lugar de eso, hable con algún hardware de control que podría estar ya en la red por razones distintas a la seguridad y que ya está jugando bien con los puntos finales. Los ejemplos más utilizados incluyen Rockwell Software FactoryTalk AssetCentre, MDT Autosave y Kepware KepServerEX.

Dicho esto, también es importante tener en cuenta que una solución de monitoreo completa en un entorno de automatización industrial complejo no necesita ser 100% pasiva, 100% activa o incluso 100% híbrida. De hecho, la solución de monitoreo más efectiva a menudo se compone de una combinación de herramientas con la más efectiva que opera en cada punto para generar la mejor combinación de visibilidad integral y confiabilidad de la red. No existe un método de «talla única» o incluso una combinación de métodos.
Además, sepa que estas soluciones son a menudo un proceso flexible y no «una y están listas». Por ejemplo, si ha optado por un enfoque pasivo, es muy posible modificarlo con otras herramientas activas o híbridas a medida que el tiempo avanza hacia » evolucionar ”el sistema de monitoreo de combinación más efectivo. Así que no te preocupes por quedarte «Atorado»: es más importante que hagas algo, incluso si lo modificas más adelante.

Hemos visto mucho éxito con este enfoque de combinación. De hecho, Tripwire es una de las pocas empresas de ciberseguridad industrial que puede ofrecer todos los tipos de soluciones diferentes: activas, pasivas e híbridas, por lo que nunca debe preocuparse por obtener una solución que no sea la más adecuada para cualquier punto de la red. Las soluciones son incluso independientes de los proveedores, por lo que la combinación de equipos de OT a menudo diversa marca nunca es un problema. Si desea discutir sus detalles, le agradeceremos un diálogo a su conveniencia.

Acerca del Autor:

Zane Blomgren es Ingeniero de Seguridad Senior en Tripwire. Durante su permanencia de 14 años en Tripwire, ha desempeñado diversos cargos, entre ellos el de Ingeniero de preventa y el Consultor de servicios profesionales de postventa. Con más de 20 años de experiencia en seguridad cibernética, Zane ha sido convocado para ayudar a construir controles de seguridad fundamentales y ayudar después de que hayan comenzado los ataques cibernéticos en empresas de todo el mundo. Zane se casa con su pasión por la seguridad y su interés en colaborar y aprender de una amplia variedad de clientes para aplicar las mejores prácticas, incluso en las situaciones más difíciles, para crear sistemas más confiables y seguros para organizaciones en sectores como Energía, Transporte, Fabricación y muchos más. otros.

Related Posts

27Dic

Cables Ópticos Activos 40G QSFP

Los conjuntos de cables ópticos activos (AOC) Siemon 40G QSFP + ofrecen una alternativa altamente confiable y rentable a los... read more
27Dic

Terminología de Fibra

por Henry Franc y Carlos Matos¿En qué se diferencia el cable de fibra del cableado de fibra? ¿Son iguales la... read more
13Nov

REVConnect FlexPlug

La familia de productos REVConnect FlexPlug consiste en plugs flexibles REVConnect sin protección Cat6A (10GX) y Cat 6+ que permiten... read more
04Oct

Conectores M12

Ya sea en ángulo o recto, los conectores M12 de Belden para la transmisión de señales digitales y analógicas permiten... read more
02Jul

Siemon Cable Cat 7

El cable Categoría 7 de 600MHz de Siemon combina perfectamente con el rendimiento de nuestros plugs TERA. El cable Siemon... read more
22Oct

3 vías de apoyo y fomento de la industria inalámbrica

Gracias a esta innovación, el país pudo monitorear a las multitudes y la propagación del virus. Se desplegaron robots inalámbricos... read more
19Ene

SIEMON Mitos de la Categoría 7

Por Miguel Aldama, RCDD NTS OSP WD TPM Gerente Técnico para México, Centroamérica y Caribe Hispano Introducción En el año 1995 Alemania presentó... read more
08Feb

Hardware para trabajo en Casa

No importa dónde esté trabajando y aprendiendo, Heckler tiene cubierto el hardware de su estación de trabajo. read more
13Jun

Belden Sistema de Rack Abierto

Sistema de Rack Abierto  de Alta Densidad Belden HDRS es un rack abierto con extraordinaria ingeniería que hospeda plataformas y... read more
27Ago

Sistema TERA® Categoría 8.2 Para aplicaciones de centro de datos de 25 y 40 gigas.

El sistema de cableado de cobre TERA Categoría 8.2 de extremo a extremo de Siemon se basó en nuestro conector... read more