Ejemplo de uso de un estándar de ciberseguridad: Aplicando la IEC62443 en entornos Aveva System Platform

Cómo los estándares de ciberseguridad nos pueden ayudar a definir nuestro camino para proteger las infraestructuras de comunicaciones de potenciales amenazas.

David Soler
Industrial Cybersecurity & HA Solution Manager, Wonderware Iberia
iSIDNetwork monitoring and analysis
Portada del blog

En este post vamos a ver cómo los estándares de ciberseguridad nos pueden ayudar a definir nuestro camino para proteger las infraestructuras de comunicaciones de potenciales amenazas varias que pueden ocurrir.

Para hacerlo utilizaremos parte de los estándares definidos en la IEC 62443, estándar de facto para la protección de entornos industriales y automatización ICS.

Como introducción al estándar, os recomiendo la lectura de esta entrada donde se explican los conceptos básicos, los niveles de protección y los requisitos fundamentales de ciberseguridad.

Concretamente, el documento IEC62443-3-3, explica de forma detallada los diferentes controles de seguridad a implementar, para cada uno de los requisitos fundamentales (FR) y para cada nivel de seguridad objetivo (SL-T).

tabla estándar Ciberseguridad Aveva

 

Haciendo un resumen y poniendo ejemplos prácticos de dichas contramedidas en un entorno SCADA, obtenemos la siguiente tabla de medidas de protección que podemos adoptar para cada uno de los niveles de seguridad:

 

tabla entornos SCADA

Paso 1: Identificar zonas y conductos

El primer paso es el de entender la instalación a proteger:

  • ¿Qué zonas tengo? ¿qué procesos tengo? ¿cuáles son los más críticos?
  • ¿Cuales son los equipos que soportan el proceso? ¿cómo se comunican?
  • ¿Cuáles son los flujos de comunicación entre zonas?
  • ¿Está actualizado?
  • ¿Qué amenazas tengo?
  • ¿Cuáles son los niveles de protección que necesito? (siendo realista vs la inversión a realizar)

Suele ser buena idea realizar auditorías de ciberseguridad que proporcionen una foto realista del estado actual del entorno.

Paso 2: Diseño de segmentación de red

La arquitectura de red determinará la facilidad o dificultad de aplicar muchos de los controles de seguridad recomendados. No existe una arquitectura de red “correcta” o “incorrecta” pero si que el estándar nos ofrece un conjunto de modelos que nos pueden a definir una topología que sea modular y escalable.

En la arquitectura inicial se separa perfectamente IT de OT y la parte industrial se segmenta en varios niveles:

  • Nivel 3.5: DMZ donde se alojan los servicios que serán accesibles de zonas de no-proceso que requieran de datos para la toma de decisiones.
  • Nivel 3: zona de servidores, supervisión global y gestión de la producción.
  • Nivel 1-2: zona de distribución de red a las diferentes zonas de procesos. Este nivel es susceptible a segmentarse más en función del tamaño, cantidad de procesos, etc.
  • Nivel 0: proceso con sus buses de campo.

Arquitectura de red IT OT

Paso 3: Definición de contramedidas a implementar

En función del nivel de seguridad deseado (SL-T) y el conseguido (SL-A) se aplicarán más o menos contramedidas para incrementar el nivel.

Las contramedidas a aplicar pueden ser de índole variada: técnicas, administrativas, físicas, legales, etc.

SL-T = 1

  • DMZ como front-end para los accesos remotos (Intouch Access Anywhere Secure Gateway, Insight Secure Link, Remote Desktop Services Gateway, etc.)
  • Segmentación de red de nivel 3 en función del objetivo: subred de desarrollo, subred de supervisión y subred de servidores Aveva
  • Segmentación de zonas de proceso: Safety, subred de procesos críticas
  • Instalación de Firewalls para el control de comunicaciones entrantes y salientes de cada subred.
  • Instalación WhiteListing de applicaciones.

gráfico contramedidas a aplicar

SL-T = 2

  • Subred de infraestructura con los servidores de gestión de cuentas, logs y copias de seguridad
  • Adición de sensores para el análisis y perfilado del tráfico de red para detectar anomalías en las comunicaciones (NIDS)
  • Se añade en la DMZ un servidor centralizado para la gestión de antivirus
  • Se añade en la DMZ un servidor centralizado de distribución controlada de parches de seguridad
  • Se añade antimalware a los principales servidores.

Esquema contramedidas SLT-2

SL-T = 3

Para incrementar el nivel de seguridad se añade:

  • Servidor de tiempo GPS en la zona de infraestructura.
  • Servidor de gestión de móviles y tabletas (MDM).
  • Servidor SIEM para la correlación y detección de eventos de ciberseguridad.
  • Servidor de copias de seguridad de PLC/SCADA automatizado.
  • Uso de VPN con doble factor de autenticación.
  • Hub de comunicaciones industriales con protocolos seguros (OPC-UA)

Paso 4: Mantenimiento y adaptación a nuevas necesidades

Las amenazas, vulnerabilidades, procesos, tecnologías, personas, etc. cambia con el paso del tiempo y, con ello, se incrementan los riesgos de ciberseguridad si no se hace nada.

Para mantener los niveles de seguridad conseguidos no debemos olvidarnos de:

  • Diseñar nuestra red industrial y sus componentes de forma redundada para garantizar la alta disponibilidad de todos los componentes que posibilitan el proceso.
  • Monitorizar los sistemas para la detección temprana de posibles anomalías.
  • Disponer de un plan de recuperación de desastres para poder reaccionar y subsanar cualquier anomalía de una manera eficiente.

Conclusión

De esta forma vemos cómo los estándares de ciberseguridad, como la IEC62443, nos ayudan a estructurar y a definir cómo abordar la ciberseguridad de una forma holística. Ello no evita la necesidad de conocer el estado real de las instalaciones y evaluar cuáles serían los mejores cambios y contramedidas a implementar.

Desde Logitek podemos ayudarte en este sentido con nuestros servicios de auditoría y estrategia de defensa en profundidad.

iSIDNetwork monitoring and analysis

Artículos relacionados