Scribd
Cargar
31 vistas16 páginas

06 08 Modelos

Cargado por

David Nipon Nipan
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
31 vistas16 páginas

06 08 Modelos

Cargado por

David Nipon Nipan
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Unidad 6

Presentación de las iniciativas, buenas


prácticas y soluciones en seguridad enfocadas a
sistemas, redes y aplicaciones en entornos
industriales
6.3 Métodos, modelos, técnicas y tecnologías de seguridad
utilizadas en sistemas de control y automatización

CIBERSEGURIDAD EN SISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL


Arquitecturas Seguridad por profundidad

Aplicaciones y datos Contraseñas fuertes, ACLs


Seguridad de los datos Seguridad de extremos y de las comunicaciones
(SSL, TLS, IPSec)

Gestión de parches Gestión de actualizaciones de seguridad

Prevención de intrusos Protección ante ataques 0-day

Protección anti virus Actualización de antivirus


Seguridad Física
Cortafuegos de host Control de puertos TCP/IP de entrada

Bastionado de servidores Bastionado de sistemas operativos,


autenticación, auditoría
Seguridad de los equipos

Red interna Segmentación de redes, IDS de red

Seguridad perimetral Cortafuegos, Routers con ACL, VPN

Seguridad física Guardias, cerraduras, control de accesos


Políticas de seguridad, procedimientos, estrategia de
Políticas, procedimientos y conocimiento
back-up y restauración
Recomendaciones de carácter general sobre…

… Las DMZ
– Incluso cuando se implementan de forma correcta las DMZ pueden ser
comprometidas, y aún así no permiten que las amenazas lleguen a la
red interna

Ningún Host de la DMZ puede iniciar conexiones

Comunicaciones de la red externa a la DMZ

Comunicaciones de la red interna a la DMZ

Equipos en DMZ como Host Bastión

Fuente imagen: commons.wikimedia.org


Recomendaciones de carácter general sobre…

… La red de control y red corporativa


Solo comunicaciones estrictamente necesarias

A través de cortafuegos

Hacia una DMZ

Permisos individuales

Mínimo número de conexiones

Filtrado por origen y destino

Identificar puntos de acceso de respaldo

Filtrado de tráfico de control entre redes


Recomendaciones de carácter general sobre…

… Creación y aplicación de reglas de cortafuegos

Política “denegar todo”

Usar “Permitir” en lugar de “Denegar”

Especificar IP y puerto para origen y destino

Inspección de estados y DPI

No usar los mismos protocolo en redes distintas

Fuente imagen: commons.wikimedia.org


Recomendaciones de carácter general sobre…

… Administración del cortafuegos


Tráfico de administración y normal separado

• Fuera de banda o usando una red independiente


• Utilizando un túnel cifrado protegido por un sistema de
autenticación de doble factor

Tráfico de administración restringido a estaciones concretas

• Por direccionamiento. Par IP‐MAC


• Por puerto específicos
Recomendaciones de carácter general sobre…

… El mantenimiento

– Revisar periódicamente el conjunto de reglas vigentes para garantizar


que son las más adecuadas.
– Realizar una copia de seguridad periódica de la configuración y los
eventos registrados.
– Monitorizar el espacio en disco para garantizar el continuo registro de
eventos.
– Monitorizar en tiempo real los eventos generados para la respuesta
temprana ante incidentes.
– Realizar tareas de mantenimiento hardware / software periódicas.
Recomendaciones de carácter general sobre…

… Autenticación y autorización

Principio de • Identificación y registro de las acciones vinculadas a un sujeto


concreto
identificación • Credenciales intransferibles
unívoca • No repudio

Autorización • Definir los permisos en base al estudio previo de las necesidades


basada en roles de acceso, según las funciones y roles del puesto de trabajo

Principio del • Por defecto “permiso denegado”


mínimo privilegio • Permisos estrictamente necesarios
Recomendaciones de carácter general sobre…

… Acceso remoto (I)

Principio Siempre a
del mínimo través de
acceso cortafuegos

Sin
Utilizar
conexión a
VPNs
Internet

Fuente imagen: www.flickr.com


Recomendaciones de carácter general sobre…

… Acceso remoto (ii)


No proporcionar acceso remoto a equipos finales

Bastionar los equipos usados para acceso remoto y hacer uso de


Radius y Tacacs

Implementar procesos para habilitar y deshabilitar las conexiones

Hacer uso de IPS, DPI, NAC, sandboxing, VDI, etc.

Registro de eventos e inventario de conexiones

Llevar a cabo auditorias periódicas

Concienciar y formar a empleados en seguridad de accesos


remotos
Recomendaciones de carácter general sobre…

… Cifrado de comunicaciones
Emplear mecanismos criptográficos

Realizar la gestión de las claves de cifrado mediante


mecanismos automatizados

Autenticar los dispositivos antes de establecer


conexiones remotas

Gestionar los problemas de latencia

Alternativa de comunicación

Fuente imagen: commons.wikimedia.org


Recomendaciones de carácter general sobre…

… IDS/IPS
Monitorizar y ajustar los sensores uno por uno

Enviar las alertas de cierta prioridad directamente al operador designado

Emplear un sistema de registro y correlación de eventos

Revisar los eventos generados de forma regular

Configurar correctamente los dispositivos para no permitir fallos de red

• Ofrecen seguridad adicional


– Parcheo virtual: Protección/Monitorización especifica de sistemas no
parcheados
Antivirus y listas blancas
Antivirus Listas blancas
Bloquea las amenazas contenidas en su lista de Bloque la ejecución de cualquier archivo que no
firmas. esté en su lista.
Puede tener una configuración activa como Es un mecanismo proactivo de protección.
reactiva.
No se aplica de forma uniforme a sistemas ICS Algunos fabricantes dan soporte limitado a esta
(Dependiente arquitectura). solución de seguridad (dependiente
arquitectura).
Normalmente el análisis en tiempo real Sistema proactivo funcional.
deshabilitado debido a carga de recursos.
Actualizaciones mensuales pero no aplicables Actualizaciones menos frecuentes que AV pero
debido a desafíos del sector. funcionalidad intacta.
Poca seguridad si no existen firmas asociadas a Buen mecanismo para evitar la ejecución de
código malicioso. código malicioso sin necesidad de actualización.
Buenas prácticas para la securización física
Definición operacional y procedimental de
restricciones de acceso físico
Restricción física a los sistemas de control
Acceso de visitas a zonas no críticas
Emplear sistemas de apoyo
Acceso a los activos limitado
Monitorización de accesos a los sistemas de
control
Control de la localización
Doble control de acceso
Generación de alarmas por intrusión
Control del suministro eléctrico
Documentación de referencia
 Guía de seguridad de las TIC (CCN‐STIC‐480): Seguridad en sistemas SCADA.
Centro Criptológico Nacional. 2010.
https://www.ccn‐cert.cni.es/publico/seriesCCN‐STIC/series/400‐
Guias_Generales/480‐SCADA/480‐Seguridad_sistemas_SCADA‐mar10.pdf
 NIST SP 800‐82‐Rev 1: Guide to Industrial Control Systems (ICS) Security. 2013.
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800‐82r1.pdf
 ANSI/ISA–99.02.01–2009. Security for Industrial Automationand Control
Systems: Establishing an Industrial Automation and Control Systems Security
Program.
http://isa99.isa.org/Documents/Forms/AllItems.aspx
 REGULATORY GUIDE 5.71. Cyber security programs for nuclear facilities. 2010.
http://pbadupws.nrc.gov/docs/ML0903/ML090340159.pdf
 IEC 62443‐2‐1. IACS security management system – Requirements. 2012.
http://isa99.isa.org/ISA99%20Wiki/WP_List.aspx
Gracias por su atención
Copyright © Instituto Nacional de Ciberseguridad de España S.A. 2015. Todos los derechos reservados.

También podría gustarte