?

Log in

No account? Create an account

August 9th, 2019

Ayer estuve en una reunión en la que se me interrogó insistentemente por la segmentación de redes de control industrial (SCADA/ICS), este es un tema recurrente en la industria, pues el nivel de cumplimiento de estándares no siempre es el adecuado.
Los conceptos de Defensa en Profundidad, que mencioné hace poco en una conferencia sobre SCADA e infraestructura crítica, se centra en la separación de dispositivos, puertos de comunicación, aplicaciones, servicios y otros activos en grupos llamados "Zonas de seguridad". Estas zonas se interconectan a través de "conductos de seguridad" que al igual que el conducto utilizado para albergar y contener alambre y cable, se utilizan para proteger una o más rutas de comunicación o canales. La lógica es simple: al aislar activos en grupos y controlar todo el flujo de comunicaciones dentro y entre grupos, la superficie de ataque de un grupo determinado se minimiza importantemente.
Este concepto se definió originalmente en el Purdue Reference Model for Computer Integrated Manufacturing (CIM), que define la organización jerárquica de los sistemas CIM. El concepto se incorporó más tarde a la ISA-99 como el "Modelo de Zona y Conducto", que más tarde se incorporó al estándar IEC-62443.
Las zonas se pueden definir desde una perspectiva "física" o una "lógica". Las zonas físicas se definen de acuerdo con la agrupación de activos en función de su ubicación física. Las zonas lógicas se agrupan en función de una funcionalidad o característica determinada.
Sin embargo, hay que considerar también que los conductos de seguridad son también un tipo especial de zona que agrupa las "comunicaciones" en una disposición lógica de los flujos de información dentro y entre varias zonas. Los conductos también se pueden organizar de acuerdo con restricciones físicas (cableado de red) y/o lógicas (canales de comunicación).
La idea de este modus operandi es que cuando se implementan correctamente, las zonas y los conductos limitan las comunicaciones de tal manera que cada zona será inherentemente más segura.
Un problema recurrente en el mundo de los ICS es que muchas veces las zonas en este tipo de redes se solo separan en dos o tres zonas (por ejemplo: una zona de sistema de control, una zona de negocio y una DMZ entre las otras dos). Sin embargo, más granulares sean las zonas y los conductos, habrá una mejora correspondiente en la seguridad.


Zonas seguridad por nivel de integración
Industrial Network Security Securing Critical Infrastructure Networks for Smart Grid SCADA and Other Industrial Control Systems
por Eric D. Knapp y Joel Thomas Langill

En EE.UU. por ejemplo, en las plantas nucleares exigen al menos cinco niveles, pero no me referiré a eso porque nunca he trabajado en una planta nuclear, si alguien tiene un proyecto para mi de ese tipo, llámeme, obvio que quiero participar.
La ventaja de segmentar lo más posible las zonas y conductos es que este trabajo ayuda a identificar las áreas en que se debe aplicar controles de seguridad a nivel de host, red y controles de acceso y ayuda a identificar más claramente los vectores de ataque para cada zona. Otra ventaja de la segregación extrema que se propone es que si hay activos que no pueden ser protegidos individualmente con sistemas antimalware o listas blancas de aplicaciones, esos activos se pueden agrupar en una zona especial y las defensas antimalwares se implementan en los conductos de esa zona, esto es muy útil para proteger sistemas heredados como los Windows XP que siempre se encuentran o los SUN Microsystems antiquísimos que me ha tocado ver en algunas instalaciones industriales, pero siempre se debe considerar que cada arquitectura industrial es única, debido a que cada sistema se despliega en un entorno particular (productos finales manufacturados, ubicación geográfica, dotación de personal, etc.) y cómo cada sistema se integra con otros sistemas auxiliares para formar una arquitectura de control industrial completa.
Uno de los mayores desafíos para es establecer zonas de seguridad y conductos adecuados es determinar los requisitos que deben cumplir los activos para colocarse en una zona determinada u otra. Lamentablemente no hay una sola respuesta para esto, pues ya dijimos que todos los ICS son distintos en cada realidad empresarial.
Estos requisitos u objetivos normalmente se pueden desglosar en dos categorías amplias. La primera se basa en las comunicaciones y en la forma en que cada activo interactúa con otros activos fuera de una zona determinada y la otra está determinada por el acceso físico que estos activos tienen.
A nivel de comunicaciones podemos considerar por ejemplo a un ingeniero de procesos que trabaja con un equipo en su oficina y otro computador en la sala de control, este usuario (considerado como activo) ¿de qué "zona" es miembro? ¿O este usuario es un "conducto" entre zonas?. Por otra parte, también hay activos que estando conectados a una red industrial proporcionan la capacidad para el intercambio de información. Esta comunicación puede designarse como "local" o dentro de la misma zona y al mismo tiempo "remoto" o fuera de la zona.
Otra forma de clasificar los activos dentro de una misma zona es su disposición física, Por ejemplo, en una sala de control pueden convivir operadores de planta, técnicos e ingenieros de sistemas, sin embargo, no todos tienen el mismo nivel de confianza, por ende, no tienen el mismo nivel de acceso, esto puede llevar a la necesidad de generar zonas segregadas para mantener la seguridad en sus respectivos niveles de confianza.
Al evaluar la red e identificar zonas potenciales, se debe incluir todos los activos (dispositivos físicos), sistemas (dispositivos lógicos como software y aplicaciones), usuarios, protocolos y otros elementos. Por ejemplo, considere dos activos, si estos se pueden separar sin afectar a la función principal de ninguno de los elementos, entonces considere ponerlos en dos grupos funcionales distintos. Por ejemplo, si algunos sistemas SCADA utilizan el protocolo DNP3, cree una lista de todos los dispositivos que se comunican actualmente a través de DNP3. Evalúe a cada uno para ver si DNP3 es necesario para su función o no. Si no es así, elimínelo del grupo funcional y, si es posible, deshabilite también el protocolo no utilizado en el servidor SCADA. El resultado será una lista de todos los activos que realmente utilizan ese protocolo.
Del mismo modo, considere qué activos están conectados entre sí en la red, tanto física como lógicamente. Cada uno representa un grupo funcional basado en la conectividad de red y el flujo de datos. Una vez más, evalúe cada elemento individualmente, y si no necesita pertenecer al grupo, elimínelo de él.
Un grupo funcional puede basarse en casi cualquier cosa. Los grupos funcionales comunes a tener en cuenta al definir zonas en redes industriales incluyen Seguridad, Control Básico de Procesos, Controles de Supervisión, Procesos de Control Punto a Punto, Control de Datos almacenados, Comunicaciones Comerciales, Acceso Remoto, capacidad de parchado, redundancia, protección contra malware y capacidad de autenticación. Se pueden considerar otros grupos, como grupos de usuarios y grupos de protocolos industriales etc.
Sin duda, es una tarea larga de enfrentar, pero una vez concluida los beneficios son tangibles y duraderos, ya profundizaré en otros conceptos en otra oportunidad, ahora ya le dediqué mucho tiempo a esto.
Shut ap and hack!

Perfil

deoxyt2
Juan Rodrigo Anabalón R.
Website

Acerca de mi

He estado escribiendo sobre temas de seguridad en Livejournal desde el 2008 y en mi horrible y extinto MSN Spaces desde el 2006. En la actualidad, soy CISO en MonkeysLab y Presidente en ISSA Chile.




MonkeysLab




Copyleft

Copyleft: Atribuir con enlace.







Flickr


ISSA Chile



contador de visitas


contadores gratis

Último mes

September 2019
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
2930     

Tags

Powered by LiveJournal.com
Designed by Lilia Ahner