How to use Redis with MuleSoft. A quick start presentation.
Protección de infraestructuras críticas
1. Protección de Infraestructuras Críticas
Gestión de Comportamiento de redes industriales
Por Enrique Martín García
Agosto 2014
Resumen Ejecutivo
El nivel de seguridad de las Infraestructuras que proporcionan servicios esenciales para la sociedad debe ser revisado y monitorizado de manera continua.
Esta revisión se debe basar en la selección de un conjunto de indicadores que permitan establecer valores objetivos y sostenibles en el tiempo, dado el diseño robusto y a largo plazo que estas infraestructuras deben presentar.
En este documento nos centraremos en los primeros indicadores a definir y gestionar relacionados con el correcto comportamiento de las redes de control industrial (SCADA), existentes en las infraestructuras designadas como críticas.
2. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
2
2
Índice
INTRODUCCIÓN ...................................................................................................................... 3
MARCO LEGAL ....................................................................................................................... 3
EEUU: CYBERSECURITY FRAMEWORK FEBRERO 2014 – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) ....................................................................................................... 3
EEUU: ES-C2M2 V1.1 FEBRUARY 2014 – DEPARTMENT OF ENERGY – DEPARTMENT OF HOMELAND SECURITY ............................................................................................................. 6
FRANCIA AGENCIA NACIONAL PARA LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (ANSSI) 7
LEY 8/2011, DE 28 DE ABRIL, POR LA QUE SE ESTABLECEN MEDIDAS PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS. ................................................................................................ 9
RIPE – ROBUST ICS PLANNING & EVALUATION ............................................................... 10
INDICADORES ....................................................................................................................... 13
CONSTRUCCIÓN DEL INVENTARIO ........................................................................................... 16
CALIDAD DEL INVENTARIO ...................................................................................................... 18
REPRESENTACIÓN DE LA CONEXIÓN DE LOS ACTIVOS .............................................................. 18
INTERACCIÓN DETALLADA ENTRE LOS MISMOS ........................................................................ 20
CONCLUSIÓN ........................................................................................................................ 21
REFERENCIAS ...................................................................................................................... 22
SIGLAS ................................................................................................................................... 22
ACERCA DEL AUTOR ........................................................................................................... 22
3. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
3
3
Introducción
En los últimos tres años se han impulsado de manera importante las estrategias de protección de Infraestructuras Críticas tanto en Europa, como en Estados Unidos.
Este impulso se ha materializado en la elaboración de un conjunto de normas, estándares, guías y marcos de referencia de Ciber Seguridad en los sectores que proporcionan servicios esenciales para la sociedad de cada país.
Así mismo, se han desarrollado nuevos marcos legislativos y regulatorios que definen los controles y medidas de seguridad a adoptar en este tipo de instalaciones y los mecanismos de seguimiento de dichos controles y medidas.
En todos ellos, así como en normas más antiguas y vinculadas con la Seguridad del mundo de las Tecnologías de Información (TI), se solicita la implantación de mecanismos de gestión del inventario de los activos tecnológicos del Operador Crítico (OC) que proporciona servicios esenciales desde sus Infraestructuras Críticas (IC). Además, y dadas las propiedades de las redes de control industrial, también se solicita la monitorización continua de las anomalías de comportamiento en las mismas.
Para poder gestionar de manera efectiva las anomalías de comportamiento, se debe partir del establecimiento de una línea base de la red de control que contemple todos los activos de información, su interconexión y también las operaciones habituales que se desarrollan entre ellos (Matriz de tráfico y operacional).
Dada la diversidad de clasificaciones de sectores críticos y de legislación en los países Europeos, en este documento nos centraremos en el caso de España.
Marco Legal
Para poner en contexto las métricas relacionadas con el inventario de los activos y de la supervisión del comportamiento que los distintos marcos de referencia y normas proponen, haré un breve repaso de alguna de las últimas actualizaciones producidas hasta la fecha de hoy.
EEUU: Cybersecurity Framework Febrero 2014 – National Institute of Standards and Technology (NIST)
En este marco de referencia, la necesidad de mantener un inventario de activos tecnológicos se encuentra recogida en la primera función definida por el Marco de Referencia: Identificar.
Bajo la función de Identificar(Identify - ID) se encuentra la categoría de Gestión de activos (Asset Management – AM) , y bajo esta, se establecen seis sub categorías de gestión:
ID.AM-1: Los dispositivos y sistemas de la organización están inventariados
ID.AM-2: Las aplicaciones y plataformas Software de la organización están inventariadas
ID.AM-3: Las comunicaciones y los flujos de datos están recogidos en diagramas.
4. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
4
4
ID.AM-4: Los sistemas de información externos están catalogados
ID.AM-5: Los recursos (Sistemas, dispositivos, aplicaciones, etc.) están jerarquizados según su clasificación, criticidad y valor para el negocio.
ID.AM-6: Los Roles y responsabilidades de Ciber Seguridad para todos los empleados y terceras partes están implantados.
De todos estos inventarios, el de comunicaciones y flujos suele ser el más difícil de conseguir en el OC, debido a las actualizaciones que las redes de control industrial han sufrido en los últimos años por la convergencia en las comunicaciones (TCP/IP) y su conexión, más o menos segura, a otras redes de negocio del OC.
La necesidad de mantener un inventario actualizado de comunicaciones y flujos de información, se encuentra en las siguientes normas:
CCS CSC 1
COBIT 5 DSS05.02
ISA 62443-2-1:2009 4.2.3.4
ISO/IEC 27001:2013 A.13.2.1
NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8
FIGURA 1: FUNCIÓN 1 DEL NIST CYBERSECURITY FRAMEWORK
En lo referente a la detección de anomalías de comportamiento, se encuentra recogida en la tercera función definida por el Marco de Referencia: Detectar.
Bajo la función de Detectar (Detect - DE) se encuentra la categoría de Anomlías y eventos (Anomalies and events – AE) , y bajo esta, se establecen cinco sub categorías de gestión:
DE.AE-1: Una línea base de operaciones de red y flujos de datos para usuarios y dispositivos existe y es gestionada.
DE.AE-2: Los eventos detectados son analizados para entender los objetivos de los ataques y los métodos.
5. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
5
5
DE.AE-3: Los eventos recogidos de múltiples fuentes y sensores son agregados y correlados.
DE.AE-4: El impacto de los eventos está asignado
DE.AE-5: Los rangos de las alertas para los incidentes está, establecidos
La necesidad de detectar anomalías en la red de control, se encuentra en las siguientes normas:
COBIT 5 DSS03.01
ISA 62443-2-1:2009 4.4.3.3
NIST SP 800-53 Rev. 4 AC-4, CA-3, CM-2, SI-4
FIGURA 2: FUNCIÓN 3 DEL NIST CYBERSECURITY FRAMEWORK
6. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
6
6
EEUU: ES-C2M2 v1.1 February 2014 – Department of Energy – Department of Homeland Security
Definido de manera equivalente también para el sector Oil & Natural Gas (ONG), este modelo de madurez, también establece la necesidad de mantener el inventario de activos, tanto IT, como OT:
FIGURA 3: INVENTARIO EN EL MODELO DE MADUREZ DE CIBERSEGURIDAD PARA EL SECTOR ELÉCTRICO EN EEUU
También establece la necesidad de documentar apropiadamente el comportamiento de las comunicaciones, ya que más adelante establece la necesidad de monitorizar anomalías de tráfico en las redes IT y OT.
7. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
7
7
FIGURA 4: MONITORIZACIÓN DEL COMPORTAMIENTO EN EL MODELO DE MADUREZ DE CIBERSEGURIDAD PARA EL SECTOR ELÉCTRICO EN EEUU
Francia Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI)
La Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI), ha publicado en Agosto de 2014 una metodología de clasificación de organizaciones usuarias de sistemas de información de control industrial y una serie detallada de medidas de seguridad a adoptar por cada de dichas organizaciones en función de su clasificación.
FIGURA 5: GUÍA DE MEDIDAS DE CIBERSEGURIDAD DETALLADAS PARA LAS ORGANIZACIONES USUARIAS DE SISTEMAS DE CONTROL INDUSTRIAL
8. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
8
8
Entre las medidas de Ciberseguridad a adoptar, se encuentra el mantenimiento sistemático del inventario de activos de control industrial en el que se deben reflejar todas las interconexiones, diagramas y flujos entre ellos, y la monitorización de los mismos:
FIGURA 6: INDICE DE MEDIDAS DE CIBERSEGURIDAD DETALLADAS PARA LAS ORGANIZACIONES USUARIAS DE SISTEMAS DE CONTROL INDUSTRIAL
9. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
9
9
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
En España, la Ley PIC 8/2011 plantea la necesidad de que las organizaciones que sean designadas Operadores de Infraestructura crítica por el CNPIC desarrollen un Plan de Seguridad del Operador y un Plan de Protección Específico en los que se reflejen de manera detallada los inventarios de elementos que componen su red de control industrial, entre otros activos.
En particular el punto 3.1 del Plan de Protección Específico del Operador, “Datos Generales de la Infraestructura”, contempla la inclusión de, al menos, la siguiente información:
“Sobre los sistemas TIC que gestionan la IC y su arquitectura (mapa de red, mapa de comunicaciones, mapa de sistemas, etc.).”
En el punto 3.2 del mismo Plan, “Activos/Elementos de la IC”, contempla la inclusión de, al menos, la siguiente información:
“Los sistemas informáticos (hardware y software) utilizado.”
“Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para dicha IC.”
FIGURA 7: CONTENIDOS MÍNIMOS DEL PLAN DE PROTECCIÓN ESPECÍFICO (PPE)
En resumen, se solicita toda la información necesaria para establecer el comportamiento normal de la red de control.
10. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
10
10
A la vista de todo lo anterior, parece evidente que la necesidad de que el inventario de activos contemple el establecimiento de una línea base de comportamiento, permitirá definir indicadores sobre su cumplimiento. Estas dos realidades hacen natural diseñar un conjunto de métricas basadas en el inventario y gestión de comportamiento de redes industriales. (ICS Network Behavior Management TM).
En los siguientes puntos describiremos la metodología y la solución propuesta para definir y mantener estas métricas.
RIPE – Robust ICS Planning & Evaluation
El marco de referencia Robust ICS Planning and Evaluation (RIPE1 2013), establece un modelo de gestión basado en calidad de procesos definidos en sistemas de control industrial críticos, y en la línea de la propuesta de INTECO2 para la medición de la Ciberresiliencia.
Este modelo descansa en la definición de tres grandes bloques:
Bloque Tecnológico (Sistemas IT y OT)
Bloque Organizativo (Personas)
Bloque Operacional (Procesos y procedimientos)
FIGURA 8: DIAGRAMA DE CONTEXTO DEL MODELO
11. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
11
11
En este marco de referencia se miden de manera periódica y con un bajo impacto económico, las métricas de cumplimiento en ocho Áreas de la Infraestructura crítica:
Inventario de activos: Para cada instalación/planta se deben documentar y revisar de manera periódica, todos los activos que participan en la prestación de un servicio esencial o que lo protegen. Este inventario recogerá para cada IC todos los elementos integrados en la Seguridad Física y lógica.
Diagrama de conexión de los activos: Es fundamental documentar y revisar la conectividad existente entre los activos inventariados en el punto anterior, para poder establecer la interdependencia de todos los activos entre sí y la jerarquización de los mismos a la hora de agruparse en la prestación de un servicio esencial.
Interacción entre los activos: Con la información recolectada en los puntos anteriores, construiremos los diagramas de flujos operativos entre dispositivos, lo que permitirá completar la descripción de la interdependencia de los servicios esenciales y la posterior supervisión de la seguridad de la planta/instalación.
Roles y funciones del personal: El personal es el primer activo a proteger y la parte más fundamental en cualquier estrategia de defensa de la planta/instalación. Se debe mantener una información actualizada de todo el personal de la IC y revisarla periódicamente para garantizar su validez. Esta información es fundamental para la implementación de cualquier política de accesos físicos y lógicos.
Desarrollo de las aptitudes y conocimientos del personal: El nivel de seguridad de la planta/instalación se debe entender dentro del ciclo de la mejora continua de los servicios esenciales prestados. Es fundamental que las personas que operan y garantizan la seguridad de estos servicios posean el grado de formación necesario para la ejecución de sus funciones. El control periódico del cumplimiento de los planes de formación y aprovechamiento en cada planta facilita el seguimiento de los objetivos periódicos establecidos por el CSMS.
Guías y procedimientos de operación: La integridad de los servicios esenciales puede verse interrumpida por una operación errónea o no probada y autorizada. Para evitar este tipo de problemas, se debe mantener un conjunto actualizado de guías de operación que se revisen periódicamente y que minimicen los problemas en la prestación de los servicios esenciales por parte de la planta/instalación.
Planificación de diseño y cambios: En la línea del punto anterior, cualquier nuevo elemento dentro de la IC o cualquier nuevo proceso industrial, debe estar debidamente documentado y autorizado por los responsables de explotación. La revisión de este proceso y documentación asociada, permitirá minimizar riesgos en la continuidad de los Servicios esenciales y el correcto mantenimiento del CSMS.
Adquisición de activos: Los requisitos de seguridad en los activos a desplegar en las plantas/instalaciones se deben contemplar desde la fase de adquisición de dichos activos. El control de los procesos de adquisición en lo que se refiere a estos requisitos, facilitará la integración de los mismos en la gestión continua de la seguridad de la planta/instalación.
El control de estas ocho áreas permitirá la realización del análisis de impacto sobre los servicios esenciales de la planta/instalación que soportan, siendo acorde con la Política de Seguridad definida por el OC en temas tan importantes como la gestión de la Seguridad, la formación del personal y la gestión de la continuidad
12. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
12
12
Cada una de estas Áreas se evalúa según dos criterios de calidad para obtener porcentajes de cumplimiento objetivos:
Grado de cumplimentación
Exactitud de la información cumplimentada
En el caso del inventario de activos, por ejemplo, se aplicarían los siguientes criterios:
RIPE Calidad del inventario de activos
Calidad
Grado de cumplimentación y exactitud en el Inventario de activos de la IC
Cálculo: (Exactitud * Cumplimentación) / 100
Cumplimentación
Porcentaje de activos recogidos en el inventario, frente a los identificados por inspección física.
Exactitud
Porcentaje de activos recogidos correctamente en el inventario, frente a los identificados por inspección física.
TABLA 1: CRITERIOS DE VALORACIÓN DE LOS INDICADORES
En un ejemplo concreto, y tras aplicar la valoración de estos criterios en las ocho Áreas de dos plantas/instalaciones concretas, obtenemos los siguientes valores:
FIGURA 9: DIAGRAMA DE CUMPLIMIENTO DE DOS PLANTAS DIFERENTES
13. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
13
13
En el caso de la planta representada por la línea roja, observamos un cumplimiento mucho mayor en Áreas como el inventario de activos y del personal que en la planta representada por la línea azul.
Esto permitiría a la organización aprovecharse de los procedimientos operativos de la primera planta para desplegarlos en la segunda, logrando la mejora de los niveles de seguridad en un corto espacio de tiempo.
En el punto siguiente trataremos los indicadores a definir y gestionar del Bloque Tecnológico del RIPE para las redes de control industrial y que definen el patrón de comportamiento esperado de dichas redes:
Inventario de activos
Representación de la conexión de los activos
Interacción detallada entre los mismos
Indicadores
El cálculo de los indicadores definidos por el marco de referencia anterior, debe ser generado y actualizado con el menor esfuerzo posible. Para ello vamos a proponer el uso de la solución SCAB (Security Control Awareness Box) para sistemas SCADA y basada en la tecnología de inspección profunda de comportamiento de protocolos de control. (DPBI).
SCAB es un sistema de monitorización y detección de anomalías que analiza el tráfico de red y detecta los eventos inusuales de dicha red (por ejemplo, ataques cibernéticos o errores operativos) por medio de tecnología de detección no basada en firmas, mediante la construcción del patrón de comportamiento de la red de manera automática y desatendida.
El patrón de comportamiento construido por la solución, define:
Los modelos de conexión
Protocolos utilizados
Tipos de mensajes de los protocolos
Campos de los mensajes
Valores de los campos de los mensajes
Este conjunto de información define la Lista Blanca de las operaciones en nuestra red de control.
A día de hoy, SCAB permite la supervisión e inspección de los siguientes protocolos:
Protocolos Deep Protocol Behavior Inspector Perfil de conexión
MMS
Modbus/TCP
OPC-DA
IEC 101/104
DNP3
14. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
14
14
Protocolos Deep Protocol Behavior Inspector Perfil de conexión
IEC 61850
ICCP TASE.2
CSLib (ABB)
DMS (ABB)
S7 (Siemens)
SMB/CIFS
RPC/DCOM
PVSS
LDAP
NetBIOS
HTTP
FTP
SSH
SSL
SMTP
IMAP
POP3
VNC/RFB
RTSP
AFP
TABLA 2: PROTOCOLOS SOPORTADOS POR SCAB
15. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
15
15
La arquitectura de la solución SCAB es la siguiente:
FIGURA 10: ARQUITECTURA DE LA SOLUCIÓN SCAB
El Centro de mando recoge la inteligencia de los diferentes sensores de monitorización, y cuenta con:
Un interfaz de usuario basada en web (navegadores soportados: Google Chrome, Mozilla Firefox, Internet Explorer (≥ 9), Safari)
Amplio conjunto de filtros de alertas
Un motor de flujo de trabajo extensible para el procesamiento de alertas entrantes y envío a distintos sistemas (por ejemplo, SIM / SIEM ) mediante reglas definidas por el usuario
Un motor de tareas extensible para la programación de tareas, tales como el envío de informes, la sincronización del reloj interno, la optimización de la base de datos interna, etc ;
Control de acceso basado en roles para los usuarios.
En los entornos de producción, múltiples sensores de monitorización pueden ser usados para controlar diferentes segmentos de red e informar del tráfico observado y de las amenazas detectadas a un único Centro de mando.
16. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
16
16
La conexión entre el Centro de mando y los sensores está protegida y encriptada, garantizando la confidencialidad e integridad de la misma.
Construcción del inventario
Después de conectar los sensores del SCAB a la red, en un punto en el que tengamos total visibilidad de los paquetes TCP que circulen por ella, podemos empezar la fase de aprendizaje. En esta fase, SCAB construye de manera autónoma nuestro patrón de comportamiento de red.
El flujo que sigue es mostrado a continuación:
FIGURA 11: CREACIÓN DEL PATRON DE COMPORTAMIENTO DE LA RED DE CONTROL
Podemos personalizar el patrón de comportamiento si es necesario con solo añadir, modificar o borrar conexiones utilizando un editor de textos. Todos los cambios sobre dichos patrones es auditada y almacenada en el propio sensor de manera segura.
FIGURA 12: EDITOR DE LA MATRIZ DE CONEXIONES
17. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
17
17
Después de la finalización de la fase de aprendizaje, tenemos el perfil de la comunicación de la red de control.
En este momento SCAB, conoce cada tupla permitido en la red de control.
Src IP,Src Port -> Dest. IP,Dest Port
Esto es algo difícil de conseguir en una Red Local multipropósito sin tener varios cambios (Alertas) por hora.
Desde este instante, podemos detectar y ser alertados por:
Nuevos dispositivos en la red fuera de inventario
Dispositivos intentando conectarse a nuestro modelo y fuera de inventario
Dispositivos recibiendo información de fuera de nuestro modelo e inventario
18. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
18
18
Calidad del inventario
Como ya vimos en el ejemplo inicial, este indicador se calcularía de la siguiente forma:
RIPE Calidad del inventario de activos
Calidad
Grado de cumplimentación y exactitud en el Inventario de activos de la IC
Cálculo: (Exactitud * Cumplimentación) / 100
Cumplimentación
Porcentaje de activos recogidos en el inventario, frente a los identificados por uso del SCAB.
Exactitud
Porcentaje de activos recogidos correctamente en el inventario, frente a los identificados por uso del SCAB.
TABLA 3: INDICADOR DE CALIDAD DE INVENTARIO
Representación de la conexión de los activos
A partir de la información recogida por SCAB en su fase de aprendizaje, es sencillo representar de manera gráfica las interacciones de los nodos de la red de control, y construir así un diagrama fácilmente actualizable.
RIPE Calidad del diagrama de conexiones
Calidad
Grado de cumplimentación y exactitud en el Inventario de conexiones de la IC
Cálculo: (Exactitud * Cumplimentación) / 100
Cumplimentación
Porcentaje de conexiones recogidas en el inventario, frente a las identificadas por uso del SCAB.
Exactitud
Porcentaje de conexiones recogidas correctamente en el inventario, frente a las identificadas por uso del SCAB
TABLA 4: INDICADOR DE CALIDAD DE CONEXIONES
Un ejemplo podría ser el siguiente grafo dirigido de conexiones entre los nodos de la red:
19. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
19
19
FIGURA 12: GRAFO DE CONEXIONES RECOGIDAS POR SCAB
20. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
20
20
Interacción detallada entre los mismos
FIGURA 13: MATRIZ DE FUNCIONES DE MANDO APRENDIDAS POR SCAB
Entre la información recogida en el patrón de comportamiento de red de control autogenerado podemos ver que, no solamente se recogen las conexiones entre dispositivos y puertos siguiendo un determinado protocolo, sino también que mensajes y valores (Funciones de control) se están utilizando en nuestra red.
En el caso recogido arriba, el Servidor SCADA se conecta con los PLCs utilizando el protocolo MODBUS TCP y ejecutando únicamente las funciones 3 y 16.
De esta manera, podemos establecer el cumplimiento de este indicador de manera periódica, además de detectar en tiempo real operaciones de control no usuales o maliciosas.
RIPE Calidad del inventario de interacciones (Funciones de mando)
Calidad
Grado de cumplimentación y exactitud en el Inventario de interacciones de la IC
Cálculo: (Exactitud * Cumplimentación) / 100
Cumplimentación
Porcentaje de funciones de mando recogidas en el inventario, frente a las identificadas por uso del SCAB.
Exactitud
Porcentaje de funciones de mando recogidas correctamente en el inventario, frente a las identificadas por uso del SCAB
TABLA 5: INDICADOR DE CALIDAD DE INVENTARIO DE INTERACCIONES
21. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
21
21
Conclusión
Parece clara la necesidad de revisar el nivel de ciber seguridad de una IC, pero dicha revisión no debe basarse exclusivamente en evidencias de auditoría documental, sino también en criterios objetivos de calidad que garanticen su seguimiento y permitan la mejora continua de la propia IC.
El uso de indicadores sobre la calidad del Inventario de activos, la correcta representación de la conexión y la Interacción operacional actualizada entre los mismos, nos permitirá la supervisión del comportamiento de la red de control que presta los servicios esenciales y la de la seguridad de la planta o instalación.
La solución SCAB permite el fácil mantenimiento de estos tres indicadores y la monitorización continua mediante la inspección profunda de comportamiento de protocolos industriales, permitiendo así mantener el nivel de seguridad requerido para nuestra IC.
22. Gestión de Comportamiento de redes industriales
Enrique Martín García
Agosto 2014
22
22
Referencias
[1]: The RIPE Framework: A Process-Driven Approach towards Effective and
Sustainable Industrial Control System Security – 2013 Ralph Langner: http://www.langner.com/en/wp-content/uploads/2013/09/The-RIPE-Framework.pdf
[2] “Ciber-Resiliencia: Aproximación a un marco de medición” – 2014 INTECO: http://www.inteco.es/extfrontinteco/img/File/Estudios/int_ciber_resiliencia_marco_medicion. pdf
[3]: Monitoring Industrial Control Systems to improve operations and security - 2013: http://www.secmatters.com/sites/www.secmatters.com/files/documents/whitepaper_monitoring_EU.pdf
Siglas
SCAB
Security Control Awareness Box
Behavioral Blueprint
Patrón de comportamiento
ICS
Industrial Control Systems
HMI
Human Machine Interface
RTU
Remote Terminal Unit
SMB
Server Message Block
PLC
Programmable Logic Controller
LPIC
Ley de Protección de Infraestructuras Críticas
Acerca del autor
Enrique Martín García es Director del Centro de Excelencia de Ciber Seguridad dentro de la División IT Consulting & Integration Services de Global Solutions en Schneider Electric.
Tiene más de 25 años de experiencia en el mundo de las Tecnologías de la Información, muchos de los cuales ha estado vinculado a los proyectos de diseño e implantación de soluciones de seguridad.
Desde 2013 se ha encargado del diseño del portfolio de servicios y soluciones de Ciberseguridad de ITC, participando en distintos congresos en los que ha impartido distintas ponencias sobre las soluciones avanzadas de protección de redes de control con protocolos industriales.