Este documento describe el uso de patrones de comportamiento para monitorear continuamente la seguridad en redes de control industrial. Propone tres matrices fundamentales para definir los patrones de comportamiento: la matriz de conexión que define qué dispositivos se conectan entre sí, la matriz de actividad que especifica qué usuarios realizan qué acciones y cuándo, y la matriz operacional que describe los comandos permitidos. El documento luego presenta pruebas sobre cómo la tecnología de monitoreo basada en patrones puede detectar actividades anormales como conexiones no permitidas o com
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
Debido al gran crecimiento en sistemas de control industrial basados en soluciones comerciales (COTS) conectados por TCP/IP, y a las amenazas asociadas a estos, la monitorización continua del correcto funcionamiento de las redes Operacionales (OT) ha llegado a ser crucial para nuestro bienestar y forma de vida. Las nuevas tecnologías de monitorización, como la de utilización de patrones de comportamiento en redes de control, pueden ayudarnos a ejecutar eficazmente estas tareas y garantizar la Cyber Seguridad de estas infraestructuras.
Este documento trata sobre la implementación de un servidor de gestión y monitoreo de redes SNMP. Explica conceptos básicos como SNMP, el gestor SNMP, el agente SNMP y la MIB. Luego detalla los pasos para instalar y configurar el software de gestión JFFNMS, así como configurar agentes SNMP en diferentes sistemas operativos y dispositivos de red. El objetivo es facilitar la administración de redes mediante el monitoreo y recolección ordenada de información de los nodos de la red.
El documento describe el Protocolo Simple de Administración de Red (SNMP), el cual permite a los administradores manipular y diagnosticar problemas en dispositivos de red. SNMP se basa en tres elementos: un supervisor, dispositivos administrados y agentes. Existen tres versiones de SNMP y se usa comúnmente para administrar routers, switches, servidores y hubs.
El documento describe las funciones de un administrador de redes, incluyendo el monitoreo, mantenimiento y control de la red, la detección y resolución de fallas, y el mantenimiento de la seguridad e inventarios. Explica los elementos clave de la administración de redes como agentes, administradores del sistema, protocolos SNMP y MIB. El objetivo principal de un administrador de redes es asegurar la operación continua, eficiente y segura de la red.
Proyecto: Monitorización de red con SNMP y MRTGFrancesc Perez
Este documento propone la implementación de un sistema de monitorización de red mediante el protocolo SNMP y el software MRTG. Explica las características y funcionalidades de SNMP y MRTG, y propone un esquema para monitorizar los parámetros de red de varios dispositivos, como routers y switches, empleando estos protocolos y software.
Este documento describe diferentes tipos de controles de información y seguridad de datos, incluyendo controles preventivos, detectivos, correctivos y proactivos. Explica conceptos como segregación de funciones, responsabilidad por controles, seguridad de hardware, software e implementación. También cubre temas de comunicaciones seguras, criptografía simétrica y asimétrica, y firma digital.
The document discusses six factors for a successful healthcare career launch, including having interesting and current knowledge, intellectual curiosity, strong interview skills, involvement in relevant organizations, and sufficient income. It also provides information for students on the Healthcare Information and Information Technology annual conference happening in late November, including opportunities for papers, awards, and training.
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
Debido al gran crecimiento en sistemas de control industrial basados en soluciones comerciales (COTS) conectados por TCP/IP, y a las amenazas asociadas a estos, la monitorización continua del correcto funcionamiento de las redes Operacionales (OT) ha llegado a ser crucial para nuestro bienestar y forma de vida. Las nuevas tecnologías de monitorización, como la de utilización de patrones de comportamiento en redes de control, pueden ayudarnos a ejecutar eficazmente estas tareas y garantizar la Cyber Seguridad de estas infraestructuras.
Este documento trata sobre la implementación de un servidor de gestión y monitoreo de redes SNMP. Explica conceptos básicos como SNMP, el gestor SNMP, el agente SNMP y la MIB. Luego detalla los pasos para instalar y configurar el software de gestión JFFNMS, así como configurar agentes SNMP en diferentes sistemas operativos y dispositivos de red. El objetivo es facilitar la administración de redes mediante el monitoreo y recolección ordenada de información de los nodos de la red.
El documento describe el Protocolo Simple de Administración de Red (SNMP), el cual permite a los administradores manipular y diagnosticar problemas en dispositivos de red. SNMP se basa en tres elementos: un supervisor, dispositivos administrados y agentes. Existen tres versiones de SNMP y se usa comúnmente para administrar routers, switches, servidores y hubs.
El documento describe las funciones de un administrador de redes, incluyendo el monitoreo, mantenimiento y control de la red, la detección y resolución de fallas, y el mantenimiento de la seguridad e inventarios. Explica los elementos clave de la administración de redes como agentes, administradores del sistema, protocolos SNMP y MIB. El objetivo principal de un administrador de redes es asegurar la operación continua, eficiente y segura de la red.
Proyecto: Monitorización de red con SNMP y MRTGFrancesc Perez
Este documento propone la implementación de un sistema de monitorización de red mediante el protocolo SNMP y el software MRTG. Explica las características y funcionalidades de SNMP y MRTG, y propone un esquema para monitorizar los parámetros de red de varios dispositivos, como routers y switches, empleando estos protocolos y software.
Este documento describe diferentes tipos de controles de información y seguridad de datos, incluyendo controles preventivos, detectivos, correctivos y proactivos. Explica conceptos como segregación de funciones, responsabilidad por controles, seguridad de hardware, software e implementación. También cubre temas de comunicaciones seguras, criptografía simétrica y asimétrica, y firma digital.
The document discusses six factors for a successful healthcare career launch, including having interesting and current knowledge, intellectual curiosity, strong interview skills, involvement in relevant organizations, and sufficient income. It also provides information for students on the Healthcare Information and Information Technology annual conference happening in late November, including opportunities for papers, awards, and training.
Hugo Boss fundou uma pequena loja de confecções na Alemanha nos anos 1930, mas faliu. Ao se juntar ao Partido Nazista, sua vida melhorou e ele se tornou o fornecedor exclusivo de uniformes para as SS e outras organizações nazistas, ganhando milhões. Para atender a demanda, ele usou mão de obra barata de prisioneiros de guerra. Após a guerra, Boss foi julgado, mas recebeu penas leves e precisou apenas indenizar as famílias dos trabalhadores for
Mapa conceptual sobre gerencia de proyectos.aracelyaracely2526
El mapa conceptual está basado en la gerencia de proyectos teniendo en cuenta el rol principal de un profesional en el desarrollo del proyecto, los elementos para poder garantizar un ciclo de vida de un proyecto y los participantes responsables.
Este documento describe los instrumentos musicales más usados, incluyendo la guitarra, el piano, el bajo eléctrico y la batería. Proporciona detalles breves sobre la construcción y características básicas de cada instrumento.
Mapa conceptual de gerencia de proyectos sergio lópezSergio Lopez
Este documento describe los elementos clave de la gerencia de proyectos. Explica que un gerente de proyectos debe ser capaz de planificar, ejecutar y controlar las diferentes fases de un proyecto asegurando una comunicación efectiva. También debe establecer las fases iniciales, intermedias y finales de un proyecto, garantizar los recursos necesarios como personal, dinero y materiales, y determinar la duración del proyecto asignando responsables para cada proceso. Finalmente, menciona los diferentes roles involucrados en un proyecto como el director, cliente
O sistema digestivo transforma os alimentos ingeridos em substâncias que podem entrar na corrente sanguínea. A digestão começa na boca, onde os dentes quebram a comida, e continua no estômago e intestinos, onde enzimas quebram os alimentos em moléculas menores. Resíduos não digeridos são expelidos nas fezes. O sistema digestivo é composto pelo trato gastrointestinal e glândulas anexas como o fígado e o pâncreas.
Este documento proporciona una guía sobre el uso de Microsoft Outlook. Explica las características y funciones básicas de Outlook, incluyendo cómo vincular una cuenta de correo electrónico, administrar el correo entrante y saliente, agregar y buscar contactos, y programar citas, reuniones y tareas. El documento contiene instrucciones detalladas sobre cómo realizar estas tareas comunes de gestión de información a través de una interfaz gráfica fácil de usar en Outlook.
Um concurso de desenho foi realizado em 2016 para crianças de 1a a 6a série sobre como elas veem o Natal. As categorias incluíam pintinhos, borboletas, ursinhos e outras, e os vencedores seriam selecionados de acordo com a série escolar de cada criança.
recruitingMilitaryTalent_onePager FINAL 2.29.16 (2)Kelvin Scott
The document discusses challenges that veterans face when transitioning from military to civilian life. It notes that while veteran unemployment has decreased, it remains higher than the overall civilian rate, particularly for younger veterans and women. The document advocates that organizations should view hiring veterans as an opportunity, as veterans possess valuable skills from their military service like leadership that translate well to the civilian workplace. It also provides information on regulations regarding organizations that contract with the federal government being required to include veterans in their applicant pools.
Este documento describe las principales vías del sistema nervioso, incluyendo las vías aferentes como el fascículo gracil y cuneado que transportan información somatosensorial, y las vías eferentes como la vía piramidal que controla el movimiento voluntario. También describe las vías espinotalámicas laterales y anteriores que transportan información de dolor y temperatura, y las vías espinocerebelosas que transportan información propioceptiva inconsciente al cerebelo.
Parenting in the Age of Media!
Parenting has become more challenging now than before due to various factors. Find out more about the problems and how to become a better parent despite the challenges we face today.
O concurso de desenho de 2017 foi sobre temas natalinos como pintar galinhas, borboletas, ursos e outros animais. As crianças de 1o a 6o ano do ensino fundamental participaram e desenharam esses temas de acordo com sua série.
Taller ofrecido a estudiantes graduados del Decanato de Estudios Graduados, Universidad de Puerto Rico, Recinto de Río Piedras. Ofrecido el 23 de junio de 2008 en el Centro de Cómputos.
El documento proporciona una descripción general de MS Outlook, incluyendo sus características principales, funciones y interfaz gráfica. Explica cómo vincular una cuenta de correo electrónico, administrar el correo entrante y saliente, agregar y buscar contactos, y crear citas, reuniones y tareas.
O documento discute os requisitos e elementos de um Sistema de Gestão de Segurança e Saúde no Trabalho (SGSST) de acordo com a norma OHSAS 18001, incluindo a identificação de perigos, avaliação de riscos, implementação de medidas de controle e a melhoria contínua do sistema através do ciclo PDCA.
The document discusses best practices for conducting effective interviews, including structuring interviews with job-relevant questions, using the same questions for all candidates, and focusing interview questions on assessing a candidate's knowledge, experience, intellectual capacity, and personality fit for the job. It also outlines factors that can influence interviews such as first impressions, misunderstanding the job requirements, and personal characteristics of the candidate. Effective interviews should be prepared for, structured, and evaluate candidates based on their responses to job-relevant situational and behavioral questions.
O documento discute a importância da interpretação de textos e fornece diretrizes para analisá-los de forma efetiva, decompondo-os em partes e identificando suas ideias-chave. Aprender a ler textos de forma crítica é essencial para a compreensão humana.
Este documento es un mini periódico escolar producido por los estudiantes de 4oA en el que presentan noticias, historias, entrevistas y más. El periódico incluye una entrevista con la madre delegada de la clase, quien habla sobre sus responsabilidades y experiencia como madre delegada. También presentan varias historias cortas y noticias sobre eventos y excursiones de la clase durante el año escolar. El documento sirve para reconocer el trabajo de todos los estudiantes, maestros y familias que forman parte de la comunidad
This document discusses cross-linguistic influence and learner language. It covers the contrastive analysis hypothesis and how it evolved into analyzing cross-linguistic influence. The document also discusses markedness theory, learner language, error analysis, types of errors, sources of errors, stages of learner language development, and approaches to treating errors. It provides a detailed overview of the theoretical framework for understanding how a learner's first language can influence their acquisition of a second language.
El documento explica las distintas fases del ciclo de vida de una red telemática, incluyendo la planificación, diseño, implementación, operación, optimización y retiro. También describe los elementos necesarios para implementar una red como switches, cables, tarjetas de red y su configuración. Explica herramientas para la monitorización y gestión de redes como SNMP, Nagios, Cacti y otras métricas.
Este documento describe varios aspectos relacionados con la auditoría de sistemas y redes de computadoras. Explica que una auditoría permite evaluar el estado del mantenimiento de equipos y la efectividad de los procesos, identificando áreas de mejora. También describe los objetivos y participantes clave de una auditoría de base de datos, así como los instrumentos utilizados para evaluar aspectos como la seguridad física, lógica y de comunicaciones de una red.
Hugo Boss fundou uma pequena loja de confecções na Alemanha nos anos 1930, mas faliu. Ao se juntar ao Partido Nazista, sua vida melhorou e ele se tornou o fornecedor exclusivo de uniformes para as SS e outras organizações nazistas, ganhando milhões. Para atender a demanda, ele usou mão de obra barata de prisioneiros de guerra. Após a guerra, Boss foi julgado, mas recebeu penas leves e precisou apenas indenizar as famílias dos trabalhadores for
Mapa conceptual sobre gerencia de proyectos.aracelyaracely2526
El mapa conceptual está basado en la gerencia de proyectos teniendo en cuenta el rol principal de un profesional en el desarrollo del proyecto, los elementos para poder garantizar un ciclo de vida de un proyecto y los participantes responsables.
Este documento describe los instrumentos musicales más usados, incluyendo la guitarra, el piano, el bajo eléctrico y la batería. Proporciona detalles breves sobre la construcción y características básicas de cada instrumento.
Mapa conceptual de gerencia de proyectos sergio lópezSergio Lopez
Este documento describe los elementos clave de la gerencia de proyectos. Explica que un gerente de proyectos debe ser capaz de planificar, ejecutar y controlar las diferentes fases de un proyecto asegurando una comunicación efectiva. También debe establecer las fases iniciales, intermedias y finales de un proyecto, garantizar los recursos necesarios como personal, dinero y materiales, y determinar la duración del proyecto asignando responsables para cada proceso. Finalmente, menciona los diferentes roles involucrados en un proyecto como el director, cliente
O sistema digestivo transforma os alimentos ingeridos em substâncias que podem entrar na corrente sanguínea. A digestão começa na boca, onde os dentes quebram a comida, e continua no estômago e intestinos, onde enzimas quebram os alimentos em moléculas menores. Resíduos não digeridos são expelidos nas fezes. O sistema digestivo é composto pelo trato gastrointestinal e glândulas anexas como o fígado e o pâncreas.
Este documento proporciona una guía sobre el uso de Microsoft Outlook. Explica las características y funciones básicas de Outlook, incluyendo cómo vincular una cuenta de correo electrónico, administrar el correo entrante y saliente, agregar y buscar contactos, y programar citas, reuniones y tareas. El documento contiene instrucciones detalladas sobre cómo realizar estas tareas comunes de gestión de información a través de una interfaz gráfica fácil de usar en Outlook.
Um concurso de desenho foi realizado em 2016 para crianças de 1a a 6a série sobre como elas veem o Natal. As categorias incluíam pintinhos, borboletas, ursinhos e outras, e os vencedores seriam selecionados de acordo com a série escolar de cada criança.
recruitingMilitaryTalent_onePager FINAL 2.29.16 (2)Kelvin Scott
The document discusses challenges that veterans face when transitioning from military to civilian life. It notes that while veteran unemployment has decreased, it remains higher than the overall civilian rate, particularly for younger veterans and women. The document advocates that organizations should view hiring veterans as an opportunity, as veterans possess valuable skills from their military service like leadership that translate well to the civilian workplace. It also provides information on regulations regarding organizations that contract with the federal government being required to include veterans in their applicant pools.
Este documento describe las principales vías del sistema nervioso, incluyendo las vías aferentes como el fascículo gracil y cuneado que transportan información somatosensorial, y las vías eferentes como la vía piramidal que controla el movimiento voluntario. También describe las vías espinotalámicas laterales y anteriores que transportan información de dolor y temperatura, y las vías espinocerebelosas que transportan información propioceptiva inconsciente al cerebelo.
Parenting in the Age of Media!
Parenting has become more challenging now than before due to various factors. Find out more about the problems and how to become a better parent despite the challenges we face today.
O concurso de desenho de 2017 foi sobre temas natalinos como pintar galinhas, borboletas, ursos e outros animais. As crianças de 1o a 6o ano do ensino fundamental participaram e desenharam esses temas de acordo com sua série.
Taller ofrecido a estudiantes graduados del Decanato de Estudios Graduados, Universidad de Puerto Rico, Recinto de Río Piedras. Ofrecido el 23 de junio de 2008 en el Centro de Cómputos.
El documento proporciona una descripción general de MS Outlook, incluyendo sus características principales, funciones y interfaz gráfica. Explica cómo vincular una cuenta de correo electrónico, administrar el correo entrante y saliente, agregar y buscar contactos, y crear citas, reuniones y tareas.
O documento discute os requisitos e elementos de um Sistema de Gestão de Segurança e Saúde no Trabalho (SGSST) de acordo com a norma OHSAS 18001, incluindo a identificação de perigos, avaliação de riscos, implementação de medidas de controle e a melhoria contínua do sistema através do ciclo PDCA.
The document discusses best practices for conducting effective interviews, including structuring interviews with job-relevant questions, using the same questions for all candidates, and focusing interview questions on assessing a candidate's knowledge, experience, intellectual capacity, and personality fit for the job. It also outlines factors that can influence interviews such as first impressions, misunderstanding the job requirements, and personal characteristics of the candidate. Effective interviews should be prepared for, structured, and evaluate candidates based on their responses to job-relevant situational and behavioral questions.
O documento discute a importância da interpretação de textos e fornece diretrizes para analisá-los de forma efetiva, decompondo-os em partes e identificando suas ideias-chave. Aprender a ler textos de forma crítica é essencial para a compreensão humana.
Este documento es un mini periódico escolar producido por los estudiantes de 4oA en el que presentan noticias, historias, entrevistas y más. El periódico incluye una entrevista con la madre delegada de la clase, quien habla sobre sus responsabilidades y experiencia como madre delegada. También presentan varias historias cortas y noticias sobre eventos y excursiones de la clase durante el año escolar. El documento sirve para reconocer el trabajo de todos los estudiantes, maestros y familias que forman parte de la comunidad
This document discusses cross-linguistic influence and learner language. It covers the contrastive analysis hypothesis and how it evolved into analyzing cross-linguistic influence. The document also discusses markedness theory, learner language, error analysis, types of errors, sources of errors, stages of learner language development, and approaches to treating errors. It provides a detailed overview of the theoretical framework for understanding how a learner's first language can influence their acquisition of a second language.
El documento explica las distintas fases del ciclo de vida de una red telemática, incluyendo la planificación, diseño, implementación, operación, optimización y retiro. También describe los elementos necesarios para implementar una red como switches, cables, tarjetas de red y su configuración. Explica herramientas para la monitorización y gestión de redes como SNMP, Nagios, Cacti y otras métricas.
Este documento describe varios aspectos relacionados con la auditoría de sistemas y redes de computadoras. Explica que una auditoría permite evaluar el estado del mantenimiento de equipos y la efectividad de los procesos, identificando áreas de mejora. También describe los objetivos y participantes clave de una auditoría de base de datos, así como los instrumentos utilizados para evaluar aspectos como la seguridad física, lógica y de comunicaciones de una red.
El documento presenta una serie de preguntas relacionadas con la seguridad de redes y sistemas. Se pide al lector que complete su plan de seguridad respondiendo las preguntas e incluyendo procedimientos y herramientas de seguridad. Las preguntas cubren temas como vulnerabilidades comunes, uso de herramientas de administración de red, controles de acceso y verificación de la integridad del sistema.
Este documento discute la importancia de la organización de las redes de comunicaciones de computadoras y describe el modelo OSI de 7 capas. También describe tres tipos de fallas de seguridad en las redes y varios modelos de referencia como TCP/IP. Explica la necesidad de firewalls y políticas de seguridad, así como herramientas para probar la seguridad de red como SAFEsuite y COPS.
Las plataformas de gestión de red más utilizadas son OpenView de HP, SunNet de Sun Microsystems e IBM NetView. OpenView es el líder del mercado con más del 40% de cuota. OpenView consta de tres módulos principales: Network Node Manager para descubrir la topología de red y manejar alarmas, Operations Center como interfaz de usuario, y Admin Center para gestionar configuraciones.
El documento presenta las respuestas de Carlos Andrés Pérez Cabrales a una serie de preguntas sobre ataques y vulnerabilidades comunes en sistemas de red, así como herramientas para la detección y prevención de dichos ataques. Carlos recomienda actualizar constantemente los procedimientos de seguridad y monitorear las redes para detectar amenazas. Además, propone diversas herramientas como TCP-Wrapper, Netlog, Tiger y Tripwire para controlar el acceso y verificar la integridad del sistema.
El documento describe los protocolos SNMP y SNMPv3 que se usan para administrar y monitorear dispositivos de red. También habla sobre el uso de bitácoras, analizadores de protocolos y planificadores para supervisar el desempeño y tráfico de una red. Finalmente, explica que los administradores de red analizan logs y tráfico para evaluar el rendimiento y seguridad de la red.
El documento trata sobre el análisis y monitoreo de redes. Explica que el monitoreo de redes es importante para detectar problemas y evitar fallas. Describe los protocolos SNMP que permiten la supervisión, administración y comunicación de la información de estado entre dispositivos de red. También habla sobre bitácoras, analizadores de protocolos, planificadores y el análisis del tráfico y desempeño de la red.
Este documento describe las cinco etapas del modelo FCAPS (Fault Management, Configuration, Accounting, Performance, Security) para la administración de redes. Explica cada etapa del modelo incluyendo la gestión de fallos, configuración, contabilidad, desempeño y seguridad. El documento también detalla la metodología utilizada para aplicar este modelo en un centro de cómputo para recopilar información sobre la administración de redes.
La gestión de redes tiene como objetivo garantizar un nivel de servicio en los recursos gestionados con el mínimo coste. Requiere herramientas automatizadas para la monitorización del tráfico, la calidad de servicio, la detección y resolución de problemas en redes de diferentes tamaños y tecnologías. El protocolo SNMP es fundamental para la gestión remota a través de estaciones de gestión, agentes y una base de información compartida.
Este documento contiene recomendaciones para presentar la Actividad 3 y preguntas sobre vulnerabilidades en sistemas de red, algoritmos P-C, y herramientas de seguridad. Se recomienda enviar el trabajo con encabezado específico e incluir una sección con herramientas de control de acceso y otra con herramientas para verificar la integridad del sistema.
Estudio de los sistemas de comunicación industrial basado.pptxRonaldoRomero7
Este documento describe un estudio de sistemas de comunicación industrial, incluyendo protocolos de comunicación como TCP/IP y conceptos de SCADA. El objetivo es diseñar y automatizar un SCADA para una planta de cal utilizando RSView32 y una red Ethernet industrial TCP/IP.
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
Este documento resume las principales secciones de un documento sobre la guerra cibernética y cómo puede afectar las operaciones industriales a nivel mundial. La primera sección describe las operaciones y amenazas de la guerra cibernética, incluyendo antecedentes en Ucrania. La segunda sección analiza los riesgos potenciales para las industrias locales en Perú, como la falta de ciberseguridad en empresas. La tercera sección ofrece recomendaciones y mejores prácticas para prevenir ataques, como segmentar la red e implement
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
El documento habla sobre la importancia de establecer controles de seguridad en sistemas de redes y sistemas multiusuario de una empresa. Explica que se deben tomar medidas específicas para proteger, resguardar y regular el uso de programas, archivos e información compartida. También menciona la necesidad de adaptarse a los cambios tecnológicos para garantizar la seguridad en el funcionamiento de las redes y sistemas de una empresa.
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Presentación del Libro "SEGURIDAD IoT EN SANIDAD ¿ESTAMOS PREPARADOS?" a cargo de Juanjo Domenech y Ramón Salado, coLeaders del capítulo de OWASP Sevilla.
El libro se puede descargar gratuitamente desde la web: https://apisa.com.es/2018/05/14/seguridad-iot-en-sanidad-estamos-preparados-libro-publicado-por-apisa/
Autores: Miguel Ángel Arroyo Moreno, Josep Bardallo Gay, Juan José Domenech Sánchez, Francisco Jesús Gómez López, Ramón Salado Lucena
Prólogo: Vicente Aguilera
Se describen los sistemas SCADA desde un punto de vista comercial, repasando su estructura interna y el desarrollo de aplicaciones SCADA, así como también se menciona lo que se espera comercialmente de un paquete de sistemas SCADA.
La evolución de los sistemas IT al Cloud debe ser el medio, no el fin.
El objetivo es que las empresas superen el reto de la innovación y la competitividad, dar respuestas flexibles y escalables a las demandas de la producción y controlar el gasto, logrando un verdadero ahorro que justifique la adopción de soluciones de nube híbrida.
The Global Cloud es la respuesta de Telvent Global Services para acompañarte en el reto de diseñar un modelo integrado y sencillo al servicio de tu negocio
Este documento discute la ciberseguridad industrial y la protección de infraestructuras críticas. Explica conceptos clave de ciberseguridad y las características únicas de la ciberseguridad industrial. También analiza el estado actual de la ciberseguridad industrial en España y los planes para proteger infraestructuras críticas, incluidos los sectores críticos identificados y los ejercicios de ciberseguridad realizados.
This document provides an overview of Telvent Global Services (TGS) and the IT solutions and services they offer. Some key points:
- TGS helps customers with their technological decisions from definition to implementation to help simplify IT complexity.
- They provide a range of managed IT services including datacenters, cloud solutions, business applications, cybersecurity, and more to cover full IT needs.
- Services are tailored for each customer and delivered using a global support and operations center with specialized support across technologies.
Entrevista a Javier de la Cuerda. 20 Aniversario ComputingItconic
Telvent Global Services comenzó en 1998 ofreciendo servicios de centros de datos en España y se ha expandido a brindar servicios gestionados de TI, soluciones de telecomunicaciones de valor agregado, y más recientemente, servicios de nube e inteligencia industrial. La compañía fue adquirida por Schneider Electric en 2011 pero ahora es independiente nuevamente tras ser comprada por el fondo Carlyle, lo que le permitirá enfocarse específicamente en el liderazgo de infraestructura TI y simplificar la complejidad para sus clientes.
Este documento presenta un análisis de la superficie de ataque en centros de datos privados frente a la nube. Calcula este indicador, que mide el riesgo de los activos de información, para varias PYMES en diferentes sectores. Los resultados muestran que la superficie de ataque es menor cuando los servicios se despliegan en la nube de Telvent debido a controles de seguridad más maduros que en los centros de datos privados de las PYMES.
Este documento propone un sistema para monitorear la ciberseguridad en centros de datos críticos de manera unificada. Describe las dimensiones de un centro de datos y los sistemas de control industrial y de información que se utilizan. Plantea la necesidad de monitorear eventos en las redes de control industrial debido a su vulnerabilidad. Propone un modelo basado en matrices de conexión y operacional para definir patrones normales de comportamiento y detectar anomalías que podrían indicar ataques. El objetivo es proteger estas infraestructuras cr
El documento discute la creciente complejidad del ecosistema de la nube y cómo los proveedores de la nube pueden ayudar a los departamentos de TI a simplificarla. Explica que aunque la adopción de servicios en la nube ha crecido rápidamente, la migración de sistemas tradicionales ha sido más lenta. También describe los desafíos de conectar aplicaciones en la nube híbrida y la necesidad de transformar los departamentos de TI para que puedan administrar entornos más distribuidos.
Telvent ofrece varios servicios de red y seguridad como la gestión integral de redes de clientes las 24 horas los 7 días de la semana, el acceso a Internet adaptado a las necesidades del negocio a precios competitivos e Internet redundante, la gestión de firewalls y plataformas web para garantizar la seguridad, y la transición a IPv6 de forma transparente. También ofrece servicios de consultoría, integración y outsourcing de redes y seguridad.
El Global Support & Operation Center (GSOC) de Telvent ofrece servicios de soporte y operación las 24 horas del día los 7 días de la semana para ayudar a los clientes a administrar y operar sus plataformas. El GSOC proporciona soporte de nivel 1, 2 y 3 utilizando herramientas de monitoreo, tickets y cuadros de mando. El equipo del GSOC está especializado en soporte técnico, operaciones de infraestructura y administración de sistemas.
Te ofrecemos soporte telefónico e in-situ 24 horas, en cinco idiomas y con una gestión integrada de todos los procesos e incidencias de tus sistemas IT.
Este documento describe los servicios de continuidad de negocio que una empresa puede ofrecer a sus clientes. Incluye infraestructura física y en la nube para la continuidad, así como servicios gestionados y no gestionados. Los servicios gestionados incluyen opciones activo-activo y de replicación para lograr tiempos mínimos de recuperación, mientras que los no gestionados ofrecen copias de seguridad y recuperación de entornos.
Las soluciones Big Data de Telvent pueden afrontar con éxito el crecimiento exponencial de datos dentro y fuera de su empresa en cualquier aspecto que pueda afectar a su negocio hoy y en el futuro.
Nuestras soluciones de Analítica mediante la minería de datos y algoritmos inteligentes extraen toda la información útil de sus datos de negocio para tomar decisiones más rápidas y efectivas
El documento describe un servicio de protección de la información llamado "Backup on Demand" que ofrece copias de seguridad flexibles y seguras de los datos de una empresa almacenados en centros de datos. El servicio permite realizar copias de seguridad pagando solo por los datos transferidos, usa agentes ilimitados, deduplicación de datos, y políticas de copia de seguridad flexibles. Los datos están alojados y gestionados por expertos en centros de datos certificados en España que cumplen con los requisitos de privacidad de datos.
Telvent Global Services ofrece conectividad redundante y de alta disponibilidad a Internet a través de múltiples proveedores, así como servicios de protección contra ataques DDoS y traducción entre IPv4 e IPv6. Los beneficios incluyen redundancia en la conectividad, rápida implementación, flexibilidad en el ancho de banda, operación experta las 24 horas los 7 días de la semana, y cumplimiento de estándares de calidad y seguridad. Los clientes pueden optar por conectividad no redundante o redundante, así como servicios
Telvent ofrece una amplia gama de servicios relacionados con el diseño, construcción, operación y optimización energética de centros de datos, incluyendo consultoría, integración de soluciones, y outsourcing. Con más de 15 años de experiencia, Telvent opera 5 centros de datos propios en España y Portugal y es líder en la península ibérica. Sus servicios se enfocan en maximizar la disponibilidad, eficiencia energética y sostenibilidad de los centros de datos.
El documento describe un Centro de Operaciones de Seguridad (SOC) que proporciona servicios de seguridad las 24 horas del día los 7 días de la semana para las redes de negocio tecnológicas e industriales de una organización. El SOC ofrece gestión unificada de la seguridad IT y OT a través de la detección en tiempo real de incidentes y prevención de futuros incidentes. El SOC responde rápidamente a los incidentes y puede escalarlos internamente o al equipo de respuesta a incidentes de seguridad.
El documento describe diferentes modalidades de servicios de infraestructura como servicio (IaaS) ofrecidos por Telvent, incluyendo: 1) cloud privado con portal self-service que permite pago por uso; 2) reserva de capacidad de cómputo y almacenamiento; 3) cloud de alto rendimiento con recursos reservados; y 4) cloud privado en plataforma dedicada y gestionada para entornos de gran volumen. También describe opciones de multisite cloud, servicios adicionales e integración con plataformas públicas de cloud.
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
Industrial Control Network Cyber Security continuous monitoring
1. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
Por Enrique Martín Garcia
Schneider Electric – Global Solutions
IT Consulting & Integration Services
C/ Valgrande, 6
28018 Alcobendas
Madrid – Spain
enrique.martingarcia@telvent.com
2. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
23 de Enero de 2014
2
Contenidos
Resumen ....................................................................... 2
Introducción.................................................................. 2
Fundamentos de la monitorización............................ 3
Redes IT versus Redes OT............................. 3
Matriz de conexión......................................... 4
Matriz de actividad......................................... 5
Matriz operacional ......................................... 5
Pruebas sobre la tecnología de monitorización ....... 6
Pruebas sobre la matriz de conexión.............. 6
Pruebas sobre la matriz operacional............... 8
IEC 61850 MMS operación anormal..................... 8
IEC 61850 longitud de cabecera anormal.............. 8
Pruebas sobre la matriz de actividad.............. 9
Conclusiones.............................................................. 10
Agradecimientos ........................................................ 10
Referencias ................................................................. 10
Resumen
Debido al gran crecimiento en sistemas de
control industrial basados en soluciones
comerciales (COTS) conectados por TCP/IP
[1], y a las amenazas asociadas a estos, la
monitorización continua del correcto
funcionamiento de las redes Operacionales
(OT) ha llegado a ser crucial para nuestro
bienestar y forma de vida. Las nuevas
tecnologías de monitorización, como la de
utilización de patrones de comportamiento
en redes de control, pueden ayudarnos a
ejecutar eficazmente estas tareas.
Introducción
Cuando hablamos de seguridad en este tipo
de redes industriales, tenemos que
enfocarnos en la disponibilidad y fiabilidad,
ya que los sistemas de control están
diseñados para trabajar 24x7 en tareas de
misión crítica que pueden ir desde el
transporte de la electricidad, gas y petróleo
que necesitamos, hasta el procesamiento del
agua que bebemos.
Todas estas tareas críticas dependen del
correcto comportamiento de los sistemas de
control industrial. Este comportamiento
puede ser interrumpido por cualquier
operación humana anormal no intencionada
o por una acción maliciosa con intenciones
políticas, económicas o terroristas. En
muchos casos, estos tipos de acciones son
realizadas por usuarios de la organización
[2], los cuales tienen los derechos, recursos
y algunas veces intenciones de interrumpir
las operaciones normales.
Para garantizar el correcto funcionamiento
de estos sistemas, se necesita estar alerta de
cualquier problema que pudiéramos
detectar a través de la monitorización
continua [3].
En este documento, proponemos la
monitorización continua mediante la
construcción de patrones de
comportamiento como método para
3. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
3
conseguir la mayor disponibilidad y seguridad de
nuestros activos.
Fundamentos de la monitorización
Redes IT versus Redes OT
En cualquier red IP en el mundo de las tecnologías
de la información (IT), hay tal variedad de
actividades con tal número de variantes, que se hace
extremadamente complicado el poder establecer
patrones de funcionamiento normales.
Un ejemplo que mostramos a continuación es el
registro de conexiones TCP abiertas al Puerto 80
(HTTP) que se generan después de navegar
solamente por 10 páginas Web:
Las páginas accedidas tienen las siguientes
categorías:
Una página Web personal.
Dos canales nacionales de TV
Dos Bancos Nacionales
Dos Tiendas online internacionales
Dos periódicos
Una Universidad Americana.
En la siguiente figura, podemos ver las conexiones
establecidas tras acceder solamente a 3 páginas.
En Internet hoy en día este comportamiento
es normal, y es producido debido al
diferente uso de servidores Web de
distribución de contenidos (adds, banners,
etc) y otras tecnologías de marketing que
están fuera de nuestro control
El tráfico IT no es solo HTTP, sino también
DNS, SMTP, POP3, IMAP, FTP y otros
servicios nuevos que pueden cambiar
rápidamente las conexiones de red
necesarias para ejecutar las operaciones.
En este escenario, está claro que no
podemos plantearnos tener un patrón de red
estable para poder el correcto
comportamiento operacional (BluePrint)
4. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
4
Cuando comparamos Redes IT con Redes de
Tecnología de Operaciones (OT), encontramos las
siguientes diferencias:
Redes OT Redes IT
Número de dispositivos IP Baja Alta
Servicios ejecutándose Baja Alta
Protocolos utilizados Baja Alta
Exposición internet Baja Alta
Número de amenazas Media Alta
Prioridad de la disponibilidad Alta Baja
Prioridad de la confidencialidad Baja Alta
Prioridad de la integridad Alta Media
Las redes de control industrial son:
Menores en número de dispositivos y
servicios.
No debieran conectarse directamente a
Internet.
Bien definidas y diseñadas
Ejecutan operaciones repetitivas.
En estas condiciones es fácil ver que construir un
patrón de comportamiento normal es posible,
permitiendo de esta manera que cualquier evento
fuera de este modelo pueda ser rápidamente
detectado y comunicado.
Para configurar nuestro sistema de monitorización
industrial basado en patrones de comportamiento,
debiéramos pensar en tres principios fundamentales:
Qué va a donde (Matriz de conexión)
Quién está haciendo qué (Matriz
operacional)
A qué hora ocurre (Matriz de actividad)
Si tenemos un claro conocimiento de estos tres
puntos, podremos tener un sistema de
monitorización basado en patrones que pueda evitar
falsos positivos y proporcionar el mejor
rendimiento.
Este patrón de comportamiento va a proteger
nuestra Red industrial de cualquier operación
errónea o intento de interrupción malicioso.
Veamos esto en los siguientes puntos:
Matriz de conexión.
Cuando hablamos de Redes de control
TCP/IP tenemos que tener en cuenta que la
tupla (local ip, local port, remote ip, remote
port) es lo que define cada conexión
TCP/UDP. Cada dirección IP del servidor
normalmente puede utilizar hasta 65.536
puertos.
Dentro de la pila TCP, estos cuatro campos
son utilizados como claves compuestas para
asociar paquetes a conexiones.
Los puertos son números de 16 bits por lo
que el número máximo de conexiones que
cualquier cliente podrá tener a cualquier
puerto host es de 64.000.
Podemos calcular el máximo número de
conexiones externas en una red TCP,
usando la siguiente formula:
(No consideramos conexiones dentro del
mismo servidor).
Estos valores pueden crecer
exponencialmente en función del número de
servidores interconectados y del número de
puertos abiertos por cada servidor).
5. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
5
Cuando estudiamos el número de puertos abiertos
en una red de control industrial bien configurada,
encontramos los siguientes valores:
Nodo de la red de
control industrial
Puertos
abiertos
Suma de
los otros
Puertos
Conexiones
de red
potenciales
Vijeo Citect Scada
Server 16 101 1616
Vijeo Citect Client 10 107 1070
Network Switch 6 111 666
Unity Pro
Workstation 2 115 230
Radius & Syslog
server 16 101 1616
Historian Server 16 101 1616
Historian Client 9 108 972
WSUS, NTP &
SNMP Server 16 101 1616
Firewall 6 111 666
PLC Modicom
M340 8 109 872
PLC Modicom
Quantum 12 105 1260
Total 12200
Este valor perfectamente acotado en el número de
conexiones de red hace posible pensar en la
generación de un patrón de comportamiento bien
definido y manejable.
Este es otro principio básico de administración de
sistemas y seguridad: Cada sistema de control
industrial o desplegado en un entorno crítico tiene
que estar bastionado al máximo para reducir la
cantidad de recursos necesarios en su gestión y
minimizar los riesgos de intrusiones remotas
Por otro lado, la existencia de tablas de conexiones
correctamente documentadas, facilita el
mantenimiento de la red y mejora la resistencia de
la red en caso de problemas al ser más fácil la
detección de cualquier error en la configuración o
despliegue.
Matriz de actividad
Muchos sistemas de monitorización confían solo en
las operaciones que son permitidas en la red pero no
tienen en cuenta cuando se ejecutan. Este hecho es
importante si usuarios internos ejecutan operaciones
no apropiadas (De manera intencionada o
no intencionada)
Cada Red de control debería tener
procedimientos operacionales aprobados
que los usuarios deberían seguir cuando
realizan un acceso para ejecutar cualquier
operación, y estos procedimientos tendrían
que definir los horarios de cada posible
operación en la red.
Con esta información, deberíamos poder
definir una tabla que reflejase la relación
entre usuarios, procedimientos, acciones y
horarios.
Cualquier actividad fuera de esta tabla
debiera ser detectada, registrada y escalada
como un evento anormal.
Está claro que algunas operaciones como
reconfiguración del PLC o RTU,
actualización de la base de datos del
SCADA o cambios de estados en ejecución
de elementos de campo, tienen que ser bien
conocidas y ejecutarse una ventana de
operaciones definida por el administrador.
Más adelante mostraremos como la
utilización de calendarios facilita el poder
identificar operaciones inusuales o poco
normales en la red de producción y ser
escaladas apropiadamente.
Matriz operacional
Aunque muchos fabricantes de sistemas de
control soportan la existencia de diferentes
roles para el entorno operacional, es un
hecho que los grupos de trabajo muchas
veces usan el mismo usuario y clave para
ejecutar su trabajo, no utilizando algunas
veces estos roles de forma adecuada debido
a la facilidad o al temor de no ser capaces
de entrar en el sistema en situaciones
críticas.
El uso anónimo de los roles operaciones es
difícil de detectar y por tanto y podría hacer
6. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
6
imposible detectar un fallo humano o una
intervención maliciosa.
Más tarde mostraremos como la tecnología de
monitorización basada en patrones de
comportamiento puede utilizarse para detectar
comandos no permitidos ejecutados por usuarios
legítimos.
Pruebas sobre la tecnología de
monitorización
Una vez establecidos los principios y metodología
de monitorización de nuestra red de control, vamos
a presentar nuestras solución y como se comporta
en cada uno de estos aspectos.
La solución utilizada en el Área de Cyber Seguridad
está basada en una tecnología muy disruptiva que
construye el patrón de comportamiento de la red de
manera automática y desatendida.
El patrón de comportamiento construido por la
solución, define los modelos de conexión,
protocolos, tipos de mensaje, campos de mensaje y
valores de los campos que son permitidos en
nuestra red (Lista Blanca). De manera que cuando
una comunicación difiere del patrón, el sistema de
sensores lo reporta indicando la fuente exacta del
problema.
Esta tecnología es conocida como inspección
profunda del comportamiento de los paquetes
(DPBI)
Toda esta tecnología se implanta en un sensor
controlado desde un centro de gestión instalado
como un servidor físico o virtual llamado
SCAB. (Security Control Awareness Box)
Vamos a ver como los principales principios
de monitorización de redes industriales
funcionan en dispositivos de prueba en
nuestro CyberLab.
Pruebas sobre la matriz de conexión
Después de conectar los sensores del SCAB
a la red, podemos empezar la fase de
aprendizaje.
En esta fase, SCAB construye de manera
autónoma nuestro patrón de
comportamiento de red.
7. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
7
El flujo que sigue es mostrado a continuación:
Podemos personalizar el patrón de comportamiento
si es necesario con solo añadir, modificar o borrar
conexiones utilizando un editor de textos.
El sensor es capaz de reconocer e inspeccionar
distintos protocolos:
OPC-DA
MMS
Modbus/TCP
IEC 101/104
ICCP
IEC 61850
RPC/DCOM,
SMB/CIFS
DNP3
HTTP
VNC
RDP
Después de la finalización de la fase de aprendizaje,
tenemos el perfil de la comunicación local de la red
de control.
En este momento SCAB, conoce cada tupla
permitido en la red de control.
Src IP,Src Port -> Dest. IP,Dest Port
Esto es algo difícil de conseguir en una Red
Local multipropósito sin tener varios
cambios (Alertas) por hora.
Desde este instante, podemos ser alertados
por:
Nuevos dispositivos en la red
Dispositivos intentando conectarse a
nuestro modelo
Dispositivos recibiendo información
de fuera de nuestro modelo.
Para conseguir estas alertas, tenemos que
cambiar los sensores del estado de
aprendizaje al estado de detección.
Hicimos un test muy sencillo después de
construir el modelo de red intentando
conectarnos desde 10.1.1.243 al puerto 502
en 10.1.31.10.
Como hay una clara violación del modelo,
obtenemos lo siguiente:
Descendiendo en el árbol de alerta,
podemos ver con mayor detalle la
descripción del perfil de violación de la
comunicación:
8. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
8
Pruebas sobre la matriz operacional
A pesar de que detectar conexiones no permitidas
en una red de control bien definida no parece muy
impresionante, es imprescindible hacerlo de manera
continua.
Esta funcionalidad es bien conocida pero no muy
útil cuando intentamos detectar operaciones
ejecutadas desde dispositivos válidos por usuarios
legítimos. Para la detección de estas acciones,
necesitamos utilizar la tecnología de inspección
profunda de comportamiento de paquetes (DPBI).
Una vez el patrón de red es creado, hay una
colección de conexiones (IP, puertos, destino IP,
puerto destino) protocolos y comandos permitidos.
Pero usando la tecnología DPBI, hay también
valores válidos o rangos de valores permitidos para
cada mensaje del protocolo en el modelo de Red
que SCAB ya ha creado.
Vamos a ver dos casos en un sistema crítico de
control de protocolos de red: IEC 61850 MMS.
IEC 61850 MMS operación anormal.
En este caso, hemos activado el sensor IEC 61850
DPBI en modo de aprendizaje en nuestro SCAB y
hemos ejecutado comandos usuales que no
incluyeron ninguna instrucción de “Borrar Fichero”.
Esto significa, que nuestra matriz operacional no
contiene este comando en el patrón de
comportamiento de la red.
Después de activar el modo de detección, y ejecutar
dichos comandos en la red, las alertas salen y la
acción es almacenada con la tiempo exacto de
ejecución , la IP y la información que podemos ver
en la siguiente figura
recorriendo los mensajes de violación
dentro del árbol, podemos ver el nombre del
fichero que ha sido borrado.
(IED_CONF.dat):
IEC 61850 longitud de cabecera anormal
Utilizando el mismo entorno de prueba
(MMS activado en el motor DPBI), hemos
enviado un mensaje desde la IP 10.1.1.243
con una cabecera de 1026 bytes a nuestro
puerto de simulación RTU en la IP
10.1.31.10.
El efecto de realizar esta acción, hizo que
los dispositivos de campo conectados a la
RTU no tuvieran respuesta (Negación de
servicio)
Una vez ejecutado este comando, el SCAB
detecta la fuente de la operación y la
dirección IP de destino.
9. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
9
Buscando la alerta en la figura, podemos ver el
valor exacto transmitido en la cabecera (1026) que
puede causar un problema potencialmente muy
serio.
En ambos casos los comandos fueron ejecutados
desde direcciones IP legítimas por usuarios
legítimos, y únicamente utilizando esta tecnología
pudieron ser detectados, registrados y comunicados.
Pruebas sobre la matriz de actividad
Las violaciones de los modelos de redes son
siempre detectadas y comunicadas, pero cuando
estas operaciones han sido ejecutadas fuera de los
tiempos de operación normales, tenemos que
tratarlas con mayor importancia.
El escenario más común es detectar las anomalías
en las horas no laborables (Vacaciones)
Como el periodo vacacional puede variar según el
país o la región, las fechas concretas pueden ser
configuradas utilizando las funcionalidades de
“Vacaciones” de manera que fechas independientes
o múltiples pueden ser añadidas a la lista de
vacaciones.
Utilizando los días de vacaciones, se pueden añadir
filtros de alerta y se puede mostrar las alertas
durante los días no laborables para tratarlos
de una manera prioritaria.
Hemos activado esta funcionalidad en esta
prueba definiendo el día de hoy como
festivo, de manera que las alertas fueran
filtradas y mostradas directamente.
Al producir distintas violaciones del modelo
de comportamiento de red, obtenemos el
siguiente resultado:
Todas las alarmas fueron detectadas y
comunicadas utilizando los filtros dado que
ocurrieron en un día no laborable.
10. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
10
Conclusiones
Parece claro que Organizaciones críticas han
entendido la necesidad de monitorizar de manera
continua su red operacional para poder detectar
cualquier anomalía que puede comprometer la
producción y los objetivos de negocio.
Aparte de desplegar los procedimientos apropiados
de seguridad en nuestra organización, nuestra
metodología establece tres fuentes de información
para conseguir la deseada seguridad operacional y
niveles de disponibilidad:
Matriz de conexión
Matriz operacional
Matriz de actividad
Debiera haber una cuarta matriz describiendo el
intercambio de información de los dispositivos de
nuestra red industrial: La Matriz volumétrica.
Cuando se transmiten nuevos ficheros de
configuración, modificamos la base de datos de un
SCADA o modificamos ficheros de configuración
de los dispositivos de campo, utilizamos un rango
de valores bien definidos.
Es posible establecer el máximo y el mínimo de
estos valores en el tamaño de la información que
nuestra red de control está intercambiando entre los
diferentes dispositivos a través de las soluciones
basadas en flujos y en servidor.
Para mantener y gestionar toda esta información,
proponemos la solución SCAB, como una
herramienta útil en las redes SCADA para construir
un patrón comportamiento y detectar cualquier
problema causado por errores humanos o por
intentos malintencionados que puede comprometer
a nuestras redes.
La metodología y solución de sensores continúa
propuesta, permite examinar la configuración actual
de nuestra red y de sus comunicaciones
(dispositivos, aplicaciones, protocolos, tipos/valores
de mensajes), analizar la operatividad de la red,
detectar comunicaciones o cambios en la
configuración inesperados y despliegue de nuevos
dispositivos de campo, haciendo más fácil
mejorar la resiliencia de nuestra red de
control.
Agradecimientos
Me gustaría dar las gracias a DelI España e
Intel España por el soporte proporcionado a
los servidores de nuestro CyberLab.
Referencias
[1] S.M. Bellovin. “Security Problems
in the TCP/IP Protocol Suite”. Computer
Communication Review, Vol. 19, No. 2, pp.
32-48, April 1989.
[2] Suzanne Dawson, Heather Davis,
Richard Lynch and Others. “2013 State of
Cybercrime Survey”. The Software
Engineering Institute CERT Program at
Carnegie Mellon University. pp. 9-12, Jun
2013
[3] Dr. Sandro Etalle, Dr. Cliford
Gregory, Dr. Damiano Bolzoni, Dr.
Emmanuele Zambon, Dr. Daniel
Trivellato,“Monitoring Industrial Control
Systems to improve operations and
security”, Dic 2013.