Debido al gran crecimiento en sistemas de control industrial basados en soluciones comerciales (COTS) conectados por TCP/IP, y a las amenazas asociadas a estos, la monitorización continua del correcto funcionamiento de las redes Operacionales (OT) ha llegado a ser crucial para nuestro bienestar y forma de vida. Las nuevas tecnologías de monitorización, como la de utilización de patrones de comportamiento en redes de control, pueden ayudarnos a ejecutar eficazmente estas tareas y garantizar la Cyber Seguridad de estas infraestructuras.
Industrial Control Network Cyber Security continuous monitoringItconic
Este documento describe el uso de patrones de comportamiento para monitorear continuamente la seguridad en redes de control industrial. Propone tres matrices fundamentales para definir los patrones de comportamiento: la matriz de conexión que define qué dispositivos se conectan entre sí, la matriz de actividad que especifica qué usuarios realizan qué acciones y cuándo, y la matriz operacional que describe los comandos permitidos. El documento luego presenta pruebas sobre cómo la tecnología de monitoreo basada en patrones puede detectar actividades anormales como conexiones no permitidas o com
Este documento trata sobre la implementación de un servidor de gestión y monitoreo de redes SNMP. Explica conceptos básicos como SNMP, el gestor SNMP, el agente SNMP y la MIB. Luego detalla los pasos para instalar y configurar el software de gestión JFFNMS, así como configurar agentes SNMP en diferentes sistemas operativos y dispositivos de red. El objetivo es facilitar la administración de redes mediante el monitoreo y recolección ordenada de información de los nodos de la red.
Proyecto: Monitorización de red con SNMP y MRTGFrancesc Perez
Este documento propone la implementación de un sistema de monitorización de red mediante el protocolo SNMP y el software MRTG. Explica las características y funcionalidades de SNMP y MRTG, y propone un esquema para monitorizar los parámetros de red de varios dispositivos, como routers y switches, empleando estos protocolos y software.
El documento describe el Protocolo Simple de Administración de Red (SNMP), el cual permite a los administradores manipular y diagnosticar problemas en dispositivos de red. SNMP se basa en tres elementos: un supervisor, dispositivos administrados y agentes. Existen tres versiones de SNMP y se usa comúnmente para administrar routers, switches, servidores y hubs.
El documento describe las funciones de un administrador de redes, incluyendo el monitoreo, mantenimiento y control de la red, la detección y resolución de fallas, y el mantenimiento de la seguridad e inventarios. Explica los elementos clave de la administración de redes como agentes, administradores del sistema, protocolos SNMP y MIB. El objetivo principal de un administrador de redes es asegurar la operación continua, eficiente y segura de la red.
Este documento resume los tipos principales de control, control por computadora y control análogo. Explica que el control por computadora permite un procesamiento más sofisticado y preciso que el control análogo, aunque es más caro. También describe los elementos clave de control digital, las ventajas e inconvenientes del control por computadora, y los principales tipos de sistemas de control digital como el control supervisor, control digital directo, control distribuido y sistemas de control supervisor y adquisición de datos. Concluye que a pesar de ser más complejo y costoso, el control por
Exposición sistemas Scada
22 de septiembre de 2009
Diseñada y presentada por:
Angela Marcela Giraldo
Johnny Alexander Salazar
Maria Lorena Echeverry
Automatización y Control de procesos.
Industrial Control Network Cyber Security continuous monitoringItconic
Este documento describe el uso de patrones de comportamiento para monitorear continuamente la seguridad en redes de control industrial. Propone tres matrices fundamentales para definir los patrones de comportamiento: la matriz de conexión que define qué dispositivos se conectan entre sí, la matriz de actividad que especifica qué usuarios realizan qué acciones y cuándo, y la matriz operacional que describe los comandos permitidos. El documento luego presenta pruebas sobre cómo la tecnología de monitoreo basada en patrones puede detectar actividades anormales como conexiones no permitidas o com
Este documento trata sobre la implementación de un servidor de gestión y monitoreo de redes SNMP. Explica conceptos básicos como SNMP, el gestor SNMP, el agente SNMP y la MIB. Luego detalla los pasos para instalar y configurar el software de gestión JFFNMS, así como configurar agentes SNMP en diferentes sistemas operativos y dispositivos de red. El objetivo es facilitar la administración de redes mediante el monitoreo y recolección ordenada de información de los nodos de la red.
Proyecto: Monitorización de red con SNMP y MRTGFrancesc Perez
Este documento propone la implementación de un sistema de monitorización de red mediante el protocolo SNMP y el software MRTG. Explica las características y funcionalidades de SNMP y MRTG, y propone un esquema para monitorizar los parámetros de red de varios dispositivos, como routers y switches, empleando estos protocolos y software.
El documento describe el Protocolo Simple de Administración de Red (SNMP), el cual permite a los administradores manipular y diagnosticar problemas en dispositivos de red. SNMP se basa en tres elementos: un supervisor, dispositivos administrados y agentes. Existen tres versiones de SNMP y se usa comúnmente para administrar routers, switches, servidores y hubs.
El documento describe las funciones de un administrador de redes, incluyendo el monitoreo, mantenimiento y control de la red, la detección y resolución de fallas, y el mantenimiento de la seguridad e inventarios. Explica los elementos clave de la administración de redes como agentes, administradores del sistema, protocolos SNMP y MIB. El objetivo principal de un administrador de redes es asegurar la operación continua, eficiente y segura de la red.
Este documento resume los tipos principales de control, control por computadora y control análogo. Explica que el control por computadora permite un procesamiento más sofisticado y preciso que el control análogo, aunque es más caro. También describe los elementos clave de control digital, las ventajas e inconvenientes del control por computadora, y los principales tipos de sistemas de control digital como el control supervisor, control digital directo, control distribuido y sistemas de control supervisor y adquisición de datos. Concluye que a pesar de ser más complejo y costoso, el control por
Exposición sistemas Scada
22 de septiembre de 2009
Diseñada y presentada por:
Angela Marcela Giraldo
Johnny Alexander Salazar
Maria Lorena Echeverry
Automatización y Control de procesos.
Implementacion de una plataforma de monitoreo en linuxAndres Ldño
El documento describe las plataformas de monitoreo SNMP, MIB y sus componentes. Explica que SNMP (Simple Network Management Protocol) es un protocolo que permite la supervisión y gestión de dispositivos de red. Menciona las versiones SNMPV1, SNMPV2, SNMPV3 y los componentes básicos como dispositivos administrados, agentes y sistemas de gestión de red. También describe los comandos básicos de SNMP como read, write y trap, así como las bases de información MIB1 y MIB2.
1) El documento describe el diseño de un manual de controles de implementación de sistemas de información que establece los controles necesarios en el proceso de implementación tomando en cuenta estándares internacionales como COSO, SAC, ISO 17799 y COBIT. 2) El manual contiene políticas y objetivos de control para cada uno de los procesos de implementación como organización, definición de puestos, capacitación, acceso, conversión de datos, pruebas y auditoría. 3) El propósito del manual es ayudar a las empresas a implementar sistemas de
El documento explica las distintas fases del ciclo de vida de una red telemática, incluyendo la planificación, diseño, implementación, operación, optimización y retiro. También describe los elementos necesarios para implementar una red como switches, cables, tarjetas de red y su configuración. Explica herramientas para la monitorización y gestión de redes como SNMP, Nagios, Cacti y otras métricas.
La carta es una solicitud de auditoría de sistemas de información dirigida al gerente de informática. Explica que la auditoría evaluará los sistemas, procedimientos y equipos de cómputo para determinar si están libres de fraudes sistemáticos de acuerdo con las Normas de Auditoría de Sistemas de Información. También proporcionará un informe separado sobre cualquier debilidad en los controles internos. Solicita la cooperación total del personal durante la auditoría.
El documento presenta una guía sobre la seguridad de la información para las pequeñas y medianas empresas (PYMES). Explica las dimensiones de seguridad y los marcos normativos que deben seguirse, así como estrategias para gestionar la seguridad de la información e implementar controles relacionados con los sistemas y el personal. También cubre la revisión de sistemas y controles para evaluar el cumplimiento de las medidas de seguridad.
Introducción al control industrial asistido por ordenadorDavid Maldonado
El documento introduce el control industrial asistido por computador. Explica que el control digital es más ventajoso que el analógico para procesos industriales complejos, ya que permite mantener constantes las señales de control y monitorear variables en tiempo real. También permite lograr mayor rendimiento, calidad y seguridad en la producción. Sin embargo, requiere desarrollar precisos modelos matemáticos del proceso y algoritmos para minimizar errores. Luego, describe los componentes clave del control distribuido asistido por computador, incluyendo mon
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
El documento describe las vulnerabilidades y amenazas a los sistemas de información, incluyendo hackers, virus, errores, y desastres. También discute los controles y medidas de seguridad necesarios para proteger los sistemas y datos, como antivirus, encriptación, respaldos, y auditorías.
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadelvis castro diaz
El documento describe los principios fundamentales de seguridad de la información, que son la confidencialidad, integridad y disponibilidad. Explica que la confidencialidad se refiere a que la información es accesible solo para quienes están autorizados, la integridad se refiere a salvaguardar la exactitud y completitud de la información, y la disponibilidad se refiere a asegurar que los usuarios autorizados tengan acceso a la información cuando la requieran. Además, presenta varios mecanismos y herramientas de segur
Este documento describe diferentes tipos de monitorización invasiva y no invasiva de pacientes. La monitorización no invasiva incluye oximetría de pulso, electrocardiograma continuo y medición de la presión arterial. La monitorización invasiva permite medir presiones intracardiacas, gasto cardíaco y tomar muestras de gases venosos a través de un catéter Swan-Ganz. También se detallan drogas vasoactivas y sedantes usados comúnmente durante la monitorización invasiva.
El documento presenta los criterios de admisión a unidades de cuidados intensivos (UCI) en tres modelos: priorización, por diagnósticos y parámetros objetivos. El modelo de priorización clasifica a los pacientes en cuatro niveles, siendo los de prioridad I y II los que más se benefician del ingreso a UCI. El modelo por diagnósticos lista condiciones médicas específicas. Ambos modelos buscan identificar pacientes cuya admisión a UCI puede mejorar los resultados, distinguiéndolos de aquellos demasiado estables
Este documento describe los diferentes tipos de monitoreo invasivo y no invasivo de pacientes durante la anestesia. Explica que el monitoreo permite obtener información continua sobre variables fisiológicas y clínicas para evaluar el estado del paciente. Luego describe los diferentes tipos de monitoreo como la presión arterial, electrocardiografía, oximetría, capnografía y monitoreo de la temperatura, función renal y sistema nervioso central. El objetivo es vigilar funciones vitales como la circulación, respiración y metabolismo durante el procedimiento
13.conociendo los ventiladores de ultima generacion lobitoferoz13unlobitoferoz
Este documento resume los ventiladores de última generación y sus características. Explica la capnografía volumétrica, la medición de la presión esofágica y el trabajo respiratorio. También describe nuevos modos ventilatorios como ASV y NAVA, el cual utiliza la señal de EMG del diafragma para ajustar la asistencia respiratoria de forma proporcional a la demanda neurológica del paciente.
Este documento describe varios sistemas de puntuación de gravedad utilizados en unidades de cuidados intensivos (UCI) como APACHE II, SAPS II, MPMII y SOFA. Explica que APACHE II es uno de los sistemas más utilizados actualmente y se basa en doce variables fisiológicas, la edad y la salud crónica del paciente. También describe brevemente otros sistemas como SAPS II, MPMII y SOFA, que evalúan la disfunción de diferentes órganos.
El documento resume los tipos y clasificaciones de ventiladores mecánicos, desde los primeros intentos de imitar la ventilación espontánea hasta los avances en microprocesadores. Describe los modos de ventilación mecánica convencionales como la ventilación controlada, asistida y SIMV, así como indicaciones para su uso. Finalmente, explica conceptos como PEEP, CPAP y sus efectos fisiológicos.
El documento proporciona instrucciones para el armado y desarmado de diferentes tipos de ventiladores mecánicos, incluyendo Vela, Versamed, Servo y Puritan Bennet. Detalla los pasos para la preparación, desinfección y limpieza de las piezas, así como su montaje correcto para garantizar su funcionamiento seguro y evitar infecciones.
1. La enfermera intensivista debe tener una sólida formación en enfermería y cuidados intensivos, así como experiencia clínica.
2. Sus funciones incluyen realizar diagnósticos, planes de atención, monitoreo del paciente crítico y manejo de equipos médicos avanzados.
3. Además de conocimientos técnicos, se requiere equilibrio emocional, buenas habilidades de comunicación y trabajo en equipo para hacer frente al estrés de la unidad de cuidados intensivos.
24. nuevas escalas y scores en uci lobitoferoz13unlobitoferoz
Este documento describe varias escalas y scores utilizados en la Unidad de Cuidados Intensivos para medir y evaluar diferentes aspectos del paciente crítico como el dolor, nivel de sedación, agitación, riesgo de úlceras por presión, carga laboral, gravedad y pronóstico. Algunas de las escalas mencionadas son EVA, RAMSAY, RASS, CAM-ICU, Norton modificada, Braden, TISS, NEMS y APACHE II.
Este documento describe los diferentes tipos de monitoreo invasivo y no invasivo del paciente durante la anestesia. Explica que la monitorización permite obtener información continua sobre variables fisiológicas y clínicas para evaluar el estado del paciente. Detalla los diferentes tipos de monitoreo como la oximetría de pulso, la capnografía, la electrocardiografía, la presión arterial invasiva y no invasiva, y cómo cada uno proporciona información sobre la oxigenación, ventilación, circulación y otros parámetros vitales del
Este documento describe la historia y el funcionamiento de la monitorización invasiva y no invasiva de los pacientes, incluyendo la oximetría de pulso, el tensiómetro y el capnógrafo. Explica cómo estos dispositivos monitorean funciones vitales como la saturación de oxígeno, la presión arterial y los niveles de dióxido de carbono para garantizar la seguridad del paciente durante procedimientos anestésicos y quirúrgicos.
Monitoreo hemodinámico no invasivo e invasivo - CICAT-SALUDCICAT SALUD
El documento describe el monitoreo cardiovascular. Explica que el monitoreo cardiovascular incluye la medición de la presión arterial, el monitoreo cardiaco a través del electrocardiograma, y la oximetría de pulso. Además, describe técnicas invasivas como el monitoreo de la presión venosa central a través de un catéter venoso central. El objetivo del monitoreo cardiovascular es detectar de manera temprana cualquier alteración fisiológica que pueda empeorar el cuadro del paciente.
El documento habla sobre la monitorización del paciente durante procedimientos anestésicos. Describe los diferentes tipos de monitoreo como monitoreo hemodinámico, respiratorio, del sistema nervioso y otros parámetros. Explica los métodos invasivos y no invasivos de monitoreo como electrocardiograma, oximetría, capnografía, presión arterial y monitoreo funcional neuromuscular. Resalta la importancia de la observación clínica del paciente y del uso adecuado de estos métodos para una anestesia segura.
Este documento trata sobre el monitoreo del paciente crítico en la unidad de cuidados intensivos. Explica que el monitoreo mide y registra variables para determinar la naturaleza de un problema médico, sus causas y la respuesta al tratamiento. Luego describe varios métodos de monitoreo como la oximetría de pulso, la capnografía, el electrocardiograma y el catéter de Swan-Ganz para medir parámetros hemodinámicos. El objetivo del monitoreo es guiar el diagnóstico y tratamiento de pacientes
Implementacion de una plataforma de monitoreo en linuxAndres Ldño
El documento describe las plataformas de monitoreo SNMP, MIB y sus componentes. Explica que SNMP (Simple Network Management Protocol) es un protocolo que permite la supervisión y gestión de dispositivos de red. Menciona las versiones SNMPV1, SNMPV2, SNMPV3 y los componentes básicos como dispositivos administrados, agentes y sistemas de gestión de red. También describe los comandos básicos de SNMP como read, write y trap, así como las bases de información MIB1 y MIB2.
1) El documento describe el diseño de un manual de controles de implementación de sistemas de información que establece los controles necesarios en el proceso de implementación tomando en cuenta estándares internacionales como COSO, SAC, ISO 17799 y COBIT. 2) El manual contiene políticas y objetivos de control para cada uno de los procesos de implementación como organización, definición de puestos, capacitación, acceso, conversión de datos, pruebas y auditoría. 3) El propósito del manual es ayudar a las empresas a implementar sistemas de
El documento explica las distintas fases del ciclo de vida de una red telemática, incluyendo la planificación, diseño, implementación, operación, optimización y retiro. También describe los elementos necesarios para implementar una red como switches, cables, tarjetas de red y su configuración. Explica herramientas para la monitorización y gestión de redes como SNMP, Nagios, Cacti y otras métricas.
La carta es una solicitud de auditoría de sistemas de información dirigida al gerente de informática. Explica que la auditoría evaluará los sistemas, procedimientos y equipos de cómputo para determinar si están libres de fraudes sistemáticos de acuerdo con las Normas de Auditoría de Sistemas de Información. También proporcionará un informe separado sobre cualquier debilidad en los controles internos. Solicita la cooperación total del personal durante la auditoría.
El documento presenta una guía sobre la seguridad de la información para las pequeñas y medianas empresas (PYMES). Explica las dimensiones de seguridad y los marcos normativos que deben seguirse, así como estrategias para gestionar la seguridad de la información e implementar controles relacionados con los sistemas y el personal. También cubre la revisión de sistemas y controles para evaluar el cumplimiento de las medidas de seguridad.
Introducción al control industrial asistido por ordenadorDavid Maldonado
El documento introduce el control industrial asistido por computador. Explica que el control digital es más ventajoso que el analógico para procesos industriales complejos, ya que permite mantener constantes las señales de control y monitorear variables en tiempo real. También permite lograr mayor rendimiento, calidad y seguridad en la producción. Sin embargo, requiere desarrollar precisos modelos matemáticos del proceso y algoritmos para minimizar errores. Luego, describe los componentes clave del control distribuido asistido por computador, incluyendo mon
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
El documento describe las vulnerabilidades y amenazas a los sistemas de información, incluyendo hackers, virus, errores, y desastres. También discute los controles y medidas de seguridad necesarios para proteger los sistemas y datos, como antivirus, encriptación, respaldos, y auditorías.
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadelvis castro diaz
El documento describe los principios fundamentales de seguridad de la información, que son la confidencialidad, integridad y disponibilidad. Explica que la confidencialidad se refiere a que la información es accesible solo para quienes están autorizados, la integridad se refiere a salvaguardar la exactitud y completitud de la información, y la disponibilidad se refiere a asegurar que los usuarios autorizados tengan acceso a la información cuando la requieran. Además, presenta varios mecanismos y herramientas de segur
Este documento describe diferentes tipos de monitorización invasiva y no invasiva de pacientes. La monitorización no invasiva incluye oximetría de pulso, electrocardiograma continuo y medición de la presión arterial. La monitorización invasiva permite medir presiones intracardiacas, gasto cardíaco y tomar muestras de gases venosos a través de un catéter Swan-Ganz. También se detallan drogas vasoactivas y sedantes usados comúnmente durante la monitorización invasiva.
El documento presenta los criterios de admisión a unidades de cuidados intensivos (UCI) en tres modelos: priorización, por diagnósticos y parámetros objetivos. El modelo de priorización clasifica a los pacientes en cuatro niveles, siendo los de prioridad I y II los que más se benefician del ingreso a UCI. El modelo por diagnósticos lista condiciones médicas específicas. Ambos modelos buscan identificar pacientes cuya admisión a UCI puede mejorar los resultados, distinguiéndolos de aquellos demasiado estables
Este documento describe los diferentes tipos de monitoreo invasivo y no invasivo de pacientes durante la anestesia. Explica que el monitoreo permite obtener información continua sobre variables fisiológicas y clínicas para evaluar el estado del paciente. Luego describe los diferentes tipos de monitoreo como la presión arterial, electrocardiografía, oximetría, capnografía y monitoreo de la temperatura, función renal y sistema nervioso central. El objetivo es vigilar funciones vitales como la circulación, respiración y metabolismo durante el procedimiento
13.conociendo los ventiladores de ultima generacion lobitoferoz13unlobitoferoz
Este documento resume los ventiladores de última generación y sus características. Explica la capnografía volumétrica, la medición de la presión esofágica y el trabajo respiratorio. También describe nuevos modos ventilatorios como ASV y NAVA, el cual utiliza la señal de EMG del diafragma para ajustar la asistencia respiratoria de forma proporcional a la demanda neurológica del paciente.
Este documento describe varios sistemas de puntuación de gravedad utilizados en unidades de cuidados intensivos (UCI) como APACHE II, SAPS II, MPMII y SOFA. Explica que APACHE II es uno de los sistemas más utilizados actualmente y se basa en doce variables fisiológicas, la edad y la salud crónica del paciente. También describe brevemente otros sistemas como SAPS II, MPMII y SOFA, que evalúan la disfunción de diferentes órganos.
El documento resume los tipos y clasificaciones de ventiladores mecánicos, desde los primeros intentos de imitar la ventilación espontánea hasta los avances en microprocesadores. Describe los modos de ventilación mecánica convencionales como la ventilación controlada, asistida y SIMV, así como indicaciones para su uso. Finalmente, explica conceptos como PEEP, CPAP y sus efectos fisiológicos.
El documento proporciona instrucciones para el armado y desarmado de diferentes tipos de ventiladores mecánicos, incluyendo Vela, Versamed, Servo y Puritan Bennet. Detalla los pasos para la preparación, desinfección y limpieza de las piezas, así como su montaje correcto para garantizar su funcionamiento seguro y evitar infecciones.
1. La enfermera intensivista debe tener una sólida formación en enfermería y cuidados intensivos, así como experiencia clínica.
2. Sus funciones incluyen realizar diagnósticos, planes de atención, monitoreo del paciente crítico y manejo de equipos médicos avanzados.
3. Además de conocimientos técnicos, se requiere equilibrio emocional, buenas habilidades de comunicación y trabajo en equipo para hacer frente al estrés de la unidad de cuidados intensivos.
24. nuevas escalas y scores en uci lobitoferoz13unlobitoferoz
Este documento describe varias escalas y scores utilizados en la Unidad de Cuidados Intensivos para medir y evaluar diferentes aspectos del paciente crítico como el dolor, nivel de sedación, agitación, riesgo de úlceras por presión, carga laboral, gravedad y pronóstico. Algunas de las escalas mencionadas son EVA, RAMSAY, RASS, CAM-ICU, Norton modificada, Braden, TISS, NEMS y APACHE II.
Este documento describe los diferentes tipos de monitoreo invasivo y no invasivo del paciente durante la anestesia. Explica que la monitorización permite obtener información continua sobre variables fisiológicas y clínicas para evaluar el estado del paciente. Detalla los diferentes tipos de monitoreo como la oximetría de pulso, la capnografía, la electrocardiografía, la presión arterial invasiva y no invasiva, y cómo cada uno proporciona información sobre la oxigenación, ventilación, circulación y otros parámetros vitales del
Este documento describe la historia y el funcionamiento de la monitorización invasiva y no invasiva de los pacientes, incluyendo la oximetría de pulso, el tensiómetro y el capnógrafo. Explica cómo estos dispositivos monitorean funciones vitales como la saturación de oxígeno, la presión arterial y los niveles de dióxido de carbono para garantizar la seguridad del paciente durante procedimientos anestésicos y quirúrgicos.
Monitoreo hemodinámico no invasivo e invasivo - CICAT-SALUDCICAT SALUD
El documento describe el monitoreo cardiovascular. Explica que el monitoreo cardiovascular incluye la medición de la presión arterial, el monitoreo cardiaco a través del electrocardiograma, y la oximetría de pulso. Además, describe técnicas invasivas como el monitoreo de la presión venosa central a través de un catéter venoso central. El objetivo del monitoreo cardiovascular es detectar de manera temprana cualquier alteración fisiológica que pueda empeorar el cuadro del paciente.
El documento habla sobre la monitorización del paciente durante procedimientos anestésicos. Describe los diferentes tipos de monitoreo como monitoreo hemodinámico, respiratorio, del sistema nervioso y otros parámetros. Explica los métodos invasivos y no invasivos de monitoreo como electrocardiograma, oximetría, capnografía, presión arterial y monitoreo funcional neuromuscular. Resalta la importancia de la observación clínica del paciente y del uso adecuado de estos métodos para una anestesia segura.
Este documento trata sobre el monitoreo del paciente crítico en la unidad de cuidados intensivos. Explica que el monitoreo mide y registra variables para determinar la naturaleza de un problema médico, sus causas y la respuesta al tratamiento. Luego describe varios métodos de monitoreo como la oximetría de pulso, la capnografía, el electrocardiograma y el catéter de Swan-Ganz para medir parámetros hemodinámicos. El objetivo del monitoreo es guiar el diagnóstico y tratamiento de pacientes
El incluir nuevas herramientas como son las escalas permitirá mejorar el cuidado del paciente, valorar la distribución enfermero/paciente permitiendo hacer reevaluación y retroalimentación de la información generada.
Este documento describe la organización y equipamiento de una unidad de cuidados intensivos. Explica que la UCI debe ubicarse en un área protegida con acceso las 24 horas a otros servicios clínicos. Describe las áreas principales de la UCI, incluyendo los cubículos de pacientes, estación de enfermería y áreas de apoyo. También detalla el equipamiento requerido por cubículo de paciente y en la UCI en general. Finalmente, resume los cuidados generales y específicos que debe brindar el personal de enfermería a los pac
El monitor de signos vitales se utiliza para registrar de forma exacta y continua la presión arterial y otras constantes fisiológicas de pacientes. Permite evaluar en todo momento las condiciones del paciente para tomar decisiones de diagnóstico y tratamiento. Se emplea principalmente en unidades de cuidados intensivos con pacientes críticos, con arritmias, hipertensión u otros problemas.
Each month, join us as we highlight and discuss hot topics ranging from the future of higher education to wearable technology, best productivity hacks and secrets to hiring top talent. Upload your SlideShares, and share your expertise with the world!
Not sure what to share on SlideShare?
SlideShares that inform, inspire and educate attract the most views. Beyond that, ideas for what you can upload are limitless. We’ve selected a few popular examples to get your creative juices flowing.
SlideShare is a global platform for sharing presentations, infographics, videos and documents. It has over 18 million pieces of professional content uploaded by experts like Eric Schmidt and Guy Kawasaki. The document provides tips for setting up an account on SlideShare, uploading content, optimizing it for searchability, and sharing it on social media to build an audience and reputation as a subject matter expert.
Las plataformas de gestión de red más utilizadas son OpenView de HP, SunNet de Sun Microsystems e IBM NetView. OpenView es el líder del mercado con más del 40% de cuota. OpenView consta de tres módulos principales: Network Node Manager para descubrir la topología de red y manejar alarmas, Operations Center como interfaz de usuario, y Admin Center para gestionar configuraciones.
El documento presenta una serie de preguntas relacionadas con la seguridad de redes y sistemas. Se pide al lector que complete su plan de seguridad respondiendo las preguntas e incluyendo procedimientos y herramientas de seguridad. Las preguntas cubren temas como vulnerabilidades comunes, uso de herramientas de administración de red, controles de acceso y verificación de la integridad del sistema.
Este documento describe varios aspectos relacionados con la auditoría de sistemas y redes de computadoras. Explica que una auditoría permite evaluar el estado del mantenimiento de equipos y la efectividad de los procesos, identificando áreas de mejora. También describe los objetivos y participantes clave de una auditoría de base de datos, así como los instrumentos utilizados para evaluar aspectos como la seguridad física, lógica y de comunicaciones de una red.
El documento presenta las respuestas de Carlos Andrés Pérez Cabrales a una serie de preguntas sobre ataques y vulnerabilidades comunes en sistemas de red, así como herramientas para la detección y prevención de dichos ataques. Carlos recomienda actualizar constantemente los procedimientos de seguridad y monitorear las redes para detectar amenazas. Además, propone diversas herramientas como TCP-Wrapper, Netlog, Tiger y Tripwire para controlar el acceso y verificar la integridad del sistema.
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
El documento habla sobre la importancia de establecer controles de seguridad en sistemas de redes y sistemas multiusuario de una empresa. Explica que se deben tomar medidas específicas para proteger, resguardar y regular el uso de programas, archivos e información compartida. También menciona la necesidad de adaptarse a los cambios tecnológicos para garantizar la seguridad en el funcionamiento de las redes y sistemas de una empresa.
El documento trata sobre el análisis y monitoreo de redes. Explica que el monitoreo de redes es importante para detectar problemas y evitar fallas. Describe los protocolos SNMP que permiten la supervisión, administración y comunicación de la información de estado entre dispositivos de red. También habla sobre bitácoras, analizadores de protocolos, planificadores y el análisis del tráfico y desempeño de la red.
El documento describe los protocolos SNMP y SNMPv3 que se usan para administrar y monitorear dispositivos de red. También habla sobre el uso de bitácoras, analizadores de protocolos y planificadores para supervisar el desempeño y tráfico de una red. Finalmente, explica que los administradores de red analizan logs y tráfico para evaluar el rendimiento y seguridad de la red.
La gestión de redes tiene como objetivo garantizar un nivel de servicio en los recursos gestionados con el mínimo coste. Requiere herramientas automatizadas para la monitorización del tráfico, la calidad de servicio, la detección y resolución de problemas en redes de diferentes tamaños y tecnologías. El protocolo SNMP es fundamental para la gestión remota a través de estaciones de gestión, agentes y una base de información compartida.
Este documento describe las cinco etapas del modelo FCAPS (Fault Management, Configuration, Accounting, Performance, Security) para la administración de redes. Explica cada etapa del modelo incluyendo la gestión de fallos, configuración, contabilidad, desempeño y seguridad. El documento también detalla la metodología utilizada para aplicar este modelo en un centro de cómputo para recopilar información sobre la administración de redes.
Este documento contiene recomendaciones para presentar la Actividad 3 y preguntas sobre vulnerabilidades en sistemas de red, algoritmos P-C, y herramientas de seguridad. Se recomienda enviar el trabajo con encabezado específico e incluir una sección con herramientas de control de acceso y otra con herramientas para verificar la integridad del sistema.
Este documento discute la importancia de la organización de las redes de comunicaciones de computadoras y describe el modelo OSI de 7 capas. También describe tres tipos de fallas de seguridad en las redes y varios modelos de referencia como TCP/IP. Explica la necesidad de firewalls y políticas de seguridad, así como herramientas para probar la seguridad de red como SAFEsuite y COPS.
Se describen los sistemas SCADA desde un punto de vista comercial, repasando su estructura interna y el desarrollo de aplicaciones SCADA, así como también se menciona lo que se espera comercialmente de un paquete de sistemas SCADA.
Este documento describe los sistemas SCADA, que son sistemas de supervisión y control remoto utilizados para monitorear y controlar procesos industriales de manera remota. Los sistemas SCADA recopilan datos de campo a través de unidades terminales remotas y los transmiten a una unidad terminal maestra para su procesamiento y visualización. Esto permite a los operadores monitorear y controlar procesos de manera remota de forma eficiente.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
ASPECTOS CONCEPTUALES DE LA COMUNICACIÓN Y MONITORIZACIÓN REMOTA DE REDESacpicegudomonagas
La relación o interacción de un proceso con otro, es posible a través del uso de redes, convirtiéndose en mecanismos que facilitan la comunicación de los sistemas, cubriendo aspectos fundamentales a nivel industrial al ofrecer el intercambio de datos entre un proceso y otro, ofreciendo cualidades al control industrial apoyados en la automatización de muchos procesos.
La administración de redes implica (1) mantener una red operativa, eficiente, segura y monitoreada mediante la planeación, documentación y control continuo, (2) monitorear elementos como el rendimiento, configuración, fallas y seguridad para garantizar el funcionamiento adecuado de la red, y (3) los administradores de redes son responsables de configurar, diagnosticar y atender las necesidades de los usuarios de la red.
La gestión de red trata sobre planificar, organizar, supervisar y controlar elementos de comunicaciones para garantizar un nivel adecuado de servicio al menor coste posible. Se ha pasado de soluciones propietarias cerradas a sistemas de gestión abiertos basados en estándares para gestionar redes heterogéneas. La monitorización recoge información de la red, el control regula activamente el tráfico, y la gestión integra ambos mediante redes avanzadas y la red de gestión de telecomunicaciones.
Este documento discute la aplicabilidad de la gestión y seguridad de las redes de comunicación industrial. Explica las ventajas y desventajas de enlazar sistemas industriales, así como las tendencias y mejores prácticas en seguridad industrial. También identifica problemas comunes de seguridad en las comunicaciones y establece las prioridades clave de seguridad como disponibilidad, integridad y confidencialidad. Finalmente, analiza arquitecturas y marcos comunes para la seguridad de redes industriales.
El documento describe los elementos y procesos clave de la gestión de redes. Explica que la gestión de redes monitorea y controla el tráfico de red, la calidad de servicio, y la detección y resolución de errores. Los elementos clave incluyen agentes en cada nodo, gestores que supervisan los dispositivos, y los propios dispositivos. Los procesos clave son el monitoreo permanente del comportamiento de la red y el control para mejorar el desempeño a través de la implementación de políticas de calidad de servicio.
Similar a Monitorización continua de seguridad en redes de control industrial utilizando patrones de comportamiento (20)
Critical Infrastructure Protection against targeted attacks on cyber-physical...Enrique Martin
This White Paper looks the higher impact (and therefore riskier) attacks on cyber-physical systems in critical infrastructure control networks and propose protection by making some changes on organizations structures and procedures and new technologies of intrusion detection based on analysis behavior of control protocols and correlation of operational events.
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Enrique Martin
Esta nota técnica analiza los ciberataques físicos de mayor impacto (y por tanto de mayor riesgo) sobre las redes de control de infraestructuras críticas y propone la protección de las mismas mediante cambios organizativos y de procedimiento en los Operadores de Infraestructuras Críticas, y en el uso de nuevas tecnologías de detección de intrusión basadas en el análisis de comportamiento de protocolos industriales y la correlación de eventos operacionales.
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADAEnrique Martin
Este documento describe una campaña de ciberespionaje llamada Dragonfly dirigida a empresas de energía. Los hackers de Dragonfly infectaron computadoras a través de correos electrónicos maliciosos, sitios web comprometidos y software descargado de proveedores. Usaron malware para robar información confidencial y escanear redes en busca de sistemas de control industrial. La solución de seguridad SCAB puede detectar este malware monitoreando el comportamiento anormal de la red y comunicaciones con servidores de comando y control.
Critical Infrastructure Protection through Network Behavior ManagementEnrique Martin
Security level for all infrastructures that bring essential services to society must be reviewed and supervised in a continuous way.
This supervision must be based on indicators able of offering objectives and sustainable values through time, due the robust and lasting design this infrastructures should had.
In this paper we will focus on the first set of indicators to define and manage, all related with the right Industrial Control Network behavior for these infrastructures.
Industrial Control System Network Cyber Security Monitoring Solution (SCAB)Enrique Martin
In this document we propose the ICS Network blueprinting as the method to get the highest availability and security awareness for our critical control assets. (SCADA, PLC, RTU, IED, etc)
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Monitorización continua de seguridad en redes de control industrial utilizando patrones de comportamiento
1. Monitorización continua de seguridad en redes de control industrial utilizando patrones de comportamiento
Por Enrique Martín Garcia
Schneider Electric – Global Solutions
IT Consulting & Integration Services
C/ Valgrande, 6
28018 Alcobendas
Madrid – Spain
enrique.martingarcia@telvent.com
2. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
23 de Enero de 2014
2
Contenidos
Resumen ....................................................................... 2
Introducción .................................................................. 2
Fundamentos de la monitorización ............................ 3
Redes IT versus Redes OT ............................. 3
Matriz de conexión. ........................................ 4
Matriz de actividad ......................................... 5
Matriz operacional ......................................... 5
Pruebas sobre la tecnología de monitorización ....... 6
Pruebas sobre la matriz de conexión .............. 6
Pruebas sobre la matriz operacional ............... 8
IEC 61850 MMS operación anormal. .................... 8
IEC 61850 longitud de cabecera anormal .............. 8
Pruebas sobre la matriz de actividad .............. 9
Conclusiones .............................................................. 10
Agradecimientos ........................................................ 10
Referencias ................................................................. 10
Resumen
Debido al gran crecimiento en sistemas de control industrial basados en soluciones comerciales (COTS) conectados por TCP/IP [1], y a las amenazas asociadas a estos, la monitorización continua del correcto funcionamiento de las redes Operacionales (OT) ha llegado a ser crucial para nuestro bienestar y forma de vida. Las nuevas tecnologías de monitorización, como la de utilización de patrones de comportamiento en redes de control, pueden ayudarnos a ejecutar eficazmente estas tareas.
Introducción
Cuando hablamos de seguridad en este tipo de redes industriales, tenemos que enfocarnos en la disponibilidad y fiabilidad, ya que los sistemas de control están diseñados para trabajar 24x7 en tareas de misión crítica que pueden ir desde el transporte de la electricidad, gas y petróleo que necesitamos, hasta el procesamiento del agua que bebemos.
Todas estas tareas críticas dependen del correcto comportamiento de los sistemas de control industrial. Este comportamiento puede ser interrumpido por cualquier operación humana anormal no intencionada o por una acción maliciosa con intenciones políticas, económicas o terroristas. En muchos casos, estos tipos de acciones son realizadas por usuarios de la organización [2], los cuales tienen los derechos, recursos y algunas veces intenciones de interrumpir las operaciones normales.
Para garantizar el correcto funcionamiento de estos sistemas, se necesita estar alerta de cualquier problema que pudiéramos detectar a través de la monitorización continua [3].
3. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
3
En este documento, proponemos la monitorización continua mediante la construcción de patrones de comportamiento como método para conseguir la mayor disponibilidad y seguridad de nuestros activos.
Fundamentos de la monitorización
Redes IT versus Redes OT
En cualquier red IP en el mundo de las tecnologías de la información (IT), hay tal variedad de actividades con tal número de variantes, que se hace extremadamente complicado el poder establecer patrones de funcionamiento normales.
Un ejemplo que mostramos a continuación es el registro de conexiones TCP abiertas al Puerto 80 (HTTP) que se generan después de navegar solamente por 10 páginas Web:
Las páginas accedidas tienen las siguientes categorías:
Una página Web personal.
Dos canales nacionales de TV
Dos Bancos Nacionales
Dos Tiendas online internacionales
Dos periódicos
Una Universidad Americana.
En la siguiente figura, podemos ver las conexiones establecidas tras acceder solamente a 3 páginas.
En Internet hoy en día este comportamiento es normal, y es producido debido al diferente uso de servidores Web de distribución de contenidos (adds, banners, etc) y otras tecnologías de marketing que están fuera de nuestro control
El tráfico IT no es solo HTTP, sino también
DNS, SMTP, POP3, IMAP, FTP y otros servicios nuevos que pueden cambiar rápidamente las conexiones de red necesarias para ejecutar las operaciones.
En este escenario, está claro que no podemos plantearnos tener un patrón de red estable para poder el correcto comportamiento operacional (BluePrint)
4. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
4
Cuando comparamos Redes IT con Redes de Tecnología de Operaciones (OT), encontramos las siguientes diferencias:
Redes OT
Redes IT
Número de dispositivos IP
Baja
Alta
Servicios ejecutándose
Baja
Alta
Protocolos utilizados
Baja
Alta
Exposición internet
Baja
Alta
Número de amenazas
Media
Alta
Prioridad de la disponibilidad
Alta
Baja
Prioridad de la confidencialidad
Baja
Alta
Prioridad de la integridad
Alta
Media
Las redes de control industrial son:
Menores en número de dispositivos y servicios.
No debieran conectarse directamente a Internet.
Bien definidas y diseñadas
Ejecutan operaciones repetitivas.
En estas condiciones es fácil ver que construir un patrón de comportamiento normal es posible, permitiendo de esta manera que cualquier evento fuera de este modelo pueda ser rápidamente detectado y comunicado.
Para configurar nuestro sistema de monitorización industrial basado en patrones de comportamiento, debiéramos pensar en tres principios fundamentales:
Qué va a donde (Matriz de conexión)
Quién está haciendo qué (Matriz operacional)
A qué hora ocurre (Matriz de actividad)
Si tenemos un claro conocimiento de estos tres puntos, podremos tener un sistema de monitorización basado en patrones que pueda evitar falsos positivos y proporcionar el mejor rendimiento.
Este patrón de comportamiento va a proteger nuestra Red industrial de cualquier operación errónea o intento de interrupción malicioso.
Veamos esto en los siguientes puntos:
Matriz de conexión.
Cuando hablamos de Redes de control TCP/IP tenemos que tener en cuenta que la tupla (local ip, local port, remote ip, remote port) es lo que define cada conexión TCP/UDP. Cada dirección IP del servidor normalmente puede utilizar hasta 65.536 puertos.
Dentro de la pila TCP, estos cuatro campos son utilizados como claves compuestas para asociar paquetes a conexiones.
Los puertos son números de 16 bits por lo que el número máximo de conexiones que cualquier cliente podrá tener a cualquier puerto host es de 64.000.
Podemos calcular el máximo número de conexiones externas en una red TCP, usando la siguiente formula:
Σ Σ
(No consideramos conexiones dentro del mismo servidor).
Estos valores pueden crecer exponencialmente en función del número de servidores interconectados y del número de puertos abiertos por cada servidor).
Cuando estudiamos el número de puertos abiertos en una red de control industrial bien configurada, encontramos los siguientes valores:
5. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
5
Nodo de la red de control industrial Puertos abiertos Suma de los otros Puertos Conexiones de red potenciales
Vijeo Citect Scada Server
16
101
1616
Vijeo Citect Client
10
107
1070
Network Switch
6
111
666
Unity Pro Workstation
2
115
230
Radius & Syslog server
16
101
1616
Historian Server
16
101
1616
Historian Client
9
108
972
WSUS, NTP & SNMP Server
16
101
1616
Firewall
6
111
666
PLC Modicom M340
8
109
872
PLC Modicom Quantum
12
105
1260
Total
12200
Este valor perfectamente acotado en el número de conexiones de red hace posible pensar en la generación de un patrón de comportamiento bien definido y manejable.
Este es otro principio básico de administración de sistemas y seguridad: Cada sistema de control industrial o desplegado en un entorno crítico tiene que estar bastionado al máximo para reducir la cantidad de recursos necesarios en su gestión y minimizar los riesgos de intrusiones remotas
Por otro lado, la existencia de tablas de conexiones correctamente documentadas, facilita el mantenimiento de la red y mejora la resistencia de la red en caso de problemas al ser más fácil la detección de cualquier error en la configuración o despliegue.
Matriz de actividad
Muchos sistemas de monitorización confían solo en las operaciones que son permitidas en la red pero no tienen en cuenta cuando se ejecutan. Este hecho es importante si usuarios internos ejecutan operaciones no apropiadas (De manera intencionada o no intencionada)
Cada Red de control debería tener procedimientos operacionales aprobados que los usuarios deberían seguir cuando realizan un acceso para ejecutar cualquier operación, y estos procedimientos tendrían que definir los horarios de cada posible operación en la red.
Con esta información, deberíamos poder definir una tabla que reflejase la relación entre usuarios, procedimientos, acciones y horarios.
Cualquier actividad fuera de esta tabla debiera ser detectada, registrada y escalada como un evento anormal.
Está claro que algunas operaciones como reconfiguración del PLC o RTU, actualización de la base de datos del SCADA o cambios de estados en ejecución de elementos de campo, tienen que ser bien conocidas y ejecutarse una ventana de operaciones definida por el administrador.
Más adelante mostraremos como la utilización de calendarios facilita el poder identificar operaciones inusuales o poco normales en la red de producción y ser escaladas apropiadamente.
Matriz operacional
Aunque muchos fabricantes de sistemas de control soportan la existencia de diferentes roles para el entorno operacional, es un hecho que los grupos de trabajo muchas veces usan el mismo usuario y clave para ejecutar su trabajo, no utilizando algunas veces estos roles de forma adecuada debido a la facilidad o al temor de no ser capaces de entrar en el sistema en situaciones críticas.
6. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
6
El uso anónimo de los roles operaciones es difícil de detectar y por tanto y podría hacer imposible detectar un fallo humano o una intervención maliciosa.
Más tarde mostraremos como la tecnología de monitorización basada en patrones de comportamiento puede utilizarse para detectar comandos no permitidos ejecutados por usuarios legítimos.
Pruebas sobre la tecnología de monitorización
Una vez establecidos los principios y metodología de monitorización de nuestra red de control, vamos a presentar nuestras solución y como se comporta en cada uno de estos aspectos.
La solución utilizada en el Área de Cyber Seguridad está basada en una tecnología muy disruptiva que construye el patrón de comportamiento de la red de manera automática y desatendida.
El patrón de comportamiento construido por la solución, define los modelos de conexión, protocolos, tipos de mensaje, campos de mensaje y valores de los campos que son permitidos en nuestra red (Lista Blanca). De manera que cuando una comunicación difiere del patrón, el sistema de sensores lo reporta indicando la fuente exacta del problema.
Esta tecnología es conocida como inspección profunda del comportamiento de los paquetes (DPBI)
Toda esta tecnología se implanta en un sensor controlado desde un centro de gestión instalado como un servidor físico o virtual llamado SCAB. (Security Control Awareness Box)
Vamos a ver como los principales principios de monitorización de redes industriales funcionan en dispositivos de prueba en nuestro CyberLab.
Pruebas sobre la matriz de conexión
Después de conectar los sensores del SCAB a la red, podemos empezar la fase de aprendizaje.
En esta fase, SCAB construye de manera autónoma nuestro patrón de comportamiento de red.
7. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
7
El flujo que sigue es mostrado a continuación:
Podemos personalizar el patrón de comportamiento si es necesario con solo añadir, modificar o borrar conexiones utilizando un editor de textos.
El sensor es capaz de reconocer e inspeccionar distintos protocolos:
OPC-DA
MMS
Modbus/TCP
IEC 101/104
ICCP
IEC 61850
RPC/DCOM,
SMB/CIFS
DNP3
HTTP
VNC
RDP
Después de la finalización de la fase de aprendizaje, tenemos el perfil de la comunicación local de la red de control.
En este momento SCAB, conoce cada tupla permitido en la red de control.
Src IP,Src Port -> Dest. IP,Dest Port
Esto es algo difícil de conseguir en una Red Local multipropósito sin tener varios cambios (Alertas) por hora.
Desde este instante, podemos ser alertados por:
Nuevos dispositivos en la red
Dispositivos intentando conectarse a nuestro modelo
Dispositivos recibiendo información de fuera de nuestro modelo.
Para conseguir estas alertas, tenemos que cambiar los sensores del estado de aprendizaje al estado de detección.
Hicimos un test muy sencillo después de construir el modelo de red intentando conectarnos desde 10.1.1.243 al puerto 502 en 10.1.31.10.
Como hay una clara violación del modelo, obtenemos lo siguiente:
8. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
8
Descendiendo en el árbol de alerta, podemos ver con mayor detalle la descripción del perfil de violación de la comunicación:
Pruebas sobre la matriz operacional
A pesar de que detectar conexiones no permitidas en una red de control bien definida no parece muy impresionante, es imprescindible hacerlo de manera continua.
Esta funcionalidad es bien conocida pero no muy útil cuando intentamos detectar operaciones ejecutadas desde dispositivos válidos por usuarios legítimos. Para la detección de estas acciones, necesitamos utilizar la tecnología de inspección profunda de comportamiento de paquetes (DPBI).
Una vez el patrón de red es creado, hay una colección de conexiones (IP, puertos, destino IP, puerto destino) protocolos y comandos permitidos.
Pero usando la tecnología DPBI, hay también valores válidos o rangos de valores permitidos para cada mensaje del protocolo en el modelo de Red que SCAB ya ha creado.
Vamos a ver dos casos en un sistema crítico de control de protocolos de red: IEC 61850 MMS.
IEC 61850 MMS operación anormal.
En este caso, hemos activado el sensor IEC 61850 DPBI en modo de aprendizaje en nuestro SCAB y hemos ejecutado comandos usuales que no incluyeron ninguna instrucción de “Borrar Fichero”.
Esto significa, que nuestra matriz operacional no contiene este comando en el patrón de comportamiento de la red.
Después de activar el modo de detección, y ejecutar dichos comandos en la red, las alertas salen y la acción es almacenada con la tiempo exacto de ejecución , la IP y la información que podemos ver en la siguiente figura
recorriendo los mensajes de violación dentro del árbol, podemos ver el nombre del fichero que ha sido borrado. (IED_CONF.dat):
IEC 61850 longitud de cabecera anormal
Utilizando el mismo entorno de prueba (MMS activado en el motor DPBI), hemos enviado un mensaje desde la IP 10.1.1.243 con una cabecera de 1026 bytes a nuestro puerto de simulación RTU en la IP 10.1.31.10.
El efecto de realizar esta acción, hizo que los dispositivos de campo conectados a la
9. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
9
RTU no tuvieran respuesta (Negación de servicio)
Una vez ejecutado este comando, el SCAB detecta la fuente de la operación y la dirección IP de destino.
Buscando la alerta en la figura, podemos ver el valor exacto transmitido en la cabecera (1026) que puede causar un problema potencialmente muy serio.
En ambos casos los comandos fueron ejecutados desde direcciones IP legítimas por usuarios legítimos, y únicamente utilizando esta tecnología pudieron ser detectados, registrados y comunicados.
Pruebas sobre la matriz de actividad
Las violaciones de los modelos de redes son siempre detectadas y comunicadas, pero cuando estas operaciones han sido ejecutadas fuera de los tiempos de operación normales, tenemos que tratarlas con mayor importancia.
El escenario más común es detectar las anomalías en las horas no laborables (Vacaciones)
Como el periodo vacacional puede variar según el país o la región, las fechas concretas pueden ser configuradas utilizando las funcionalidades de “Vacaciones” de manera que fechas independientes o múltiples pueden ser añadidas a la lista de vacaciones.
Utilizando los días de vacaciones, se pueden añadir filtros de alerta y se puede mostrar las alertas durante los días no laborables para tratarlos de una manera prioritaria.
Hemos activado esta funcionalidad en esta prueba definiendo el día de hoy como festivo, de manera que las alertas fueran filtradas y mostradas directamente.
Al producir distintas violaciones del modelo de comportamiento de red, obtenemos el siguiente resultado:
Todas las alarmas fueron detectadas y comunicadas utilizando los filtros dado que ocurrieron en un día no laborable.
10. Monitorización continua de seguridad en redes de control
industrial utilizando patrones de comportamiento
10
Conclusiones
Parece claro que Organizaciones críticas han entendido la necesidad de monitorizar de manera continua su red operacional para poder detectar cualquier anomalía que puede comprometer la producción y los objetivos de negocio.
Aparte de desplegar los procedimientos apropiados de seguridad en nuestra organización, nuestra metodología establece tres fuentes de información para conseguir la deseada seguridad operacional y niveles de disponibilidad:
Matriz de conexión
Matriz operacional
Matriz de actividad
Debiera haber una cuarta matriz describiendo el intercambio de información de los dispositivos de nuestra red industrial: La Matriz volumétrica.
Cuando se transmiten nuevos ficheros de configuración, modificamos la base de datos de un SCADA o modificamos ficheros de configuración de los dispositivos de campo, utilizamos un rango de valores bien definidos.
Es posible establecer el máximo y el mínimo de estos valores en el tamaño de la información que nuestra red de control está intercambiando entre los diferentes dispositivos a través de las soluciones basadas en flujos y en servidor.
Para mantener y gestionar toda esta información, proponemos la solución SCAB, como una herramienta útil en las redes SCADA para construir un patrón comportamiento y detectar cualquier problema causado por errores humanos o por intentos malintencionados que puede comprometer a nuestras redes.
La metodología y solución de sensores continúa propuesta, permite examinar la configuración actual de nuestra red y de sus comunicaciones (dispositivos, aplicaciones, protocolos, tipos/valores de mensajes), analizar la operatividad de la red, detectar comunicaciones o cambios en la configuración inesperados y despliegue de nuevos dispositivos de campo, haciendo más fácil mejorar la resiliencia de nuestra red de control.
Agradecimientos
Me gustaría dar las gracias a DelI España e Intel España por el soporte proporcionado a los servidores de nuestro CyberLab y a Security Matters por sus puntualizaciones técnicas.
Referencias
[1] S.M. Bellovin. “Security Problems in the TCP/IP Protocol Suite”. Computer Communication Review, Vol. 19, No. 2, pp. 32-48, April 1989.
[2] Suzanne Dawson, Heather Davis, Richard Lynch and Others. “2013 State of Cybercrime Survey”. The Software Engineering Institute CERT Program at Carnegie Mellon University. pp. 9-12, Jun 2013
[3] Dr. Sandro Etalle, Dr. Cliford Gregory, Dr. Damiano Bolzoni, Dr. Emmanuele Zambon, Dr. Daniel Trivellato,“Monitoring Industrial Control Systems to improve operations and security”, Dic 2013.