Taller de redes y plataformas de monitorización con dispositivos industriales conectados a internet
Tiempo de lectura estimado: 10 minutos
Esta conferencia magistral pertenece al Módulo 11 "IoT y Seguridad" de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer las razones de la monitorización de redes industriales, así como herramientas y plataformas de monitorización y realizar un repaso para aprender a diseñar una red segura.
Ciberataques industriales: actualidad
En la actualidad, se produce una gran cantidad de ataques industriales porque la superficie de ataque que tiene un ciberdelincuente es cada vez mayor, ya que vamos conectando más dispositivos OT al mundo IT.
El 90% de las vulnerabilidades que se han ido detectando no han requerido condiciones especiales, es decir, es fácil que se repitan. De hecho, el 71% de las vulnerabilidades son críticas o de alto riesgo, existiendo el riesgo de que se pare la actividad laboral por tiempo indefinido. Así mismo, el 66% de los ataques no han requerido participación humana y el 26% no han tenido solución.
Ciberataques industriales: tendencia
Algunas de las tendencias en este ámbito son las siguientes:
- Uso de detección activa y monitorización continua.
- Ataques más complejos y con objetivos muy concretos.
- Mayor número de herramientas para la explotación de vulnerabilidades y mayor interés de los ciberdelincuentes.
- Aparición de nuevos estándares específicos y cumplimiento legal para el sector industrial.
- Mayor colaboración en las amenazas con entornos OT/IT.
- Sistemas con mayor poder de computación y seguridad integrada.
- Simulacros de ciberataques tanto defensivos como ofensivos (red team y blue team).
Diseño de redes seguras en el mundo OT
Hay varios puntos básicos para el diseño de redes seguras en el mundo OT:
- Defensa en profundidad. Tener varias medidas o capas de control de seguridad por si una falla, previniendo un posible punto de fallo.
- Segmentación de redes. La red industrial, actualmente, no suele estar separada. Con la segmentación se minimiza la superficie de ataque a través de firewalls que unen distintas zonas.
- Elementos de seguridad tecnológicos y normativas. Actualización de parches y sistemas operativos, políticas de seguridad, etc.
- Implementación de diferente tecnología para mejorar la seguridad. Nuevos firewalls, VPN, antivirus, TAPs, whitelisting, etc.
- Control de accesos que nos permita identificar, autenticar y autorizar el nivel de acceso.
- Formación y concienciación. Uno de los factores más olvidados y a tener en cuenta.
Soluciones de seguridad
Monitorización de redes industriales
A día de hoy, hay escasas herramientas para la monitorización industrial y muchas de ellas no cubren todos los protocolos. Sin embargo, debido al número creciente de dispositivos conectados a internet, se van desarrollando más herramientas y se implementan más protocolos. La monitorización puede clasificarse en tres tipos:
- Pasiva. Obtención de información mediante escuchas y toma de muestras en la red. No es nada intrusiva.
- Activa. Obtención de información escaneando/sondeando la red directamente. Es más eficiente y completa.
- Híbrida. Solución mixta de las dos anteriores.
Actualmente, el tipo de monitorización más usado es el pasivo, ya que el activo presenta funcionalidades que afectan a los dispositivos de control.
Herramientas de monitorización
Cuando se habla de entornos convergentes OT/IT basados en Ethernet industrial TCP/IP, una de las técnicas más usadas para la monitorización es la "escucha" del tráfico que circula por la red. Existen varias técnicas para colocar un sniffer con el fin de detectar cualquier anomalía y realizar un análisis. Se puede hacer a través de técnicas o de elementos de red, por ejemplo: envenenamiento de arp, escaneo en modo bridge, utilización de un network tap, colocando un hub, etc.
Hay que analizar cuál es la mejor para cada entorno, pero el más aconsejado es el port mirroring o SPAN y uso de dispositivos "Lan TAP":
- Port mirroring o SPAN es una funcionalidad de ciertos dispositivos de red que permiten enviar una copia de todo el tráfico generado por un puerto y mandarlo a otro para su "escucha" y análisis.
- Lan TAP es un dispositivo pasivo que se conecta como bridge entre el tráfico a analizar, realizando una copia del tráfico para enviarla a otro puerto para su posterior análisis.
Plataformas de monitorización
Una vez vistas las herramientas de monitorización, conviene hacer hincapié en las plataformas, que recogen toda la información y muestran, mediante informes o gráficas, lo que está sucediendo para poder atacar el problema de forma más rápida. Existen diversas plataformas, ya sean open source o propietarias:
- ELK Stack (elastic.co).
- Wazuh (wazuh.com).
- Ossec (ossec.net).
- io.
- Apache Metron (metron.apache.org).
- Security Onion (securityonionsolutions.com).
ELK Stack es la más extendida, ya que está distribuida por capas y permite segmentar y recoger datos de cualquier tipo de fuente y formato.
Entorno orientado a la seguridad
Fundación Cidaut posee un demostrador OT físico orientado a la monitorización de la seguridad industrial que dispone de todos los elementos necesarios para analizar, en tiempo real, el tráfico que circula por su red. A su vez, permite ver los tipos de ataques, tendencias y poder realizar un análisis forense de lo ocurrido.
Conclusión
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en IoT o ver la oferta de másteres desde aquí.
Ponente: Eduardo Sanz Martín
Eduardo es ingeniero informático, experto en Sistemas y Redes con especialización en Cisco, HP Procurve y Microsoft y Máster Profesional en Ciberseguridad Industrial. Tiene más de 20 años de experiencia como administrador y consultor de infraestructuras TIC, con gran conocimiento en redes, almacenamiento, servidores, entornos virtuales y VolP.
¿Cuál es tu reacción?