“La estrategia de «defensa en profundidad» (DiD) ha sido tomada del ejército, pero en el contexto de la seguridad de una red de comunicaciones de datos, significa desplegar una arquitectura de ciberseguridad enriquecida con múltiples soluciones redundantes “
“Las empresas despliegan cada vez más pasarelas WAN reforzadas que pueden hacer algo más que proporcionar capacidad de módem y conversión de protocolos para las RTU, switches y otras infraestructura.”
La transformación digital continuada es esencial para lograr la sostenibilidad medioambiental y los objetivos operativos. Con el acceso y las interacciones con los activos digitales en niveles sin precedentes, los propietarios de infraestructuras estratégicas están invirtiendo en mejorar la resilencia de sus redes de datos. Además, con más dispositivos instalados en el Edge de la red que utilizan conectividad LTE pública, es necesario de una seguridad de red integral que abarque todos los dispositivos, toda la red, la nube y todos los sistemas conectados.
Protegiendo las infraestructuras
Las ciberamenazas actuales crecen rápidamente tanto en escala como en sofisticación. El aumento de los ciberataques a empresas compañías eléctricas y de agua han intensificado la necesidad de adoptar un nuevo enfoque seguridad de red. Las empresas deben estar mejor conectadas para cumplir sus objetivos estratégicos, pero eso requiere un nuevo enfoque de la seguridad de la red que garantice la protección a todos los niveles.
Defensa en profundidad
La estrategia de «defensa en profundidad» (DiD) se ha tomado prestada del ejército, pero en el contexto de la seguridad de datos y comunicaciones, significa desplegar una arquitectura de ciberseguridad enriquecida con múltiples soluciones redundantes. Esencialmente, DiD requiere que una organización utilice varios métodos independientes para lograr capas de protección. Si se traspasa una línea de defensa, las capas adicionales frustrarán el ataque y contendrán el daño, para permitir reanudar las operaciones normales lo antes posible y mantener la continuidad del negocio.
Por ejemplo, los cortafuegos permitirán supervisar y controlar el tráfico entrante y saliente de la red, basándose en políticas de seguridad establecidas. Los datos que fluyen por la red pueden ser cifrados, de modo que si un atacante consigue ir más allá del cortafuegos, sea incapaz de utilizar esos datos. Un sistema de prevención de intrusiones proporcionará protección antivirus en tiempo real, detección, alertas y análisis. Una estrategia eficaz de DiD integra normas del sector, protocolos ciberseguridad y las mejores prácticas.
Las organizaciones pueden seguir normas como la IEC-62443 y segmentar la red en subredes más pequeñas y diferenciadas, lo que permite aplicar controles de seguridad únicos a cada a cada subred. Deben establecerse políticas para garantizar contraseñas seguras, autenticación multifactor y controles para proporcionar acceso sólo a las redes sistemas y archivos necesarios para tareas asignadas.
También debe haber una buena gestión de parches para solucionar las vulnerabilidades detectadas, y garantizar que las actualizaciones se aplican a los sistemas operativos, software y hardware.
DiD también significa reconocer y priorizar el punto más débil de la red, normalmente los activos remotos. Pensemos en una pequeña estación de bombeo de agua son una limitada seguridad física. Si el intruso puede saltarse la seguridad física, no hay nada que le impida conectarse a la red y ponerse a trabajar.
Es esencial comprender las amenazas a las que nos enfrentamos y donde las ciberdefensas pueden mitigar el riesgo. Los atacantes suelen evitar centros de operaciones de red de red (NOC), físicamente de más difícil acceso, y en su lugar intentan secuestrar los activos remotos. Pueden intentar suplantar su identidad y modificar los routers que conectan terminales remotos (RTU) y otros sistemas remotos a la red de área y, a continuación, al NOC.
Autodefensa para activos remotos
Al adoptar un enfoque DiD cada parte de la red, desde los clientes RTU hasta el SCADA maestro, incluidos los dispositivos conectados, deben ser capaz de defenderse y autoaislarse en caso de ataque. Para lograrlo, las empresas despliegan cada vez más pasarelas WAN reforzadas que hacer algo más que proporcionar módem y conversión de protocolos para RTU, conmutadores y otras infraestructuras mecánicas. Estos dispositivos ofrecen seguridad a nivel de hardware y avanzadas capacidades de monitorización para supervisar, desplegar y defender cada dispositivo conectado.
Por ejemplo, los routers celulares industriales de Westermo ofrecen arranque seguro a prueba de manipulaciones, impidiendo que el dispositivo funcione a menos que pueda validar la firma digital del sistema operativo del router. Un chip basado en microcontrolador mantiene las claves criptográficas separadas del sistema de archivos.
En caso de robo, esto impide que las sean extraídas. Una plataforma de confianza también identifica el dispositivo a la red y admite motores criptográficos. Un sistema de alerta temprana de anomalías podría indicar un que ataque está ocurriendo, como picos en la actividad CPU o cargas de tráfico de red.
El cifrado de extremo a extremo provee otra capa a la estrategia de defensa en profundidad. Pasarelas WAN reforzadas admiten algoritmos como Seguridad en capa de Transporte (TLS – IEC32351-3 que encripta el tráfico de red tráfico de red desde la pasarela remoto hasta el maestro SCADA en el el NOC. La red privada virtual de seguridad IP VPN (IPsec VPN) puede proprcionar seguridad adicional a través de la red amplia para el tráfico sensible.
Dado que el error humano suele ser la causa de una vulnerabilidad, la disponibilidad de un despliegue sin intervención permite la gestión de miles de dispositivos, con verificación automatizada de activos que proporciona seguridad a escala.
Autenticación de puertos
Otro control de ciberseguridad que debe aplicado al nivel del edge de la red es la autenticación de puertos 802.1x autenticación de puertos en los switches. El protocolo 802.1x monta guardia en los puertos del edge, esperando un intento de conexión en un puerto físico. Al detectar que un puerto se activa, el conmutador emite un desafío 802.1x al dispositivo de conexión. El puerto del Edge sólo podrá reenviar paquetes a la red después de que el dispositivo haya verificado sus credenciales. Si no presenta las credenciales correctas hará que el puerto rechace la entrada de datos a la red.
Seguridad adicional de las redes celulares privadas
Para iniciativas como Smart Grid, que exigen más visibilidad y control, el uso de redes LTE privadas como alternativa a las redes comerciales también puede ayudar a capa de seguridad. Con LTE privada los datos se transportan a través de una red dedicada, que suele utilizar las bandas de 450 MHz o 410 MHz, que ofrecen mejor penetración y alcance en comparación con las frecuencias más altas de las redes LTE comerciales.
Otra ventaja clave es que la red privada LTE mantiene toda la información sensible en la WAN interna, en lugar de utilizar infraestructura comercial que los ciberatacantes suelen atacar. El uso de bandas LTE normalmente inaccesibles al público, garantiza que la información sensible se mantiene separada del dominio público y proporciona un nivel adicional de defensa que derrotará a los ciber atacantes más decididos.