El camino que llevamos recorrido en el mundo de los sistemas de control industrial es largo ya. Hemos pasado por la historia que han tenido, el contexto en el que se encuentran y los riesgos a los que están expuestos debido a los avances en la tecnología sobre todo. Como ya hemos ido viendo, han sido, son y serán muchos los beneficios que ha traído la tecnología a la industria, pero también muchas han sido, son y serán las amenazas a los que los ha expuesto. Por ello, es necesario recopilar una información concreta que será clave a la hora de proteger y prevenir los daños.
Sistema de logs | Entradas del log del sistema | Log de aplicación | Mensajes de log de aplicación |
Errores/warning de sistema | Monitorización de rendimiento y estado | Estado del agente | |
Accesos válidos e inválidos al sistema | Tiempo actividad del sistema | ||
Entradas del log del firewall | Uso de cpu, disco y memoria | ||
Accesos válidos e inválidos al perímetro | Tráfico de entrada y salida | ||
Excepciones de paquetes en el firewall | Monitorización de eventos de sistema | Inicios y terminaciones inesperadas de procesos | |
Anomalías en paquetes de IDS (sistema de detección de intrusos) | Conexiones y desconexiones inesperadas de sockets | ||
Anomalías en el flujo de tráfico de IDS | Modificaciones inesperadas de registros | ||
Syslog general | Modificaciones inesperadas de archivos o programas | ||
Configuración de sistema | Hardware | Cambios en dispositivos extraíbles | |
Interfaces | Cambios o errores en los cambios de contraseñas | ||
Ajustes del sistema | Políticas de logeo de sistema | Monitorización de listas blancas | Intentos de ejecución no autorizados |
Políticas de contraseñas de sistema | Actividad de cambios en las listas blancas | ||
Reglas del firewall | Gestión de listas blancas | Inventario de listas blancas | |
Puertos y servicios permitidos o usados | Ajustes de políticas de cambio | ||
Software y parches | Fecha de inventarios de software | Cuentas locales | ID de cuentas |
Fecha de instalación de parches | Tipos de cuenta, edad |
Es una gran cantidad de información la que hay que guardar para después auditar y comprobar que todo está seguro. Para que esta gestión sea adecuada, es conveniente monitorizar, gestionar y proteger ciertas funciones de la empresa. Es recomendable monitorizar:
- Registro de eventos, correlación y archivo
- Vista unificada única
- Tableros de interfaz de usuario personalizables
- Arquitectura escalable
Además de lo anterior, gestionar:
- Integridad del archivo
- Monitorización de tráfico de red
- Proceso crítico y monitorización del servicio
- Reportar suscripciones
- Identificación de cambio de cuenta de usuario
- Archivo de archivo de configuración del dispositivo
- Red y sistema de salud y rendimiento
- Mantener la política de configuración central
- Recopilar e informar sobre ajustes, cuentas y configuraciones
- Analizar los cambios en la base de activos y el entorno
- Administrar el perímetro de seguridad electrónico reforzado
- Gestión de cambio de configuración
- Aplicar políticas de aplicaciones de nivel de host
Y proteger también:
- Prevenir aplicaciones maliciosas / malware
- Bloquear aplicaciones no autorizadas
- Hacer cumplir las políticas de cambio de confianza
Es una tarea que no solo no es fácil, sino que además es una tarea de vital importancia para la supervivencia de las empresas. Por ello, hay empresas que se han especializado en estos temas. INCIBE y el CCI (Centro de ciberseguridad industrial) son dos de las organizaciones que ofrecen su ayuda para que las empresas se protejan contra los ciberataques. El CCI en concreto ofrece una guía para la construcción de un sistema de gestión ciberseguridad industrial.
Ciertamente, es aliviador saber que finalmente, le están dando la importancia que se merece la seguridad de la industria.
Referencias:
Siem Industrial defender. Visitado el 21 de noviembre de 2017. http://www04.abb.com/global/dkabb/dkabb504.nsf/0/41f890a019314da9c1257afa002f2e65/$file/Sikkerhedsoverv%C3%A5gning+i+kontrolsystemer+-+Industrial+Defender.pdf
Instituto nacional de ciberseguridad de España. Visitado el 21 de noviembre de 2017. https://www.incibe.es/
Centro de ciberseguridad industrial. Visitado el 22 de noviembre de 2017. https://www.cci-es.org/web/cci/detalle-actividad/-/journal_content/56/10694/218112
Guía para la construcción de un SGCI (Sistema de Gestión de la Ciberseguridad Industrial). Visitado el 23 de noviembre de 2017. http://services.codeeta.com/widget/v3/65971
G V M
Latest posts by G V M (see all)
- Un día más… - 22 enero, 2018
- Hablando de emociones de una forma racional - 20 diciembre, 2017
- IIoT ¿Es el futuro? - 30 noviembre, 2017
Bien, quizás mis expectativas van más orientadas hacia los controles específicos a considerar, incluso su alineación con ISO27000…. en vez de listados de informaciones a considerar.