La tecnología operativa y la tecnología de la información se están fusionando. Los sistemas OT han vivido durante años completamente aislados y ahora deben estar conectados a redes corporativas o a Internet. La falta de medidas de seguridad en estos entornos significa que tendremos que lidiar con los mismos problemas que los profesionales de TI experimentados resolvieron hace 20 años.
La tecnología OT está profundamente conectada con el entorno físico donde pueden ocurrir daños graves. Como un apagón nacional, corte de energía, entrega de petróleo o gas, o algo más simple como semáforos en una ciudad ocupada bajo el control de un invasor. Ninguno de estos escenarios es imposible y ya nos estamos enfrentando a estas situaciones.
La mayoría de los ataques OT comienzan en la TI tradicional
El entorno de OT es muy frágil y es casi imposible implementar herramientas de seguridad o monitoreo invasivas, como sistemas de prevención de intrusiones o antivirus.
Por lo tanto, las medidas de seguridad suelen limitarse a firewalls implementados en el perímetro del entorno OT, dejando todo el tráfico interno como un punto ciego.
Resolver este problema es simple. Puede insertar alguna tecnología de seguridad en el puerto SPAN (espejo) y usarla de forma no invasiva, lo que significa monitoreo y detección. Esta es la razón por la cual las sondas de Flowmon se utilizan cada vez más en el entorno OT, ya que ofrecen una vista consolidada de toda la infraestructura y habilitan el sistema de detección de anomalías en toda la organización. La principal ventaja sobre las herramientas de seguridad SCADA especializadas es su aplicabilidad general y su capacidad para reconocer un ataque antes de que llegue al entorno OT.
La mayoría de los ataques de OT comienzan en la TI tradicional y se revelan en indicadores de compromiso detectables mediante un enfoque de análisis del comportamiento de la red. El monitoreo complejo es crucial para la detección temprana y la remediación antes de que el ataque llegue al entorno OT.
Del análisis del ataque "BlackEnergy" que golpeó la red eléctrica de Ucrania operada por NES@FIT (Grupo de Investigación de Redes y Sistemas Distribuidos), está claro que pasos como la campaña de phishing, la explotación, el robo de credenciales de VPN y el descubrimiento de la red se llevaron a cabo antes. el ataque principal. Todas estas etapas son observables desde una perspectiva de monitoreo de red y análisis de comportamiento.
Para obtener beneficios reales de la supervisión de la red y la detección de anomalías en el entorno de OT, se requiere visibilidad del protocolo central de OT. Esto a menudo está más allá del alcance de las herramientas comunes de monitoreo de flujo y datos que ofrecen los enrutadores o conmutadores. Tomemos como ejemplo el protocolo IEC 104 utilizado para controlar la red de distribución de energía. Los datos de flujo extendido pueden proporcionar información valiosa sobre los protocolos de aplicación, incluidas las especificaciones de OT. La visibilidad completa a nivel de aplicación es técnicamente posible debido a la ausencia de cifrado.
Los datos de flujo tradicionales utilizados para proporcionar una vista agregada del tráfico en el entorno OT son insuficientes para comprender los patrones de tráfico, los comandos o incluso reconocer la actividad maliciosa. Los informes por paquete a nivel de encabezado le permiten reconocer patrones en secuencias de paquetes, desafortunadamente sin manera de analizar e interpretar los datos. Agregar metadatos a nivel de aplicación brinda un equilibrio entre el nivel de detalle y la información disponible para un análisis posterior. La última opción son los datos del paquete completo; esto trae muchos desafíos para el rendimiento, la retención de datos, el procesamiento y el análisis en general.
Flowmon para aumentar la visibilidad y la seguridad en el entorno OT
Flowmon ADS (sistema de detección de anomalías) proporciona visibilidad de los protocolos OT como IEC 104, IEC 61850 Goose e IEC 61850 MMS, DLMS y el protocolo IoT CoAP. Complete el siguiente formulario y lo ayudaremos a ampliar el alcance de los protocolos admitidos y las nuevas técnicas de detección de anomalías para mejorar la visibilidad y la seguridad en su entorno OT.
Fuente: Flowmon
Comuníquese con TI internacional para obtener más detalles o para ejecutar una prueba de la solución Flowmon en su entorno.
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral y Help Desk.
