Novedades del Servicio de Alerta Temprana para Sistemas de Control Industrial del CCN-CERT

  • Servicio brindado a los ICS operativos en infraestructuras del Sector Público.
  • El portal del SAT es el lugar en el que el personal responsable de la ciberseguridad de los ICS del Organismo adscrito puede visualizar en tiempo real los eventos generados por su sonda y que han sido enviados al sistema central. Además, permite acceder a la herramienta LUCIA para la gestión de los incidentes que hayan sido detectados por la sonda y comunicados al Organismo.
  • Cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país (en coordinación con el CNPIC), que dependan para su operación de tecnologías ICS, puede adherirse a este servicio.

El CCN-CERT, capacidad de respuesta a incidentes del Centro Criptológico Nacional, ha incorporado importantes novedades en el portal del Servicio de Alerta Temprana para Sistemas de Control Industrial, SAT-ICS. Entre otras, se incluye un nuevo apartado donde se puede visualizar de forma sencilla un mapa de los activos monitorizados.

Este mapa de activos representa una fotografía diaria de las redes monitorizadas para cada organismo adscrito al SAT-ICS, donde se muestra de forma gráfica información sobre las redes, los activos y comunicaciones tanto legítimas como sospechosas.

La información para la representación del mapa de activos se obtiene mediante el análisis y la interpretación pasiva del tráfico de la red monitorizada, identificando en los casos en los que sea posible el rol de cada activo, marca, modelo, fabricante y versiones del firmware o del sistema operativo y los protocolos de comunicación utilizados entre los distintos activos. Así, para el despliegue de las nuevas capacidades del sistema SAT-ICS, no es necesario realizar ninguna acción adicional sobre las redes de la organización ni establecer comunicación de ningún tipo entre las sondas SAT-ICS y las redes monitorizadas; al tratarse de una solución pasiva, esta monitorización no interfiere con el funcionamiento normal del entorno ICS.

Con estas nuevas capacidades se persigue facilitar la interpretación y el análisis de los distintos incidentes de seguridad que pudiesen surgir en los organismos adscritos, así como mejorar la información disponible sobre las redes monitorizadas, proporcionando conocimiento sobre puertos y protocolos utilizados en las comunicaciones y características de los activos como la marcas, modelo, rol o versión del sistema operativo.

CCN-CERT (06/02/2019)

 

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT