Abrir sesión
logo

DEFENSA FRONTE ÁS CIBERAMEAZAS

barra-separadora

 

SAT-ICS

Detección temprana de amenazas en Sistemas de Control Industrial

El SAT-ICS es un servicio desarrollado e implantado por el CCN-CERT para la detección en tiempo real de las amenazas e incidentes existentes en el tráfico en las redes de control y supervisión industrial del Organismo adscrito. A él puede adherirse cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país que dependan para su operación de tecnologías ICS.

No obstante, hasta hace relativamente poco, dentro de la categoría de sistemas de control industrial solo encajaban los sistemas más tradicionales: sistemas encargados del control de las plantas industriales y sus componentes típicos: actuadores, instrumentación, PLC, remotas, software SCADA, etc. La convergencia tecnológica que estamos viviendo en los últimos años ha provocado la aparición de todo un nuevo conjunto de dispositivos y sistemas que podemos denominar ciberfísicos: se trata de todo el equipamiento con capacidad de procesamiento y conectividad que, además, permite una interacción con el mundo físico. En la actualidad, y como resultado del proceso de integración de estas nuevas tecnologías, en este grupo podemos incluir nuevos entornos. Algunos ejemplos son:

  • Infraestructuras del ciclo integral del agua (captación, tratamiento (ETAP y EDAM), almacenamiento, distribución, saneamiento y depuración (EDAR))
  • Operadores de transporte y logísticos (autoridades portuarias, aeroportuarias, transporte terrestre, almacenes automatizados o grandes logísticas)
  • Infraestructuras energéticas (generación, transporte, distribución eléctrica, plantas de regasificación y almacenamientos de hidrocarburos)
  • Infraestructuras de tratamiento de residuos
  • Sistemas de radiodifusión
  • Manufactura
  • Centros sanitarios
  • Institutos y centros de investigación
  • Componentes de Smart Cities (sistemas de gestión de alumbrado público, control de tráfico, etc.)
  • Sistemas de gestión de edificios (BMS)

La misión de este sistema es detectar patrones de distintos tipos de ataque y amenazas mediante el análisis del tráfico de red, incluyendo el tráfico en protocolos industriales gracias a capacidades de DPI (Deep Packet Inspection).

SAT-ICS se basa en el análisis del tráfico de red de las redes de comunicación de estos sistemas, con el objetivo de detectar en tiempo real multitud de tipos de ataques, evitando su expansión, respondiendo de forma rápida ante el incidente detectado y, de forma general, generar normas de actuación que eviten futuros incidentes.

Esquema SAT-ICS

Detección temprana de amenazas:

  • Detección basada en reglas IDS. Actualización de reglas de forma diaria.
  • Detección basada en comportamiento. Análisis del comportamiento habitual en la red.
  • Inspección profunda de los protocolos industriales:

    Protocolos industriales

(*) El listado de protocolos se actualiza según necesidad. Existe la posibilidad de implementar el análisis de protocolos específicos desarrollados a medida para un Organismo.

Mapa de activos:

  • Apoyo a la gestión de las redes mediante la realización pasiva de un mapa de activos y la identificación del flujo de comunicaciones entre los mismos, hacia/desde otras redes o Internet.
  • Inventariado de activos implicados en la monitorización.

    Activos

Informes y estadísticas de incidentes:

Los usuarios pueden acceder en tiempo real a información relevante de los eventos generados por la sonda de su organismo, a informes periódicos y a la información de los incidentes de seguridad notificados a través de un portal accesible en Internet. Cada Organismo puede ver exclusivamente los eventos e informes relacionados con su red monitorizada.

Despliegue del SAT-ICS:

Para su puesta en marcha es necesaria la instalación de una sonda individual en la red del Organismo, así como las configuraciones necesarias en la electrónica de red para enviar hacia la sonda el tráfico a analizar. La sonda es totalmente pasiva y no interfiere en ningún caso en el proceso.

  • La conexión entre la sonda y el sistema central se realiza siempre de forma segura, a través del establecimiento de un túnel cifrado. Esta conexión puede realizarse a través de salida a Internet del Organismo adscrito o a través de una salida dedicada. El establecimiento de este túnel cifrado se inicia desde la sonda hacia el sistema central, no siendo necesaria ninguna infraestructura adicional por parte del organismo para el establecimiento de túneles cifrados.
  • La sonda se gestiona completamente desde el CCN-CERT, no siendo necesaria la realización de tareas de administración por parte del personal del Organismo. Eventualmente se solicitaría apoyo al Organismo en el caso que fuera necesaria la realización de tareas puntuales que no pudieran realizarse de manera remota.
  • De forma general, la sonda vigilará las redes que el Organismo añada a la monitorización. Con los eventos recibidos se realiza una correlación avanzada de eventos en el sistema central, permitiendo la detección de ataques hacia los distintos organismos adscritos al sistema o la presencia de código dañino en estas redes.
  • La gestión, actualización y mantenimiento del sistema central está a cargo del CCN-CERT, que lleva a cabo tareas de administración, maduración de las reglas de detección e inclusión de nuevas funcionalidades y herramientas. De hecho, periódicamente se realiza la integración de numerosas reglas de detección, propias y externas, completando y ampliando la inteligencia del servicio y su capacidad de detección. Las reglas propias son generadas a partir de la información obtenida durante la investigación de otros incidentes de seguridad y a partir de la información recibida de otros organismos con los que se mantiene un intercambio de información referente a incidentes de seguridad.

Contexto

SAT-ICS Centros SanitariosDebido a la convergencia tecnológica que estamos viviendo en los últimos años, los equipos existentes en los centros sanitarios cuentan con nuevas capacidades de interacción. Del mismo modo, han aparecido nuevos dispositivos y sistemas que también están interconectados y que, de presentarse algún ataque o abuso en su utilización, podrían tener un impacto directo en la seguridad de los pacientes.

El Sistema de Alerta Temprana ICS (SAT-ICS) del CCN-CERT permite la detección en tiempo real de las amenazas e incidentes acaecidos, analizando el tráfico de las redes asociadas a estos dispositivos y permitiendo la rápida respuesta ante un posible incidente de seguridad. Algo crucial si tenemos en cuenta que en estos entornos cada minuto es primordial para frenar el impacto.

SAT-ICS Monitorización de entornos médicos
Figura 1. Monitorización de entornos médicos

¿Qué aporta el SAT ICS a los sistemas sanitarios?

  • Detección de ataques e incidentes
  • Inventario y mapa de activos
  • Detección en base a anomalías
  • Correlación
  • Elaboración de casos de uso específicos
  • Informes estadísticos y soporte a la resolución de incidentes

 

 

 

Más información:

 

Contacto:

Clave PGP

Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración