Las amenazas de ICS
Los sistemas industriales de Sistema de control funcionan en entornos únicos donde la disponibilidad y la productividad son la máxima prioridad. Como resultado, los sistemas ICS a menudo son de larga duración y solo reciben un mantenimiento programado ocasional para minimizar los impactos en la disponibilidad.
Con sistemas de larga duración y la necesidad de mantener los sistemas de producción en línea, los dispositivos ICS rara vez reciben actualizaciones o parches para vulnerabilidades conocidas. Como resultado, estos dispositivos heredados pueden ser difíciles de proteger y pueden contener numerosas vulnerabilidades explotables. Además, es posible que las soluciones tradicionales de seguridad de TI no sean aplicables a entornos ICS.
Mejores prácticas de seguridad ICS
Seguridad ICS difiere significativamente de la seguridad de TI tradicional. A continuación encontrará algunas de las mejores prácticas de seguridad para la seguridad ICS:
#1. Acceso Físico Seguro
En el pasado, los sistemas ICS dependían de una “brecha de aire” para la seguridad. Al desconectar estos sistemas de la red informática corporativa y de la Internet pública, el objetivo era hacerlos inmunes a los ciberataques.
Sin embargo, Stuxnet y otros ataques han demostrado que el acceso físico al dispositivo ICS se puede utilizar para distribuir malware y realizar otros ataques. Asegurar el acceso físico es esencial para la ciberseguridad de ICS.
#2. Crear un inventario de activos ICS
Es imposible asegurar de manera efectiva sistemas que una organización no sabe que existen. El tamaño y la complejidad de ICS red pueden significar que las organizaciones carezcan de un inventario completo de su dispositivo ICS, su software y hardware, su ubicación y otros factores importantes. Los procesos de descubrimiento manual son lentos, no escalables e incapaces de adaptarse rápidamente a los entornos cambiantes. Se deben implementar soluciones automatizadas para descubrir e identificar los activos de ICS conectados a la red.
#3. Desarrollar una línea base de red
Las metodologías tradicionales de detección de amenazas basadas en firmas solo pueden identificar amenazas conocidas para las que el sistema de detección conoce una firma. Esto los deja ciegos ante ataques novedosos o ataques contra dispositivos heredados que son lo suficientemente antiguos como para que la firma haya quedado obsoleta. Identificar nuevas amenazas al dispositivo ICS requiere la capacidad de identificar anomalías en la red ICS. Si una organización desarrolla una línea de base de las actividades normales de la red, puede detectar anomalías como posibles ataques o la conexión de nuevos dispositivos a la red.
#4. Segmento ICS rojo
Segmentación de red es esencial para lograr visibilidad de la red y gestionar el acceso a ICS. Sin segmentación de red, un atacante puede moverse lateralmente a través de la red ICS sin ser detectado, mientras que una red segmentada brinda oportunidades para identificar y prevenir amenazas. El Arquitectura de referencia empresarial de Purdue (PERA) proporciona un modelo de referencia para el diseño de ICS red. Esto incluye la implementación de firewall para segmentar la red según las funciones de varios sistemas.
#5. Implementar privilegios mínimos
El principio de privilegio mínimo establece que los usuarios, dispositivos, aplicaciones y otras entidades solo deben tener el acceso y los permisos que sean esenciales para su función laboral. Al eliminar el acceso innecesario, una organización puede reducir la probabilidad y el impacto de un ataque porque un atacante tiene menos oportunidades de atacar activos críticos sin ser detectado.
En el espacio industrial Sistema de control, implementando privilegio mínimo Incluye no solo limitar el dispositivo que puede comunicarse con el dispositivo ICS sino también los comandos que pueden enviar. Hacer cumplir el acceso con privilegios mínimos requiere firewall que tenga conocimiento de los protocolos de red ICS y eso puede bloquear el tráfico que viola los controles de acceso de privilegios mínimos.
#6. Utilice IPS para identificar amenazas conocidas
Los entornos ICS suelen contener sistemas de larga duración que son vulnerables a ataques heredados. Los requisitos de alta disponibilidad y las limitaciones de los sistemas heredados dificultan la reparación de vulnerabilidades que los dejan abiertos a la explotación. La protección de estos sistemas requiere un enfoque de seguridad centrado en la prevención que bloquee los intentos de explotación antes de que lleguen a los sistemas vulnerables. Para ello, las organizaciones deben implementar un Sistema de prevención de intrusiones (IPS) para detectar y bloquear ICS conocidos y SO heredados y exploits de red.
#7. Acceso remoto seguro al dispositivo ICS
Los operadores comúnmente requieren acceso remoto al dispositivo ICS; sin embargo, esto también puede crear importantes riesgos de seguridad. Un ataque de 2021 contra una planta de agua en Oldsmar, Florida, que intentó agregar productos químicos inseguros al suministro de agua aprovechó las tecnologías de acceso remoto inseguras. El acceso remoto a ICS debe ser proporcionado por soluciones de acceso remoto seguro. Esto incluye acceso de confianza cero controles y monitoreo para identificar el acceso sospechoso y potencialmente malicioso a los sistemas ICS.
Seguridad ICS con Check Point
La seguridad de ICS es vital para garantizar la disponibilidad, productividad y seguridad del dispositivo ICS. Sin embargo, los dispositivos ICS enfrentan amenazas de seguridad únicas y requieren soluciones de seguridad diseñadas y adaptadas a ellas.
Check Point tiene una amplia experiencia en el diseño de seguridad para satisfacer las necesidades únicas de los entornos ICS. Para obtener más información sobre cómo Check Point Soluciones de seguridad ICS puede ayudar a proteger el Sistema de control industrial, mira esto Resumen de la solución. Entonces, vea sus capacidades por usted mismo registrándose en un free demo.
Comentarios