Esta tabla de un informe blanco de Emerson muestra una vista simplificada de la pérdida potencial de ingresos promedio asociada si un generador de 500MW se caía debido a una interrupción forzada. El impacto en los ingresos por interrupciones, interrupciones y sistemas bloqueados por ransomware en muchas industrias puede afectar el resultado final.
# 2 - Monitoreo continuo de seguridad
Como mínimo, monitorear sus activos críticos ahora es una ciberseguridad empresarial esencial. Al igual que el control de la automatización industrial y los controles de proceso, la seguridad industrial requiere un monitoreo continuo para garantizar la salud e higiene cibernéticas (¡sí, salud e higiene!) De los sistemas dentro de las operaciones de su planta.
Esta es una muestra de colocación de tecnología de Tripwire, una marca Belden, para monitorear activos industriales y de plantas críticas. Las soluciones de Tripwire pueden monitorear la seguridad industrial desde la zona desmilitarizada (DMZ) de la planta, hasta el nivel 2. Tripwire también detecta y alerta sobre amenazas y cambios (autorizados o no) a los activos industriales.
Si tiene servidores, bases de datos y otros sistemas que se ejecutan en Windows o Linux, debe priorizar estos sistemas intrínsecamente débiles y no parcheados para el monitoreo de Tripwire, una de las marcas de Belden. Pueden ayudarlo a saber cuándo las configuraciones y servicios de esos sistemas deben ser reforzados contra riesgos cibernéticos típicos y frecuentemente altamente clasificados. (Altamente calificado significaría que tienen un alto puntaje de vulnerabilidad, como 9.5 de 10, tanto para los riesgos "susceptibles de ser explotados" como "si se explotan, probablemente sean muy malos").
Un servicio de particular importancia es el acceso remoto. La mayoría de los expertos recomiendan que suspenda el acceso remoto a cualquier activo crítico, especialmente a sus sistemas de control. Algunas veces esto se puede hacer, otras veces no será posible. Una capacidad valiosa que Tripwire tiene es que puede descubrir y perfilar los puntos de acceso inalámbrico y también identificar los sistemas que tienen el software de acceso remoto cargado donde usted no lo esperaba. Las plantas se sorprenden continuamente en estas áreas. Tripwire puede encontrarlo y ayudarlo a solucionar estas áreas comunes de debilidad.
"Casi todas las evaluaciones de riesgos o análisis forense de un incidente que he visto en mi carrera apuntan a un tema común: la falta de comprensión de qué sistemas son importantes y la segmentación de red apropiada de estos sistemas de tecnología operativa (AT) de misión crítica de otros sistemas empresariales tales como sistemas corporativos de tecnología de la información (TI).
Serás atacado o infectado ... solo es cuestión de tiempo, y solo actuando ahora puedes minimizar el daño resultante y reducir la propagación de la infección ".
- Marty Edwards, director general, Automation Federation y ex director de ICS-CERT, Departamento de Seguridad Nacional de los EE. UU.
También debe considerar un registro y monitor de eventos. Piense en este dispositivo de seguridad pasiva como su "historiador de datos centrado en la seguridad". Úselo para recopilar y correlacionar de forma no invasiva los registros y la actividad de eventos desde servidores, sistemas de gestión de activos, bases de datos, firewalls, enrutadores e incluso HMI, ya que los HMI son uno de los muchos activos dentro de la planta que suelen ser objeto de compromiso. Si un adversario posee (o "potencia" - en lenguaje de amenazas) sus servidores HMI o FTP, puede causar interrupciones y potencialmente afectar el ICS y la E / S que controlan, causando daño físico. Incluso el solo hecho de introducir la latencia en muchos entornos puede interrumpir los procesos y afectar la fabricación.
Como herramienta forense (cuando llega el día en que la necesita), los registros son lo primero que preguntan los investigadores y la mayoría de los sitios. ¿instalaciones? operadores? no los habilite o los atacantes los apaguen sin que la organización objetivo se dé cuenta. Tener una herramienta de correlación que reúna automáticamente los registros y marque los eventos de interés con todo el contexto requerido puede ser invaluable para recomponer las cosas y comprender cómo pudo haber ocurrido un incidente. El Centro de registro de Tripwire es un ejemplo de este tipo de herramienta y se está implementando ampliamente en entornos industriales para la seguridad, así como el valor de análisis, ya que los datos reunidos se pueden reenviar fácilmente a las herramientas de análisis, como Splunk.
# 3 - Plan de recuperación de desastres
Para estos sistemas críticos y priorizados, asegúrese de haber implementado un plan de recuperación ante desastres que incluya respaldos regulares, recientes y probados y repuestos de hardware críticos. Las copias de seguridad deben incluir todos los activos críticos físicos y virtualizados, sistemas operativos (SO), archivos de configuración documentados y "bien conocidos" y todo el software de aplicaciones y sistemas, incluidas integraciones y personalizaciones, si corresponde.
El ransomware actual normalmente se propaga automáticamente a través de las redes y de sistema a sistema, y muchas organizaciones descubren después de un ataque que sus copias de seguridad también se encriptaron. Por lo tanto, mantenga estas copias de seguridad en un lugar seguro que no esté "en línea"; en otras palabras, no solo copie a un servidor de archivos y olvídese de ello. Tener una lista controlada y limitada de personal (con información de contacto) que sepa dónde se guardan estos respaldos y repuestos, y preferiblemente tener detalles documentados para la recuperación.
RESUMEN
Evidentemente, hay muchos otros pasos para avanzar en el camino hacia una seguridad cibernética industrial mejorada, y cada organización aborda el tema con sus propias prioridades. Sin embargo, estos tres pasos reducirán significativamente el riesgo cibernético en la planta de fuentes externas e internas. Si se realiza ahora, puede estar mucho mejor preparado para las actividades de recuperación cuando ocurre un incidente. Conocer sus activos más importantes, controlarlos en cuanto a seguridad y estado del sistema, y tener respaldos confiables y probados puede ayudar. Esta "Lista Corta de Ciberseguridad Industrial" finalmente acortará su tiempo de recuperación y reducirá las pérdidas de ingresos y negocios cuando ocurra un incidente dentro de su planta.
Para quienes estén interesados en pasos adicionales y más avanzados, considere los dispositivos de seguridad Tofino Xenon para ayudarlo con la segmentación de redes indolora a ISA99 / IEC 62443. Los Xenones Tofino se sientan frente a los activos críticos en su planta o campo e inspeccionan profundamente el protocolo industrial marcos (Modbus TCP, EtherNet / IP, OPC, DNP3 e IEC 104) para cargas maliciosas o acceso inapropiado. Tofino Xenons no tiene una dirección IP y puede proteger contra actividades maliciosas conocidas y desconocidas y la entrada, así como la salida. En otras palabras, pueden "contener" la amenaza para usted y desactivar su capacidad de propagarse. Y Tripwire también puede monitorear estos dispositivos sin dirección IP y sus configuraciones por usted.
Toda la información, imágenes y productos mencionados en el presente articulo son marcas registradas y propiedad de su fabricante y han sido utilizados con fines informativos tomando la información de www.belden.com todos los derechos reservados
articulo original en https://www.belden.com/blog/industrial-security/3-steps-to-take-now-the-industrial-cyber-security-short-list
Está es una traducción y adaptación del artículo original.