El pasado mes de setiembre el ICS-CERT  publicó un documento sobre un conjunto prácticas recomendadas para mejorar la seguridad en Sistemas de Control Industrial basándose una estrategia de Defensa en Profundidad (DiD, Defense in Depth). Se trata de una guía práctica para desarrollo de estrategias especificas que mitiguen las amenazas que acechan a dichos sistemas.

Dicho documento se puede descargar desde el siguiente enlace. No obstante si se quiere hacer podéis acudir la página web:

El documento comienza haciendo una exposición de las características de los Sistemas de control Industrial, para luego introducirse en la evolución de las comunicaciones dentro de las Tecnologías de Operación, OT.

Aclarados estos dos puntos, se continúa con el concepto de Defensa en Profundidad, DiD (Defense in Depth), sus orígenes, razón de ser y planificar su desarrollo.

Aquí encontramos una tabla muy interesante donde se hace una comparativa entre las distintas medidas aplicables a entornos IT, OT y lo que ello conlleva. Cuando vemos la necesidad de proteger es porque entendemos que existe un riesgo y una amenaza. Para entender mejor lo que más adelante se explica, os dejo un par de artículos donde hablo de las Amenazas sobre ICS que espero os sean de ayuda.

Amenazas sobre ICS, Parte I

Amenazas sobre ICS, Parte II

Metido de lleno en lo que a DiD se refiere, nos ofrecen un resumen donde se detallan todos los apartados y subapartados de los que se compone como son y que más tarde irá abordando de una manera más concreta.

1.- Risk Management Program
a) Identify Threats
b) Characterize Risk
c) Maintain Asset Inventory

2.- Cybersecurity Architecture
a) Standards/ Recommendations
b) Policy
c)Procedures

3.- Physical Security
a) Field Electronics Locked Down
b)Control Center Access Controls
c)Remote Site Video, Access Controls, Barriers

4.- ICS Network Architecture
a) Common Architectural Zones
b)Demilitarized Zones (DMZ)
c)Virtual LANs

5.- ICS Network Perimeter Security
a) Firewalls/ One-Way Diodes
b)Remote Access & Authentication
c)Jump Servers/ Hosts

6.- Host Security
a) Patch and Vulnerability Management
b)Field Devices
c)Virtual Machines

7.- Security Monitoring
a) Intrusion Detection Systems
b)Security Audit Logging
c)Security Incident and Event Monitoring

8.-Vendor Management
a) Supply Chain Management
b)Managed Services/ Outsourcing
c)Leveraging Cloud Services

9.- The Human Element
a) Policies
b)Procedures
c)Training and Awareness

Como decía, luego hace un repaso y análisis por cada uno de ellos acompañándose de gráficos y tablas que muchas veces represetan de una manera más fácil y sencilla lo dicho con palabras. No obstante, a muchos os suenen ya que son concepto ya tratados en otros estándares y buenas prácticas, como NIST 800-82, IEC 62443 y modelos como ISA-95.

A continuación tendremos un tercer apartado sobre ataques sobre ICS, algo que no cambia demasiado con lo que ya sabemos del mundo IT, Reconocimiento, Ataque e Intrusión. A lo que añadiría, “mantener el acceso”. Ahora bien, otra cosa muy distinta son los objetivos que se pretenden, por ejemplo, el robo de información (IT)  o el sabotaje (OT). Hace unos meses escribí una entrada sobre “Vectores de Ataque”, os la dejo por si queréis echarle un vistazo:

Vectores de Ataque en ICS.

Para concluir, se hacen unas recomendaciones como establecer un modelo de seguridad proactivo; implementación de modelos específicos según sector; revisión periódica de arquitectura y diseño del plan; evaluación de riesgos; etc.

Como vemos es un documento práctico, sencillo que recoge los conceptos clave que luego habrá que desarrollar de una manera más específica sobre el tipo de sector y organización, pero que narra muy bien desde un punto de vista genérico las bases sobre las que deben apoyase. Aquí conviene referirse en otros estándares y buenas prácticas existentes que citaba en párrafos anteriores.

Lo dicho, nada de “Air Gap” y a seguir con “Defensa en Profundidad”. Es lo que toca.

Un saludo, nos vemos en la próxima!