Monitorización redes industriales, SCADAGuardian

Cuando abordamos un proyecto para la protección de un entorno de control y automatización, una de las primeras tareas es elaborar un inventario de todos los activos. No podemos tratar de reducir los riesgos de que algo o alguien, de una manera intencionada o no, pueda llevar a cabo una acción que afecte a la actividad de planta, instalaciones o infraestructuras; si saber lo que tenemos.

Es cierto que muchos equipos podrán serán comunes en distintos escenarios, pero dada la heterogeneidad de las actividades industriales cada entorno deberá ser abordado de forma particular. Es cierto que PLC´s, HMI´s y SIS serán un común denominador; no si de lo que hablamos es de atornilladoras, AGVs, sistemas de almacenamiento automático, sistemas de metrología, y un largo etcétera.

Esta tarea puede no ser compleja, pero sí tediosa. Al fin y al cabo, estamos recolectando información. El problema es cómo lo hacemos de una manera lo más sencilla y efectiva posible. Además, por experiencia, se parte con un alto grado de desconocimiento en particular para los profesionales que tienen que liderar proyectos de Ciberseguridad Industrial. Provenientes de entornos IT, donde aparte de desconocer las tecnologías, componentes y tecnologías, comienzan a relacionarse más estrechamente con personal con distintas culturas, puntos de vista, necesidades y sobre todo, prioridades. Hablo de personal de Ingeniería o Mantenimiento.

Por tanto, la base de cualquier proyecto es tener un inventario completo y consolidado que nos permita desarrollar medidas eficientes para proteger nuestros entornos.

Sin embargo, el éste no debe estar ceñido exclusivamente a información sobre tipos de equipos, fabricantes, modelos o versiones de firmware. Debemos conocer las comunicaciones que mantienen con otros sistemas o dispositivos. Esto es, orígenes y destinos, protocolos empleados, direcciones IP y sobre todo qué consignas o valores se envían a través de ellos. Podemos estar autorizando una determinada comunicación, pero ¿qué ocurre si aprovechando una falta de medidas de seguridad nativas somos capaces de cambiar un valor que está fuera de tolerancia?

Por esta y otras razones que iremos descubriendo en sucesivos artículos es que debemos contar con herramientas que nos ayuden a identificar los activos en nuestra organización, sus características y conocer cómo y de qué manera se comunican. A partir de aquí, ya comenzaremos a localizar vulnerabilidades, calcular impactos, priorizar medidas para minimizar riesgos, definir topologías de re red, crear matrices de comunicaciones para configurar reglas en firewalls, etc. etc. etc.

Una de estas ellas es el producto de la firma NOZOMI Networks, SCADAGuardian. Se trata de una herramienta especializada para entornos y tecnologías OT. En formato físico o virtual, entre sus características están

  • Monitorización en tiempo real
  • Identificación de activos de forma automática
  • Detección de comportamiento, amenazas y vulnerabilidades
  • Deep Packet Inspection de protocolos industriales
  • Fácil despliegue
  • Integración con otros sistemas
  • Creación de informes

El modo de operación es por medio bien de un puerto espejo en algunos de los switches de nuestra infraestructura o por medio de dispositivos TAP por lo que no resulta intrusiva ni añade latencias en las comunicaciones establecidas.

Nozomi SCADAGuardian structure

Por supuesto, todas estas medidas van acompañadas de una interfaz gráfica a través de la cual podamos visualizar, analizar y explotar toda la información recolectada de una manera intuitiva a través de los menús de navegación.

Nozomi SCADAGuardian graph

Adicionalmente se cuenta con una herramienta de gestión centralizada denominada “Central Management Console” con la que podremos desde un único espacio tener visibilidad de todos nuestros SCADAGuardian desplegados en nuestras instalaciones geográficamente o localmente dispersas.

Nozomi SCADAGuardian Advanced

No obstante, esta herramienta no tiene porqué ser empleada exclusivamente por clientes finales. Empresas que provean de servicios de SOC pueden encontrar en CMC una solución para proporcionar otros nuevos sobre entornos industriales como veremos más adelante.

Con todo ello a continuación se muestra una imagen de un despliegue tipo:

Nozomi SCADAGuardian Architecture

Ahora bien, hasta ahora nos hemos ceñido a la identificación de activos y características asociadas, para poder así elaborar un inventario acorde a nuestras necesidades. La herramienta nos permitirá exportar la información generada en formatos como Excel o CSV para un tratamiento posterior. Entre ellas estará la relativa a los equipos, sus enlaces y sesiones de comunicaciones pudiendo tener documentado los valores identificados dentro de cada protocolo.

Nozomi SCADAGuardian Asset View

Hasta ahora hemos hablado de esa primera fase de recolección de información para tener una visión de cómo y por quién está compuesta nuestra red OT. Sin embargo, las capacidades de esta herramienta van más allá pudiendo ser capaz de detectar vulnerabilidades con mayor o menor precisión según sea el caso.

Nozomi SCADAGuardian vulnerabilities

Adicionalmente a SCADAGuardian, disponemos de SCADAGuardian Advanced. Como hemos dicho, la solución recolecta información de forma pasiva no interfiriendo en el tráfico legítimo. Esto proporciona a SCADAGuardian la capacidad de identificar vulnerabilidades por medio del citado análisis. Sin embargo, SCADAGuardian Advanced incorpora una funcionalidad que permite confirmar dichas vulnerabilidades por medio de consultas inteligentes sin interferir en el correcto funcionamiento.

Nozomi SCADAGuardian Advanced

A continuación, se establece una comparativa entre ambas:

Como bien sabemos existe un creciente aumento de vulnerabilidades y amenazas que afectan a sistemas de control y entornos industriales. En este sentido NOZOMI Networks cuenta con un servicio de suscripción denominado “OT Threat Feed” para recibir las últimas descubiertas y que nuestros SCADAGuardian o SCADAGuadian Advanced tengan la capacidad de detectarlas. Detrás de ello, se encuentra con un equipo de investigadores propio que trabajan continuamente para la mejora del producto siendo un ejemplo de ello las publicadas en fuentes como el ICS-CERT.

Con todo ello hemos de tener presente una funcionalidad clave en este tipo de soluciones y es la de notificar de alertas cada vez que tenga lugar un evento o anomalía. Para ello podremos personalizar y establecer canales para su notificación que van desde productos comerciales hasta mensajes de correo electrónico, Syslog o Traps de SNMP. SCADAGuardian establece 4 tipos de alertas principales en función del motor (funcionalidad) que la origine, “Protocol Validation”, “Learned Behavior”, “Built-in Checks” y “Custom Checks”.

Nozomi SCADAGuardian Advanced

En el momento del despliegue, SCADAGuardian necesita de un proceso de aprendizaje acerca del comportamiento de la red y de los elementos que la componen. En función de ese aprendizaje, la herramienta generará una nueva alerta por cada anomalía detectada. Más tarde, debreemos indicar si se trata de un incidente o si por el contrario se trata de un cambio o evento controlado. Por ejemplo, imaginemos una tarea de mantenimiento programado en la que conectamos un nuevo equipo que hasta la fecha no había sido conectado a la red.

Nozomi SCADAGuardian Learning Mode

Hasta aquí la entrada del día de hoy donde hemos hecho un repaso a la herramienta de monitorización líder del mercado no sólo por el crecimiento que NOZOMI Networks sino por sus capacidades de integración como es el caso de los equipos SIEMENS RUGGEDCOM APE proporcionando así una solución embebida en productos de terceros evitando así el despliegue de nuevo equipamiento.

Sin embargo no es la única. A continuación os dejo un video con la que se puede obtener con equipamiento de la firma Fortinet, dela que ya hemos hablado en otras entradas como su integración con switches.

Un saludo, nos vemos en la próxima!

Edorta