Auditoría de Seguridad en Redes Industriales OT
Las auditorías en redes OT deben realizarse en cada una de las múltiples capas de defensa que estén implementadas en las redes industriales.
& Auditoría de la capa Management:
A realizar sobre:
& Las políticas de seguridad
& Los procedimientos para el control de cambios
& Los controles de acceso, etc.
& Auditoría de la capa Física:
A realizar sobre las medidas existentes para:
& Controlar los accesos físicos de las personas
& Evitar el robo de componentes ICS
& Garantizar la continuidad en el suministro eléctrico.
& Garantizar las comunicaciones, etc.
& Auditoría de la capa Red
A realizar sobre la:
& Protección del perímetro
& Segmentación de las redes
& Instalación existente de FW, IPS, Proxy
& Antivirus en consolas, PC´s planta
& SIEM
& Auditoría del hardware
La obtención de información es básica para la realización de un pentestig en sistemas industriales. La visibilidad operativa que se puede obtener con la tecnología de Nozomi Networks permitiría identificar aquellos activos (sistemas, routers, dispositivos, etc.) que utilizan los protocolos ICS, y visualizar correctamente las redes OT existentes.
La auditoría se realizaría sobre:
& Inventario de dispositivos, su ubicación en la red y descripción operativa.
& Status de soporte de cada dispositivo, RMA, criticidad.
& Existencia y funcionamiento de procesadores con tecnología NX (No ejecución), en los que existe una clasificación de áreas de memoria en CPU, con una segregación de funciones.
& Auditoría del Software
A realizar sobre:
& Las vulnerabilidades en el código
& Los parches necesarios para solventarlas
& Herramientas de aplicación de los parches virtuales (WAF, IPS)
& Auditoría del tráfico de red IT / OT: Vigilancia y Monitorización en SOC
Las redes OT pueden llegar a ser grandes, complejas y dispersas geográficamente, con una amplia gama de dispositivos (activos) que son desconocidos para TI y con diferentes tipos de tráfico de red que utilizan protocolos propietarios e inseguros.
Por todo ello, la auditoría del tráfico de red debiera ser permanente y en tiempo real. Secure&IT, dispone de un SOC/CERT con la tecnología añadida de Nozomi Networks que haría posible:
& Gestionar de forma centralizada los múltiples sites (Consola CMC)
& Visualizar gráficamente las redes complejas IT / OT, en tiempo real.
& Un aprendizaje dinámico que evite los falsos positivos
& Herramientas forenses para minimizar impactos y tiempos de resolución.
& Auditoría sobre el personal (Capa 8)
La adecuada preparación y concienciación del personal implicado es uno de los mayores retos en un entorno industrial.
Se auditarían aspectos como:
& La concienciación en la Política de Seguridad de la empresa.
& El grado de preparación / formación del personal que opera en sistemas OT
& Medidas existentes para minimizar ataques de ingeniería social.
& Buenas prácticas de navegación segura, uso de redes sociales, email, etc.
& Existencia de la figura del DPO en el entorno OT, a quien reportar incidentes con un procedimiento de escalado conocido.