Reuniendo la seguridad de TI y OT, Parte 2: BAS y el modelo de Purdue

Inicio » Red de blogueros de seguridad » Reuniendo la seguridad de TI y OT, parte 2: BAS y el modelo de Purdue

Liderazgo de pensamiento

6 de junio de 2023

Conozca la evolución de los entornos de TI/TO convergentes y el impacto en la validación del control de seguridad en esta nueva serie de blogs.

En nuestra primera publicación sobre el uso de BAS en un entorno de tecnología operativa (OT), brindamos una descripción general de una red de TI/OT convergente típica, las tendencias que impulsaban un mayor riesgo cibernético para los propietarios de activos industriales y una discusión de alto nivel sobre cómo BAS puede ayudar a proporcionar una mejor visibilidad y protección en todo el entorno convergente. En esta actualización, discutiremos los beneficios que ofrece BAS en estos casos de uso, y entraremos en los detalles de dónde y cómo encaja BAS en una arquitectura combinada de TI/TO utilizando el modelo de Purdue.

El modelo de Purdue se acepta generalmente como el estándar para construir una arquitectura de red de sistema de control industrial (ICS) de manera que admita la seguridad de OT, separando las capas de la red para mantener un flujo jerárquico de datos entre ellas y, como tal, refleja la requisitos de arquitectura de referencia para muchos marcos de sistemas de control industrial, como API 1164, ISA/IEC 62443 y NIST 800-82.

Purdue ilustra cómo se interconectan los elementos típicos de una arquitectura ICS, dividiéndolos en seis zonas que contienen sistemas comerciales (la red de TI) y sistemas de control industrial (la red OT). Si se implementa correctamente, ayuda a establecer una "brecha de aire" entre ICS/OT y los sistemas de TI, aislándolos para que una organización pueda aplicar controles de acceso efectivos sin obstaculizar el negocio. Dicho esto, Purdue no es una receta única para la arquitectura de red OT. Al igual que con cualquier red, cada entorno tendrá su propia variedad única de dispositivos en cada capa.

Figura 1:Un modelo básico de Purdue

El modelo de Purdue consta de seis niveles de red, definidos por los sistemas y tecnologías que residen en cada uno. Los sistemas de TI ocupan los 2 niveles superiores, mientras que los sistemas OT ocupan los 3 inferiores y una "zona desmilitarizada" convergente reside entre ellos. Echemos un vistazo más detallado a cada uno:

Nivel 5/4: Redes Empresariales y Empresariales

Si bien están separados en el modelo tradicional de Purdue, estos dos niveles se han combinado por simplicidad en el modelo básico anterior, ya que juntos conforman el entorno de TI. Los niveles 4 y 5 se componen de servicios para toda la empresa, como Active Directory, sistemas de gestión de recursos humanos y documentos, plataformas de gestión de relaciones con los clientes (CRM), correo electrónico interno y el centro de operaciones de seguridad (SOC). También incluye servicios específicos del sitio, como Planificación de recursos empresariales (ERP), que impulsan los programas de producción de la planta, el uso de materiales, el envío y los niveles de inventario.

Los dispositivos de este nivel utilizan hardware de TI estándar, plataformas en la nube y sistemas operativos listos para usar, como Windows y Linux.

Nivel 3.5: Zona desmilitarizada de TI/OT (DMZ)

Mientras que la DMZ ubicada en las redes de TI es responsable de separar la red corporativa de Internet, la DMZ ubicada en las redes OT es responsable de aislar la red industrial de la red corporativa. A medida que aumentaron las demandas de datos comerciales del lado de OT, y viceversa, los administradores tuvieron que conectar estos dos niveles a través de DMZ.

Los dispositivos en esta capa también ejecutan hardware, nube y software de TI estándar.

Nivel 3: Sistemas de Operaciones

Este nivel contiene soporte operativo, de supervisión y de supervisión para administrar los flujos de trabajo de producción en el piso de producción. Estos incluyen estaciones de trabajo de ingeniería y operaciones que ejecutan sistemas de gestión de operaciones de fabricación/ejecución de fabricación (MOMS/MES), historiadores de datos para almacenar y analizar datos de procesos operativos.

Esta capa generalmente se compone de aplicaciones de administración de operaciones especializadas que se ejecutan en sistemas operativos y hardware móvil y de TI estándar.

Nivel 2: Sistemas de Supervisión

El nivel 2 contiene sistemas de control de supervisión y adquisición de datos (SCADA) que controlan grupos de procesos según su función, tipo o riesgo. Este nivel también incluye los dispositivos de interfaz hombre-máquina (HMI) a través de los cuales un operador interactúa con un controlador.

Esta capa generalmente se compone de TI industrializada o hardware móvil que ejecuta aplicaciones especializadas en plataformas estándar de nube o sistema operativo.

Nivel 1: Sistemas de Control de Procesos

El nivel de control de procesos contiene dispositivos tales como sistemas de control distribuido (DCS), controladores lógicos programables (PLC) y unidades terminales remotas (RTU) y sistemas de seguridad que monitorean y envían comandos a los dispositivos físicos que ejecutan procesos operativos.

El hardware y los sistemas operativos a este nivel son mucho más especializados. El hardware y el software patentados son típicos, y estos pueden ser mucho más sensibles a las actualizaciones y cambios de software.

Nivel 0: Dispositivos de proceso físico

Este nivel inferior incluye todos los dispositivos que ejecutan procesos operativos. Estos pueden incluir actuadores, válvulas y bombas, así como dispositivos IIoT como cámaras y sensores de movimiento.

Estos dispositivos suelen estar especializados para su tarea específica y están diseñados para aceptar instrucciones y enviar datos mediante protocolos como Fieldbus.

Como dijimos en la primera parte de nuestra serie de blogs de TI/OT, la mayoría de los ataques de OT comienzan poniendo en peligro la red de TI. Como tal, es fundamental en cualquier estrategia de seguridad de OT pensar en las redes de TI y OT como dos piezas del mismo rompecabezas. Deben abordar no solo las vulnerabilidades dentro del propio entorno de OT, sino también las formas en que los adversarios pueden comprometer y atravesar la red de TI para recopilar información y obtener acceso lateral a sistemas de seguridad y control de OT más profundos.

Históricamente, los equipos de operaciones han administrado todos los activos de OT debido a la preocupación de que las actualizaciones de software y los cambios de configuración pudieran poner en riesgo el tiempo de actividad y la productividad. Por lo tanto, los equipos de seguridad han tenido poca visibilidad del entorno de OT y no pudieron implementar o actualizar los controles de seguridad apropiados.

A medida que la transformación digital ha derribado las barreras de TI-OT, muchas empresas industriales ahora tienen entornos de TI/OT profundamente integrados y equipos de seguridad que ahora son responsables de administrar el riesgo cibernético en esta red extendida.

Veamos ahora cómo BAS puede ayudar a los equipos de seguridad a tener una visión holística de la evaluación y validación de los controles de seguridad en este entorno combinado.

Al simular ataques del mundo real en su red extendida de OT/TI, una plataforma BAS puede ayudar a validar los controles de seguridad, identificar rutas de ataque vulnerables y ayudar a los equipos de seguridad y operaciones a priorizar y acelerar la remediación.

Las plataformas BAS ejecutan escenarios de ataque sin poner la red OT en riesgo de interrupción mediante la ejecución de simulaciones en clones de sistemas de producción. Las simulaciones se pueden ejecutar con la frecuencia que el usuario desee para identificar la deriva y probar contra nuevos métodos de ataque. Esto es particularmente relevante para los propietarios de activos de OT, ya que una encuesta reciente de KPMG indicó que el 80 % de las organizaciones industriales solo realizan una evaluación de seguridad de ICS una vez al año o menos.

Volviendo a nuestro modelo de Purdue, a continuación hemos superpuesto la arquitectura con ubicaciones en las que se implementaría la plataforma SafeBreach BAS (todos los entornos son diferentes, por lo que este es solo un ejemplo general).

En los niveles 4/5, estamos implementando simuladores de ataques en servidores, portátiles y equipos de escritorio empresariales típicos. Y el servidor de contenido y el atacante externo se implementan en el SOC. En este nivel, los ataques simulados de SafeBreach validan los controles de seguridad de los terminales, las reglas de detección del cortafuegos, las reglas de la lista de control de acceso (ACL) y verifican que el SIEM registre los eventos.

Es importante tener en cuenta que las simulaciones de ataque en este nivel y en todos los niveles inferiores nunca ponen en riesgo los datos confidenciales o la integridad del sistema. Los simuladores de SafeBreach solo ejecutan simulaciones de ataques en y entre simuladores, nunca en el sistema de producción real.

En la DMZ de TI/OT (nivel 3.5), los simuladores están probando el firewall que regula el acceso a este nivel y validando los controles del host de salto (probablemente basado en Linux) para garantizar que el acceso remoto a los niveles inferiores de OT sea seguro.

En los niveles 2 y 3, ahora estamos sólidamente en la red OT. Al pensar en los puntos finales de la red OT, muchas personas piensan en los activos especializados, como las unidades PLC y RTU, que controlan directamente los procesos de producción. Pero incluso en el entorno OT, los activos que a menudo corren el mayor riesgo de verse comprometidos son las estaciones de trabajo de ingeniería y las HMI que probablemente se ejecutan en un entorno Windows o Linux. Es fundamental incluir estos activos en la simulación de ataque, ya que los puntos finales de OT suelen tener controles y configuraciones de seguridad diferentes a los de los puntos finales de la red de TI.

Pero esto debe hacerse de manera que no ponga en riesgo la disponibilidad de la estación de trabajo o HMI. La instalación de un simulador en cualquier sistema de producción no sería aceptable para el equipo de operaciones que depende de estos sistemas. Notará que hemos introducido clones de estaciones de trabajo y HMI en los niveles 3 y 2 a continuación y que ejecutaríamos el simulador desde el clon. Por lo tanto, el sistema de producción está intacto, pero aún obtenemos una evaluación precisa de sus controles de seguridad. En este ejemplo, intentaríamos pasar del servidor de salto al clon HMI, o del clon HMI al clon de la estación de trabajo de ingeniería.

La simulación de infracciones y ataques es una de las herramientas más eficaces para evaluar y validar los controles de seguridad en un entorno combinado de TI y OT.

Apoye con confianza la transformación digital de OTAsegúrese de que sus equipos de seguridad y TI de operaciones trabajen juntos, a partir de la misma información, para satisfacer las demandas de productividad y protección a medida que su entorno operativo se transforma.

Un enfoque holístico para la validación, remediación y generación de informes de seguridad en OT y TICree una vista consolidada de su entorno de seguridad de OT y TI para identificar y remediar rápidamente las debilidades y los puntos vulnerables de "desbordamiento" de una red a otra durante un ataque.

Aumente la confianza con las partes interesadasComparta informes automatizados con las partes interesadas clave para comunicar claramente el riesgo dentro de la organización y garantizar que se prioricen las inversiones en seguridad.

Asegure toda la pilaAutomatice la ejecución de ataques de varias etapas en toda la pila de la nube, incluidos los dispositivos de usuario final, las redes, los servicios en la nube y las aplicaciones.

Gestione el riesgo de seguridad de la cadena de suministroAntes de trabajar con proveedores externos, evalúe con precisión su postura de seguridad cibernética para comprender los riesgos potenciales que pueden traer a su entorno.

Para obtener más información sobre la simulación de infracciones y ataques y cómo SafeBreach puede ayudar a proporcionar una mejor visibilidad y protección en su entorno integrado de TI/OT, lo invitamos a programar una demostración.

var EmbeddedFormId = '8facdd92d81dbd8a816a41fc0e0f569b7a784017'; var marketoBaseUrl = '//go.safebreach.com'; var munchkinId = '535-IXZ-934'; var formId = '1930'; var tipo de respuesta = 'redireccionar'; var mensaje de respuesta = '¡Gracias!'; var redirecciónURL = ''; var downloadFileURL = ''; var linkOpenType = '_self'; var popupVideo = 'url'; var popupVideoURL = ''; var popupVideoUploadURL = ''; MktoForms2.loadForm(marketoBaseUrl, munchkinId, formId, function(form) { form.onSuccess(function(values, followUpUrl) { var formElement = form.getFormElem()[0]; var successTextElement = document.getElementById("int_mktoForm_" + formId ); formElement.reset(); var submitButton = document.querySelectorAll('button.mktoButton')[0]; submitButton.innerHTML = 'Submit';

successTextElement.innerHTML = responseMessage; setTimeout(() => { exitTextElement.innerHTML = ''; }, 2000); falso retorno; }); });

La publicación Uniendo la seguridad de TI y OT, Parte 2: BAS y el modelo de Purdue apareció primero en SafeBreach.

*** Este es un blog sindicado de Security Bloggers Network de SafeBreach escrito por SafeBreach. Lea la publicación original en: https://www.safebreach.com/resources/blog/bringing-it-and-ot-security-together-bas-purdue/