Nuestra solución integral para incidentes de seguridad y errores funcionales

Muchas organizaciones industriales siguen considerando la ciberseguridad de la informática y la OT (tecnología operativa) de la empresa como un solo tema. A menudo se tratan de forma aislada. Si bien es cierto que los departamentos de informática de las compañías eléctricas varían estructural y funcionalmente entre los departamentos de protección y SCADA, la necesidad de convergencia es cada vez más crítica. En esta nueva era de crecientes y omnipresentes ciberamenazas, un cambio estructural ya no puede verse como una consideración u opción. Más bien al contrario: la convergencia entre los dos orbes debe ser un objetivo de misión crítica.  

Una seguridad eficaz requiere integrar a los profesionales de la ciberseguridad, a los ingenieros de OT y al personal de asistencia mediante un aprendizaje compartido y una plataforma de vocabulario común.  

Nuestra solución StationGuard 

El equipo de OMICRON tomó los procesos y prioridades específicos que rigen un entorno de OT y los combinó con la capacidad de identificar, asimilar y correlacionar datos de amenazas y problemas funcionales para ofrecer un sistema de gestión centralizada. Este sistema de gestión ha sido desarrollado para las demandas tanto de los ingenieros de informática como de los de energía eléctrica.  

 

"Es hora de llevar a los equipos de personal de informática y tecnología operativa a un terreno de juego conocido".  

- Amro Mohamed, Especialista regional en ventas de ciberseguridad


Nuestro Sistema de detección de intrusión (IDS) detecta cualquier tráfico prohibido o potencialmente peligroso en su centro de control, subestación y sistema de central eléctrica. Los archivos de ingeniería, por ejemplo, pueden importarse para crear automáticamente permisos de comunicaciones y asignar funciones a los dispositivos en función de su finalidad. StationGuard, entonces, desencadena una alerta que indica todo lo siguiente: la categoría, el origen y el objetivo, una descripción concisa, así como el momento aproximado en que se produjo el evento. 

Para comprender mejor las alertas de eventos, los responsables de seguridad y los ingenieros eléctricos deben trabajar juntos. Sólo los ingenieros responsables de la subestación, la central o el centro de control saben qué debe hacer o no hacer cada dispositivo. La diferencia clave entre nuestra solución y otras radica en lo bien que estas descripciones retratan la causa real en la red eléctrica. Como resultado, los ingenieros de protección y los especialistas en informática se entienden al hablar del problema y de los dispositivos implicados: la comunicación se vuelve más eficiente.  

Siga este enlace para conocer todas las ventajas de nuestra solución StationGuard y sus funciones.

StationGuard

Exploremos las características que distinguen nuestra solución StationGuard. Consideramos un escenario ejemplar de un servidor de base de datos de históricos secuestrado que se comunica con un software malicioso en una central eléctrica o subestación. 

Nuestra solución puede responder a las siguientes preguntas sobre cada incidente:

¿Qué incidente de seguridad ha ocurrido en el sistema?

Partiendo del panel de control GridOps Alerts, investigaremos una alerta emitida por el sensor IDS de StationGuard ubicado en la subestación denominada "Munich Norte".

Una parte integral de nuestra solución StationGuard es el panel de control GridOps Alerts. Su finalidad es resumir lo que ha ocurrido exactamente en el sistema.

Utilizamos la vista a nivel de sensores para investigar más a fondo la alerta específica y su entorno de red. 

Dentro del panel de control, puede irse desde la vista general a nivel de red hasta la red de la planta, subestación o centro de control. Esto proporcionará una imagen clara de una alerta específica. 
  
Cada alerta está contextualizada para ayudar a comprender la naturaleza del evento y asistirle en la contención del incidente. 

El IDS de StationGuard ha detectado una actividad anómala y ha informado de ello. La HMI envió un tráfico de red inesperado 'Socks' a un servidor de base de datos historiadora externo a través del Router en la estación. Desde la perspectiva de la subestación, vemos las comunicaciones entre la HMI y el router hacia la WAN. La base de datos historiadora está detrás del router. Desde esta perspectiva, el router es por tanto el actor.

Pueden investigarse los problemas de seguridad y funcionamiento en tiempo real viendo el panel de control de sensores IDS a nivel de la red y nuestra exclusiva visualización de la red, útil tanto para los profesionales de informática como de tecnología operativa. Los detalles de los mensajes en el registro de eventos proporcionan más información, por ejemplo, sobre los dispositivos implicados, las direcciones MAC/IP, las aplicaciones utilizadas, los protocolos, etc.  

Nota: Es bastante habitual que exista una conexión entre la HMI y una base de datos historiadora externa. En este sistema, esta conexión se basa en MySQL y, por lo tanto, se ha permitido una conexión MySQL para la HMI. Ahora se ha infringido este permiso ya que la comunicación cambió para convertirse en una conexión Socks usando los mismos números de puerto. La causa de esto podría ser una aplicación maliciosa en la HMI y/o en la base de datos historiadora externa.  
Cada vez que StationGuard muestra información sobre un actor (Router) o una víctima (HMI) en una alerta, indica en el mensaje de alerta el nombre actual del dispositivo y la capa OSI identificada más alta. En este caso fue la aplicación "Socks" la que se identificó. "Socks" es una aplicación proxy que se utiliza para redirigir las comunicaciones a través de un dispositivo de terceros para facilitar la comunicación a través de un servidor de seguridad. Esto puede ser útil en el entorno informático, pero también es utilizado por los atacantes para crear un túnel para exfiltrar datos o para establecer una conexión con un servidor de comando y control. Es probable que esta técnica también se utilizara en el ciberataque "Industroyer" de Ucrania de 2016. 

¿Cuándo se produjo el evento de seguridad?

Cada alerta indica la hora aproximada del evento y cuándo se actualizó por última vez con información añadida sobre la actividad. Así, esta última marca horaria suele reflejar la duración de la actividad. Puede variar desde microsegundos para comunicaciones entre dispositivos hasta decenas de segundos para, por ejemplo, comandos de subestación. 

La alerta en nuestro sistema se produjo el 2022-05-10 19:43:01.607 UTC offset +03:00.

Muy a menudo las alertas se disparan cuando los técnicos están presentes en campo haciendo mantenimiento o pruebas de rutina. Los datos también indican si la alerta se detectó durante el funcionamiento normal o durante el mantenimiento. 
  
En este caso, la actividad se produjo durante el funcionamiento normal. Ningún equipo de técnicos estaba presente en campo cuando ocurrió. Por lo tanto, "Ocurrió durante el mantenimiento" se establece en "No".

¿En qué parte de la red tuvo lugar el evento?

En particular, GridOps nos proporciona un panel de control del inventario de activos que maximiza la visibilidad en toda la red eléctrica. El diagrama de la red nos muestra que tanto el actor como la víctima se encuentran en el nivel de control de la estación, que corresponde al nivel 2 de Purdue de la red, como se indica en las asignaciones indicadas.

Al basarse en el inventario de activos en tiempo real y en el mapeo de la topología, cada alerta mostrada en el panel de control de GridOps Alerts proporcionará información sobre el origen del evento y el lugar en el que se produjo.

¿Quién estuvo involucrado en el evento?

Como StationGuard utiliza una metodología de listas de elementos permitidos para detectar el tráfico sospechoso o prohibido, originalmente definimos y aprobamos cada comunicación de todos los dispositivos de la subestación. 

Esta información puede importarse a StationGuard, ya sea desde el archivo SCD (descripción de configuración de subestación) según IEC 61850, que puede exportarse desde las herramientas de ingeniería, o desde las hojas de cálculo que documentan la ingeniería de la red. 

La alerta nos indica que el tráfico no está aprobado. Encontramos un actor interno que está asociado al incidente. La dirección IP del actor es 192.168.1.123 y la dirección IP del objetivo es 192.168.1.200
 
Para permitir una comunicación eficiente entre los responsables de seguridad y los ingenieros de protección y SCADA, GridOps indica los nombres de ingeniería de cada activo, en lugar de las meras direcciones IP. Estos nombres de ingeniería pueden importarse desde archivos de ingeniería y hojas de cálculo.
 
Cada alerta emitida por StationGuard destaca las entidades que causan o contribuyen al evento, qué tipo de activos están implicados, quién es el actor y quién ha sido identificado como objetivo(s).
  
Ahora podemos leer fácilmente el nivel de tensión, la bahía y los nombres de los equipos implicados en el evento. 

¿Cómo se llevó a cabo el incidente de seguridad?

Descubrimos que el atacante intentó establecer una conexión proxy Socks en el mismo puerto utilizado para la conexión MySQL (puerto TCP 3306). 

Todas las alertas emitidas por StationGuard permiten conocer la naturaleza de la acción, cómo se llevó a cabo la actividad y qué hizo el actor para provocarla. Un incidente es causado por al menos una acción, pero la mayoría comprenderá múltiples actividades. 

¿Por qué el IDS emitió una alerta en primer lugar?

Quedan algunas preguntas:  

  • ¿Por qué el IDS emitió una alerta en este caso? 
  • ¿Qué permisos o políticas de comunicaciones se infringieron? ¿Por qué se configuraron los permisos de comunicaciones de esta manera? 
  • ¿Por qué no era una comunicación legítima del dispositivo de origen? 
  •  

StationGuard visualiza qué comunicaciones están permitidas; todo lo demás está prohibido por defecto. Vemos que hay una conexión permitida entre la HMI y el servidor de la base de datos historiadora a través del enrutador. Además, la aplicación "MySQL" constaba en la lista de permitidos para esa conexión; la alerta se produjo porque ya no es MySQL. 
 
Finalmente, la Ayuda<(strong> de StationGuard nos proporciona los posibles problemas que causaron el incidente. Nos proporciona una guía paso a paso para abordar todas las preguntas de tipo por qué mencionadas. La alerta es nuestro punto inicial para investigar. Lo que más nos interesa en este momento son las siguientes preguntas: 

P: ¿Se trata de una conexión diferente a un servicio en un nuevo número de puerto (del lado del servidor) o ha cambiado la aplicación de esa misma conexión?  
A: Descubrimos que se trata del segundo caso. El número de puerto de destino era el mismo, pero la capa de aplicación cambió de MySQL a Socks. Esta actividad parece sospechosa.
P: ¿Tienen todos los dispositivos correspondientes las funciones correctas asignadas? ¿Hay alguna función de este dispositivo que no se haya utilizado hasta ahora?  
A: Esta pregunta requiere conocimientos de OT sobre el dispositivo y su finalidad. Los ingenieros de OT implicados confirmaron que no se espera ninguna conexión de salida desde la HMI, excepto una conexión a la base de datos. 

Esto deja ahora la sospecha de que el comportamiento podría ser causado por un malware en la HMI. StationGuard registra una captura de red de cada evento. Capturamos estas pruebas y nos dirigimos al proveedor de la HMI.  
 
El contexto de la alerta ayuda a precisar por qué fue posible el incidente en primer lugar. Esta información es útil a muchos niveles: por ejemplo, para evaluar los fallos de control de seguridad y las vulnerabilidades de los activos e identificar las estrategias de mitigación.   
>
En el ejemplo ficticio anterior, documentamos una posible cadena de respuesta: desde la detección de un comportamiento sospechoso por parte de una HMI en una subestación hasta el rastreo de una infección de malware en ese dispositivo HMI. Ilustró cómo StationGuard, en combinación con GridOps, permite la detección, el rastreo, la visualización y el análisis de comportamientos sospechosos en las redes OT de la red eléctrica en una sola aplicación. Cuando se trata de determinar el qué, cuándo, dónde, quién, porqué y cómo detrás de los incidentes de seguridad, nuestra interfaz unificada permite una colaboración eficiente entre los responsables de informática y los expertos en OT, de forma que se puedan aprovechar al máximo las capacidades combinadas.

 

Capturas de pantalla relacionadas

Qué ocurrió - Panel de control de alertas GridOps
Qué ocurrió - Vista del diagrama de red a nivel de sensores que muestra la red de la subestación
Cuándo ocurrió - Datos de la alerta
Dónde ocurrió - Asignación de los diagramas de red de subestación a la Arquitectura de Referencia de Purdue
Quién estuvo involucrado - Datos sobre los dispositivos de origen y destino implicados en la alerta
Cómo ocurrió - Datos sobre la aplicación detectada y los números de puerto de esta conexión
Por qué ocurrió - Permiso de lista de comunicaciones permitidas para la conexión a la base de datos

Mejore su StationGuard con nuestro componente GridOps 

El componente GridOps de StationGuard es la solución centralizada para proporcionar una visión holística de muchas tareas operativas en la red eléctrica digital, empezando por las operaciones de seguridad y las funciones de inventario de activos en la primera versión. Desde el análisis de las alertas de seguridad hasta el inventario de activos y la gestión de vulnerabilidades, GridOps reúne a los ingenieros de protección y a los especialistas en informática en la misma aplicación. Permite a los responsables de seguridad informática ver la ciberseguridad de la red, realzada con los conocimientos de tecnología operativa, y permite a los ingenieros de OT participar en las operaciones de ciberseguridad de la red en un entorno familiar. 

Funciones principales de GridOps
GridOps ofrece potentes funciones que ayudan en las operaciones de seguridad de la red eléctrica. Puede ... 

  • gestionar de forma centralizada todos los sensores IDS de StationGuard y ver el estado actual de las amenazas, 
  • utilizar el análisis avanzado de alertas y las estadísticas, 
  • gestionar el inventario de activos de forma global y ser notificado de los activos descubiertos, 
  • beneficiarse de la valiosa detección de vulnerabilidades y asistencia en los flujos de trabajo de gestión de riesgos, y 
  • obtener una visión más profunda con los informes de seguridad y la información sobre los activos. 
  •  


Inventario global de activos
Siga fácilmente todos los activos detectados y los cambios de configuración, y mantenga una lista actualizada de los activos publicados por los sensores de StationGuard en toda la red eléctrica.  

Panel de control de alertas  
Obtenga una visión general del estado de las alertas en todos los sitios y visualice su postura de seguridad.  

Vista de red a nivel de sensor  
Navegue desde una visión general a nivel de red eléctrica hasta una vista específica del centro de control, la central eléctrica o la subestación para obtener una visión general sobre las alertas.  


Haga clic en el enlace y descubra todos los puntos fuertes de nuestro componente GridOps que incluyen dos ventajas adicionales: Inventario de activos y Gestión de vulnerabilidades.

Descubra más historias de portada de OMICRON

Escucha nuestros podcasts

Está utilizando una versión de navegador desactualizada.
Por favor, actualice su navegador o utilice otro para ver correctamente esta página.
×