Firewalls del sistema de control industrial moderno

¿Tiene un firewall perimetral que conecte su empresa a la Internet pública? Aprenda a proteger sus productos de software de sistemas de control industrial (ICS) en redes ICS.

Por Adam Jongewaard, analista de Infraestructura OT y seguridad en Interstates, y David Smit, Infraestructura OT y seguridad en Interstates.

¿Tiene un firewall perimetral que conecte su empresa a la Internet pública? Con el Internet industrial de las cosas (IIoT) y los esfuerzos de transformación digital, la cantidad de dispositivos debajo de los firewalls conectados a Internet está aumentando a un ritmo alarmante. El hecho alarmante es que este aumento en el recuento de dispositivos no incluye sistemas con vulnerabilidades que afecten a los sistemas operativos estándar que ejecutan productos de software de Sistemas de control industrial (ICS) en nuestras redes ICS. Se pueden tomar varios pasos para ayudar a proteger su entorno ICS, incluido el uso de hardware, software y sus políticas de red ICS internas. Comprender las opciones de su firewall lo ayudará a tomar la decisión correcta para sus redes.

David Smit, OT Infraestructura y seguridad en InterstatesDavid Smit, OT Infraestructura y seguridad en InterstatesFirewalls ICS

Los firewalls ICS y los firewalls en general no son un concepto nuevo. De hecho, probablemente verá que se utiliza la misma tecnología entre su red interna y la Internet pública en la actualidad. El propósito del firewall es mantener el tráfico malicioso fuera de su entorno y mantener dentro sus datos altamente seguros y la información del proceso de flujo de trabajo. Aquí es donde entran en juego los firewalls ICS.

Existe un nuevo mercado de firewalls "reforzados" en entornos ICS que pueden ser factores de forma de PC industrial (IPC). Estos firewalls pueden no tener ventiladores o tener clasificaciones específicas de temperatura y polvo, pero funcionan de la misma manera que cualquier firewall de TI, aunque con algunas excepciones únicas. Algunos pueden no estar reforzados para entornos industriales hostiles o lo suficientemente compactos como para caber dentro de un panel de control, y otros pueden no tener algunas de las características específicas de manejo de datos para protocolos de fabricación únicos como EthernetIP o Modbus. Sin embargo, lo fundamental que tienen es una forma de filtrar el tráfico entrante y saliente hacia y desde su red ICS y su red de oficina estándar.

Adam Jongewaard, analista sénior de seguridad e infraestructura de OT, Interstates Control Systems.Adam Jongewaard, analista sénior de seguridad e infraestructura de OT, Interstates Control Systems.Firewalls ICS Edge

Con una función similar a los firewalls Core ICS, los firewalls Edge están hechos para proteger aún más sus redes industriales. Sin embargo, a diferencia de los firewalls ICS, los firewalls Edge son un concepto relativamente nuevo en entornos ICS. Los firewalls Edge están diseñados para estar más cerca de su equipo individual, lo que le permite configurar la microsegmentación en su red y aislar aún más los dispositivos y el tráfico de capa 2.

Los firewalls Edge normalmente se colocan cerca de la parte superior de una línea o pieza de equipo. Esta ubicación le permite implementar conceptos IEC 62443 como Defensa en Profundidades y Zonas y Conductos Seguros.

Asegurar su red ICS

Existen algunas reglas estándar que se deben seguir al proteger su red ICS:

·       Nunca ponga dispositivos de IoT de usuario final, de terceros, inteligentes o no industriales en la red de ICS, a menos que estén aprobados temporalmente o tengan una tarea específica permitida por su política de red de ICS.

·        Los dispositivos de la red ICS normalmente no necesitan acceder a la Internet pública. Si no puede controlar de dónde obtienen sus datos, es mucho más fácil para ellos verse comprometidos.

·        La regla más importante a seguir es evitar que el tráfico innecesario cruce  firewalls. Esta restricción requiere que comprenda e interprete completamente el tráfico que ve en su entorno.

Existen muchas formas de proteger sus redes ICS, desde el hardware hasta el software. Encontrar un integrador de sistemas de confianza como Interstates lo ayudará a navegar por la cambiante tecnología de firewalls y a mantener seguras sus redes industriales.

Adam Jongewaard y David Smit son analistas de sistemas que trabajan en tecnología operativa en Interstates, Inc., miembro certificado de la Control System Integrators Association (CSIA). Para obtener más información sobre Interstates, Inc., visite su perfil en Industrial Automation Exchange.

 

Más en Ciberseguridad