Industrial que implican una serie sistemática de procesos químicos, físicos, eléctricos y mecánicos suelen estar protegidos por sistemas tradicionales y obsoletos, que nunca se diseñaron para hacer frente a las amenazas modernas en materia de ciberseguridad.
En los sectores de la producción energética y el refinado, estos procesos se centran en la transformación de materias primas en energía a gran escala. Los distintos equipos de tecnología operativa (OT) que se utilizan en las refinerías de petróleo deben comunicarse entre sí para que los procesos de ingeniería funcionen correctamente.
Y aquí es donde surge la vulnerabilidad crítica.
Los sistemas de control, como los PLC, los DCS y los SCADA, suelen dar por sentado que cualquier entidad que se comunique con ellos es de confianza. Por lo tanto, pueden carecer de autenticación, cifrado o la capacidad de validar comandos.
Si los sistemas OT se encuentran en la misma red que los sistemas de TI (herramientas de acceso remoto, conexiones de subcontratistas u ordenadores portátiles de mantenimiento), cualquier brecha de seguridad en esas áreas menos seguras puede afectar directamente al entorno de control. En consecuencia, un incidente de seguridad que se inicie en el ámbito de TI puede propagarse lateralmente al ámbito de OT sin apenas resistencia.
Los ataques DoS/DDoS, el software mal configurado o los usuarios con intenciones maliciosas pueden comunicarse directamente con los sistemas de control, lo que podría alterar los valores de los procesos, detener la producción, dañar los equipos o generar condiciones de funcionamiento inseguras.
Los entornos de tecnología operativa (OT) dan prioridad a la disponibilidad y la estabilidad. No se trata de sistemas a los que se puedan aplicar parches rápidamente, lo que significa que las vulnerabilidades permanecen expuestas a ser explotadas durante largos periodos de tiempo. Por lo tanto, en una red plana o mal segmentada, un solo incidente puede agravarse rápidamente y afectar a múltiples activos o emplazamientos.
Nuestro cliente, una de las mayores empresas cotizadas del mundo en los sectores de la energía y la química, tomó conciencia de su exposición al riesgo y se propuso abordar las vulnerabilidades derivadas de los sistemas heredados mediante la segmentación.
Con una segmentación adecuada, las redes se separan en función del riesgo y la función. De este modo, solo se puede acceder a los activos críticos de la tecnología operativa (OT) a través de vías estrictamente controladas, mientras que la comunicación se define y restringe de forma explícita, en lugar de darse por sentado que es segura por defecto.
Dado que los cortafuegos informáticos tradicionales resultaron ineficaces a la hora de gestionar sus protocolos de comunicación específicos, la organización recurrió alFirewall Industrial MetaDefender OPSWATFirewall crear una segmentación segura entre los activos críticos de tecnología operativa (OT) y las zonas menos seguras.
Cuando la ciberseguridad se convierte en seguridad nacional
Como importante operador europeo del sector del petróleo y el gas, los procesos del cliente dependían de una infraestructura repartida entre múltiples refinerías, plataformas de perforación marítimas y centros de control de oleoductos.
Esta infraestructura dependía en gran medida de sistemas industriales heredados, como los PLC, las plataformas SCADA y las IHM.
Estos sistemas se diseñaron originalmente pensando en la fiabilidad y la disponibilidad, no en la ciberseguridad. Carecían de autenticación integrada, cifrado y registro detallado.
Los cortafuegos informáticos tradicionales resultaban ineficaces a la hora de gestionar los protocolos de comunicación específicos utilizados en entornos de tecnología operativa (OT) y sistemas de control de procesos (CPS), lo que dejaba a los sistemas expuestos a:
- Tráfico de red innecesario y riesgos de movimiento lateral
- Posibles puntos de entrada para el ransomware y los ciberataques dirigidos
- Dificultades para aplicar un control granular sobre los protocolos industriales
No se trata de riesgos que una organización que opera en los sectores de la producción y el refinado de energía pueda simplemente pasar por alto: los ataques contra los sistemas energéticos pueden poner en peligro la seguridad pública, interrumpir servicios esenciales y debilitar la seguridad nacional.
En lugar de esperar a que ocurriera lo peor, el cliente se propuso resolver la precaria situación a la que se enfrentaba la organización mediante la implantaciónFirewallIndustrial MetaDefender OPSWAT.
Garantizar la Industrial cumpliendo al mismo tiempo los requisitos de las normas IEC 62443 y NIS2
La empresa implementóFirewall Industrial OPSWAT MetaDefender Firewall crear una segmentación segura entre los activos críticos de tecnología operativa (OT) y las zonas menos seguras.
MetaDefender Industrial Firewall
NuestroFirewall Industrial Firewall operaciones es un cortafuegos robusto y de alto rendimiento, diseñado como última línea de defensa frente a errores de configuración accidentales, usos maliciosos, amenazas de día cero, ataques DoS y DDoS, y anomalías potencialmente perjudiciales.
Gracias a su inspección profunda de paquetes para protocolos industriales y al control de acceso basado en políticas, el cortafuegos permitió al cliente:
- Proteger los activos de OT/ICS frente a los ciberataques dirigidos a los sistemas PLC, SCADA y DCS.
- Filtrar y controlar los protocolos industriales para bloquear los comandos no autorizados, permitiendo al mismo tiempo un funcionamiento seguro.
- Proteja las estaciones de trabajo de los historiadores y los ingenieros frente a intentos de acceso no autorizado.
Asistencia en materia de cumplimiento de las normas IEC 62443 y NIS2
Gracias alFirewall Industrial Firewall operaciones, también se prestó apoyo al cliente en sus esfuerzos por cumplir con los requisitos de la norma IEC 62443 y la Directiva NIS2 para los operadores europeos de servicios esenciales.
La Directiva NIS2 | IEC 62443 |
Aplicación de la gestión de riesgos: Garantiza la segmentación de la red entre las tecnologías de la información (TI) y las tecnologías operativas (TO) para reducir el riesgo cibernético sistémico que afecta a los servicios esenciales. | Arquitectura de zonas y canales: |
Reducción de la superficie de ataque: | Validación a nivel de comando: |
Resiliencia operativa: | Filtrado de comandos Industrial : |
Controles preparados para auditorías: | Integridad de control y comunicación (SR 3.x): |
Responsabilidad a nivel del consejo de administración: « | Aplicación de medidas de control de acceso para los activos de tecnología operativa (OT): Restringe el acceso a los PLC, al sistema SCADA y a las estaciones de trabajo de ingeniería |
Control arquitectónico o segmentación, estabilidad operativa y mejora de la gobernanza
Firewall Industrial MetaDefender Firewall actúa como sistema de control compensatorio para los activos heredados o aquellos a los que no se pueden aplicar parches, algo bastante habitual en refinerías y redes de oleoductos.
Gracias al Firewall, el cliente ahora puede:
- Evitar que se envíen comandos accidentales o no autorizados a los controladores mediante la inspección de los protocolos industriales.
- Contener las interrupciones a nivel de cada centro, evitando que se propaguen a otras instalaciones interconectadas.
- Limitar el tráfico anómalo y los paquetes con formato incorrecto para garantizar la disponibilidad del controlador.
- Segmentar los sistemas de seguridad de las redes de control estándar para reducir el riesgo operativo.
- Garantizar una aplicación auditable de la gestión del acceso para proveedores y contratistas.
Oportunidades futuras
Nuestro cliente es consciente de que la segmentación segura es solo el primer paso para implementar una sólida estrategia de defensa en profundidad.
Y, sin embargo, se trata de un paso importante, ya que prepararse para el crecimiento futuro permite a la organización continuar con sus procesos en un entorno seguro.
Ahora, el cliente puede reforzar aún más su estrategia de ciberseguridad mediante:
- Integración de MetaDefender Industrial Firewall MetaDefender OT Security obtener visibilidad de los activos y vulnerability detection las redes de refinerías y oleoductos.
- Aprovechar MetaDefender OT Access permitir un acceso remoto y seguro a los entornos de tecnología operativa (OT).
- Desarrollar una estrategia de defensa por capas en las plataformas marítimas y las refinerías para mitigar los riesgos derivados de personas internas y de la cadena de suministro.
Si su organización tiene como objetivo modernizar y proteger su red a gran escala, elFirewall Industrial MetaDefender Firewall ayudarle a agilizar la resolución de problemas y mejorar las operaciones.
Ponte en contacto con nosotros para descubrir cómo nuestra OPSWAT puede proteger tus sistemas.
