Cómo elegir el IDS adecuado para las redes OT

Para una protección eficaz de todos los elementos de un ecosistema industrial contra amenazas, es necesario conocer el verdadero alcance de los mecanismos existentes capaces de detectar posibles anomalías e intrusiones. El objetivo de este artículo es revisar el estado de las funcionalidades de los IDS (Sistemas de Detección de Intrusiones), así como presentar las soluciones existentes en el mercado.

Introducción

El control de entornos industriales mediante sistemas como SCADA (Supervisory Control and Data Acquisition) está presente en la mayoría de las infraestructuras críticas (por ejemplo, redes eléctricas, plantas nucleares o sistemas de transporte). Estos sistemas de control permiten el acceso remoto y en tiempo real a dispositivos que gobiernan el ciclo de producción, ya sean controladores como PLC (Field Programmable Logic Controllers), o RTU (Remote Terminal Units).

Tradicionalmente, los sistemas SCADA y las redes industriales debían estar aislados de otros entornos. Sin embargo, en la actualidad, se trata de la interconexión de sistemas SCADA para el almacenamiento de datos o la externalización de servicios, así como una estandarización del software y hardware utilizados en los sistemas de control. En consecuencia, se ha producido un aumento sustancial en los riesgos de seguridad basados en nuevas amenazas específicas que operan bajo diferentes modos de amenaza. 

Una solución para mitigar estos efectos es la provisión de enfoques basados en la concienciación (por ejemplo, la concienciación de la situación), que ayudan a proporcionar las herramientas necesarias para favorecer la detección y respuesta a los ataques y/o anomalías. Muchas de estas anomalías surgen de conflictos o de seguridad debidos a problemas de interoperabilidad, probablemente causados por múltiples protocolos de comunicación y control. En este trabajo se presentan las principales funcionalidades que ofrecen los IDSs actuales, así como una lista detallada de las soluciones existentes en el mercado. 

En este trabajo nos centramos en las capacidades avanzadas de las soluciones IDS, principalmente el uso de tecnologías de IA y tecnologías de Big Data. A través de este trabajo también presentamos la solución SANTI IA como una solución competidora en el mercado de IDS con capacidades específicas de OT.

 

Funcionalidades del IDS

Funciones básicas

Mapeo de la red

El mapeo de la red es el proceso de visualizar todos los dispositivos de su red, cómo están conectados y cómo está estructurada la red en general. Generalmente proporciona información sobre si la red está funcionando correctamente o si algún dispositivo en particular tiene algún problema.

El mapeo de red es de vital importancia para estar al tanto de su rendimiento, así como para localizar los cuellos de botella y para solucionar los problemas. Pero abordar este proceso manualmente con una red grande o compleja puede resultar abrumador. 

Gracias a la capacidad de mapeo de SANTI, puede tener una visión completa y detallada de sus comunicaciones y activos de red. SANTI proporciona un mapa interactivo que ayuda a explorar los dispositivos y las comunicaciones ocultas de su red.

Gestión de activos

La gestión de dispositivos es el proceso de gestión de la implantación, operación y mantenimiento de un dispositivo físico y/o virtual. Es un término amplio que incluye diversas herramientas y procesos administrativos para el mantenimiento y la conservación de un dispositivo informático red, dispositivo móvil y/o virtual.

La gestión de dispositivos generalmente realiza lo siguiente:

• Instalar los controladores de los dispositivos y componentes y el software relacionado.
• Configurar un dispositivo para que funcione como se espera utilizando el sistema operativo, el software de negocio/flujo de trabajo y/o con otros dispositivos de hardware.
• Implementar medidas y procesos de seguridad.

Cuando se trata de sistemas IDS, esta funcionalidad suele referirse a la aplicación de procedimientos de segregación y procedimientos de protección de dispositivos para mantener la red segura. Los dispositivos suelen referirse a dispositivos físicos/hardware como ordenadores, portátiles, servidores, teléfonos móviles, etc. Pero en el caso de las redes OT, los dispositivos suelen ser:

• PLC
• RTU
• MTU
• SCADA
• PC’s de estación de trabajo
• IED
• CS PBX
• Módem CS
• Servidor: Servidor de adquisición de datos, Servidor de aplicaciones, Historian, Servidor de base de datos, Servidor de configuración, ordenador HMI
• Módulo de E/S Ethernet
• Conmutador gestionado
• Convertidor de protocolo

SANTI proporciona las herramientas necesarias para gestionar los activos de la red según sea necesario para las mediciones de seguridad. Desde la identificación y etiquetado de dispositivos hasta la creación de una lista negra en función de su nivel de criticidad. Con su lista ampliada de etiquetas e iconos de dispositivos, puede tener una visión más completa de sus activos.

Gestión de alertas

La gestión de alertas de eventos se ocupa de cualquier tipo de alerta de eventos en la infraestructura y los servicios OT. Un proceso bien definido y controlado conduce a la gestión eficaz de estos eventos y alertas. La gestión de alertas de eventos se activa cuando se producen señales o mensajes notables que tienen importancia para los servicios de la infraestructura. Normalmente, estos eventos y alertas son generados por herramientas de monitorización, elementos de configuración (CI) o servicios OT.

Cada alerta de evento se clasifica determinando su importancia, se analiza y se maneja reflejando una regla de manejo. La gestión se realiza mediante operaciones humanas o automatizadas y puede ir seguida de un conjunto de acciones. Los eventos y alertas que son críticos para la prestación de una clase de servicios definida se remiten a la gestión de incidentes, problemas o a la gestión de cambios.

SANTI notifica claramente a los usuarios las amenazas en la red a través de sus categorías de alertas en función del nivel de riesgo. Estas alertas están codificadas por colores y detalladas con información dinámica (no hay alertas genéricas). SANTI también ayuda a los responsables de seguridad mitigar y silenciar estas alertas mediante los procedimientos adecuados.

Motores de reglas

El motor de reglas es una pieza de software que ejecuta reglas de acuerdo con algún algoritmo. Combina un conjunto de hechos que se insertan en el sistema con su propio Set para llegar a la conclusión de desencadenar una o varias acciones. Estas reglas suelen describir de forma declarativa la lógica de negocio que debe implementarse en nuestro entorno (que suponemos que rara vez cambia). Los hechos, por su parte, describen las condiciones del sistema sobre el que se va a operar; pueden cambiar con frecuencia. La lógica, o las reglas en nuestro caso, son piezas de conocimiento que a menudo se expresan como «Cuando algunas condiciones se evalúan como verdaderas, entonces hay que hacer algunas tareas».

Un sistema con un gran número de reglas y hechos puede dar lugar a que muchas reglas sean verdaderas para los mismos hechos; en este caso, decimos que las reglas están en conflicto. Un motor de reglas puede utilizar diferentes estrategias de resolución de conflictos para determinar el orden de ejecución de las reglas afectadas. En un motor de reglas, existen dos métodos de ejecución:

• Encadenamiento hacia delante: es un método «basado en datos». Cuando se insertan o actualizan hechos, el motor de reglas utiliza los hechos disponibles y las reglas de inferencia para extraer más hechos hasta alcanzar un objetivo, en el que una o más reglas coincidentes serán simultáneamente verdaderas y se programarán para su ejecución. Por lo tanto, el motor de reglas comienza con los hechos y termina con la conclusión.
• Encadenamiento hacia atrás: es un método de inferencia o de «orientación hacia el objetivo», que se invierte con el encadenamiento hacia delante. El encadenamiento hacia atrás comienza con una conclusión o una lista de objetivos que el motor intenta satisfacer. Si no puede satisfacer estos objetivos, entonces busca subobjetivos que ayuden a satisfacer parte de los objetivos actuales. El motor continúa este proceso hasta que la conclusión inicial es probada o hasta que no haya más subobjetivos.

Las reglas de los sistemas IDS se definen para detectar anomalías y comunicaciones no autorizadas en la red.

A través de su avanzado motor de reglas dedicado a la detección de amenazas de ciberseguridad en redes OT, SANTI detecta patrones de conexiones no autorizadas y comportamientos inusuales en la red. Estas capacidades ayudan a los responsables de seguridad a identificar y eliminar las amenazas en la red de forma segura y rápida.

Colecciones de logs

En el mundo de la informática, un registro es un archivo que se produce automáticamente cada vez que ocurren ciertos eventos en el sistema. Los archivos de registro suelen llevar una marca de tiempo y pueden registrar prácticamente cualquier cosa que ocurra entre bastidores en los sistemas operativos o las aplicaciones de software – en pocas palabras, registran todo lo que el servidor, la red, el SO, o la aplicación cree que es importante tener en cuenta.

Los registros pueden documentar todo tipo de eventos que van desde los mensajes y las transacciones que se producen entre diferentes usuarios, lo que ocurrió durante una copia de seguridad, los errores que impidieron la ejecución de una aplicación, o los archivos que han sido solicitados por los usuarios desde un sitio web.

Hay varios tipos de registros: algunos pueden ser abiertos y leídos por los humanos, mientras que otros se guardan con fines de auditoría y no son legibles para el ser humano. Registros de auditoría, registros de transacciones, registros de eventos, registros de errores, registros de mensajes son sólo algunos ejemplos de los diferentes archivos de registro, cada uno de ellos con una finalidad diferente. Vienen en una amplia variedad de extensiones, tales como .log, .txt, o diferentes extensiones propietarias.

El primer paso en la gestión de registros es determinar cómo recoger los datos y dónde almacenarlos. Sus registros son datos agregados de diferentes partes del entorno de TI: sistema operativo, cortafuegos, servidores, conmutadores, routers, etc. 

En lo que respecta al almacenamiento los sistemas de seguridad, como los cortafuegos, son los más exigentes en cuanto al volumen de datos que producen. Estos sistemas suelen generar decenas de EPS (eventos por segundo), lo que requiere un recolector de registros que pueda manejar la cantidad correspondiente de registros. Aunque una red de OT puede ser estática, genera una gran cantidad de datos y la repetitividad de las comunicaciones entre máquinas (solicitud de datos, cambio de estado…) puede generar una gran cantidad de tráfico que se traduce en una importante cantidad de registros de seguridad en la red.

SANTI recoge todos los registros de tráfico de la red para futuros análisis y verificaciones. Esta funcionalidad ayuda a la inspección profunda del tráfico de la red. La centralización de los registros ayuda a los analistas de seguridad a proteger la red sin necesidad de recoger manualmente los registros de los diferentes historiadores y equipos de la red.

Interfaces intuitivas

Aunque muchos proveedores de IDS tienen una interfaz principal sencilla de entender en la que puede ver el estado global de la red. Cuando se trata de mostrar detalles de las vulnerabilidades y el estado de la red, la mayoría de las interfaces de los IDS están diseñadas para usuarios avanzados. Estas interfaces requieren la contratación de expertos en seguridad por parte del cliente para analizar los datos mostrados.

La interfaz de SANTI está desarrollada con el framework web Angular siguiendo las mejores prácticas y metodologías de seguridad para garantizar una visualización segura de la información. La interfaz de SANTI es altamente interactiva y fácil de entender y manejar. El uso de colores simples e indicativos ayuda al usuario a entender y gestionar la información de seguridad que se muestra. Además, SANTI es un sistema bilingüe con capacidades de interfaz en inglés y español.

Funcionalidades avanzadas

Capacidad de análisis de tráfico de la IA

Analizar y mejorar la postura de ciberseguridad ya no es un problema a escala humana. En respuesta a este reto sin precedentes, han surgido herramientas basadas en la Inteligencia Artificial (IA) para ciberseguridad con el objetivo de ayudar a los equipos de seguridad de la información a reducir el riesgo de infracción y mejorar su estado de seguridad de forma eficiente y eficaz.

Para un IDS, la capacidad de analizar datos complicados y detectar nuevas amenazas y patrones en la red es un atributo esencial. Debido al aumento del número de dispositivos conectados en las redes OT, así como la diversidad de dispositivos en estas redes, los sistemas IDS de última generación han sido cada vez más incapaces de detectar patrones avanzados y amenazas, debido a la complicación de la red o al tamaño de los datos tratados.

SANTI IA es una tecnología potenciada por la IA que aprovecha la capacidad de análisis avanzado de datos para detectar amenazas de seguridad y patrones de tráfico en la red que de otro modo no se detectarían mediante análisis o mediante métodos tradicionales.

Capacidades de Big Data

El Big Data es una colección de datos de enorme volumen que crece exponencialmente con el tiempo. Es un dato con un tamaño y una complejidad tan grandes que ninguna de las herramientas tradicionales de gestión de datos puede almacenarlo o procesarlo de forma eficiente. Big Data también son datos, pero de gran tamaño. Con el aumento del número de dispositivos conectados en el entorno OT, especialmente con la introducción de conceptos como dispositivos IoT e Industria 4.0. El tamaño de los datos generados por las redes OT es cada vez más complicado. Este tamaño de los datos y las complicaciones deben ser tratados a través de las tecnologías de Big Data.

SANTI IA con su módulo de Big Data podrá gestionar todos los datos generados de las redes industriales de gran tamaño con eficiencia y robustez. Aunque los datos de la red OT pueden ser estáticos, llevan una gran cantidad de datos debido a la naturaleza de los protocolos y servidores de la red (la recogida repetitiva de datos de los sensores de la red puede no llevar una gran cantidad de datos, pero la repetitividad de estas peticiones genera unos datos que necesitan tecnologías de big data para analizar de forma eficiente).

Escáner de vulnerabilidad

Un escáner de vulnerabilidad es un software diseñado para evaluar ordenadores, redes o aplicaciones en busca de debilidades conocidas. En palabras sencillas, estos escáneres se utilizan para descubrir las debilidades de un sistema determinado.

Aunque existen múltiples soluciones de escáner de vulnerabilidad en el mercado, pocas NO tienen capacidades de escaneo. Los dispositivos OT como infraestructuras críticas necesitan escáneres dedicados que puedan identificar las vulnerabilidades, así como asegurar el funcionamiento de estos dispositivos especialmente que alguna máquina OT puede apagarse fácilmente cuando recibe tráfico no identificado o cuando se encuentra sometida a scripts maliciosos o intrusivos.

SANTI utiliza OpenVAS como escáner de vulnerabilidades. Sus capacidades incluyen pruebas no autenticadas, pruebas autenticadas, varios protocolos industriales y de Internet de alto y bajo nivel, ajuste de rendimiento para escaneos a gran escala y un potente lenguaje de programación interno para implementar cualquier tipo de prueba de vulnerabilidad.

El escáner va acompañado de un feed de pruebas de vulnerabilidad con un largo historial y actualizaciones diarias. Este feed de la comunidad Greenbone incluye más de 50.000 pruebas de vulnerabilidad. El escáner ha sido desarrollado y mantenido por Greenbone Networks desde 2009. Los trabajos se aportan como código abierto a la comunidad bajo la Licencia Pública General de GNU (GNU GPL).

Greenbone desarrolla OpenVAS como parte de su familia de productos comerciales de gestión de vulnerabilidades «Greenbone Security Manager» (GSM). OpenVAS es un elemento de una arquitectura más amplia. En combinación con otros módulos de código abierto, forma la solución de gestión de vulnerabilidades de Greenbone. Sobre esta base, los dispositivos GSM utilizan una alimentación más amplia que cubre las necesidades de la empresa, un GVM con características adicionales, gestión de dispositivos y un acuerdo de nivel de servicio.

IDS choices in the Market

En este capítulo presentaremos las soluciones IDS más innovadoras y utilizadas en el mercado. Dentro de esta explicación presentaremos las empresas implicadas en el desarrollo de estas soluciones, el producto IDS desarrollado, las ventajas e inconvenientes. Para cada solución también presentaremos las ventajas de utilizar SANTI IA.

SANTI IA es una solución desarrollada actualmente por un equipo de expertos en seguridad industrial de InprOTech en colaboración con el centro de investigación y desarrollo Gradiant. El proyecto está financiado a través de la iniciativa NEOTEC, dedicada a apoyar la investigación avanzada y el desarrollo de productos.

SANTI IA sería una solución OT potenciada por IA con capacidades de nube y big data. Las soluciones soportarían una variedad de protocolos industriales y ayudarán a identificar múltiples amenazas avanzadas a través de las tecnologías implementadas. SANTI IA incorporaría funcionalidades básicas y avanzadas.

• Elección 1:

• • Empresa: its-security
  • Producto: CID360
  • Ventajas:
    • Detectar amenazas, correlacionar y analizar indicadores entre archivos, usuarios, dispositivos de red, identidades digitales y puestos de trabajo.
    • Se integra fácilmente en la infraestructura de seguridad existente, permitiendo a las organizaciones una rápida capacidad y flexibilidad de respuesta, neutralizando amenazas desconocidas, anomalías y malware no firmado que han sido eludidos por las soluciones de detección existentes.
    • Controla desde una única plataforma el estado de la ciberseguridad de la empresa

• • Desventajas:
    • Un producto de TI que se utiliza para OT

• • Cómo destaca SANTI:
    • SANTI IA es una solución dedicada de OT con capacidad de IA que utiliza mapeo avanzado para identificar hilos.

• Elección 2:
• • Empresa: Nozomi
  • Producto: SCADAGuardian
  • Ventajas:
    • Compatibilidad con un gran número de protocolos OT
    • Inventario de activos y análisis de vulnerabilidad.

• • Desventajas:
    • Número limitado de nodos soportados por máquina.

• • Cómo destaca SANTI:
    • SANTI IA tiene un análisis de vulnerabilidad activo.

• Elección 3:
  • Empresa: S2Grupo
  • Producto: Plataforma de S2GRUPO-CERT (GLORIA ICS)
  • Ventajas:
    • Gestión de alertas, correlación de eventos, vigilancia.

• • Desventajas:
    • No utiliza la capacidad de IA.

• • Cómo destaca SANTI:
    • Facilidad de uso (en comparación con múltiples módulos y plataformas).
    • Capacidad de IA.

• Elección 4:
  • Empresa: Fortinet
  • Producto: Fortisiem de Fortinet
  • Ventajas:
    • Seguridad con análisis de activos y comportamiento del usuario a través de la capacidad de IA (UEBA)

• • Desventajas:
    • No es específico para IT.
    • Complicado de instalar.
    • Rangos de precios elevados.

• • Cómo destaca SANTI:
    • Capacidad de IA específica para OT.

• Elección 5:
  • Empresa: Splunk
  • Producto: Splunk enterprise security
  • Ventajas:
    • Uso del aprendizaje automático para el análisis del comportamiento.

• • Desventajas:
    • No hay una solución dedicada al escaneo de vulnerabilidades de OT

• • Cómo destaca SANTI:
    • Fácil de implementar.
    • Económico.
    • Gestión avanzada de registros y alertas.

• Elección 6:
  • Empresa: Checkpoint
  • Producto: 1570R
  • Ventajas:
    • Protege todo tipo de activos OT.
    • No disruptivo para los procesos industriales críticos.
    • Segmentación completa entre las redes IT y OT.
    • Control granular a través del entorno OT.
    • Prevención de ataques de día cero.
    • Escalable.

• • Desventajas:
    • Solución inicialmente TI que se ha personalizado para OT, su versión anterior no estaba tan personalizada.

• • Cómo destaca SANTI:
    • Solución específica para OT.
    • Puntuación inteligente.

• Elección 7:
  • Empresa: IBM
  • Producto: IBM Security QRadar
  • Ventajas:
    • Soporte de múltiples protocolos industriales con módulo especializado.
    • Módulo de IA propio de IBM: Watson.

• • Desventajas:
    • Respuestas automáticas sólo disponibles a través de productos complementarios de IBM.
    • Interfaz de usuario poco consistente en los distintos componentes de la plataforma.
    • La experiencia de usuario (UX) en Qradar es poco moderna.

• • Cómo destaca SANTI:
    • Interfaz de usuario consistente.
    • Experiencia de usuario sencilla y actual.

• Elección 8:
  • Empresa: LogRhythm
  • Producto: LogRhythm
  • Ventajas:
    • Diferentes tipos de analítica en máquinas.
    • Amplia gama de módulos para aumentar funcionalidades.

• • Desventajas
    • No soportan bases de datos de vulnerabilidad de terceros.
    • Baja capacidad para soportar gran volumen de eventos.

• • Cómo destaca SANTI:
    • Un completo escáner de vulnerabilidades con capacidades de OT.
    • Un gestor de eventos y registros.
    • Específico para OT.

Conclusiones

Existen múltiples productos IDS en el mercado con una gran variedad de proveedores, así como funcionalidades. Esperamos que esta guía le ayude a elegir el sistema IDS adecuado para su infraestructura industrial teniendo en cuenta tanto las ventajas como el riesgo. En InprOTech, estamos desarrollando un sistema IDS de última generación con capacidad avanzada que le ayude a monitorizar y proteger sus instalaciones. Aunque tenemos nuestra propia solución, también ofrecemos una variedad de servicios de consultoría que pueden ayudarle a mejorar su seguridad.

Descarga aquí el Tech Paper