Al diseñar una red OT, es fundamental adoptar un enfoque integral que promueva la protección y confiabilidad de los sistemas en entornos industriales. No se trata únicamente de implementar medidas de seguridad, sino también de optimizar la eficiencia y el rendimiento de la reden su totalidad.
Un factor clave para lograr una red industrial eficiente y segura es la segmentación de red. La segmentación de red OT implica dividir la red en segmentos más pequeños y aislados entre sí, con el objetivo de optimizar el tráfico y evitar que una vulnerabilidad afecte a toda la red.
La segmentación de red ofrece varias ventajas en términos de seguridad, además de cumplir con los requisitos del estándar de seguridad ISA/IEC 62443. Una de estas ventajas es el mayor control sobre quién tiene acceso a qué recursos. Al limitar el acceso solo a los usuarios o dispositivos que realmente necesitan interactuar con una determinada subred, se reduce la superficie de ataque y se disminuyen las posibilidades de intrusiones no autorizadas.
Clasificación de activos
La clasificación de los activos es el primer paso en el proceso de segmentación de red. Al dividir una red en segmentos más pequeños y aislados, es importante identificar y clasificar los activos según su importancia y nivel de sensibilidad. Esta clasificación ayuda a establecer un enfoque de seguridad adecuado y asignar los recursos necesarios para proteger cada segmento de manera eficiente.
Existen diferentes criterios para clasificar los activos en la segmentación de red. A continuación, se presentan algunas categorías comunes:
- Activos críticos: Son aquellos componentes de la red que son fundamentales para el funcionamiento y la operatividad del entorno de control industrial. Esto puede incluir sistemas de control, controladores lógicos programables (PLCs), interfaces hombre-máquina(HMI), bases de datos, servidores, dispositivos de seguridad física y otros dispositivos esenciales. Estos activos suelen ser de alta importancia y requieren un nivel máximo de protección.
- Activos sensibles: Se refieren a los componentes de la red que contienen información confidencial o estratégica. Pueden incluir datos de producción, fórmulas o procesos patentados, información de clientes, datos de investigación y desarrollo, entre otros. Estos activos requieren una protección adecuada para prevenir la filtración o el acceso no autorizado a la información sensible.
- Activos de soporte: Incluyen dispositivos y sistemas que brindan soporte y funcionalidad adicional a la red de controlindustrial, pero no son esenciales para su operación básica. Pueden ser equiposperiféricos, sistemas de comunicación, impresoras, entre otros. Aunque suclasificación puede ser de menor importancia, aún es necesario considerar su seguridad para evitar posibles vulnerabilidades.
- Activos externos: Se refieren a los componentes de la red que están conectados externamente, como dispositivos de acceso remoto, proveedores de servicios o sistemas de terceros. Estos activos representan un punto de entrada potencial para ataques externos y requieren una segmentación y protección adecuadas para salvaguardar la red interna de posibles amenazas externas.
Al clasificar los activos en diferentes categorías y asignar niveles apropiados de seguridad, se puede aplicar controles específicos a cada segmento de la red, garantizando así una protección adecuada para los activos más críticos y optimizando los recursos de seguridad de acuerdo con las necesidades y prioridades del entorno de control industrial.
Diseño de red basado en el Modelo de Purdue
La normativa la normativa ISA/IEC 62443 recomienda utilizar el Modelo de Purdue para el diseño de una red segmentada. Este modelo divide la reden 5 niveles principales que agrupa los dispositivos en función de su funcionalidad y criticidad. Los tres niveles de abajo estarían destinados para el entorno OT y los dos niveles superiores para el entorno IT. Entre el nivel 3 y el nivel 4tendríamos una DMZ que hace de barrera entre el entorno OT y el entorno IT.
- Nivel 0 (Nivel de campo). Se encuentran los dispositivos decampo, como sensores, actuadores y otros dispositivos de entrada/salida (E/S).Algunos ejemplos son: bombas, válvulas, motores, sensores de temperatura, caudalímetros, medidores de nivel … En este nivel, se adquieren los datos de la planta para su posterior procesamiento y monitorización.
- Nivel 1 (Nivel de control). El nivel 1se compone de controladores de lógica programable (PLCs), sistema de control distribuido (DCSs), unidades de telemetría remotas (RTU), entre otros dispositivos de control. Son los encargados de controlar las variables del proceso, como la temperatura, la presión, el caudal, etc … mandando órdenes a los dispositivos del nivel inferior en función de las condiciones, como por ejemplo: abrir o cerrar válvulas, encender o apagar equipos. Para ello, utilizan los protocolos de comunicación indicados.
- Nivel 2 (Nivel de supervisión). El nivel 2 se compone de los sistemas de supervisión y control, por medio de sistemas HMI (Human Machine Interface), los cuales permiten hacer esto a ‘’pie de línea’’ o SCADAs que permiten una visión centralizada de todos los procesos y la supervisión en tiempo real de los datos que recolectan los PLCs, DCs del nivel anterior.
- Nivel 3 (Nivel de operaciones). En este nivel se lleva a cabo la gestión de la información y el análisis de datos a gran escala. Se utilizan sistemas para realizar la gestión, registrar datos y gestionar las operaciones y el rendimiento de la planta. También se incluyen bases de datos o historiales para registrar los datos de las operaciones.
- DMZ (Zona desmilitarizada). La DMZ se utiliza para separar la red de automatización del resto de la red corporativa, permitiendo un intercambio de información controlado desde la red corporativa a los sistemas de automatización. En la DMZ se ubican los servidores de aplicaciones de automatización, como los servidores de supervisión y control, los servidores de bases de datos y los servidores de historial. Estos servidores se conectan a través de firewalls ala red de automatización y a la red corporativa para protegerlos contra ataques externos.
- Nivel 4 y Nivel 5 (nivel empresarial). Corresponde a los sistemas y redes IT (tecnologías de la información). En este nivel se encuentran sistemas y servicios como el correo electrónico, la gestión de archivos, la gestión de usuarios y contraseñas, la gestión de bases de datos, el acceso a Internet y otros servicios de red empresarial. Desde esta red únicamente se dará acceso a la red DMZ para acceder a la visualización de datos de los diferentes servidores situados en la red DMZ.
Definición de zonas y conductos e implementación de firewalls
Dentro de estos niveles, es importante definir adecuadamente las zonas y los conductos. Una zona es un grupo de equipos, que pueden pertenecer a distintos niveles, con los mismos requisitos de seguridad, mientras que los conductos son las rutas por las que se realiza la comunicación o el intercambio de información entre estas zonas. Es fundamental realizar un análisis detallado para configurar de manera precisa los servicios permitidos en cada una de las zonas.
Los firewalls son una de las soluciones para controlar los conductos, ya que mediante reglas de control de acceso permiten o deniegan la comunicación entre zonas. Por ejemplo, identificamos un activo de una celda concreta que recibe datos de control de uno de los servidores, y a su vez este envía resultados del proceso de forma constante. En este caso como se conoce tanto la IP de origen como la de destino y los protocolos utilizados, se puede configurar una regla que permita el paso a ese tipo de tráfico y deniegue el resto. Esto sería una regla muy restrictiva que aseguraría un gran nivel de seguridad en la celda. Es decir, es necesario realizar un análisis para realizar una configuración precisa de los servicios permitidos en cada una de las celdas.
En resumen, la segmentación de red OT permite optimizar el tráfico y mejorar la seguridad al dividir la red en segmentos más pequeños e independientes. Al diseñar la red OT, es esencial adoptar un enfoque integral que tenga en cuenta la protección, la confiabilidad, la eficiencia y el rendimiento de los sistemas en entornos industriales. Para lograrlo, es importante comprender los requisitos de seguridad específicos, evaluar los servicios y sistemas necesarios, y establecer los controles adecuados. Estas medidas garantizarán una red eficiente, segura y alineada con los objetivos de tu organización. Sin embargo, además de la segmentación de red, también se deben implementar otras medidas de seguridad para fortalecer la protección de los activos críticos y mitigar posibles amenazas.
Contáctanos, te asesoramos y acompañamos en tu plan de seguridad.
¿Te ha gustado?
Compártelo en redes sociales
