Arquitectura de ciberseguridad sostenible para SIS

Elegir una arquitectura SIS capaz de proteger una operación durante todo su ciclo de vida es una de las primeras decisiones que debe tomar una organización.

 

Cuando una organizaión inicia un proyecto de Sistema Instrumen­tado de Seguridad (SIS), una de las primeras decisiones que debe tomar es la elección de una arquitectura.

Es posible implementar sistemas exitosos y robustecidos utilizando una arquitectura SIS integrada o interconectada dentro de las restricciones que imponen los estándares internacionales de ciberseguridad, tales como IEC 62443, y/o las recomendaciones locales, tales como las pautas de NAMUR. Comprender los beneficios y las consideraciones detrás de cada arquitectura es crítico a la hora de tomar una decisión informada en la búsqueda de una solución que satisfaga de la mejor manera las necesidades de la organización.

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 1 – NAMUR ofrece un conjunto similar de pautas al del estándar de ciberseguridad ISA 62443, con funciones SIS agrupadas en tres zonas: SIS núcleo, SIS extendido y arquitectura del sistema de control (referido como ‘periféricos’ por NAMUR).

 

Comprender los estándares

Los estándares de ciberseguridad ofrecen pautas para separar los componentes críticos para la seguridad de los no críticos. Según las pautas de ISA, los activos críticos para la seguridad deben agruparse en zonas que estén lógica o físicamente separadas de los activos no críticos para la seguridad.

Por su parte, NAMUR ofrece un conjunto similar de pautas en la hoja de trabajo NA 163, “Evaluación de riesgos de seguridad de SIS”. Estas pautas definen tres zonas lógicas: SIS núcleo, SIS extendido y arquitectura del sistema de control (referido como ‘periféricos’ por NAMUR), que deben estar física o lógicamente separadas (figura 1).

Un SIS núcleo contiene los componentes necesarios para ejecutar la función de seguridad (logic solver, componentes de E/S, sensores y elementos finales).

El SIS extendido contiene los componentes del sistema de seguridad que no son necesarios para ejecutar la función de seguridad (por ejemplo, las estaciones de trabajo de ingeniería).

Los periféricos son componentes y sistemas, por ejemplo el sistema de control de procesos básico (BPCS por sus siglas en inglés), que no son ni directa ni indirectamente asignados a SIS, pero podrían usarse en el contexto de una función de seguridad (por ejemplo, una solicitud de reinicio desde la BPCS o la visualización de la función de seguridad en una HMI).    

Es importante reconocer que ninguno de los estándares define una arquitectura requerida. Los usuarios deben decidir la mejor manera de estructurar sus redes SIS y asegurarse de que la solución final proporcione una separación lógica o física suficiente entre el BPCS y el SIS. Generalmente, esto les da a las organizaciones tres opciones para diseñar redes SIS:

  • Un SIS aparte, completamente desconectado e independiente del BPCS;
  • Un SIS integrado e interconectado con un BPCS por medio de protocolos industriales (normalmente Modbus);
  • Un SIS integrado e interconectado con un BPCS, pero suficientemente aislado para cumplir con los estándares de ciberseguridad.

Algunos sostienen que un SIS aparte es más seguro que cualquier otro tipo de implementación de SIS. Sin embargo, todas las arquitecturas enumeradas anteriormente pueden entregar una postura de seguridad robustecida, siempre y cuando la postura esté definida de antemano y se aplique durante el diseño, la implementación y el mantenimiento del sistema de seguridad.

Si bien es importante, la arquitectura SIS es tan sólo un aspecto a la hora de definir la seguridad en un sistema de seguridad

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 2. Una infraestructura con ‘air gap’ separa los componentes críticos de SIS de los no críticos, pero agrega mantenimiento adicional para mantener capas de seguridad de defensa en profundidad en dos sistemas diferentes.

 

Maximizar la defensa en profundidad

La protección de un SIS requiere implementar una estrategia de defensa en profundidad. Ante el aumento del número de ciberataques, una sola capa de protección para los activos críticos de seguridad no es suficiente. Los administradores de redes están empleando muchas capas de seguridad (antivirus, gestión de usuarios, autenticación por múltiples factores, prevención y detección de intrusiones, whitelists, firewalls y más) que garantizan que los usuarios no autorizados se enfrenten a una barrera de entrada insuperable.

El objetivo de una estrategia de defensa en profundidad es aumentar los mecanismos de protección de control de acceso, que se consigue agregando capas de protección que se complementan entre sí.

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 3. Las arquitecturas interconectadas separan físicamente el SIS del BPCS, pero mantienen una conexión con el BPCS. Esta configuración normalmente requiere que se mantengan múltiples enlaces de ingeniería y sistemas de defensa en profundidad.

 

Defensa en profundidad – Sistemas separados

Uno de los métodos más comunes para proteger un SIS es separar completamente el sistema, creando un espacio físico o ‘air gap’ entre las funciones del SIS núcleo y el BPCS (figura 2). A primera vista, los beneficios de este método parecen obvios. Si el SIS está separado por completo de los demás sistemas, se robustece por defecto contra intrusiones.

Sin embargo, incluso los sistemas separados no son inmunes a los ciberataques. Los usuarios a la larga necesitarán acceso externo al sistema para distintas tareas, tales como extraer registros de eventos para el análisis de secuencia de eventos, bypasses, invalidaciones, registros de pruebas de verificación o simplemente para realizar cambios de configuración y aplicar actualizaciones de seguridad.

Los drives USB, que son los medios que se usan normalmente para implementar estas actualizaciones, no son fáciles de proteger. 

La dependencia de medios externos es una de las razones por las que un SIS separado sigue necesitando capas de protección adicionales, similares a las utilizadas para proteger el BPCS. El robustecimiento adecuado de un sistema deja que los usuarios gestionen dos conjuntos separados de arquitecturas con defensa en profundidad. Esto se traduce posiblemente en más horas de trabajo, paradas más prolongadas y áreas adicionales donde los descuidos pueden debilitar capas de protección.

 

Defensa en profundidad – Sistemas interconectados

Los sistemas interconectados funcionan como sistemas separados en el sentido de que las funciones relacionadas con la seguridad se encuentran físicamente separadas de las funciones no relacionadas con la seguridad (figura 3). La diferencia es que, en los sistemas interconectados, los elementos del BCPS y las funciones del SIS núcleo se conectan mediante enlaces diseñados con protocolos industriales abiertos, por ejemplo Modbus. Normal­mente, los firewalls u otro hardware y software de seguridad restringen el tráfico entre el BPCS y el SIS.

Puesto que tanto el SIS núcleo como el SIS extendido se encuentran separados físicamente de los periféricos, los sistemas interconectados ofrecen una protección adecuada para cumplir con los estándares ISA y NAMUR. Sin embargo, igual a lo que ocurre con los sistemas separados, el hardware y el software de SIS necesitan estar protegidos. Los usuarios deben asegurarse de que el SIS núcleo no se vea comprometido a través de conexiones al SIS extendido.

Para alcanzar esta protección, los sistemas interconectados necesitan que las capas de seguridad de defensa en profundidad estén duplicadas en múltiples sistemas. En algunos casos, las múltiples instancias de seguridad que deben monitorearse pueden aumentar la carga de trabajo necesaria para mantener la seguridad adecuada. Adicional­mente, es responsabilidad del usuario final asegurarse de que el enlace entre el BPCS y el SIS esté configurado de modo que el sistema no esté expuesto al riesgo. 

 

Defensa en profundidad – Sistemas integrados

Otra opción en el diseño de sistemas separados es SIS integrado (figura 4). En esta implementación, el SIS está integrado al BPCS, pero hay una separación lógica y física entre el SIS núcleo y el SIS extendido. Normalmente, esta separación viene con protocolos patentados que utilizan ciberseguridad embebida lista para funcionar de inmediato, lo que elimina muchos de los riesgos de seguridad que significa implementar manualmente una conexión entre el SIS y el BPCS.

El SIS integrado necesita los mismos niveles de protección de defensa en profundidad que los sistemas separados, pero, al haber algunas capas de seguridad que protegen tanto al BPCS como al SIS, un SIS integrado puede reducir considerablemente el tiempo y el esfuerzo invertidos para monitorear, actualizar y mantener capas de seguridad. Este método ofrece protección que va más allá de las capas de seguridad comunes. Un SIS integrado también cuenta con capas de protección adicionales y específicas para proteger el SIS núcleo.

La eliminación de interfaces complicadas entre el SIS núcleo y el SIS extendido con un entorno integrado puede derivar en pruebas de aceptación en fabrica (FAT) más sencillas y más rápidas, lo que lleva a la concreción de proyectos en menos tiempo y con menos trabajo.

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 4. En una arquitectura de SIS integrado, las funciones críticas para la seguridad están separadas lógica y físicamente, aun cuando cumplen con los estándares ISA y NAMUR, pero se encuentran ubicadas en el mismo sistema, lo que elimina la necesidad de mantener múltiples implementaciones de defensa en profundidad.

 

Gestión de puntos de entrada

Considerar cuidadosamente las capas de defensa en profundidad es fundamental para conseguir un SIS ciberseguro, pero no es suficiente. Para garantizar la seguridad adecuada de una red SIS, las organizaciones deben limitar los puntos de entrada a las funciones críticas para la seguridad y proporcionar mitigaciones para cualquier riesgo que pueda afectar dichos puntos de entrada.

Cuantos más puntos de entrada estén disponibles en las funciones críticas para la seguridad de un SIS, más oportunidades tendrán los ciberataques de aprovechar las vulnerabilidades que pudieran existir en las capas de seguridad. Por ejemplo, aun cuando sea posible defender de forma adecuada cinco puntos de entrada contra intrusiones, es mucho más fácil y demanda menos recursos defender solamente uno

  

Puntos de entrada – Sistemas interconectados

NAMUR ofrece pautas muy claras para una arquitectura por zonas del SIS en un formato interconectado (figura 1). En el diagrama, el SIS núcleo, el SIS extendido y los periféricos están adecuadamente aislados en sus propias zonas. Las conexiones implementadas entre los elementos de la arquitectura en las tres zonas (estaciones de ingeniería, BPCS, sistemas de gestión de información de planta, sistemas de gestión de activos y más) pueden introducir muchos puntos potenciales de conexión al SIS núcleo. Estos puntos de conexión no presentan inherentemente un riesgo de seguridad, ya que se supone que todo estará asegurado con una adecuada defensa en profundidad. Sin embargo, cada una de estas puertas debe ser asegurada, lo que puede llevar a cinco o más conjuntos de hardware y software de seguridad que necesitan ser gestionados y mantenidos. 

 

Puntos de entrada – Sistemas integrados

Las arquitecturas de un SIS integrado ofrecen un diseño que limita los puntos de entrada. Los mejores sistemas instrumentados de seguridad cuentan con un solo componente que actúa como guardián y/o proxy para todo el tráfico que va y viene de las funciones críticas para la seguridad. El resultado es un solo punto de entrada que es necesario defender, probablemente usando las mismas capas de defensa en profundidad que protegen el BPCS y algunas capas de protección adicionales más específicas al SIS núcleo. Este diseño puede reducir el mantenimiento y el monitoreo, mientras brinda el mismo nivel de separación de un SIS estándar, o incluso mayor, que cualquier otra arquitectura.

Muchas veces se asume que una mayor separación física entre el SIS y el BPCS significa una mayor seguridad inherente. Sin embargo, como ocurre en el caso de sistemas con ‘air gap’, una mayor separación física puede derivar en un aumento de carga de trabajo de mantenimiento y monitoreo para garantizar una defensa en profundidad adecuada. Esta carga adicional, en última instancia, limita el valor para los usuarios que buscan optimizar el desempeño y la producción, a la vez que tratan de cumplir con los estándares de ciberseguridad.

En cambio, los sistemas integrados y los interconectados pueden alcanzar niveles altos de conectividad, mientras ofrecen flexibilidad en la implementación de estructuras de ciberseguridad con defensa en profundidad. Ambas arquitecturas ofrecen los niveles de seguridad más altos, por lo que los equipos de trabajo que buscan mantener un SIS bien defendido durante todo el ciclo de vida del sistema, suelen descubrir que tienen más y mejores opciones que nunca para un BPCS y un SIS que se ajusten a los objetivos de cada organización en particular.

 

Preparado en base a una presentación de Sergio Díaz y Alexandre Peixoto, gerentes de producto de DeltaV DCS y SIS en Emerson.

© 2018 Editorial Control. Desarrollado por Estudio Pionero.