home Tecnología de fabricación Equipo de fabricación
Manufactura industrial
Internet industrial de las cosas | Materiales industriales | Mantenimiento y reparación de equipos | Programación industrial |
home  MfgRobots >> Manufactura industrial >  >> Industrial Internet of Things >> Tecnología de Internet de las cosas

Cómo planificar la respuesta a incidentes de ciberseguridad de ICS

Las organizaciones que operan sistemas críticos deben planificar y prepararse para responder a los incidentes cibernéticos de los Sistemas de control industrial (ICS), ya sean causados ​​por personas internas no intencionales o atacantes malintencionados.

La planificación adecuada de la respuesta a incidentes cibernéticos (IR) de ICS minimiza las pérdidas financieras por el tiempo de inactividad del sistema, la pérdida de datos, las primas de seguros más altas, la imagen corporativa empañada y la disminución de la seguridad pública y de los empleados. Este documento se aplica solo a ICS (p. Ej., Control de supervisión y sistemas de adquisición de datos, sistemas de gestión de edificios) porque la mayoría de las organizaciones ya tienen un plan de RI (IRP) de tecnología de la información (TI) implementado. Proporciona una vista de alto nivel de las etapas de IR, dice Robert Talbot, gerente senior de TI, Parsons Information Security Office y Jack D. Oden, director principal de proyectos, Parsons Critical Infrastructure Operations.

Justificación

Los ICS de hoy en día se administran comúnmente mediante interfaces hombre-máquina basadas en Windows o LINUX, se comunican a través de protocolos de Internet y se conectan a la red de área local de la empresa e Internet. La nueva arquitectura brinda beneficios significativos, que incluyen ahorros de costos, menor dependencia de los proveedores de equipos patentados y una transferencia de datos más fácil y rápida al departamento de contabilidad y a la alta gerencia.

Desafortunadamente, los beneficios conllevan mayores riesgos debido a los ciberataques basados ​​en Internet. Ya no se trata de si habrá un ataque, sino de cuándo. Ninguna empresa u organización puede prevenir todos los ataques cibernéticos, pero la mayoría de las organizaciones de ICS no están preparadas.

Preparación previa al incidente

Aunque es aconsejable crear un IRP y un equipo de IR (IRT) para ICS, la prevención de incidentes cibernéticos ahorra mucho tiempo y dinero. Si bien las oficinas funcionan eficazmente sin correo electrónico durante un día o más, ICS no puede permitirse el tiempo de inactividad. Controlar el acceso a ICS reduce las vías disponibles para que los atacantes inserten malware. Debido a que la mayoría de los ataques de ICS llegan a través de la empresa, ese acceso debe asegurarse primero. Además, recientemente han aparecido en el mercado sistemas de detección de intrusiones que reconocen los protocolos ICS, lo que permite identificar cómo un atacante obtuvo acceso al sistema.

Algunos pasos básicos reducen los efectos de un incidente y ayudan a que el ICS vuelva a estar en línea más rápido. La prueba periódica de las cintas de respaldo garantiza que las configuraciones ICS de respaldo funcional estén disponibles. El uso de sistemas de detección de intrusiones capaces de protocolos propietarios es esencial porque los sistemas propietarios son susceptibles a los ataques cibernéticos y vulnerables a las personas con conocimiento del sistema.

Preparación de respuesta a incidentes

Reúna un equipo de respuesta a incidentes cibernéticos

El montaje de un IRT cibernético es el primero de dos pasos importantes para desarrollar una capacidad de IR eficaz. El equipo debe estar compuesto por ingenieros y administradores de ICS, administradores de redes y sistemas, operadores de instalaciones y representantes de TI, ciberseguridad, recursos humanos, comunicaciones y legal. El IRT debe coordinarse con varias agencias de aplicación de la ley, reguladores de la industria y proveedores.

La composición del IRT debe equilibrar el personal interno con los expertos externos con experiencia en RI, análisis forense, recopilación y preservación de evidencia, ataques y exploits, o varios otros campos de ciberseguridad. Los expertos externos pueden ser más rápidos y completos, mientras que el personal de ICS tiene conocimientos de sistemas.

Cree un plan de respuesta a incidentes

Un IRP eficaz es tan importante como el IRT. Una vez que un ICS falla, los socorristas necesitan tiempo para encontrar la fuente y el alcance de la infección a pesar de la presión de la organización.

Una vez que el plan ha sido revisado y finalizado por todo el IRT, se deben realizar varias tareas importantes:

Plan de respuesta a incidentes

Alcance y propósito

El IRP se aplica a incidentes de ciberseguridad ICS sospechosos o verificados. Describe las pautas generales para detectar, clasificar y responder a incidentes de ciberseguridad de ICS a fin de minimizar las interrupciones de las operaciones de ICS.

Procedimientos de manejo de incidentes

Seguir procedimientos probados permitirá un reinicio de la producción más rápido y reducirá la posibilidad de cometer errores. Varios sitios de Internet describen las buenas prácticas recomendadas que el IRT puede utilizar para desarrollar procedimientos específicos de la empresa.

Identificación de incidentes

Encontrar, contener y erradicar las infracciones durante las primeras 24 horas es fundamental. Los administradores de ICS deben trabajar con el personal de RI de forma rápida pero cuidadosa para caracterizar con precisión la situación como un incidente cibernético o simplemente como un mal funcionamiento del sistema.

Notificaciones

Cuando se ha confirmado un incidente, se debe notificar al líder del IRT, al director de seguridad de la información, a la gerencia ejecutiva y al departamento legal. Si es apropiado, se debe contactar a la policía.

Contención

Es fundamental identificar los sistemas infectados, cuando están infectados, y el punto de entrada utilizado. Con una segmentación de red adecuada y conexiones externas seguras, el firewall y otros registros pueden ayudar a determinar cuándo ingresó el malware a la red. Para un delito cibernético, preservar las pruebas y mantener la cadena de custodia; La evidencia comprometida es inadmisible en un tribunal de justicia. Además, identifique a los testigos.

Erradicación

Una vez contenido, el malware debe limpiarse de cada sistema infectado y registro de Windows. Si queda algún rastro, los sistemas se volverán a infectar cuando se vuelvan a conectar a la red.

Restauración del sistema

Antes de reiniciar el sistema, restaure los datos dañados utilizando datos de respaldo no dañados. Si no está seguro de cuándo entró el malware en el sistema, vuelva a cargar el sistema operativo y las aplicaciones desde las copias de seguridad originales.

Lecciones aprendidas

El IRT debe formalizar las lecciones aprendidas para documentar los éxitos y las oportunidades de mejora y estandarizar el IRP.

Desafíos

El éxito de la RI depende de la planificación y la financiación de un incidente, y debe ser parte del programa general de riesgos de la empresa. Debido a que ninguna entidad proporciona financiación para la seguridad cibernética tanto de TI como de ICS, se necesita algo de diplomacia y deberes. Por lo general, un gerente de alto nivel comprende la importancia de un IRT. Si se lo contrata como campeón del equipo, ese gerente puede convencer a otros gerentes senior para que proporcionen miembros del equipo.

Las evaluaciones por sí solas no aseguran los sistemas. El establecimiento de controles se logra mejor contratando a una organización externa calificada para realizar evaluaciones de vulnerabilidad de TI e ICS.

Aunque el mundo de TI se dio cuenta hace más de 20 años de que los incidentes cibernéticos causan pérdidas financieras, el mundo de ICS ha tardado en reconocer los beneficios de la ciberseguridad, a pesar de incidentes como Stuxnet y los ataques de punto de venta Target ™.

Conclusión y recomendaciones

Los ataques muy publicitados han creado conciencia sobre la necesidad de asegurar ICS y poseer capacidad de IR a través de un IRP eficaz y un IRT bien entrenado. Es necesario un cambio de cultura para avanzar en la prevención y recuperación de incidentes cibernéticos. El cambio se acerca, pero lentamente. Las empresas deben acelerar el desarrollo de la IR cibernética para ICS.

Los autores de este blog son Robert Talbot, gerente senior de TI, Oficina de Seguridad de la Información de Parsons y Jack D. Oden, gerente de proyectos principal, Operaciones de Infraestructura Crítica de Parsons

Aquí está el enlace a la Antología completa


Tecnología de Internet de las cosas

  • Incrustado
  • Sensor
  • Computación en la nube
  • Tecnología de Internet de las cosas

    1. Cómo planificar una migración exitosa a la nube
    2. Cómo aprovechar al máximo sus datos
    3. ¿Qué tan ecológico es su consumo de energía?
    4. Evaluación de su riesgo de TI:cómo y por qué
    5. Modernización de la ciberseguridad
    6. Es temprano para la inteligencia artificial en la ciberseguridad de ICS
    7. Una lista de verificación de seguridad de ICS
    8. Cómo planificar su sueño ERP - Sesión 2
    9. ¿Cómo funcionan los sistemas SCADA?
    10. Cómo planificar su medallón de piso
    11. Cómo hacer que sus sistemas de compresores de aire sean más eficientes