site-logo
site-logo
site-logo

Abordando los desafíos de seguridad de datos en subestaciones

Inicio

Blogs

Abordando los desafíos de seguridad de datos en subestaciones

Abordando los desafíos de seguridad de datos en subestaciones

Abordando los desafíos de seguridad de datos en subestaciones
Shieldworkz-logo

Prayukth KV

Abordando los desafíos de seguridad de datos de subestaciones

Los datos operativos generados por las subestaciones son vulnerables a la interceptación por actores no autorizados, lo que representa un desafío único para las empresas de energía. Por un lado, deben equilibrar las restricciones operativas y, por otro lado, garantizar una seguridad adecuada para evitar cualquier intrusión o exfiltración de datos.

En la publicación del blog de hoy, analizamos a fondo el problema, sus diversas implicaciones y sugerimos algunas medidas de mitigación/remedio que funcionan.

Antes de continuar, le sugerimos que revise nuestra publicación anterior del blog que cubre controles específicos de la IEC 62443-3-3 para operadores OT en profundidad, aquí.

Ahora volvamos a nuestra publicación del día.

Antecedentes

Diversos tipos de datos son generados por las subestaciones durante las operaciones de rutina. Esto incluye datos sobre operaciones, comunicaciones y otros datos no operativos. Estos mismos datos se utilizan en diversos aspectos operativos como el control de activos, mantenimiento, monitoreo operativo y de seguridad, y gestión de la red. Cuando estos datos son anonimizados y asegurados, las subestaciones reducen el riesgo de cualquier forma de interferencia operativa no solicitada, manipulación de activos o datos, o exfiltración de datos. Dado que estos datos se utilizan tanto dentro de la subestación como más allá, tal interferencia también puede afectar la estabilidad de la red.

Desafíos clave en la seguridad OT de subestaciones

Asegurar los datos relacionados con los entornos OT en las subestaciones presenta dificultades únicas que son fundamentalmente diferentes de todo tipo de seguridad informática tradicional:

Prevalencia de sistemas heredados  

  • Vulnerabilidad: Muchas subestaciones utilizan sistemas de control y dispositivos electrónicos inteligentes (IED, por sus siglas en inglés) propietarios o personalizados más antiguos con ciclos de vida operativos extremadamente largos (a menudo décadas). Estos sistemas heredados no fueron diseñados con la ciberseguridad en mente.

  • Impacto: A menudo no se pueden parchear fácilmente (o incluso monitorear en algunos casos), no responden a controles de seguridad más nuevos, carecen de mecanismos modernos de autenticación y son sensibles al escaneo activo de seguridad, lo que puede interrumpir operaciones críticas. Además, muchos de estos sistemas pueden ni siquiera estar inventariados y su presencia puede pasar desapercibida. Cualquier fuga de datos que pueda estar ocurriendo a través de estos sistemas heredados puede no ser detectada.

Priorización de la disponibilidad sobre la confidencialidad

  • Mandato principal de OT: En un entorno OT, la Disponibilidad (mantener la energía encendida y los sistemas en funcionamiento) y la Integridad (asegurar que los comandos de control sean correctos) son primordiales, incluso sobre la Confidencialidad. Un parche inoportuno o una falla de un dispositivo de seguridad de red podría causar un disparo del sistema, provocando una interrupción.

  • Conflicto: Las prácticas de seguridad de TI tradicionales, que podrían priorizar el parcheo frecuente y la alta confidencialidad, pueden entrar en conflicto directamente con la necesidad de estabilidad y seguridad de OT. La falta de parcheo a tiempo puede nuevamente abrir estos sistemas para fugas de datos no solo a nivel de activos sino incluso a nivel de red.

El riesgo de convergencia de TI/OT

  • El puente: La integración de la red corporativa de TI (correo electrónico, acceso a internet) con la red OT de la subestación, a menudo para acceso remoto o agregación de datos, crea un puente peligroso.

  • Amenaza: Un vector de TI común, como un ataque de phishing o inyección de malware en la red corporativa, ahora puede ser el punto de entrada inicial para que un atacante pivote al dominio OT sensible.

Protocolos especializados y brechas de visibilidad

  • Lenguaje único: Los sistemas OT se comunican utilizando protocolos industriales especializados (como IEC 61850, DNP3, Modbus). La mayoría de las herramientas de seguridad de TI convencionales (como firewalls e IDS) no pueden "entender" o inspeccionar el contenido de estos protocolos.

  • Puntos ciegos: Esta falta de inspección profunda de paquetes conduce a brechas de visibilidad, lo que dificulta la detección de ataques sofisticados que utilizan comandos OT legítimos (por ejemplo, el malware Industroyer).

Factor humano y capacitación insuficiente

  • Riesgo de personal: El personal insuficientemente capacitado, o el uso de canales de comunicación públicos/inseguros, puede ser un punto de entrada importante.

  • Amenaza interna: Acciones maliciosas o accidentales por parte de un empleado o contratista con acceso físico/remoto autorizado pueden llevar a cambios de configuración no autorizados, comprometiendo la integridad operativa del sistema.

¿Qué sucede cuando los activos o redes OT filtran datos en una subestación?

Los datos filtrados podrían proporcionarle a los hackers información sobre la red de la subestación. Esto incluye protocolos utilizados, configuraciones de red, estado de uso de activos, línea base de tráfico de red y más. Usando estos datos, los actores de amenazas pueden lanzar ataques DDoS o construir e implementar malware personalizado. Si los actores de amenazas sofisticados recopilan información sobre la topología de la red, entonces pueden llevar a cabo ataques Man-in-the-middle, enviar comandos de alto riesgo, interrumpir la comunicación y desactivar activos causando inestabilidad en la red.

Remediación y mejores prácticas para garantizar la seguridad de subestaciones

Asegurar una subestación eléctrica requiere un enfoque en capas de defensa en profundidad adaptado específicamente al entorno OT.

Arquitectura de red robusta y segmentación

  • Segmentación de red (Zonificación): Implementar una estricta segmentación de la red OT de la red IT utilizando firewalls industriales. Crear zonas seguras dentro de la subestación, aislando sistemas de control (como IEDs y PLCs) de sistemas menos críticos.

  • IDMZ (Zona Desmilitarizada Industrial): Utilizar una IDMZ como una zona intermedia segura para gestionar el flujo de datos y el acceso remoto entre las redes IT y OT, asegurando que no exista un camino directo de comunicación.

Inventario de activos completo y monitoreo

  • Conozca sus activos: Mantener un inventario detallado y en tiempo real de cada activo OT (IED, PLC, HMIs, dispositivos de red), incluidas las versiones de firmware, sistemas operativos y vulnerabilidades. No se puede proteger lo que no se conoce.

  • Monitoreo pasivo: Utilizar Sistemas de Detección de Intrusos (IDS) conscientes de OT que utilicen técnicas de descubrimiento pasivas para monitorear el tráfico de red industrial. Estas herramientas pueden identificar comportamientos anormales o comandos de protocolo no autorizados sin escanear activamente o interrumpir dispositivos sensibles.

Gestión de identidad, acceso y configuración

  • Menor Privilegio: Implementar Control de Acceso Basado en Roles (RBAC) para garantizar que los operadores y el personal de mantenimiento solo tengan el acceso mínimo necesario para sus tareas específicas. Eliminar todas las credenciales predeterminadas.

  • Acceso remoto seguro: Todas las conexiones remotas (por ejemplo, para proveedores o ingenieros) deben utilizar una arquitectura de Confianza Cero, ser fuertemente controladas, utilizar Autenticación Multifactor (MFA) y estar limitadas en el tiempo y registradas.

  • Control de configuración: Usar control de versiones y verificación de integridad en archivos de configuración de IED/relevo. Los cambios no autorizados en las configuraciones de protección son un vector de ataque común y deben ser detectados instantáneamente.

Parcheo y controles compensatorios

  • Gestión disciplinada de parches: Aunque el parcheo completo puede no ser siempre posible para dispositivos heredados, debe existir un proceso formal. Probar todos los parches exhaustivamente en un entorno de laboratorio antes de su implementación.

  • Controles compensatorios: Para dispositivos heredados no parcheables o vulnerables, o donde el parche se retrasa, implementar firewalls industriales frente a ellos para filtrar el tráfico malicioso, o usar diodos de datos para imponer un flujo de datos unidireccional, asegurando que los comandos de control físico no puedan enviarse de vuelta al sistema.

Capacitación y respuesta a incidentes

  • Conciencia cibernética: Realizar capacitación regular, específica para OT, en ciberseguridad para todo el personal, incluidos operadores, ingenieros y personal de mantenimiento, enfocándose en seguridad física, phishing y los peligros de medios extraíbles.

  • Prueba, documenta y responde: Desarrollar un Plan de Respuesta a Incidentes sólido y practicado específicamente para incidentes OT. Este plan debe priorizar el aislamiento y la restauración de sistemas de control físico sobre la investigación forense de datos tradicional.

Uso de morfología de topología

· Suplantación de nodo virtual: Se pueden introducir nodos virtuales para ocultar la estructura real de la red.

· Dispositivos señuelo: Se pueden introducir gemelos digitales de las 'joyas de la corona' para confundir a los hackers

· Dinamismo IP: Modificar con frecuencia las direcciones IP de los nodos puede asegurar los sistemas dificultando que los hackers se conecten a los activos   

· Redes señuelo: Se pueden crear redes falsas para confundir a los hackers

· Cambiar configuraciones siempre que sea posible: Modificar las configuraciones del sistema dificulta que los hackers comprendan la dinámica de la red y los activos

· Suplantación de MAC: Modificar con frecuencia la dirección MAC puede confundir y desorientar a los atacantes.

· Paquetes de datos falsos: Los paquetes falsos pueden dificultar a los hackers determinar las características reales de la red

· Enmascaramiento de tráfico: Manipular patrones de tráfico para cambiar las características del tráfico y eliminar la predictibilidad

Adoptar una postura de seguridad de datos reforzada que se alinee con los requisitos únicos de la red eléctrica es un primer paso esencial para garantizar la seguridad de la infraestructura energética a nivel de subestación. Para mantener las luces encendidas, es esencial que las prácticas compartidas arriba sean adoptadas por las subestaciones.

Shieldworkz puede ser su socio proveedor para asegurar su Subestación. Pruebe nuestra solución NDR.

Descargue nuestra lista de verificación IEC 62443 para operaciones OT seguras

Cumpla con IEC 62443 en 5 semanas con nuestro programa Launchpad

Descubra toda la historia detrás del ciberataque a la cervecería Asahi, aquí.

Recibe semanalmente

Recursos y Noticias

También te puede interesar

Explicación de NERC CIP-015-2

NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS

Logotipo de Shieldworkz

Equipo Shieldworkz

Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos

Prayukth K V

Decodificando el silencio estratégico de los grupos cibernéticos iraníes

Equipo Shieldworkz

Cómo la crisis de Irán está afectando el ciberespacio

Equipo Shieldworkz

Ciberamenazas en Medio Oriente

Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo

Equipo Shieldworkz

Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82

Equipo Shieldworkz

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración