Next Generation Network Security Platform for SCADA and Industrial Control Systems. Octubre 2013



Documentos relacionados
Área de Seguridad: Total Secure

Qué es un firewall industrial DPI?

Mejores prácticas para la segmentación y fortificación de redes industriales

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

Qué es un firewall industrial DPI?

Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido

Requerimiento Tecnológico para acceso a Sistemas del SIAF


SOLUCIONES EN SEGURIDAD INFORMATICA

We Care For Your Business Security

Servicios Cloud: Una oportunidad para solucionar problemas existentes

Xavier Cardeña. Logitek, S.A. Las 5 Etapas para una solución exitosa de ciberseguridad en entornos de control industrial. Xavier.cardena@logitek.

Servidores corporativos Linux

CONSOLIDADO DE PREGUNTAS A LA FCT RECIBIDAS DURANTE EL ESTUDIO DE MERCADO O COSTOS

Guía de servicios. Contenidos

Semana 10: Fir Fir w e a w lls

Cortafuegos software y hardware. Gabriel Montañés León

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

GAT - Servicios Gestionados. de Data Center. Con plenas garantías de disponibilidad gracias a su diseño TIER IV y a un uso racional y responsable de

NEXT GENERATION FIREWALL

Ventajas de Linux para. las empresas

Q-expeditive Publicación vía Internet

Product Description. Control de tráfico para redes empresariales y Service Providers

Seguridad en Smartphones

comportamiento en infraestructuras crítica

Protegiendo la Ciudad Abierta con Firewalls de Nueva Generación. Tony Hadzima Country Manager, Spain & Portugal tonyh@paloaltonetworks.

Protecting the IT environment and minimizing external threats. Hernán Figueroa E. Jefe de Informática Cámara de Diputados - Chile

Identidad y Acceso a la Red. Eduardo Elizarraras

Segmentación y protección de redes OT a través de diodo de datos. Acceso unidireccional

We Care For Your Business Security

EL PODER DEL CÓMPUTO EN LA NUBE EN TUS MANOS

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Acronis License Server. Guía del usuario

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Resumen del firewall de nueva generación

Antimalware off-line y whitelisting de aplicaciones

We Care For Your Business Security

La seguridad informática en las empresas. El reto y su solución

White Paper Gestión Dinámica de Riesgos

Segmentación de trafico inalambrico mediante VLANS

Tecnología en Seguridad Perimetral

8. Las VLAN 8.1. Visión general de las VLAN La solución para la comunidad de la universidad es utilizar una tecnología de networking

MIGRAR LA SEGURIDAD DEL A LA NUBE. pandasecurity.com

DE INTERNET SOLUCIONES 1A

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Encriptación: de lo básico a lo estratégico

Guía Rápida de Inicio

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR

Juan Luis García Rambla MVP Windows Security Consultor Seguridad y Sistemas jlrambla@informatica64.com

Preguntas Frec uentes Ia a S

Mejores prácticas para diseñar y gestionar servicios TI garantizando su entrega, medición, seguridad, disponibilidad y mejora continua.

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

UD 4: Instalación y configuración de cortafuegos

GATEWAYS COMO FIREWALLS

Introducción. Sistemas Operativos. Pedro Chávez Lugo 23 de marzo de 2010

Lección 5: Seguridad Perimetral

Pliego de Prescripciones Técnicas

Beginning Security TALLER INTESIVO

Día 21, Seguridad de contenidos Construyendo redes Inteligentes

6445 Implementing and Administering Windows Small Business Server 2008

1. Quién es Forware? Cronología Tecnologías Anti-fuga de Forware Solución Forware AntiLeak Suite 4

soluciones Nuestras Gestión y Auditoria del Directorio Activo Monitoreo de redes y aplicaciones Licenciamiento y productividad empresarial

Desarrollo de Capacidades para la Gestión de TI - Ing. MBA José Szyman

Alcatel-Lucent VitalQIP Appliance Manager

QUE ES COMLINE MENSAJES? QUE TIPO DE MENSAJES PROCESA COMLINE MENSAJES?

ISO/IEC Sistema de Gestión de Seguridad de la Información

Guía de Instalación para clientes de WebAdmin

3-ANÁLISIS DE VULNERABILIDADES

Connectra NGX R66 Unified Secure Remote Access Gateway

RECETA ELECTRÓNICA Informe de Seguridad

Movilidad y Seguridad en el Entorno de Trabajo de Investigadores y Estudiantes

ALOJAMIENTO DE SERVIDORES EN EL C.P.D.

Presentada por: Enrique Lannes Gerente de Ventas America Latina


MODULO: MERCADEO. Acuerdo de Nivel de Servicio (ANS) Service Level Agreement (SLA) MODELO DE MUESTRA SIN VALOR COMERCIAL

Como diseñar y mantener una red de control industrial segura

Visión General de GXportal. Última actualización: 2009

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

SOLUCIÓN HOSPEDADA. Introducción a los modelos de asociación de partners de Microsoft Dynamics CRM

Nivel aplicación Interacción Cliente Servidor. ELO322: Redes de Computadores Agustín J. González

INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO

S o l u c i o n e s I n f o r m a t i c a s. Soluciones a un solo clic

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2008: Servicios de red

Estos documentos estarán dirigidos a todas las personas que pertenezcan a equipos de implementación de Oracle BI, incluyendo a:

Simplificación de la seguridad para sucursales

El proceso de Instalación de Microsoft SQL Server 2008

DID (DEFENSE IN DEPTH)

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Resumen del firewall de nueva generación

Solicitud de conexión de servidores físicos y virtuales departamentales

Cloud Computing. Su aplicación en la Banca Privada Argentina.

Cisco ProtectLink Endpoint

Especificaciones de Hardware, Software y Comunicaciones

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

SQL SERVER 2012 ESCENARIOS. Alejandro García Readiness Champion

Módulos: Módulo 1. Hardware & Arquitectura de sistemas - 20 Horas

Especificaciones de Hardware, Software y Comunicaciones

PCI-DSS Requisitos para su empleo en la nube

Descripción y Contenido del Curso. Cisco CCNA Security. Capacity Academy.

TEDESCO NEXT EL EXITO DE SU GESTION SE REFLEJA EN EL CRECIMIENTO DE SU EMPRESA

Transcripción:

Next Generation Network Security Platform for SCADA and Industrial Control Systems Octubre 2013

Retos a superar en la gestión de la seguridad Segmentación de la red Visión y Control del tráfico Riesgos asociados a la convergencia IT/OT IT OT Enterprise Zone Conduit Control Zone Conduit Retos típicos que aparecen en cualquier entorno de control Plant Zone Gestión de los riesgos asociados a la exposición de los datos Remote Access CIP Standards CFATS Parque de sistemas obsoleto Malware & APTs Exploits Cumplimiento de normativas y legislación Incremento de amenazas Necesidad de abordar todo lo anterior sin afectar al productivo 2 2013, Palo Alto Networks. Confidential and Proprietary.

Como ayudamos a resolver los retos 1 Segmentación con visibilidad y control IT Network Zone 1 Zone 2 OT Network Zone 3 Zone 4 Remote/ 3 rd Party Access Visibilidad tanto del tráfico interno como de los accesos remotos Librería de aplicaciones SCADA y modelado de propietarias Gestión de conductas positivas 2 Protección de amenazas nativa Known Malware Técnicas de protección frente a amenazas de ciclo combinado Protección a los sistemas sin parches de seguridad Librería de vulnerabilidades conocidas de sistemas de control OT Network APTs / C&C File/Content Unknown IT Admin 3 Central Management OT Admin Gestión centralizada y reporting OT Admin Fácil de gestionar, administrar y personalizar Catálogo de informes para cumplimiento de normativas y análisis forenses Enterprise FW Control Center FW Remote Station FW Nuestro sistema de seguridad de nueva y alto rendimiento protege los sistemas de control y los mantiene en funcionamiento 3 2013, Palo Alto Networks. Confidential and Proprietary.

La necesidad de una mejor segmentación OPC SCADA Historian 3 rd Party Support / Service Provider Enterprise Network HMI / SCADA Client Workstation PLC / RTU / IED SIS Centro de Conrol Subestación / Estación Remota Perímetro Exposición tanto a la red corporativa como a las empresas proveedoras de servicios Intra-OT Los niveles de riesgo y los requisitos de seguridad varían en función del sistema y del grado de madurez Visibilidad del tráfico Intra-OT (las amenazas no vienen sólo de Internet) Se deben crear zonas y definir las conductas que permitan el tráfico entre ellas 4 2013, Palo Alto Networks. Confidential and Proprietary.

Segmentación con Palo Alto Networks Server Zone OPC SCADA Historian Remote / Support Zone Enterprise Zone 3 rd Party Support / Service Provider User Zone Process Zone Enterprise Network HMI / SCADA Client Workstation PLC / RTU / IED SIS Control Center Substation / Remote Station Definir zonas de seguridad y políticas que determinen conductas permitidas entre cada pareja de zonas Sin necesidad de realizar una reingeniería de la red Layer 3, Layer 2, Layer 1, VLAN, VPN 5 2013, Palo Alto Networks. Confidential and Proprietary.

Arquitectura SP3 de propósito específico Un único análisis Múltiples aplicaciones sobre cada paquete Identificación de aplicación Identificación de usuario Escaneo de contenidos Una única política de control Soporte de alta disponibilidad Control del ancho de banda Hardware Paralelizado Planos de control (reporting) y procesado idependientes Procesadores dedicados Diseñados para sistemas de control de tiempo real y baja latencia

Librería de aplicaciones SCADA / ICS Protocol / Application Protocol / Application Protocol / Application Modbus base ICCP (IEC 60870-6 / TASE.2) CIP Ethernet/IP Modbus function control Cygnet Synchrophasor (IEEE C.37.118) DNP3 Elcom 90 Foundation Fieldbus IEC 60870-5-104 base FactoryLink Profinet IO (CM) IEC 60870-5-104 function control MQTT OPC (UA) OSIsoft PI Systems Supported today In progress Control sobre más de 1700 aplicaciones con soporte de específicas para SCADA/ICS 7 2013, Palo Alto Networks. Confidential and Proprietary.

Ejemplo de aplicación reconocida Function Control Variants (15 total) Modbus-base Applipedia entry for Modbus-base App-ID Modbus-write-multiple-coils Modbus-write-file-record Modbus-read-write-register Modbus-write-single-coil Modbus-write-single-register Modbus-write-multiple-registers Modbus-read-input-registers Modbus-encapsulated-transport Modbus-read-coils Modbus-read-discrete-inputs Modbus-mask-write-registers Modbus-read-fifo-queue Modbus-read-file-record Modbus-read-holding-registers Beneficio: Visibilidad y control del uso de los aplicativos Ej.1: El analista del centro de control puede leer datos del PLC pero no modificarlos Ej.2: El Ingeniero de PLCs tiene acceso a todas las funciones de Modbus 8 2013, Palo Alto Networks. Confidential and Proprietary.

User-ID: Múltiples maneras de identificar al usuario Políticas aplicadas a usuarios o a grupos 9

Tendencias en el acceso remoto Usuarios tanto internos como externos accediendo remotamente Empresas de servicio Teletrabajo Incremento en el uso de tecnologías de acceso remoto Terminal Services FTP SSH Telnet La Cyberseguridad en la agendas de todos los centros de control Monitoring (KPI, Alarms, Analytics) & Maintenance Control por usuarios garantiza los comportamientos Field operator/analyst 3 rd party support 10 2013, Palo Alto Networks. Confidential and Proprietary.

Ejemplo User-ID: Acceso por Terminal Services Terminal Server (Single IP Address) Taylor, Richard (Internal employee) SSL RDP Application: Sharepoint User: Unknown VPN Router/FW To SCADA / Control Network SSL RDP Application: OSIsoft PI User: Unknown Smith, John (3 rd Party) Motivación: Los sistemas de control suelen requerir del mantenimiento continuado por parte de empresas especializadas Objetivo Garantizar que se podrán aplicar políticas diferenciadas a cada uno de los usuarios del servidor de Terminal Services 11 2013, Palo Alto Networks. Confidential and Proprietary.

Ejemplo User-ID: Agente TS Palo Alto Networks Taylor, Richard (Internal employee) SSL RDP Terminal Server (Single IP Address) Terminal Services Agent Application: Sharepoint User: Taylor, Richard Port range: 1025-2048 SSL VPN Router/FW RDP PA Firewall To SCADA / Control Network Application: OSISoft PI User: Smith, John Port range: 2049-3073 Smith, John (3 rd Party) Terminal Services Agent Asigna rangos de puertos a los diferentes usuarios Ahra ya podemos discriminar y aplicar políticas diferenciadas Beneficios Mejora la visibilidad de la actividad producida por el servidor de Terminal Services Permite control granular de conductas incluso para acesos compartidos 12 2013, Palo Alto Networks. Confidential and Proprietary.

Multiple Vectors for Exploitation Los sistemas SCADA también son vulnerables OPC Server (CVE-2011-1914) Historian Server (CVE-2012-2516) SCADA Master / HMI (CVE-2012-0233) Internet / Support Network Removable Media Example CVE numbers for different types of SCADA/ICS system components Portable Computing PLC / RTU / IED (CVE-2010-2772) Muchos sistemas se mantienen sin aplicar parches de seguridad Si no falla no lo toques Múltiples vectores de propagación de exploits (no sólo Internet) Malware dirigido como amenaza creciente 13 2013, Palo Alto Networks. Confidential and Proprietary.

La lección de Stuxnet El Antivirus Tradicional ya no aporta seguridad El malware moderno implementa técnicas para: - Evitar manifestarse en los HoneyPots (AntiVirus) - Usa polimorfismo o cifrado para no exponer el contenido malicioso Malware dirigido Malware polimórfoco Nuevas instancias de malware Escudo de protección comprometido! 14 2013, Palo Alto Networks. Confidential and Proprietary.

WildFire: SandBoxing para protección Zero-Day Escaneado de ficheros de alto rendimiento Todo el tráfico, en todos los puertos, en todo momento Ejecución en entorno controlado con libertad de acción Actualizaciones del sandbox sin afectación del cliente Control de Malware OnLine que garantiza protección 15 2013, Palo Alto Networks. Confidential and Proprietary.

EAL4+ Certification Palo Alto Networks firewalls have achieved Common Criteria certification at Evaluation Assurance Level 4+ (EAL4+) The highest level of globally recognized certification for the firewall category Expands Palo Alto Networks growing list of technical credentials Includes recognition by ICSA Labs (Network firewall certification), Telcordia (NEBS) and NIST (FIPS 140-2), among others. 16 2013, Palo Alto Networks. Confidential and Proprietary.

Qué aplicaciones tiene su red de control? Aplicaciones encontradas en evaluaciones de Palo Alto Networks realizadas en redes de control Cloud storage Peer-to-peer file sharing (Known vulnerabilities) Web-based distributed authoring & versioning (May carry DLLs that could be use for exploits) Deberían estar estas aplicaciones en la red de control? Quien las consume? Que vulnerabilidades manifiestan? Posibilidad de realizar una prueba de concepto (PoC) gratuita con generación de informe de visibilidad y análisis de riesgos 17 2013, Palo Alto Networks. Confidential and Proprietary.

18 2013, Palo Alto Networks. Confidential and Proprietary.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback