06 diciembre 2009

Estado actual de la técnica de productos para la detección de intrusión y ciber-seguridad

Control and data acquisition (SCADA), distributed control systems (DCS), y otras redes de control de procesos, que se refieren colectivamente como SCADA, son objetivo potencial de amenazas como hackers, ciberterroristas y otros que desean acceder a infraestructuras críticas. Actualmente vienen comercializándose nuevos productos dirigidos a la detección y al control de la ciberseguridad. Estos nuevos productos proporcionan una temprana identificación de los ataques desde los principales agentes de amenazas más comunes.

Arena information technology
In a General Accounting Office report, el gobierno de los Estados Unidos identificó cinco tendencias que han escalado los riesgos a las redes SCADA.
  • Adopción de las tecnologías standarizadas con vulnerabilidades conocidas.
  • Conectividad de sistemas de control a otras redes.
  • Restricciones en el uso y prácticas con tecnologías de seguridad existentes.
  • Conexiones remotas inseguras.
  • Extensas capacidades de información técnica sobre los sistemas de control.
Estas tendencias han movido a las redes SCADA de las redes en exclusividad, redes cerradas, a la arena of information technology con todos sus costes y beneficios de rendimiento y cambios de seguridad de las TI. La transformación continúa gradualmente y pueden tardarse diez o más años en completarse, ya que el legado de los sistemas caros siempre queda. Esto deja a la comunidad SCADA con grandes desafíos que proporcionen la seguridad TI apropiada para una red de misión crítica con sistemas y aplicaciones no familiares con el ambiente general TI y sus riesgos de seguridad inherentes. Nuevos sistemas SCADA están emergiendo que tienen mejores características de seguridad, y esta mejora es probable que continúe ya que los clientes demandan soluciones seguras certificadas. Numerosos esfuerzos se están llevando a cabo para reajustar la seguridad en los sistemas heredados, pero estos esfuerzos están teniendo un éxito limitado y pueden ser caros. La comunidad SCADA necesitará compensar los controles de seguridad de compensación hasta que estén disponibles sistemas seguros y disponibles y sistemas de legado inseguros. La detección de intrusión y los controles de seguridad son controles de compensación posibles.
Evaluación de datos
Un programa de seguridad de la información fuerte incluye una gran variedad de controles técnicos y administrativos para prevenir intrusiones y actividades no autorizadas de agentes de amenaza internos y externos. Sin embargo, incluso con políticas de seguridad y productos fuertes es imposible asegurar que una red es segura. Por esta razón, las redes que son misiones críticas o contienen información sensible están desplegando la detección de intrusión y sistemas de control de ciber seguridad. Considerar la analogía física a esta ciber situación. Una construcción crítica tiene que bloquear en las puertas, seguridades, y otros mecanismos para prevenir acceso no autorizado. Esta misma construcción desplegará una serie de sistemas de control físico, tal como detectores de movimiento y cámaras, justo en caso de que ocurra una transgresión de la seguridad. El sistema de control identificará las transgresiones y permitirá una rápida respuesta. Una gran variedad de soluciones de productos y servicios llegarán al mercado para crear la ciber equivalencia de cámaras y detectores de movimiento. Estos incluyen:
  • Network intrusion detection sensor (NIDS) products: Un dispositivo que se oculta en la red y evalúa los datos que se desplazan sobre la red. Un NIDS típicamente se conecta a puertos SPAN en switches, de manera que un simple sensor pueda evaluar todos o la mayoría del tráfico en una subred.
  • Host intrusión detection sensor (HIDS) products: Este software se carga en un sistema host. Un sistema HIDS es generalmente una defensa activa que combina identificación de ataque y respuesta.
  • Audit log analysis products: Este sistema permite obtener registros que identifiquen intentos exitosos o fallados de entrar en el sistema.
  • Managed security system provider (MSSP) services: Una organización necesita un equipo de expertos de seguridad trabajando para controlar, evaluar, y rápidamente responder a información recogida por NIDS, HIDS, audit logs, y otras fuentes. Muchas compañías subcontratan estas tareas a un MSSPs. Con MSSPs disponemos de motores de análisis y correlación sofisticada para procesar la cantidad de datos recibidos diariamente.
Bibliografía: Detection and cyber security. ControlGlobal November 2009
Publicar un comentario en la entrada