Integración de arquitecturas multicapa para mitigar las vulnerabilidades cibernéticas en los sectores del petróleo y el gas

Antecedentes

Hoy en día, las producciones de servicios públicos, como los yacimientos petrolíferos, las refinerías de petróleo y las perforaciones de gas en el mar, se han ido digitalizando y conectando cada vez más. Los dispositivos desplegados como PLCs, HMIs, SCADA, sensores y sistemas de computación embebidos son tecnologías operativas (OT) interconectadas para optimizar la automatización y las producciones. Aunque la digitalización y las interconexiones de los dispositivos de OT han aumentado la productividad y las salidas para la industria del petróleo y el gas, la puerta se abre a los ataques cibernéticos al mismo tiempo. De hecho, el número de ataques cibernéticos a las industrias de producción de servicios públicos ha aumentado continuamente. Según las investigaciones, más del 60% de las empresas de servicios públicos se han encontrado con al menos un ataque en los últimos años y la industria petrolera está catalogada como una de las industrias más afectadas por los ciberataques.

Dado que el petróleo y el gas son dos de las principales utilidades para la vida diaria, los activos críticos como las refinerías, las plantas de producción y los sitios de instalación son objetivos de alto perfil para los hackers. Si estos entornos de OT están siendo atacados, las consecuencias graves incluyen el cierre de la planta, fallas en la producción e inicio de datos confidenciales, lo que eventualmente saboteará las economías nacionales y creará pánico en el público. Por lo tanto, cuando los dispositivos OT están conectados, debemos asegurar una comunicación segura a través de todo el tráfico y protocolos de la red ICS.

Requisitos

Los protocolos de OT de ICS y SCADA tradicionales son vulnerables a las amenazas cibernéticas, ya que estos protocolos suelen estar desprotegidos y abiertos. Esta vulnerabilidad atrae a los hackers a manipular refinerías y plantas de petróleo y gas introduciendo malware a través de diferentes puntos de acceso a las redes de control.

Con el fin de proteger los dispositivos interconectados y los protocolos de red, los propietarios de activos críticos deben implementar plataformas de seguridad de red multicapa para que sus redes OT/IT ejecuten listas blancas, monitoreo de patrones de tráfico, protocolos y políticas de inspección de paquetes y seguridad. Las plataformas deben contar con un diseño robusto, un rendimiento óptimo y una conectividad de E/S bien configurada para satisfacer las necesidades de seguridad en los entornos más exigentes.

Solución de hardware multicapa

Para abordar los problemas de seguridad cibernética en la industria del petróleo y el gas, Lanner’s LEC-6032 y NCA-4210 son los conjuntos óptimos para despliegues de OT y DMZ. Para el despliegue del lado de OT, LEC-6032 es un sistema embebido sin ventilador de grado industrial con una amplia temperatura de operación que se desplegará en sitios ICS y SCADA como firewall de lista blanca e inspección de paquetes. Para el lado DMZ, NCA-4210 es un dispositivo de montaje en rack 1U con CPU de microarquitectura Intel de 14nm, el procesador Intel® Core™ de sexta generación (nombre en código Skylake-S), que se implementará como UTM e IPS.

Ciberseguridad en redes OT

Para implementar medidas de seguridad y evitar el acceso remoto no autorizado, LEC-6032 es un firewall industrial compacto diseñado para los sectores de petróleo y gas. El robusto LEC-6032 cumple con la certificación de Clase 1 División 2 contra ambientes peligrosos con posibles gases o vapores volátiles o inflamables. Su diseño sin ventilador reduce las interrupciones del sistema y minimiza el polvo dentro del dispositivo. El LEC-6032 también tiene una temperatura de funcionamiento prolongada con un rango máximo de -40 ºC a 70 ºC. Esto proporciona una amplia operatividad bajo ambientes hostiles en los sitios de despliegue de ICS. Además, pueden producirse sobretensiones eléctricas en infraestructuras críticas, lo que podría devastar los sistemas implementados.

Para evitar devastaciones, LEC-6032 viene con puertos COM aislados con protección a 15KV ESD y protección magnética para puertos Ethernet. Con respecto a la conectividad de red, el LEC-6032 ofrece varias configuraciones de puerto LAN, incluyendo LAN GbE, puertos de fibra SFP y bypass LAN Gen.3 avanzado, dependiendo de los conjuntos de modelos específicos.

Ciberseguridad en redes DMZ

Diseñado para defender ataques cibernéticos avanzados (tales como ataques DDoS) en servidores historiadores y controladores de dominio en la DMZ industrial, el NCA-4210 de Lanner está equipado con la nueva CPU de microarquitectura Intel de 14nm, el procesador Intel® Core™ de 6ª generación (nombre de código Skylake-S). Con el diseño tridimensional de la próxima generación, la adopción del procesador Intel® Core™ de sexta generación viene con la promesa de mejorar el desempeño del procesador, a la vez que reduce el TDP. También se ha lanzado un nuevo tipo de zócalo, el LGA 1151, para la arquitectura de encogimiento. En términos de eficiencia de memoria, el NCA-4210 soporta DDR4 de doble canal con frecuencia de hasta 2133MHz y capacidad de hasta 32GB por 2 x 16GB DIMM. También es compatible con ECC (sólo disponible para el conjunto de chips C236).

Otra característica interesante de el NCA-4210 es el uso del chipset de las series Intel® H110 y C236. El nuevo PCH trae una gran actualización para PCI Express. Con el nuevo zócalo LGA 1151, NCA-4210 admite hasta 20 líneas PCIe Gen3.0 y zócalo M.2, lo que mejora considerablemente la eficiencia de E/S hasta en un 40%.

Ciberseguridad en redes empresariales

La razón principal de la vulnerabilidad cibernética en la red de automatización segregada se debe al código malicioso del exterior. Las redes empresariales conectadas a Internet o los dispositivos externos no seguros, como ordenadores portátiles, tabletas y periféricos USB, también causan huecos para malware y virus en las redes de oficina e industriales.

Construido para proteger las redes empresariales, Lanner proporciona el FW-8896, los firewalls de red empresarial de alto rendimiento con alta disponibilidad y fiabilidad. Estos dispositivos de red x86 montados en rack 2U están equipados con el chipset dual Intel® Xeon® E5-2600 v3/v4 CPUs/C612 (nombre en código «Grantley») y memoria DIMM registrada DDR4 de hasta 2133 MHz de frecuencia para ofrecer una potencia de computación sin igual para implementar medidas de seguridad avanzadas. El FW-8896 también dispone de 8 ranuras para módulos NIC con una capacidad máxima de 2,5 mA. 64 puertos Ethernet, bypass LAN avanzado y soporte de aceleración de cifrado, lo que hace que el dispositivo sea ideal para aplicaciones de seguridad exigentes como IDS (Sistemas de detección de intrusiones), IPS (Sistemas de prevención de intrusiones), DPI (Inspección profunda de paquetes) en redes empresariales.

Integración de arquitecturas multicapa para mitigar las vulnerabilidades cibernéticas en los sectores del petróleo y el gas was last modified: enero 21st, 2020 by LEI Technology