Puerta de enlace de seguridad de TI+OT convergente para garantizar la protección de infraestructuras críticas

Historial

El número de ataques cibernéticos selectivos ha aumentado exponencialmente en los últimos años, y la tasa de ataques también ha aumentado particularmente en la infraestructura crítica, como la central eléctrica, la refinería de gas y el transporte. Algunos incidentes importantes de ataques cibernéticos a los sectores de la energía, como el ataque de Blackenergy a las redes eléctricas de Ucrania y el Stuxnet a las centrales nucleares iraníes, cortaron su flujo de datos y perturbaron el servicio público. Debido a la creciente convergencia de servicios entre las tecnologías de la información (TI) y las tecnologías operativas (OT), existe una necesidad urgente de medidas de seguridad multicapa más completas para la protección de infraestructuras críticas (CIP) con el fin de garantizar la seguridad de las comunicaciones y mitigar los cibertratamientos avanzados.

Gateway para seguridad CIP integrada

La mayoría de los operadores de infraestructuras críticas han abordado la importancia de las infraestructuras de TI, pero la tecnología de TI no ha recibido tanta atención. A pesar de los mismos propósitos: control de acceso, monitoreo de red y acciones de respuesta apropiadas, la TI está más orientada a la arquitectura abierta, mientras que la OT está altamente aislada y ciberfísica debido al uso de protocolos propietarios y brechas de aire. Por lo tanto, se había prestado menos atención a la seguridad de las OT debido a la exposición limitada y a los altos costos de mantenimiento, que hacen de las OT una opción menos favorita en el proceso de presupuestación. Así, la vulnerabilidad se reveló cuando Blackenergy pirateó la red eléctrica ucraniana en 2015 y Stuxnet atacó la central nuclear iraní en 2010.

Habida cuenta de los incidentes mencionados, es importante crear pasarelas de seguridad CIP bien coordinadas y convergentes que integren las tecnologías de la información y la tecnología de la información para establecer la visibilidad del tráfico de la red de control y las instrucciones de la política de seguridad. Para el campo de OT, es necesario desplegar un dispositivo de seguridad para integrar SCADA, PLCs y servidores de registro. En lo que respecta al entorno de TI, se desplegará un dispositivo de seguridad de red para proteger los servidores de correo, ERP y PLM.

Estas pasarelas CIP deben cumplir los siguientes requisitos tecnológicos de hardware:

OT Security Gateway: protección de sensores, PLC, HMI, SCADA y servidores de registro

Diseño sin ventilador

Fanless es el diseño térmico ideal y rentable en entornos de infraestructuras críticas.

Montaje en carril DIN

El riel DIN es quizás la opción de montaje más práctica en entornos de infraestructura crítica y, por lo tanto, la puerta de enlace necesaria debe montarse de esta manera.

Protegido contra sobretensión/ESD Conexión serie

Las anormalidades eléctricas como sobretensiones y ESD ocurren a veces en entornos de infraestructura crítica y, por lo tanto, la puerta de enlace necesaria debe diseñarse con protecciones de sobretensiones y ESD para sus puertos serie, ya que estas E/S son conexiones críticas con dispositivos industriales.

Bypass LAN avanzado

El tráfico LAN tolerante a fallas es esencial en la comunicación ICS en caso de que ocurra una falla.

Temperatura de funcionamiento amplio

Dada la temperatura extrema en un entorno de infraestructura crítica, el sistema debe ser capaz de funcionar en un amplio rango de temperaturas.

Paso de doble potencia

El diseño de potencia es esencial en el sector energético y la trayectoria de potencia dual puede ofrecer una mayor estabilidad.

IT Security Gateway: protección de ERP, PLM y servidores de correo

Montaje en rack

1U 19″

El montaje en rack 1U de 19″ es un factor de forma que ahorra espacio para su implementación en el centro de datos de TI.

Procesador multinúcleo

Para aumentar la capacidad y el rendimiento de la red, la CPU con múltiples núcleos de procesamiento y motores de aceleración de hardware es la solución óptima para ejecutar instrucciones añadidas de software.

Memoria de última generación

La puerta de enlace necesaria se diseñará con la memoria de próxima generación, como DDR4, para que funcione eficientemente.

Expansión NIC

Un ICS CIP bien protegido debe incorporar escalabilidad futura con arquitectura modular, tal como la expansión de módulos NIC para escalar ciertas funcionalidades.

Bypass LAN avanzado

El tráfico LAN tolerante a fallas es esencial en la comunicación ICS en caso de que ocurra una falla.

Pasarelas convergentes de Lanner para seguridad IT/OT

Uno de los proveedores de seguridad de TI/OT más conocidos de Europa seleccionó los dispositivos Lanner como sus puertas de enlace de seguridad CIP desplegadas tanto en entornos de red de TI como de OT. El paquete de soluciones integrado y convergente incluye el LEC-6032C como el UTM industrial robusto en OT y el NCA-4210 como la nueva generación de cortafuegos en TI.

Para entorno OT, el LEC-6032C es una puerta de enlace de seguridad sin ventilador de grado industrial con CPU Intel Atom E3845 de huella pequeña que se desplegará en sitios ICS y SCADA como cortafuegos para realizar listas blancas e inspección de paquetes. Tanto para el IT como para la DMZ, (Zona Desmilitarizada), el NCA-4210 es un dispositivo de seguridad de red montado en rack 1U habilitado por Intel 6th/7th gen. Core-i7/i5/i3 CPU que se desplegará como NGFW para aplicaciones DPI e IPS/IDS.

LEC-6032C soporta temperaturas de operación extendidas con un rango máximo de -40 ºC a 70 ºC. Esto proporciona una amplia operatividad bajo ambientes hostiles en los sitios de despliegue de ICS. Además, pueden producirse sobretensiones eléctricas en infraestructuras críticas, lo que podría devastar los sistemas implementados. Para evitar que ocurran devastaciones, LEC-6032C viene con puertos COM aislados con protección a 15KV ESD y protección magnética para puertos Ethernet. Con respecto a la conectividad de la red, LEC-6032C ofrece 5 puertos RJ-45 GbE con 1 par de bypass LAN de Generación 3 y 2 puertos de red SFP. Para una cómoda conexión en serie con componentes industriales, LEC-6032 ofrece un puerto serie con señales RS-232.

Para la DMZ y la infraestructura de TI, el NCA-4210 de Lanner está equipado con CPU Intel® Core-i7/i5/i3 de 6ª/7ª generación (anteriormente Skylake/Kabylake) y memoria DDR4 con capacidad de integridad de datos ECC. El NCA-4210 está diseñado con 2 tomas DIMM DDR4 de hasta 32 GB cada una. La adopción del chipset Intel® serie H110 o C236 como el nuevo PCH trae consigo una enorme actualización para PCI Express. En cuanto a la expansión, NCA-4210 está diseñado con una ranura de expansión de módulos NIC para expandir el ancho de banda. Otra característica significativa de el NCA-4210 son las configuraciones flexibles de LAN. Dependiendo de los SKUs, hay opciones de conectividad Ethernet de 6 x RJ-45 GbE LAN + 2 x SFP GbE LAN con 2 pares de bypass, o 8 x RJ-45 GbE LAN con 2 pares de bypass.

Dado el hardware bien diseñado, ambos LEC-6032C y NCA-4210 puede aportar seguridad en las aplicaciones de convergencia de TI/OT.

Puerta de enlace de seguridad de TI+OT convergente para garantizar la protección de infraestructuras críticas was last modified: enero 22nd, 2020 by LEI Technology