Monitorizando redes y eventos en SCI: más información, más seguridad

Fecha de publicación 28/06/2018
Autor
INCIBE (INCIBE)
imagen decorativa monitorizando redes y eventos

¿Qué es la monitorización de red?

La monitorización de redes es, cada vez más, uno de los pilares de la defensa en profundidad, y más aún en el ámbito de los sistemas de automatización y control. La monitorización permite conocer, entre otros, el comportamiento en las comunicaciones e identificar acciones fuera de lo habitual, bien sea por tipo de tráfico, por el momento en el que se llevan a cabo o por su volumen. El proceso de monitorización consiste en la recolección, análisis y escalado de indicadores y alertas para detectar y responder a intrusiones, aunque también se puede ver como la manera de encontrar agentes ajenos a la red y llevar a cabo las acciones necesarias antes de que dañen los sistemas.

Algunos de los beneficios más importantes que puede proporcionar esta estrategia aplicada de forma correcta son:

  • Detectar y corregir comportamientos anómalos: las redes, sobre todo en los sistemas de control, son muy complejas. Un buen sistema de monitorización ayuda a detectar malos hábitos, carencias de capacidad, servicios que consumen el ancho de banda de la red y, por supuesto, focos de problemas.
  • Gestionar la calidad del servicio con exactitud: la gran mayoría de herramientas de monitorización permiten crear indicadores en los que visualizar el estado del servicio en intervalos predefinidos configurables.
  • Visualización rápida y sencilla: Casi cualquier cosa se puede representar en una gráfica, lo que permite hacer análisis visuales de correlación a un operador entrenado, y de un vistazo comprobar que todo va bien en la monitorización de red.

La monitorización de red en sistemas de control

La monitorización de red y de eventos es más efectiva sobre los niveles superiores de la arquitectura modelo planteada por la ISA 95, es decir, sobre los niveles de negocio. Esto se debe a una ausencia de protocolos industriales y a la existencia de un mayor número de herramientas automatizadas, además de disponer de plataformas más estándar y con mejores capacidades de seguridad en sus logs. Aunque eso no significa que no sean útiles en los niveles más bajos, sino que simplemente hay que adaptarse a lo que cada nivel ofrece:

  • Nivel de empresa: Equipos estándar y servidores con recursos suficientes. Se han de recoger logs de Windows, eventos provenientes de Syslog o agentes de seguridad, estado de antimalware, listas blancas y otras herramientas de seguridad.
  • Nivel de planta: Equipos estándar en muchas ocasiones, pero con un uso específico y dedicado. La obtención de logs del sistema operativo (tanto Linux, como Windows) se debería poder realizar con facilidad, y la instalación de algún agente de seguridad que ofrezca más detalle de otras herramientas, se podría realizar igualmente sin complicaciones.
  • Nivel de control: Estos dispositivos específicos suelen tener carencias en cuanto a recursos dedicados a la seguridad, por lo que solo se podrá obtener la información proveniente de los logs existentes.
  • Equipamiento de red: Todos los sistemas de protección de red deben aplicar el máximo nivel de inspección posible, lo que significa realizar inspección profunda sobre todo el tráfico de las redes de control, consiguiendo así identificar una gran cantidad de eventos significativos.

La aplicación de la monitorización de seguridad sobre los sistemas de control debe disponer de otras premisas diferentes respecto al mundo TI, ya que la información que se va a obtener es, en general, en menor cantidad y de menor interés, en cuanto a la seguridad se refiere. De forma habitual, una herramienta de monitorización de red TI utilizada en sistemas de control, va a proporcionar indicadores con valores bajos respecto a la seguridad, pero eso no significa que realmente sea así.

El enfoque en los sistemas de control debe partir de la obtención de un estado conocido que permita parametrizar el tráfico de red y los eventos generados. Este estado debe crearse a partir de las pruebas de puesta en marcha de los sistemas (FAT y SAT) principalmente, pero teniendo también en cuenta todos los cambios posteriores y realizando pruebas periódicas siempre que sea posible. El modo de trabajo consistirá en comparar el estado actual obtenido en la monitorización con el estado conocido en busca de desviaciones, que pueden incluir nuevos flujos de tráfico, flujos que se ejecutan de forma diferente a lo esperado o anomalías de comportamiento.

No obstante, la monitorización de la red no tiene por qué ser una tarea difícil ni tediosa, ya que no son necesarios algoritmos complejos en unas redes donde el tráfico es muy repetitivo y las acciones están acotadas. Lo complicado puede ser aislar el tráfico que realmente se desea analizar del resto del tráfico del sistema, pero ahí es donde entran en juego las herramientas de análisis de protocolos de red como, por ejemplo, wireshark. Las métricas de medición también son sencillas y, observando parámetros como la desviación y la latencia, se permite obtener importantes conclusiones. Ahora bien, la monitorización de red en sistemas de control también puede ser muy complicada, en función del nivel de profundidad y conocimiento que se quiera obtener. Si se desea un análisis muy detallado, el análisis interno, curiosidades e idiosincrasias propias de cada sistema serán una barrera importante, además, se ha de tener en cuenta que no siempre será posible llegar a la raíz del problema, principalmente por las limitaciones que supone la arquitectura en tiempo real, los problemas de rendimiento de la red y la falta de herramientas y técnicas para investigar muchos problemas.

Herramientas de monitorización para sistemas de control

Hoy en día ya existen varias herramientas que permiten realizar una acción como respuesta a una determinada condición, como han sido tradicionalmente los sistemas IDS/IPS, pero también están proliferando las herramientas de monitorización de red, que permiten realizar acciones más complejas ante ciertos “eventos” vistos en la red.

Entre el conjunto de herramientas existente se pueden distinguir de todo tipo: específicas o adaptadas desde el mundo TI, libres y de pago, sencillas y complejas, etc. Dentro de este amplio conjunto, vamos a destacar Security Onion (aunque hay otras como Moloch con características similares), por ser una solución libre que incluye un gran número de herramientas para la gestión y monitorización de la red, entre las que se encuentran Snort, Suricata, Bro, Sguil, Squert, Snorby, ELSA, Xplico, Network Miner, etc.

Security Onion es una distribución que agrupa gran cantidad de herramientas libres que tienen como objetivo la monitorización de anomalías y la detección de problemas de seguridad en una red, que permiten desde su captura y tratamiento, hasta la presentación de la información en indicadores y gráficos parametrizables a las necesidades del operador; que funciona como un Gestor de Seguridad de Red (NSM - Network Security Manager). Su despliegue es relativamente sencillo y rápido, también incluye la opción de desplegar con Docker para facilitar aún más la tarea, al estar integrado todo en una única solución y no tener que desplegar múltiples aplicativos en diferentes máquinas, además, dispone de menús de instalación que permiten configurar todas las herramientas de una vez. Sus capacidades pueden ser fácilmente implantadas en un sistema industrial gracias a sus posibilidades de parametrización y al empleo de lenguajes de script en varios de sus componentes, lo que permite crear reglas y condiciones propias para el tipo de tráfico y el comportamiento de una red industrial.

 

Visualización de información recogida por Security Onion

 

Algunas de las características principales de las herramientas relacionadas con la monitorización de las redes que se incluyen en la distribución son:

  • Suricata: Aunque en realidad se trate de un sistema IDS/IPS, permite realizar también el análisis de capturas de tráfico offline. Permite la programación de nuevos scripts que le dan la potencia necesaria para la monitorización de anomalías en la red.
  • Sguil: Herramienta de análisis de red para el operador, ya que integra la información recogida de diferentes fuentes para mostrarla de forma adecuada. Permite asociar tráfico con una alerta y también indica el posible tráfico que podría estar relacionado, aunque no esté implicado de forma directa.

Conclusion

Con el abanico de herramientas disponible, es posible implementar analizadores de seguridad de red en sistemas de control sin causar gran impacto en la operativa. Además, la expansión de OSINT, la compartición de información y los indicadores de compromiso (IoC) son cada vez más comunes en estos entornos. El tamaño de la industria tampoco es un problema, puesto que hay soluciones que son capaces de evaluar un elevado número de eventos y permiten soluciones escalables según la evolución de la empresa. Las herramientas libres permitirán conocer el funcionamiento de las soluciones y las ventajas que aporta la monitorización y las soluciones comerciales aportan la estabilidad y respaldo que necesita la industria, así que ¿por qué no te animas?

Etiquetas