Prohibido el paso - Contact ABB

transformadores.com.co
  • No tags were found...

Prohibido el paso - Contact ABB

Prohibido el pasoSeguridaddetalladas para cada interfaz que muestranel número de paquetes recibidos,enviados, descartados, erróneos, etc. Ensistemas Microsoft Windows, las etiquetascontienen información detallada sobreel sistema operativo (p.ej., versión,paquete de servicio instalado), lassesiones activas, la situación de los hilosen ejecución y las tendencias de uso dela CPU y de la memoria y la actividadde los hilos.Ejemplo de detección de irregularidadesSecurity Workplace fue diseñado paradetectar signos de ataques y alertar aloperario. Una parte importante de ladetección de ataques es definir primeramenteel estado “normal” del sistema.7 Posible ataque a un cortafuegos8 Icono de cambio que muestra el uso nopermitido de un puerto (rojo)Workplace permite definir umbralespara distintos valores que, cuando sesobrepasan, disparan una alarma. Lamecánica es similar a la supervisiónnormal de procesos. Sin embargo, a diferenciade otros enfoques de la detecciónde intromisiones (IDS), no se definenpreviamente los umbrales, sino queel operario decide lo que es normal y loque no.Las cargas de red, por ejemplo, sevigilan constantemente; un aumentosúbito del tráfico provocará una alerta.Las desviaciones de las cargas normalesde red pueden indicar un incidente deseguridad, como el escaneado de lared o un programa malintencionadoque intenta enviar datos. 7 muestra unasituación en la que el tráfico de red enun cortafuegos es anormal y unidireccional,es decir, el tráfico sólo llega alcortafuegos y no se retransmite. Además,la carga de red ha sobrepasado elumbral (indicado por el signo de admiración)y alguno de los paquetes eserróneo (como indica el color rojo de lacurva de datos). El hecho de que no seenvíe casi nada de tráfico desde el cortafuegosa ninguna interfaz sugiere quealguien está explorando el cortafuegos,o intentando enviar datos al PCN queestá bloqueado por el cortafuegos. Ambosextremos serían una clara señal deataque. Pero también podría tratarse deun técnico que está cargando en el cortafuegosun archivo, p. ej., un nuevo firmware,y ha provocado la carga de tráficoanormal. No obstante, el elevado númerode paquetes erróneos lo hace improbable.Puede ser que el técnico esté realmentellevando a cabo una actualización defirmware del cortafuegos, o que suordenador portátil esté infectado por ungusano que intenta cruzar el cortafuegos.En 9 se muestra una situación diferente.El sistema Windows vigilado tiene lasfunciones antivirus desactivadas, y lacarga de la CPU es muy alta. El softwareantivirus desactivado habría disparadouna alarma. Como anteriorment, el operariopuede tener información para interpretarlo sucedido, p. ej., que alguienesté actualizando el software en esamáquina. No obstante, nunca deberíadesactivarse el antivirus, y esta situacióndebería, por tanto, ser clasificada comoun incidente de seguridad independientementede las circunstancias.El sistema 800xA Security Workplace ylos servicios asociados de integraciónse pueden obtener en los servicios deconsultoría de seguridad ConsultIT deABB. Puede ponerse en contacto conRolf Vahldieck (rolf.vahldieck@ch.abb.com) o con el resto de autores de esteartículo.Markus BrändleThomas E. KochMartin NaedeleInvestigación del Grupo ABBBaden-Dättwil, Suizamarkus.braendle@ch.abb.comRolf VahldieckABB Automation GmbHMinden, Alemaniarolf.vahldieck@de.abb.com9 Icono del sistema Windows con antivirusdesactivadoAunque la información que se muestraen 7 da indicaciones sobre el tipo deataque, sigue sin estar claro dónde seha originado. Esta información hay quebuscarla en otra parte de Security Workplace:8 muestra el interruptor de redque reside en la DMZ, que tambiénestá conectada a la interfaz exterior delcortafuegos. Poco antes del ataque, elpuerto de la derecha del gráfico comenzóa parpadear en rojo. Esto significaque un dispositivo, (p. ej., un ordenadorportátil) se ha conectado a ese puertofísico, aunque ese puerto no deberíaestar conectado a nada.El ajuste entre las informaciones y elhecho de que el operario sabe que untécnico está llevando a cabo mantenimientode la red DMZ permite a aquélsuponer la causa de la irregularidad.Referencias[1] Naedele, M., Addressing IT Security for CriticalControl Systems, 40th Hawaii Int. Conf. on SystemSciences (HICSS-40), Hawaii, enero de 2007.[2] http://www.sandia.gov/news/resources/releases/2006/logiic-project.html(Noviembre de 2007)[3] IDS is dead, Gartner 2003.[4] Naedele, M.; Biderbost, O. Human-AssistedIntrusion Detection for Process Control Systems2nd Int. Conf. on Applied Cryptography andNet-work Security (ACNS) Tunxi/Huangshan,China, junio de 2004.[5] Koch, T.E.; Gelle, E.; Ungar, R.; Hårsta, J.;Tingle, L. “Computación autónoma”, Revista ABB1/2005, páginas 55–57.Lectura recomendada:Naedele, M.; Dzung, D.; Vahldieck, R.; Oyen, D.Seguridad de los sistemas de información industrial(tutorial en tres partes), parte 1: Revista ABB 2/2005,páginas 66–70; parte 2: 3/2005, páginas 74–78;parte 3: 4/2005, páginas 69–74.Revista ABB 1/200875

More magazines by this user
Similar magazines