Tips

Análisis de red Pasivo vs Activo

analisis de red activo vs pasivo

Recientemente una empresa me preguntó si podíamos ejecutar un análisis de red, concretamente un Pen-Test a la red de producción.

 

Por mi mente pasaron varias ideas, la primera fue que la persona con la estaba hablando no era responsable de producción, más probablemente era integrante del departamento de IT; un pen-test es una prueba activa intrusiva que no se recomienda en ambientes de OT, salvo casos especiales y en ambientes controlados. Así que fui filtrando la información en la llamada telefónica, hasta que descubrí que lo que necesitan es conocer la situación de ciberseguridad de su red de producción OT.

 

A partir de la experiencia mencionada, es que quiero compartirles la explicación que le mencioné a dicha empresa y mis recomendaciones, esperando les sea de utilidad para ampliar sus conocimientos en ciberseguridad industrial.      

 

 

 

Análisis de red pasivo

Este análisis es no intrusivo, es decir, no envía ningún tipo de información o paquete de dato en la red,  ni siquiera un ping. El objetivo es conocer al máximo la información de la red tal como, cantidad de equipos, tipo de sistema operativo, firmware utilizado, dirección IP, dirección mac, comunicaciones con otros equipos, protocolos, y en algunos casos los códigos de función de protocolos industriales. El análisis se realiza con ayuda de herramientas que después de capturar paquetes de la red identifica la información y la interpreta para su análisis.      

 

 

 

Análisis de red activo

Este análisis puede o no incluir un análisis pasivo, aunque es recomendable que sí lo tenga para conocer activos y su tráfico. Adicionalmente las pruebas que se realizan sí envían datos, desde un simple ping hasta una exploración de puertos abiertos en cada dispositivo de la red.      

 

 

 

Recomendaciones de análisis

No ejecutes un análisis activo sin contar con la aprobación de las diversas áreas involucradas como pueden ser Producción, EHS, Sistemas, OT, Mantenimiento. Existen riesgos que deben conocer y se debe justificar este tipo de pruebas.  

 

En ambientes de producción o redes OT se recomienda ejecutar un análisis pasivo. Algunas herramientas de monitoreo pasivo inclusive correlacionan la información para un análisis de riesgo y vulnerabilidades, como puede ser un sistema operativo sin soporte, contraseñas que viajan sin cifrado en la red, vulnerabilidades publicadas como CVE.   El análisis activo, se conducirá, en caso necesario, en ambientes controlados donde se debe conocer el riesgo que puede inhabilitar los equipos ICS’s o incluso servidores SCADA.      

 

 

 

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

Contáctanos para cualquier duda o ayuda que requieras.

 

 

      Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 
Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

Back to list