La Matrusca o Matrioshka (en ruso), es una artesanía proveniente de Rusia que consta de varias muñequitas elaboradas de madera y de diferente tamaño que han sido diseñadas para guardarse entre ellas mismas, es decir, la muñeca más chica se guarda en la muñeca del siguiente tamaño, hasta estar todas contenidas en la muñeca más grande.
Este sistema de almacenamiento es una analogía de lo que en ciber seguridad industrial llamamos «Defense-in-Depth«. Para llegar a la muñeca más pequeña requerimos de destapar al menos 4 muñecas, lo cual toma cierto tiempo; es lo que denomino Ciberseguridad al estilo matrusca.
Analogía de la matrusca a nuestra ciber seguridad industrial
Transportando la utilidad de esta analogía, imaginemos que tenemos un activo a proteger en nuestra planta, que puede ser un PLC que controla un proceso critico de producción, este PLC será nuestra matrusca más pequeña. A esta matrusca la rodeamos de 5 matruscas más o 5 capas de protección de ciberseguridad para nuestro PLC.
Capa 1. La primer capa de ciberseguridad pudieran ser un firewall de capa 2 (FwL2) entre el PLC y el nodo de red que viene del switch de acceso. Este firewall tendrá que estar debidamente configurado, de lo contrario nos puede ocasionar problemas de comunicación, o simplemente, no servir como protección contra ataques. Así tendremos una zona protegida que es el PLC maestro y sus esclavos, y el Firewall estaría actuando como un conduit (ISA/IEC62443).
Capa2. La segunda capa de protección puede ser una protección 100% física, instalamos una chapa en el gabinete de nuestro PLC dificil de violar o abrir con un desarmador o llave maestra de gabinetes.
Capa3. Una capa adicional que podemos implementar es un IDS o Sistema de Detección de Intrusos. Los IDS no son invasivos, ya que solo monitorean la actividad de los paquetes de comunicación sin que alenten dicha comunicación. Se pueden configurar detección en diferentes protocolos industriales como son modbus, DNP3, etc. Así cuando exista una instrucción no permitida como puede ser de paro o reinicio, nos alerte inmediatamente para saber qué usuario realizó dicho comando que podría no estar autorizado resultando en tiempos muertos a nuestra producción.
Capa 4. Procedimiento de parches. En los planes de ciber seguridad industrial que yo diseño, siempre incluyo un proceso mandatorio de actualización y mantenimiento de parches. Recordemos que los atacantes están al pendiente de las publicaciones de los fabricantes y sus vulnerabilidades antes que tú.
Capa5. En mis diseños de Defense-in-Depth siempre agrego una capa de prevención contra malware, ya que los usuarios en sus primeros planes de ciber seguridad industrial aun no cuentan con políticas específicas encaminadas a la prevención de equipos y accesorios externos.
Resumen
El número de capas debe estar justificado del nivel de seguridad objetivo (o como se conoce en ISA/IEC62443 el SL-T «security level target«) y fundamentado en el análisis de vulnerabilidades previamente ejecutado. Si tu nivel de seguridad es entre 1 y 2, lo más probable que puedas implementar 3 capas de seguridad para cumplir con tu nivel de seguridad objetivo.
Te recomiendo implementar el mayor número de capas adicionales posible, ya que esto implicará que tu atacante se desanime o tarde aun más en cumplir su ataque, existen capas que son económicas en su implementación, tal como el simple candado o chapa en el gabinete de tu PLC crítico. Recuerda Ciberseguridad al estilo matrusca.
Quedo a tus órdenes para cualquier duda
Escrito por Pedro Bernardo Montero, consultor en ciber seguridad industrial
Consultá nuestro Decálogo sobre ciber seguridad industrial en :
Nuestro partner integrador:
