Ver traducción automática
Esta es una traducción automática. Para ver el texto original en inglés haga clic aquí
#Libros blancos
{{{sourceTextContent.title}}}
Seguridad profundizada del Cyber de la defensa para las comunicaciones de la subestación
{{{sourceTextContent.subTitle}}}
Están llevando a cabo esta semana, a la feria profesional más grande y la conferencia en los E.E.U.U., DistribuTECH de la compañia de electricidad,
{{{sourceTextContent.description}}}
¿Una de las pistas en la porción de la conferencia del acontecimiento es? ¿Defensa de la rejilla.? ¿La prominencia del asunto en esta demostración, junto con los ataques que cortan destacados recientes (Sony, blanco) que ha cogido la atención de la gerencia superior en todas las industrias, agrega para arriba a una cosa? ¿él? tiempo de s para mirar o para repasar el estado de las defensas del cyber en sus subestaciones.
¿Él? s no una sorpresa que la infraestructura crítica, tal como la rejilla eléctrica, ha sido una blanco cada vez mayor para los cyberattacks sofisticados. Qué puede ser las noticias a usted, sin embargo, son el hecho de que los dispositivos y los protocolos de la herencia usados en subestaciones son particularmente vulnerables a los incidentes intencionales y accidentales del cyber.
¿Cuál entonces es el acercamiento correcto a llevar las subestaciones seguras? Comienza con la mejor práctica de la defensa profundizada.
¿Defensa profundizada? Capas múltiples de protección
Si usted es ingeniero en Norteamérica, usted es familiar con NERC (los North-american Electric Reliability Corporation), que fija los estándares para la operación de sistemas eléctricos a través de los E.E.U.U., del Canadá y de las partes de México. Tiene un estándar llamado NERC CIP (CIP que se coloca para la protección crítica de la infraestructura) que requiere cumplimiento de requisitos mínimos de seguridad.
Desafortunadamente, NERC CIP tiene en su base que una filosofía electrónica del perímetro de la seguridad (ESPECIALMENTE) basó en la ocultación de todos los activos críticos detrás de un límite monolítico. Por ejemplo, un solo cortafuego se podría instalar en el límite entre todos los activos críticos del control y la red del negocio, con la esperanza que prevendrá todo el acceso desautorizado a los activos críticos.
La experiencia de la industria ha demostrado que los diseños monolíticos presentan un monopunto de la falta en un sistema complejo. Pocos sistemas son tan simples en cuanto a tienen punto únicos de entrada.
Por ejemplo, esto es lo que ha encontrado el departamento de los E.E.U.U. de seguridad de patria:
¿? ¿En? .hundreds de los gravámenes de la vulnerabilidad en el sector privado, de ningún modo nos tienen nunca encontraron la red de las operaciones, el sistema de SCADA o el sistema de gestión de la energía separados de la red de empresas. En promedio, vemos 11 conexiones directas entre esas redes. ¿En algunos casos extremos, hemos identificado hasta 250 conexiones? ¿.?
¿Con la ayuda de Murphy? la ley de s, todas las soluciones monopunto se puentea o experimenta eventual una cierta clase de malfuncionamiento, saliendo del sistema abierto al ataque.
¿Una estrategia más realista se basa en la defensa profundizada? capas múltiples de defensa distribuidas a través de la red del control.
La defensa profundizada mantiene ESPECIALMENTE un cortafuego entre el negocio y las redes del control, pero agrega las soluciones de la seguridad dentro del sistema de control que protegen las subestaciones si se puentea el cortafuego principal. Las soluciones trabajan paralelamente, con una tecnología traslapándose a menudo con otras, para formar una salvaguardia significativa contra ataque o error humano.
Las técnicas usadas se deben basar en hacer un gravamen de riesgo para los activos críticos y los procesos. Entonces, se desarrolla un modelo de defensa de múltiples capas, que incluye tecnología de la protección y otros artículos. Los otros artículos incluyen cosas como seguridad física, políticas, procedimientos y más.
Una red protegida usando una estrategia profundizada de la defensa responde a las amenazas, tales como una tormenta del tráfico (causada por faltas del dispositivo) o un virus USB-basado, limitando el impacto para la zona en donde el problema comenzó. Los mensajes de alarma de los cortafuegos establecerían claramente la zona e incluso la fuente del problema.
Cortafuegos de la encaminamiento que guardan el perímetro de la subestación
Para crear un perímetro de la seguridad para la subestación, un punto del control de seguridad necesita ser establecido para restringir y para supervisar salir a raudales de tráfico en y fuera de la subestación.
Típicamente, esto será un cortafuego dedicado, pero en algunos casos un ranurador o un servidor terminal puede ser utilizado. Éstos necesitan poder filtrar granes cantidades de tráfico e interconectar transparente a ÉL sistemas usando protocolos de seguridad, tales como RADIO y TACACS+. Es crítico que este dispositivo es seguridad endurecida y supervisada para la indicación de ataques.
Hay dos opciones primarias para ejecutar las tecnologías de seguridad de la red para una subestación:
Cortafuegos industriales que el control y el monitor trafican; ¿comparando el tráfico que pasa a través a una política de seguridad predefinida, y desechando los mensajes que no resuelven la política? requisitos de s. Los cortafuegos se pueden instalar en ESPECIALMENTE el límite y entre las zonas internas.
¿VPNs (redes privadas virtuales) es las redes que se acodan sobre una red más general usando protocolos o métodos específicos para asegurar? ¿privado? transmisión de datos. ¿Las sesiones de VPN hacen un túnel a través de la red de transporte en un formato cifrado, haciéndolos? ¿invisible? para todos los propósitos prácticos.
Cortafuegos transparentes para proteger procesos de la base
Los cortafuegos transparentes, tales como el xenón de Tofino, son dispositivos de seguridad con las características especiales para el uso industrial. En el primer vistazo, aparecen en la red como un interruptor tradicional de Ethernet, pero examinan realmente mensajes de red con gran detalle.
¿? ¿transparente? la característica permite que sean caídos en sistemas existentes sin requerir cambiar la dirección de los dispositivos de la estación. Esto significa que las organizaciones pueden adaptar zonas de la seguridad en ambientes vivos sin una parada. También permiten la instalación de controles de seguridad dentro de un solo red secundario; por ejemplo dentro de un autobús de proceso grande.
¿? ¿cortafuego? ¿la característica proporciona detallado? ¿stateful? la inspección de todo el tráfico tan inadecuado de los protocolos de red puede ser bloqueada. ¿Por ejemplo, los límites de la tarifa se pueden establecer para prevenir? ¿tormentas del tráfico? mientras que son profundas las reglas de la inspección del paquete se pueden fijar para evitar que los comandos inadecuados sean enviados a IEDs o a los reguladores.
{{medias[5371].description}}