Las nuevas tecnologias y metodolog as en las auditorias
Páginas: 8 (1793 palabras)
Publicado: 18 de agosto de 2015
Las nuevas tecnologías y metodologías en las auditorías de seguridad de sistemas críticos, la importancia de una constante innovación
04 / 01 / 2011
Daniel Chávarri, Research Manager S21sec labs
Elyoenai Egozcue, Investigador de Seguridad de S21sec.
Los sistemas de control automatizados los conforman conjuntos de dispositivos y aplicaciones informáticas que gestionan, ordenan, dirigen o regulanel comportamiento de otros sistemas o dispositivos. Están detrás de importantes sistemas de producción industrial, encargándose de activar de forma secuencial distintos mecanismos para realizar una determinada tarea (por ejemplo, la fabricación de neumáticos), o también de controlar de forma precisa el valor de una determinada variable a través del uso de complejos algoritmos de control (porejemplo, la presión de una tubería de gas en un punto concreto). Estos sistemas inteligentes y precisos han permitido mejorar la calidad del resultado final y ofrecen una eficiencia mayor a la que se puede lograr mediante el trabajo manual. Encontramos ejemplos de sistemas de control en los sistemas SCADA, los controladores de lógica programable (PLCs) o los sistemas de control distribuido (DCS). Todosestos sistemas, resultan de vital importancia cuando están detrás del control de infraestructuras que resultan críticas para un país, como las que se encuentran en la industria petrolera, las compañías de transporte ferroviario, las generadoras y distribuidoras de electricidad, etc.
En estos entornos de sistemas de control interconectados, en los que la criticidad es una variable clave, seconvierte en una tarea arriesgada introducir herramientas de auditoría de seguridad tradicionales, es decir, aquellas orientadas al mundo de los servicios y aplicaciones tecnológicas. Las herramientas de auditoría clásicas son demasiado agresivas tanto para las plataformas como para los equipos que les dan soporte (equipos de red, sistemas históricos, etc.). La ejecución de algunas de las pruebas deestas herramientas puede ocasionar que los dispositivos analizados queden en un estado inestable para su correcto funcionamiento diario, por lo que es necesario buscar alternativas que no repercutan de forma negativa en el rendimiento. Por este motivo, durante estos más de dos años de I+D+i en sistemas de control (ej. SCADA), S21sec ha buscado alternativas al modelo de auditoría IT clásico,logrando:
Reutilizar el conocimiento y las herramientas existentes.
Desarrollar y probar en varios laboratorios nuevas herramientas que cubren los huecos de las actuales.
Definir una metodología que permite realizar auditorías de forma no intrusiva con resultados fiables y verificables.
A partir de las distintas alternativas analizadas durante este tiempo, hemos definido dos variantes de metodología deauditoría con sus herramientas asociadas: el análisis pasivo e interpretación del tráfico; y la modelización y análisis teórico. Ambas metodologías, así como las diferentes herramientas, se han ido desarrollando dentro de los dos laboratorios SCADA de S21sec, y se han ido complementando con la experiencia adquirida en diversos análisis realizados sobre plataformas reales de nuestros clientes.
Losresultados obtenidos con estas metodologías, la facilidad en su aplicación y el mínimo impacto sobre el sistema final de las herramientas asociadas, permiten afirmar que se trata de la alternativa adecuada al modelo clásico de auditoría IT. Una alternativa, con las características deseables para los sistemas de control de IC: segura, no intrusiva, y que no altera el estado de la plataformaanalizada.
Análisis pasivo
La aproximación pasiva que recomienda S21sec busca la obtención de información sin apenas interacción con la arquitectura analizada. Con las herramientas adecuadas, es posible disponer de la información suficiente para realizar una auditoría tanto de implementación del propio sistema de control, como de los distintos productos y componentes utilizados en el mismo. Por tanto, se...
04 / 01 / 2011
Daniel Chávarri, Research Manager S21sec labs
Elyoenai Egozcue, Investigador de Seguridad de S21sec.
Los sistemas de control automatizados los conforman conjuntos de dispositivos y aplicaciones informáticas que gestionan, ordenan, dirigen o regulanel comportamiento de otros sistemas o dispositivos. Están detrás de importantes sistemas de producción industrial, encargándose de activar de forma secuencial distintos mecanismos para realizar una determinada tarea (por ejemplo, la fabricación de neumáticos), o también de controlar de forma precisa el valor de una determinada variable a través del uso de complejos algoritmos de control (porejemplo, la presión de una tubería de gas en un punto concreto). Estos sistemas inteligentes y precisos han permitido mejorar la calidad del resultado final y ofrecen una eficiencia mayor a la que se puede lograr mediante el trabajo manual. Encontramos ejemplos de sistemas de control en los sistemas SCADA, los controladores de lógica programable (PLCs) o los sistemas de control distribuido (DCS). Todosestos sistemas, resultan de vital importancia cuando están detrás del control de infraestructuras que resultan críticas para un país, como las que se encuentran en la industria petrolera, las compañías de transporte ferroviario, las generadoras y distribuidoras de electricidad, etc.
En estos entornos de sistemas de control interconectados, en los que la criticidad es una variable clave, seconvierte en una tarea arriesgada introducir herramientas de auditoría de seguridad tradicionales, es decir, aquellas orientadas al mundo de los servicios y aplicaciones tecnológicas. Las herramientas de auditoría clásicas son demasiado agresivas tanto para las plataformas como para los equipos que les dan soporte (equipos de red, sistemas históricos, etc.). La ejecución de algunas de las pruebas deestas herramientas puede ocasionar que los dispositivos analizados queden en un estado inestable para su correcto funcionamiento diario, por lo que es necesario buscar alternativas que no repercutan de forma negativa en el rendimiento. Por este motivo, durante estos más de dos años de I+D+i en sistemas de control (ej. SCADA), S21sec ha buscado alternativas al modelo de auditoría IT clásico,logrando:
Reutilizar el conocimiento y las herramientas existentes.
Desarrollar y probar en varios laboratorios nuevas herramientas que cubren los huecos de las actuales.
Definir una metodología que permite realizar auditorías de forma no intrusiva con resultados fiables y verificables.
A partir de las distintas alternativas analizadas durante este tiempo, hemos definido dos variantes de metodología deauditoría con sus herramientas asociadas: el análisis pasivo e interpretación del tráfico; y la modelización y análisis teórico. Ambas metodologías, así como las diferentes herramientas, se han ido desarrollando dentro de los dos laboratorios SCADA de S21sec, y se han ido complementando con la experiencia adquirida en diversos análisis realizados sobre plataformas reales de nuestros clientes.
Losresultados obtenidos con estas metodologías, la facilidad en su aplicación y el mínimo impacto sobre el sistema final de las herramientas asociadas, permiten afirmar que se trata de la alternativa adecuada al modelo clásico de auditoría IT. Una alternativa, con las características deseables para los sistemas de control de IC: segura, no intrusiva, y que no altera el estado de la plataformaanalizada.
Análisis pasivo
La aproximación pasiva que recomienda S21sec busca la obtención de información sin apenas interacción con la arquitectura analizada. Con las herramientas adecuadas, es posible disponer de la información suficiente para realizar una auditoría tanto de implementación del propio sistema de control, como de los distintos productos y componentes utilizados en el mismo. Por tanto, se...
Leer documento completo
Regístrate para leer el documento completo.