fernandosaenz.com

Creando Negocio mediante la explotación de datos en activos/procesos industriales


Bienvenido/a,

No te voy a mentir, esto es un blog técnico, aunque no trata sobre tecnologías específicas. Expongo la motivación que hay detrás del diseño de cada sistema, y sus resultados. No voy a darte una explicación técnica de cada tecnología que diseño o utilizo. No vamos a "ver las tripas".

En estos últimos doce años, en los que he ejercido de gerente, he podido ver cómo la explotación inteligente de datos mejora de forma notable los resultados en diferentes ámbitos de la empresa. En este blog comparto esas experiencias, explicadas de forma resumida pero clara.

fernandosaenz.com
En la mayoría de posts verás que incluyo una ficha que encabeza la lectura, y que ofrece una visión instantánea de lo que encontrarás si decides continuar. La mayoría de artículos los podrás leer en 3-4 minutos de tu tiempo.

Busco ofrecer un formato de micro-posts que giren en torno a la búsqueda de valor añadido buceando en datos crudos. Y siempre orientados a la divulgación de las experiencias que he vivido en esta obsesión que tengo por aplicar tecnología, a veces sencilla pero suficiente, en cada ámbito de la empresa.

Espero que lo disfrutes tanto como yo.

- Fernando Sáenz -
agosto 5, 2020

Error 3/5 – No prestar suficiente atención a la Ciberseguridad industrial (parte 4)

Hoy publicamos la última parte del bloque dedicado al error 3/5 relativo a la importancia que tiene la Ciberseguridad en los proyectos de digitalización. En los anteriories artículos vimos muchos conceptos relacionados con esta temática, algunos más sencillos y otros algo más avanzados. Además, entramos al detalle repasando algunos de los tipos de ataques más comunes, y cuáles son las técnicas más adecuadas para su mitigación. Esta semana completamos dicha lista como cierre al bloque dedicado a la Ciberseguridad.

Veamos a continuación la segunda parte de la lista que hemos elaborado para explicar cuáles son los tipos de ataques más comunes (centrándonos especialmente en entornos industriales), y qué técnicas podemos aplicar para intentar evitarlos, o más bien mitigarlos, y contener sus consecuencias.

DoS y DDoS

Los ataques de denegación de servicio se producen cuando muchos dispositivos, coordinados de forma maliciosa, envían un gran número de peticiones a un mismo sistema, que no puede soportar la carga y finalmente cae. En el caso de ataques DoS (localizados), cualquier firewall o IPS comercial puede detectarlo y neutralizarlo. En el caso de ataques DDoS (distribuidos, generalmente orquestados mediante una botnet) los dispositivos de seguridad perimetral tendrán que ser más avanzados para poder inspeccionar los mensajes a nivel de aplicación. También existen servicios de pago basados en cloud que pueden ser una buena solución para muchos escenarios.

Escaneo de puertos

Aunque el escaneo de puertos en sí mismo no supone una amenaza como tal, suele ser indicativo del inicio de un vector de ataque que irá a más. La mejor mitigación es configurar todos los puertos que no tengan que estar en uso en modo “stealth” u “oculto”, de forma que el sistema no responda a las peticiones dirigidas a puertos no autorizados. En general, toda política de red debe partir del escenario más restrictivo posible, para ir después concediendo los privilegios que sean estrictamente necesarios. Este enfoque aplica también a la configuración de puertos, tanto de los activos individualmente, como de la red. Además, es importante configurar las aplicaciones para evitar el típico saludo en el que, muchas de ellas, terminan enviando información sensible. Recordemos que un atacante intentará conocer la versión de software de nuestros dispositivos para poder explotar sus vulnerabilidades específicas que, como ya hemos visto en artículos anteriores, están definidas con todo detalle en la lista CVE.

Intrusión en la red mediante control de servidores (rootkits)

Una técnica para lograr ejecutar un ataque de mucha envergadura consiste en comprometer un sistema auxiliar que tenga acceso a los activos “víctima”. Los rootkits permiten a un atacante hacerse con el control de un servidor auxiliar, con la intención de orquestar después un ataque desde el interior de la red, utilizando como origen un servidor en el que la política de seguridad del resto de dispositivos probablemente confíe, haciendo su propagación más sencilla y potente. Para evitar estas situaciones, lo ideal es implantar herramientas que pueden escanear los servidores (ficheros y comunicaciones) en busca de rootkits conocidos. También hay que recordar que la Ciberseguridad es como una cadena, y tenemos que evitar que los sistemas auxiliares, por no parecer críticos, se conviertan en nuestro próximo eslabón débil.

Ataques físicos contra dispositivos IIoT

La mayoría de los tipos de ataques que hemos visto son lógicos, y se propagan a través de una red que interconecta los activos. Con la proliferación de redes IIoT, hoy día no es extraño ver pequeños dispositivos (con mayor o menor pinta industrial) por las fábricas. Un atacante podría iniciar su propio sistema operativo conectando un pendrive USB en el dispositivo, con las capacidades de ataque que ello conllevaría hacia el resto de activos en la red. Como mitigación, en la medida de lo posible conviene aplicar seguridad física. Los dispositivos no deben ser accesibles a personal no autorizado. Además, las placas base de los dispositivos físicos deben estar configurados para no admitir conexiones USB ilegítimas.

Ransomware y técnicas de extorsión

Suele ser el punto final de un vector de ataque que habrá sido exitoso a través de la aplicación de varias de las técnicas descritas anteriormente. Con un patrón de actuación y propagación similar al de los virus informáticos, su objetivo es lograr que la víctima quiera pagar el rescate de su información, que habitualmente habrá sido cifrada, pero que también podría haber sido transferida y borrada. Las mejores técnicas de contención del alcance de un ataque de este tipo pasan por tener una buena política y estrategia de copias de seguridad (copias deslocalizadas, desconectadas y aisladas), y actualización permanente de sistemas como medida de reducción de vulnerabilidades. Para poder volver a operar rápidamente conviene utilizar mecanismos de despliegue rápido de servicios. Por ejemplo, un contenedor o una máquina virtual podrían ser fácilmente reemplazados, creando una nueva instancia a partir de una copia de seguridad.


En estos cuatro artículos dedicados a la Ciberseguridad hemos visto la importancia que tiene dedicarle un esfuerzo adecuado, y conocerla con cierto detalle a la hora de iniciar un proceso de digitalización industrial. Es importante saber contra qué tipo de amenazas tenemos que protegernos, para poder diseñar estrategias adecudas. Todo ello forma parte de una necesaria actitud consciente hacia la Ciberseguridad, que evite (o mitigue en gran medida) sufrir una catástrofe en forma de bloqueo o chantaje.

La semana que viene veremos cuál es el error 4/5, y por qué está impidiendo que muchos proyectos de Transformación Digital no estén logrando pasar del proyecto 4.0 «factible» al Negocio Digitalizado Viable y Rentable.


Si quieres saber si tu estrategia no solo es «factible» sino también viable y rentable, te recomiendo que solicites nuestro cuestionario «del 4.0 al 4.1» de 20 preguntas que te servirá para obtener nuestro diagnóstico inicial sin coste, que estoy seguro te ayudará a determinar si estás tomando las decisiones adecuadas.

gestión # , , ,
Compartir: / / /