Segmentos Clave de un Sistema de Control Industrial (ICS)

  • Posted on: 5 August 2022
  • By: ReYDeS

En general los ICSs pueden ser sistemas muy complejos. Pueden incluir miles de diferentes componentes distribuidos a través de regiones geográficas, además de controlar procesos complejos en tiempo real. La mayoría de las veces la gran escala de estos sistemas, como también la diversidad de dispositivos y requerimientos, requiere los sistemas ICSs sean segmentados en múltiples zonas operacionales. Cada zona operacional tiene características y requerimientos únicos. Para enfrentar esta complejidad, se han desarrollado diferentes modelos para representar sistemas ICS. Desde la perspectiva de la ciberseguridad, los sistemas ICS pueden ser ampliamente segmentados en tres diferentes zonas:

  • Zona empresarial
  • Zona de control
  • Zona de campo

Tener esta segmentación es extremadamente útil para determinar controles relevantes en seguridad. El modelo de tres zonas ha sido utilizado, aunque diferentes nombres son frecuentemente utilizados para referirse a conceptos similares. Los componentes y características generales de cada zona se describen a continuación.

La zona empresarial incluye redes empresariales y sistemas de la empresa; incluye diversos dispositivos de punto final, los cuales evolucionan rápidamente, además son actualizados continuamente. Esta zona incluye redes empresariales comúnmente basadas sobre el protocolo IP, y muy frecuentemente conectadas hacia redes externas, además de Internet. Estas redes la mayoría de las veces se mantienen separadas de las redes operacionales utilizadas en otras zonas. La zona empresarial es muy similar a los entornos TI tradicionales encontrados fuera del ámbito de los ICSs. Por lo tanto muchas soluciones en ciberseguridad del mundo TI pueden ser directamente aplicadas.

La zona de control incluye elementos de control distribuido en sistemas SCADA. Estas zonas incluyen entornos de salas para control. La zona de control comparte algunas similitudes con la zona empresarial, tales como redes basadas en el protocolo IP. Los requerimientos en la zona de control, por lo tanto cambian drásticamente para enfatizar en la seguridad y fiabilidad. Los dispositivos en esta zona pueden no actualizarse tan frecuentemente, además las redes pueden estar sujetas a estrictas limitaciones de tiempo. Por lo tanto pocas soluciones en ciberseguridad del mundo TI pueden ser directamente utilizadas en esta zona.

La zona de campo, también conocida como zona de planta, procesos, u operaciones, incluye los dispositivos o redes a cargo del control y automatización. La zona de campo es aquella la cual hospeda los CPSs. Los dispositivos en esta zona frecuentemente incluyen dispositivos incorporados de propósito único, como los Controladores Lógicos Programables (PLC), los cuales tienen recursos computacionales limitados. Las redes de comunicación en esta zona son mucho más diversas, y van más allá de las redes IP, empleando una gran variedad de protocolos e interfaces físicas. Los dispositivos y redes en esta zona están sujetas a estrictos requerimientos en seguridad, fiabilidad, y temporización. . Por lo tanto las soluciones en ciberseguridad del mundo TI raramente o nunca se aplican aquí.

Este modelo de tres capas se debe admitir es excesivamente simplificado. Sin embargo es muy útil diferenciar los aspectos técnicos únicos conformando los requisitos de seguridad. Cada zona tiene diferentes requerimientos en seguridad, además es importante establecer limites fuertes y abstracciones entre las zonas. Las consecuencias de los ciberataques sobre distintas zonas también son muy diferentes.

Un buen ejemplo de diferentes zonas operativas en los ICSs se encuentran en las modernas redes eléctricas. Al mismo tiempo ejemplifica como los ICSs modernos son sistemas muy complejos, los cuales frecuentemente no se ajustan a un modelo de red general para la ciberseguridad. Por ejemplo la red inteligente es una arquitectura sofisticada de comunicación, control, vigilancia, y automatización, con el propósito de mejorar la manera en la cual se genera, distribuye, y consume electricidad. La red inteligente es distribuida a través de vastas regiones geográficas, e incluye múltiples zonas, incluyendo múltiples zonas de campo, cada una muy compleja por si mismas.

Como se percibe una red inteligente se divide en cuatro áreas principales: generación, transmisión, y distribución de energía, como también en la medición avanzada en las instalaciones del usuario final. Cada una de las áreas principales son un sistema muy vasto y complejo por si mismo con múltiples zonas de campo y control, los cuales necesitan interactuar el uno con el otro. La red inteligente también resalta la complejidad y diversidad a niveles empresariales. La red inteligente requiere una variedad de servicios de energía y servicios back-office, los cuales aunque estén incluidas en la zona empresarial, podrían considerarse como su propia zona. Se puede argumentar los enfoques actuales en ciberseguridad para la red inteligente protegen adecuadamente las zonas superiores (como las redes TI), pues comparten muchos puntos en común con otros sistemas a nivel empresarial. La generación de energía, transmisión, y áreas de distribución sin embargo, dependen en gran medida sobre CPSs, e incluyen vastas zonas de campo distribuidos constituidas de ICSs con funcionalidad dedicada y limitada. Proteger estos sistemas complejos de ciber ataques es un reto de enormes proporciones, los cuales los diseñadores deben superar junto con limitaciones adicionales, tales como requerimientos en seguridad y fiabilidad.

Fuentes:

https://en.wikipedia.org/wiki/Industrial_control_system
https://www.researchgate.net/figure/Industrial-control-system-ICS-networ...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete