GUA DE SOLUCIONES

Asegurar los sistemas de control industrial con Fortinet

Seguridad de principio a fin conforme a la norma IEC-62443

Resumen ejecutivo
Durante los ltimos aos, los sistemas de control industrial (ICS) de los que depende buena parte de nuestras infraestructuras e
industrias de fabricacin han sido objeto de ciberataques cada vez ms frecuentes y sofisticados.
En parte, esto es una consecuencia de la inevitable convergencia de la Tecnologa Operativa (OT, por sus siglas en ingls) con la
Tecnologa de la Informacin (IT). Como sucede en todas las esferas de la informtica, las ventajas de la mayor conectividad en red
a travs de estndares de cdigo abierto como Ethernet y TCP/IP, as como el ahorro que se deriva de la sustitucin de los equipos
registrados dedicados por hardware y software comercial, deben pagar el coste de una mayor vulnerabilidad.
Sin embargo, aunque el impacto de una brecha de seguridad sobre la mayora de sistemas de IT queda limitado a una prdida
financiera, los ataques contra los ICS tienen el potencial aadido de destruir equipos, amenazar la seguridad nacional e incluso poner
vidas humanas en peligro.
Esta distincin crtica tambin comporta una inquietante diferencia en el perfil y las motivaciones de los atacantes potenciales. Mientras
que la mayor parte de la delincuencia informtica moderna est motivada por una recompensa financiera, los ICS recientemente se
han convertido en objetivos atractivos para el terrorismo y la guerra ciberntica. En consecuencia, los recursos financieros y humanos
de los que disponen sus perpetradores pueden ser de una magnitud mayor que los de los delincuentes cibernticos convencionales.
Esto es as especialmente en el caso de ataques muy dirigidos y patrocinados por gobiernos, de los cuales STUXNET (cuya primera
aparicin se remonta al ao 2010) se considera uno de los ejemplos ms sofisticados hasta la fecha.
El propsito de esta gua de soluciones es mostrar cmo, a pesar de estos y muchos otros desafos, las soluciones de Fortinet pueden
ayudar a garantizar la seguridad y fiabilidad de los ICS - y en particular los que utilizan Supervisory Control and Data Acquisition
(Supervisin, Control y adquisicin de datos, SCADA por sus siglas en ingls) a travs de la aplicacin de seguridad de red multicapa y
conforme a los estndares.

www.fortinet.com

GUA DE SOLUCIONES: ASEGURAR EL CONTROL INDUSTRIAL

Vulnerabilidades potenciales
Debido a su historia y concepcin, separadas del mundo en constante evolucin de las IT, los sistemas de control industrial (ICS por
sus siglas en ingls) presentan una serie de desafos especficos:
nnUna falta inherente de seguridad: Buena parte de la tecnologa que sustenta los ICS, aunque es extremadamente robusta y fiable,
no fue diseada inicialmente para ser accesible desde redes remotas. La seguridad confiaba en un acceso fsico restringido y en
la relativa oscuridad de sus componentes (p. ej. RTU, PLC, etc.) y sus protocolos de comunicacin (principalmente de serie) (p. ej.
Modbus, RP-570, Profibus, Conitel, etc.).
nnLa falacia del air gap: La idea superficialmente tentadora de crear un air gap entre los ICS y el resto de redes ya no es realista
para la amplia mayora de aplicaciones para la vida real. A medida que cada vez ms componentes actuales de los ICS dependen
de actualizaciones de software y parches peridicos, actualmente es prcticamente imposible evitar la transferencia de datos, como
mnimo ocasional, a los ICS. Incluso en ausencia de conexiones de red permanentes (o redes que utilizan solamente dispositivos
unidireccionales tales como diodos de datos pticos), las redes con air gap siguen siendo vulnerables a la conexin de PC o
dispositivos de almacenamiento infectados, como unidades USB (uno de los vectores de infeccin de STUXNET).
nnSuperficie de ataque en expansin: A medida que las soluciones registradas y dedicadas se sustituyen por hardware y software
comerciales que utilizan estndares de cdigo abierto como Ethernet, TCP/IP y WiFi, el nmero de vulnerabilidades potenciales
crece de forma exponencial. La reciente proliferacin de dispositivos mviles, junto con tendencias tales como BYOD, no hacen ms
que agravar el problema.
nnUso continuado de sistemas operativos de hardware y software anticuados (a veces incluso anteriores a la misma nocin de
ciberseguridad) que pueden ser incompatibles con las defensas modernas estndar, como el software antivirus.
nnActualizaciones y parches poco frecuentes debido a la complejidad, el coste y la potencial interrupcin del servicio que implican. No
siempre resulta prctico, por ejemplo, interrumpir las operaciones de una planta cuando uno de sus servidores operativos necesita
implementar un parche.
nnGran nmero de dispositivos de telemetra sencillos y no protegidos, como sensores y manmetros, cuyos datos, si se manipulan,
pueden acarrear consecuencias graves para la seguridad y fiabilidad del sistema general.
nnUso de software incrustado que se ha escrito con escaso cumplimiento de las tcnicas de seguridad y las mejores prcticas de la
codificacin moderna.
nnRegulacin insuficiente de la fabricacin de componentes y de la cadena de suministro, introduciendo la posibilidad de comprometer
los equipos incluso antes de su instalacin.
nnControl de acceso limitado / Gestin de permisos: A medida que sistemas anteriormente aislados o cerrados se han ido
interconectando, los controles impuestos sobre las personas que pueden acceder a cada elemento no siempre han seguido el ritmo
de las mejores prcticas en seguridad de las IT.
nnPoca segmentacin de la red: La prctica de seguridad estndar que consiste en partir las redes en segmentos funcionales que,
aunque siguen interconectados, limitan los datos y las aplicaciones que se pueden superponer entre los distintos segmentos, sigue
estando infrautilizada en los ICS en su conjunto.
nnFalta de experiencia en seguridad entre los ingenieros que tradicionalmente han diseado y mantenido los sistemas.

GUA DE SOLUCIONES: ASEGURAR EL CONTROL INDUSTRIAL

Abordar el problema
La buena noticia es que en los ltimos aos se han reconocido ms ampliamente los problemas y vulnerabilidades inherentes de los
ICS, y ahora se han dado los primeros pasos para corregir esta situacin.
Una forma de conseguirlo es a travs de la ayuda de organismos gubernamentales tales como el Equipo de respuesta a emergencias
cibernticas de sistemas de control industrial (ICS-CERT) de los EE. UU. y el Centro para la proteccin de la infraestructura nacional
(CPNI) del Reino Unido, que publican consejos y asesoramiento sobre mejores prcticas en seguridad para ICS.
Otra opcin es la definicin de estndares comunes tales como ISA/IEC-62443 (anteriormente ISA-99). Creados por la Sociedad
Internacional de Automatizacin (ISA) con el nombre de ISA-99 y ms adelante renumerado como 62443 para adaptarse a las normas
correspondientes de la Comisin Electrotcnica Internacional (IEC), estos documentos delinean un marco exhaustivo para el diseo, la
planificacin, la integracin y la gestin de unos ICS seguros.
Aunque todava est en desarrollo y bastante lejos de abordar todas las vulnerabilidades en su nivel ms fundamental, la norma
proporciona una orientacin prctica, como el modelo de zonas, conductos, lmites y niveles de seguridad a travs de los cuales se
deben abordar las deficiencias ms apremiantes de la seguridad de la red de ICS.
La implementacin del modelo de zonas y conductos, recomendado tanto por ICS-CERT como por CPNI, pueden reducir
ampliamente el riesgo de intrusin, as como el impacto potencial que tendra una brecha de este tipo.
La estrategia bsica delineada por la norma es segmentar la red en una serie de zonas funcionales (que tambin pueden incluir
subzonas), y a continuacin definir claramente los conductos y todos los datos y aplicaciones esenciales autorizados a pasar de
una zona a otra. Cada zona se asigna a un nivel de seguridad de 0 a 5, siendo el 0 el nivel ms alto de seguridad y 5 el ms bajo. Se
pueden imponer estrictos controles de acceso que limiten el acceso a cada zona y conducto sobre la base de la identidad confirmada
del usuario o el dispositivo.
Se trata de una estrategia que se corresponde extremadamente bien con la gama de capacidades suministrada por las soluciones
empresariales de Fortinet, y en particular el Firewall de segmentacin interna (ISFW).

www.fortinet.com

GUA DE SOLUCIONES: ASEGURAR EL CONTROL INDUSTRIAL

Asegurar ISC / SCADA con Fortinet

Como sucede con cualquier implementacin de seguridad efectiva, el primer paso es evaluar por completo los riesgos empresariales
y operativos y definir una estrategia apropiada y proporcionada para dichos riesgos. Una parte importante incluir definir las zonas,
conductos, lmites y niveles de seguridad detallados en la norma IEC-62443.
Normalmente esto adopta el formato de la red representada en la figura 1.

usuario
remoto

Nivel 5
DMZ de Internet

Servidores web

Servidores
de correo electrnico

Servidores de
autenticacin

Escritorios de
empresa

FortiAuthenticator

FortiManager

FortiAnalyzer

FortiSandbox

proveedor
remoto

FortiMail

FortiWeb

Firewall
FortiGate

Nivel 4
LAN de empresa

Servidores de
empresa

Firewall
FortiGate
Nivel 3
DMZ de operaciones

Controlador
de dominio

Historian

Firewall
FortiGate Rugged

Servidor AV

Servidores web y
aplicaciones de
terceras partes

Firewall
FortiGate Rugged

Sistema SCADA,
DCS, o EMS n 1
HMI local

FortiWeb

Firewall
FortiGate Rugged

Sistema SCADA,
DCS, o EMS n 2
HMI local

Sistema SCADA,
DCS, o EMS n 3
HMI local

Nivel 2
LAN de HMI
de supervisin

Firewall
FortiGate Rugged

Nivel 1
LAN de controlador

Nivel 0
Red de bus
de instrumentacin

Figura 1: Niveles de seguridad representados en la norma ISA S99

GUA DE SOLUCIONES: ASEGURAR EL CONTROL INDUSTRIAL

Seguridad multicapa completa

Con su defensa multicapa en profundidad, diseo de alta disponibilidad, y factor opcional de formato robusto, la gama FortiGate
de dispositivos de seguridad es la eleccin perfecta para implementar el modelo de zonas y conductos, por ms crtica que sea la
infraestructura ICS o por ms difcil que sea el entorno.
Utilizando el modo de implementacin de Firewall de segmentacin interna (Internal Segmentation Firewall o ISFW), que combina
la segmentacin funcional y fsica, FortiGate combina la avanzada funcionalidad de un firewall de altas prestaciones y una robusta
autenticacin de dos factores con antivirus, prevencin de intrusiones, filtrado URL y Application Control. Con una amplia seleccin de
interfaces LAN de alta seguridad y la aceleracin del hardware derivada de su diseo ASIC personalizado, FortiGate ha demostrado su
eficacia con un rendimiento entre zonas de ms de 100Gbps.
Utilizando las polticas de seguridad granular disponibles con el modo de implementacin de ISFW de FortiGate, se pueden imponer
zonas y conductos ICS sobre la base de criterios tales como identidad de usuario, aplicacin, ubicacin y tipo de dispositivo. De esta
forma, FortiGate puede proteger cada zona de forma efectiva, asegurndose de que solamente el trfico legtimo y prescrito que
opera desde puntos finales autorizados pueda pasar de una zona a otra.
Para una implementacin alternativa de subzonas, los dispositivos FortiGate y FortiSwitch tambin soportan el etiquetado 802.1Q de
trfico VLAN, aunque en la mayora de implementaciones crticas el modo ISFW proporciona un mayor aislamiento y contencin y por
lo tanto se recomienda por encima del uso de VLANs.
La seguridad integrada de estos productos ampliables y altamente flexibles procede de una combinacin de sus sistemas operativos,
FortiOS, las soluciones de autenticacin FortiAuthenticator y FortiToken, y los recursos ininterrumpidos de respuesta continuada,
automatizada y autoaprendida a amenazas que ofrece FortiGuard.

Gestin centralizada, registro y generacin de informes

La gestin de la infraestructura, que se consolida a travs de FortiGate, se logra mediante FortiManager y FortiAnalyzer, que
combinan la configuracin centralizada con la generacin de informes, la visibilidad, el registro de eventos y su anlisis, creando un
centro de control y supervisin de la red global en tiempo real.

Funcionalidad especfica habilitada para ICS/SCADA

Utilizando firmas predefinidas y actualizadas de forma continuada, FortiGate puede identificar y patrullar la mayora de los protocolos
ICS/SCADA ms habituales (vase la lista ms abajo) con el fin de definir conductos.
Bacnet

DNP3

ICCP

Modbus/TCP

DLMS/COSEM

EtherCAT

IEC-60870.5.104

OPC

Profinet

Esto se consigue a travs de la configuracin de polticas de seguridad en las que mltiples servicios, como IPS, AV y Application
Control, se pueden mapear a cada protocolo.
En paralelo a este soporte especfico de protocolos, se proporciona una proteccin adicional contra vulnerabilidades para aplicaciones
y dispositivos de los fabricantes de ICS ms importantes (vase la lista ms abajo) a travs de un conjunto complementario de firmas.
ABB

Elcom

Rockwell

Siemens

Advantech

GE

Schneider Electric

Vedeer Root

Yokogawa

Esto proporciona un control ms granular a nivel de aplicacin del trfico entre zonas y permite a FortiGate detectar intentos de
exploits de vulnerabilidades conocidas relacionadas con cualquiera de las soluciones de los proveedores soportados.

www.fortinet.com

GUA DE SOLUCIONES: ASEGURAR EL CONTROL INDUSTRIAL

Control de acceso de zona con

FortiAuthenticator y FortiToken
Aplicar el control granular del acceso a cada

Asegurar el vector de ataque

n 1 con FortiMail
Aunque no es especfico de ICS o sus componentes, el correo

zona y conducto sobre la base del usuario y del dispositivo es la

electrnico no protegido (especialmente cuando se combina

funcin de la integracin de FortiAuthenticator con FortiGate y

con la ingeniera de las redes sociales) sigue siendo el vector de

servicios de directorio.

ataque n1 para la mayora de amenazas conocidas.

Los appliances de gestin de identidad de usuarios

Con su proteccin contra ataques entrantes, incluyendo el

FortiAuthenticator proporcionan una autenticacin de dos

malware avanzado, as como las amenazas salientes y la prdida

factores, autenticacin inalmbrica va RADIUS, LDAP y 802.1X,

de datos, FortiMail proporciona una nica solucin que combina

gestin de certificados e inicio de sesin individual de Fortinet.

anti-spam, anti-phishing, anti-malware, sandboxing, prevencin

FortiAuthenticator es compatible con y complementa la gama de

de prdida de datos (DLP), encriptacin basada en la identidad

tokens de autenticacin de dos factores de FortiToken para el

(IBE) y archivo de mensajes.

acceso remoto seguro, permitiendo la autenticacin con mltiples

dispositivos de seguridad de red de FortiGate y dispositivos de
terceros. Juntos, FortiAuthenticator y FortiToken ofrecen una
autenticacin ampliable, rentable y segura para la infraestructura
completa de su red.

Asegurar el Historian con FortiDB

Respuesta a amenazas persistentes

avanzadas
Hasta ahora, la mayor parte de la discusin se ha centrado en
la deteccin y el bloqueo de ataques a travs del uso de firmas,
pero este enfoque confa en el hecho de haber encontrado
alguna variante cercana de la amenaza anteriormente. Con los

Todas las bases de datos centrales presentan un objetivo

extensos recursos de respuesta a las amenazas de FortiGuard,

atractivo para el ciberataque, pero las que sustentan los

que supervisan continuamente miles de redes de clientes en

ICS pueden ser especialmente vulnerables porque, debido

directo en todo el mundo, esto es extremadamente probable,

a su historial, es posible que la seguridad no haya sido una

pero siendo tan elevadas las probabilidades de una intrusin en

consideracin importante en su implementacin y scripting.

los ICS es esencial prepararse tambin para ataques que todava

no se han encontrado.

Para ayudar a valorar el nivel de seguridad actual, solucionar

posibles vulnerabilidades y supervisar todos los accesos

Ante este escenario, es crucial que la intrusin se detecte

subsiguientes para detectar actividades sospechosas, FortiDB

rpidamente, se limite su propagacin y se minimice su impacto.

proporciona un marco reglamentario flexible a

Aqu, un componente crtico del Advanced Threat Protection

travs del cual protege estos recursos crticos.

Framework de Fortinet es FortiSandbox, que se dise para

detectar y analizar ataques avanzados que pueden escapar a

Asegurar la HMI basada en web

con FortiWeb

defensas ms tradicionales basadas en firmas.

Mientras que los beneficios en cuanto a costes y usabilidad del

Acreditacin y garanta del Gobierno

control de los ICS a travs de una consola basada en web son

Conforme a la norma FIPS 140-2 nivel 2 del gobierno federal

obvios, el impacto de una intrusin o un compromiso del back-

de los EE. UU. para mdulos criptogrficos, as como la

end es claramente mucho mayor dentro de este entorno que en

certificacin EAL 4+ de los Criterios comunes internacionales,

la mayora de los otros servidores web.

Fortinet proporciona una proteccin robusta y probada sobre

el terreno que ha sido evaluada y comprobada por numerosas

Utilizando tcnicas avanzadas para proporcionar una proteccin

organizaciones conforme a los niveles ms altos de cualquier

bidireccional contra fuentes maliciosas, ataques DoS contra la

solucin de seguridad multicapa.

capa de aplicaciones y amenazas sofisticadas como la inyeccin

SQL y el scripting entre sitios, FortiWeb aade otra capa crucial a
sus defensas de ICS.

Resumen
Asegurar los ICS de forma adecuada plantea muchos desafos significativos, algunos de los cuales claramente van ms all del
alcance de esta gua de soluciones. Sin embargo, siguiendo las mejores prcticas especificadas por ICS-CERT / CPNI,
e implementando soluciones acreditadas por el gobierno tales como los de la cartera de Fortinet especificada ms arriba, la
probabilidad de que un ciberataque tenga xito, as como su impacto probable sobre los ICS, se pueden ver ampliamente reducidos.
Gracias a su soporte dedicado para el entorno ICS / SCADA as como su xito probado como proveedor lder de seguridad
empresarial multicapa, Fortinet se encuentra en una posicin nica para ayudar a nuestros clientes industriales a superar sus desafos
de seguridad y proteger la seguridad y fiabilidad de nuestra infraestructura y servicios ms crticos.

Espaa
Camino Cerro de los Gamos, 1. Edificio 1. Pl. 1
28224 Pozuelo de Alarcn
Madrid Espaa
Ventas: +34 91 790 11 16

SEDE GLOBAL
Fortinet Inc.
899 Kifer Road
Sunnyvale, CA 94086
Estados Unidos
Tel: +1.408.235.7700
www.fortinet.com/sales

OFICINA DE VENTAS
EMEA
120 rue Albert Caquot
06560, Sophia Antipolis,
Francia
Tel: +33.4.8987.0510

OFICINA DE VENTAS
APAC
300 Beach Road 20-01
The Concourse
Singapur 199555
Tel: +65.6513.3730

OFICINA DE VENTAS EN
LATINOAMRICA
Prol. Paseo de la Reforma 115 Int. 702
Col. Lomas de Santa Fe,
C.P. 01219
Del. Alvaro Obregn
Mxico D.F.
Tel: 011-52-(55) 5524-8480

Copyright 2015 Fortinet, Inc. Todos los derechos reservados. Fortinet, FortiGate, FortiCare, FortiGuard, y otras marcas son marcas comerciales registradas de Fortinet, Inc., y otros nombres de Fortinet contenidos en este documento tambin pueden ser nombres registrados y/o
marcas comerciales de Fortinet conforme a la ley. El resto de nombres de productos o de empresas pueden ser marcas registradas de sus propietarios respectivos. Los datos de rendimiento y otras mtricas contenidas en este documento se han registrado en pruebas internas de laboratorio bajo
condiciones ideales, de forma que el rendimiento real y otros resultados pueden variar. Variables propias de la red, entornos de red diferentes y otras condiciones pueden afectar a los resultados del rendimiento. Nada de lo contenido en este documento representa un compromiso vinculante de
Fortinet, y Fortinet renuncia a cualquier garanta, expresa o implcita, salvo en los casos en los que Fortinet celebre un contrato vinculante por escrito, firmado por el Director del Departamento Jurdico de Fortinet, con un comprador, en el que se garantice expresamente que el producto identificado
cumplir una determinada mtrica de rendimiento expresamente identificada y, en tal caso, solamente la mtrica de rendimiento especfica expresamente identificada en dicho contrato vinculante por escrito ser vinculante para Fortinet. Para dejarlo absolutamente claro, cualquier garanta de
este tipo se ver limitada al rendimiento en las mismas condiciones ideales que las de las pruebas de laboratorio internas de Fortinet. Fortinet no se hace en absoluto responsable de ningn pacto, declaracin y garanta en virtud de este documento, expresos o implcitos. Fortinet se reserva el
derechodecambiar,modificar,transferirorevisardecualquierotromodoestapublicacinsinprevioaviso,siendoaplicablelaversinmsactualdelamisma.14dic20155:04p.m.MacintoshHD:Users:djarzabek:Documents:projekty:Fortinet:P-11327:04_final_DTP:SG_Securing-Industrial-Control_A4_RevA_ES:SG_Securing-Industrial-Control_A4_RevA_ES

www.fortinet.com