Está en la página 1de 6

ANÁLISIS Y EVOLUCIÓN DE

CIBERSEGURIDAD EN
EL IOT DE INFR. CRÍTICAS ELÉCTRICAS
Jose Manuel Ruiz Garcia
Cybersecurity Consultant
Schneider Electric
Internet (Corporate Proxy)
EL FUTURO-PRESENTE
Corporate Network (#0) L4 Infrastructure Network (#9)
CS Certificado
Root Certificate Authority

Domain Controller
Windows Server 2016 Certificate Services Zonas Segregadas
Windows Server 2016 Active Directory
Control del Perímetro
Log Management (SIEM)
Anti-Malware Protection App Control
Internet Web Proxy
Encriptación
RAS DMZ Network (#5) L3.5 VPN Server
Patch Management Virtual Firewall Actualizable
DMZ Network (#4) L3.5 Monitorización
Modem 4G Shared Folders
Virtual
Patch Management
WS 2016 File Server
Log Management
Redundante
Firewall
IT en OT
Central Network (#1) L3 JumpHost Evaluación Continua
Log Management & Proxy
Chassis Mgmt
Conexión L1-L4
Penetration Testing
Project Inventory Primary Domain Controller

Blade1 Management

62351-8 Radius Server Backup & Restore


IDS Sensor
Backup & Restore Blade2 Management
Windows Radius Server

2-Factor-Authentication Server Firewall Virtual Firewall VM Management

CCTV Network (#6)


OT1 Network (#2) L1/L2 OT1 Network (#2) L1/L2
Virtual Platform

Project Inventory
Switch MICOM C264
CCTV Monitoring pacis.local
EcoStruxure Building

ICS IDS Sensor ECS User Interface


ICS Signatures EcoStruxure Substation Operation User Interface
MICOM IED MICOM IED

Log Management & Proxy ECS Scada Gateway


EcoStruxure Substation Operation Gateway

2
EL PRESENTE - DESEADO
Supervision Zone Out of Cabinet Substation Cabinet
Corporate Network: Conexión Internet
Servidor Actualizaciones
CS Certificado
DMZ PC Guard
Antimalware
Repository
Update
Server
Zonas Segregadas
Control del Perímetro
NAS Server Maintenance Switch
App Control
Actualizable
Worksation
Jump Host C264 C264
Monitorización
Redundante
C264 C264 IT en OT
Physical Firewall Evaluación Continua
Conexión L1-L4
C264 C264
Physical Security Zone

P40

BADGE ACESS BADGE ACESS


Out of Band
Maintenance
SAM

Process EWS

LANTIME L100

Domain Controller EcoSUI

Ecostruxure Substation GTW


Operation
Process and Monitoring
Zone
switch Process Switch

Firewall
Router

3
EL LEGADO - LA DURA REALIDAD
Supervision Zone Out of Cabinet Substation Cabinet
Corporate Network: Conexión Internet
Servidor Actualizaciones
CS Certificado
DMZ PC Guard
Antimalware
Repository
Update
Server
Zonas Segregadas
Control del Perímetro
NAS Server Maintenance Switch
App Control
Actualizable
Worksation
Jump Host C264 C264
Monitorización
Redundante
C264 C264 IT en OT
Physical Firewall Evaluación Continua
Conexión L1-L4
C264 C264
Physical Security Zone

P40

BADGE ACESS BADGE ACESS


Out of Band
Maintenance
SAM

Process EWS

LANTIME L100

Domain Controller EcoSUI

Ecostruxure Substation GTW


Operation
Process and Monitoring
Zone
switch Process Switch

Firewall
Router

4
EL LEGADO – Y QUÉ SE PUEDE HACER ? (ONLINE)

Implementar
Inventoriado del Copia de Seguridad 1: Inventoriado de Dispositivos Autorizados y No Autorizados
Medidas de
Sistema del Sistema
Ciberseguridad Top 5 CIS Controls 2: Inventoriado de Software Autorizado y No Autorizado
Eliminan la mayoría de 3: Configuración Segura de Hardware y Software
las vulnerabilidades de
una organización 4: Evaluación de Vulnerabilidades (y solución de las mismas) Continua
Evaluación de Pruebas en 5: Control del Uso de Privilegios Administrativos
FAT / SAT tests
Vulnerabilidades Laboratorio

6: Monitorización y Análisis de Logs de Auditoría


7: Implementar Protecciones de Web e Email
Definir Medidas de Backup del sistema All 20 CIS Controls
Análisis de Amenazas Seguridad a con las medidas 8: Defensas contra Malware
Capaces de proteger
Implementar implementadas vuestra organización 9: Limitación y Control de los Puertos de Red
ante la mayoría de las 10: Backup y Restauración ante Desastres
amenazas existentes 11: Configuración Segura de Dispositivos de Red
12: Defender el Perímetro
Definir Nivel de
Análisis de Riesgos
Seguridad Deseado 13: Protección de Datos (leaks, integridad, etc)
14: Control de Acceso (RBAC y Principio de privilegios mínimos)
15: Control de Acceso Wireless
Flujo de Trabajo de Implementación de Medidas de Seguridad en un proyecto existente
16: Monitorización de Cambios en Cuentas de Usuario
17: Formación en CiberSeguridad
18: Seguridad (Desde el Diseño) en el Desarrollo del Software
19: Gestión de la Respuesta ante Incidentes
20: Tests de Penetración y Practicar la Defensa ante Ataques

5
DATOS DE CONTACTO:
JOSE MANUEL RUIZ GARCIA
josemanuel.ruiz@schneider-electric.com