Danfoss se preocupa por la seguridad informática

CVE:
Abreviatura de Common Vulnerabilities and Exposures, es una lista de fallos de seguridad informática divulgados públicamente.

DDOS:
Distributed Denial of Service:

este término se utiliza cuando 100 000s de dispositivos remotos atacan a un único dispositivo en la red. Se trata de un ataque muy eficaz contra un sistema. Ni siquiera las grandes empresas y organizaciones de seguridad pueden mantener sus operaciones durante este tipo de ataques. Se ha medido que estos ataques incluyen tasas de ataque de más de 400 Terabits/segundo, que simplemente inundan la conexión al dispositivo. Esto no puede mitigarse a ningún nivel que no sea la red troncal de Internet.  

No hay defensa barata contra este tipo de ataques y la única forma eficaz de mitigarlos es evitarlos, ocultándose.

Remote Exploit:
Se puede asumir que todo el software que se enfrenta a Internet contendrá exploits. Por ello, los investigadores están continuamente buscándolos y, cuando los encuentran, los proveedores de software crean parches que mitigan el exploit. Por lo tanto, es extremadamente importante actualizar el software y mantenerlo actualizado con las últimas versiones para evitar vulnerabilidades en el sistema. 

Por ejemplo, los Gestores de Sistemas más antiguos utilizaban la versión 1.12.1 de Nginx, en la que se descubrieron varias vulnerabilidades que fueron parcheadas, por lo que la nueva versión 3.1.9 del Gestor de Sistemas utiliza ahora la versión 1.21.0 de Nginx, que actualmente no tiene vulnerabilidades conocidas. Por lo tanto, es importante actualizar a la última versión de Danfoss - los números de versión pueden haber aumentado después de la redacción de este documento, ya que continuamente se descubren nuevos exploits.

1. Los dispositivos deben estar siempre completamente actualizados a las últimas versiones de software disponibles, publicadas por Danfoss. En cada versión más reciente, puede haber algunas actualizaciones de seguridad, que se explican en el apéndice.
2. Asegurar que el dispositivo está siempre protegido de la exposición directa a Internet.  (Instale los dispositivos de red detrás de un cortafuegos)

El objetivo de este curso es ofrecer una comprensión básica de algunas de las próximas normativas europeas sobre ciberseguridad y su relación con la seguridad añadida del producto System Manager AK-SM 800A.

https://event.on24.com/wcc/r/4542217/9DD4DD6F9BA5CA9B3DABDA48E088158A

Después de esta formación, entenderá por qué es importante la ciberseguridad y conocerá las próximas normativas relacionadas.
Además, conocerá algunos requisitos de seguridad del producto y cómo utilizar la seguridad añadida del producto en el AK-SM 800A con la última versión de software 4.0.

Empieza a dividir tu red en zonas/segmentos. Colocar los dispositivos Danfoss en una red separada reducirá la superficie de ataque.

Esta es en general una práctica a considerar en tu red, independientemente de los dispositivos que utilices.

La segmentación podría incluso extenderse a una microsegmentación, por lo que en caso de que un dispositivo se vea comprometido, no se propagará al resto de la red.

A continuación se muestra un ejemplo típico de red segmentada:

Sitúa siempre los sistemas y dispositivos Danfoss detrás de cortafuegos y otros dispositivos de protección de seguridad que limiten el acceso sólo a conexiones remotas autorizadas. Construir una red altamente protegida que ayude a prevenir el acceso externo es la línea de defensa más crítica contra los ciberataques.

Recomendamos seguir estas directrices:

• Limitar el acceso a las redes en las que se encuentran los dispositivos Danfoss.
• Asegurarse de que los sistemas y dispositivos Danfoss no son accesibles desde Internet, a menos que estén situados detrás de cortafuegos y otros dispositivos de protección de seguridad.
• Restringir la conectividad de red externa a los sistemas y dispositivos.
• Supervisar continuamente los eventos que puedan indicar intentos de acceso no autorizado.
• Limitar el acceso a las redes internas donde residen los dispositivos.
• Aislar las redes de los sistemas de control y seguridad y los dispositivos remotos de la red de la empresa.

Para una conexión/acceso seguro también se puede utilizar una conexión VPN.

Implementar métodos seguros para que los usuarios remotos accedan a la red. Exigir a todos los usuarios remotos que se conecten y se autentiquen a través de una única interfaz gestionada antes de realizar actualizaciones de software, mantenimiento y otras actividades de soporte del sistema.

Cuando sea necesario acceder a dispositivos desde ubicaciones remotas, es importante limitar al máximo la exposición del dispositivo. Las siguientes soluciones presentan formas de proteger el dispositivo y la red al tiempo que proporcionan la flexibilidad necesaria para acceder al dispositivo, de forma remota.

IP fija en los dispositivos móviles:  

El uso de direcciones IP fijas en los dispositivos móviles remotos es la solución más sencilla para mantener el acceso remoto al sistema a la vez que se mantiene la seguridad total del dispositivo frente a ataques hostiles - también protege el dispositivo frente a ataques DDOS.

Las soluciones proxy son más complejas de configurar; sin embargo, ofrecen una mayor seguridad, así como la capacidad de proporcionar un certificado SSL (Secure Sockets Layer) válido adecuado para acceder al sistema. El sistema proxy expone un acceso autenticado del sistema a Internet, y este acceso autenticado se llevará la peor parte de cualquier ataque al sistema, protegiendo al System Manager de ser comprometido. 

El proxy puede utilizar métodos como autenticadores, autenticación de 2 factores y otros mecanismos de seguridad para asegurarse de que sólo se permite el acceso autorizado.

El proxy está bloqueado por IP al cortafuegos que está protegiendo al System manager, y todos los clientes móviles, usan direcciones IP aleatorias, y se autentican al proxy (normalmente usando certificados, autenticación de 2 factores, o similares), creando una fuerte validación del cliente.

El cortafuegos y el proxy deniegan el acceso directo a todos los clientes hostiles, ya que no pueden proporcionar las credenciales necesarias para hablar con el proxy.  .  

Esto significa que el proxy soportará la mayoría de los ataques de seguridad, y en el peor de los casos el proxy será DDOS y el acceso local al administrador del sistema seguirá siendo posible.

Alsense puede proporcionar esta solución a través de una conexión basada en VPN (Red Privada Virtual), o a través de una solución de proxy IP, donde la conexión puede limitarse al sistema en la nube de Alsense - de nuevo minimizando la exposición del sistema a Internet, permitiendo a Alsense proporcionar la protección del sistema.

Alsense es una solución en la nube de Danfoss para acceder a los System Managers, y mucho más. Esta solución proporciona lo mismo que la solución proxy, sin embargo, es gestionada por Danfoss, y como tal no necesita que el cliente implemente, ni mantenga y opere el proxy.

El acceso a las redes industriales, debe realizarse a través de registros de autenticación/auditoría, por ejemplo, VPN o cortafuegos, para que el acceso pueda ser auditado, y así poder investigar los eventos de seguridad si se produce alguno. Minimice las posibilidades de que se produzcan violaciones de datos supervisando y auditando los eventos del sistema 24 horas al día, 7 días a la semana. Utiliza sistemas de detección de intrusos, sistemas de prevención de intrusos, software antivirus y registros de uso para detectar violaciones de datos o incidentes en sus fases más tempranas.

Como buena práctica, sugerimos el uso de software de supervisión de redes para detectar cualquier alerta de tráfico inusual, intentos de acceso fallidos, etc. Las directrices son muy amplias, desde los requisitos generales de TI contemplados en la norma ISO 27001 hasta los específicos de la norma IEC 62443, y pueden consultarse en estas normas internacionales.

Una instalación o maquinaria suele ser manejada por más de una persona, por lo que se recomienda la administración centralizada de usuarios..

Cambia las contraseñas por defecto en la puesta en marcha y utiliza el producto para crear niveles de acceso de usuario..

-Esto es especialmente importante para las cuentas de administrador y los dispositivos del sistema de control. Utiliza el acceso basado en roles con autenticación multifactor para ayudar a prevenir brechas de seguridad y proporcionar un registro de la actividad de acceso.

Los usuarios deben evitar compartir contraseñas, ya que esto puede ayudar a auditar el acceso y evita que las contraseñas se filtren a la población en general. Una contraseña compartida suele acabar siendo conocida por todo el mundo e impide auditar los problemas de seguridad.

Considera la posibilidad de añadir funciones de seguridad de contraseñas, como un bloqueo de cuentas que se active cuando se introduzcan demasiadas contraseñas incorrectas.

Conceptos básicos:

• Los mecanismos de listas blancas proporcionan protección adicional contra aplicaciones no deseadas o malware, así como contra cambios no autorizados en las aplicaciones instaladas.

• El software de listas blancas crea o contiene una lista de programas y aplicaciones cuya ejecución está permitida en el PC.

Utiliza listas blancas para definir qué aplicaciones, IPs, etc. están permitidas, ya que las listas blancas son la forma más fuerte de control de seguridad porque bloquean los intentos de eludirlas. Sin embargo, si por alguna razón las listas blancas no son una opción viable, entonces si es posible, implementa una lista negra para bloquear problemas de seguridad conocidos, pero sabiendo que las listas negras pueden ser eludidas fácilmente.

Las listas negras son un mecanismo básico de control de acceso que permite bloquear elementos no deseados (direcciones de correo electrónico, usuarios, contraseñas, URL, direcciones IP, nombres de dominio, hashes de archivos, etc.), excepto los mencionados explícitamente. A los elementos de la lista se les deniega el acceso.

Las listas negras pueden ayudar a evitar que virus conocidos, spyware, troyanos, gusanos y otros tipos de malware accedan a su sistema.

A menudo, el uso conjunto de listas negras y listas blancas es la opción ideal. Puedes utilizar diferentes enfoques en diferentes niveles de tu infraestructura e incluso utilizar ambos dentro del mismo nivel.

Muchas organizaciones utilizan tanto listas negras como listas blancas para diferentes partes de sus estrategias de seguridad. Por ejemplo, controlar el acceso a un ordenador o a una cuenta mediante una contraseña es una lista blanca. Sólo se permite el acceso a los que tienen la contraseña, y todos los demás no pueden entrar. Muchas de esas mismas organizaciones también ejecutan programas antimalware que utilizan una lista negra de malware conocido para bloquear programas dañinos.

Imparte formación sobre ciberseguridad a tus empleados para ayudarles a mantener la seguridad de tu organización. Explícales los correos electrónicos de phishing, los archivos adjuntos infectados, los sitios web maliciosos y otros métodos que les atacan directamente.

Aunque no se trata sólo de un problema de ciberseguridad, es importante establecer controles físicos para que ninguna persona no autorizada pueda acceder a los equipos. Guarda todos los controladores en armarios cerrados con llave y limita el acceso a cualquier dispositivo conectado.