Tendencias en Ciberseguridad Embebida

Aunque los enfoques basados ​​en TI y software para la ciberseguridad industrial continuarán siendo aspectos críticos de la seguridad del sistema de automatización, los enfoques integrados basados ​​en firmware están jugando un papel más importante.

En su mayor parte, las líneas de tendencia de ciberseguridad industrial más grandes en la última década han progresado desde enfoques basados ​​en TI - incluyendo la confianza en firewalls, DMZ, estrategias de defensa en profundidad, etc.- a las estrategias más recientes basadas en software que se centran en anomalía y detección de intrusos. Correr concurrentemente a esta tendencia es un enfoque creciente en la seguridad integrada.

Dado que la seguridad integrada es una faceta clave de la seguridad del producto electrónico de consumo, por ejemplo, la raíz de confianza de ARM utilizada en los teléfonos inteligentes modernos, es un poco sorprendente que esta concentración en la seguridad incorporada aún no haya hecho olas más grandes en el sector industrial. Y aunque la atención en este enfoque integrado para la industria ha sido algo moderada en comparación con otros enfoques, hay una cantidad significativa de actividad continua.

A fines del año pasado, Mocana, un proveedor de seguridad de Internet of Things (IoT) para sistemas de control industrial (ICS), se asoció con Avnet, Xilinx, Infineon Technologies y Microsoft para introducir un sistema industrial IoT (IIoT) integrado de alta seguridad. Srinivas Kumar, vicepresidente de ingeniería en Mocana, dice que el sistema se compone de hardware y software avanzados basados ​​en el sistema en el sistema Avnet UltraZed-EG y diseñados para dispositivos IoT de IIOT y factor de forma pequeño. La combinación hardware más software de este sistema incluye el software de seguridad de Mocana que opera en Xilinx Zynq Ultrascale + MPSoC, aprovechando las capacidades del chip de seguridad Optiga TPM (Módulo de plataforma confiable) 2.0 de Infineon.

"El sistema integrado interopera con la nube de Microsoft Azure y es la primera solución de este tipo que hace que sea más fácil y accesible para grandes y pequeñas empresas llevar dispositivos y servicios de IoT al mercado que sean seguros y cumplan con estándares industriales de ciberseguridad", dice Kumar.

Mientras que la asociación Mocana está dirigida más a los desarrolladores de sistemas industriales, Bedrock Automation, un proveedor de controles industriales, E/S y sistemas de energía, ha lanzado un documento que detalla las prácticas industriales de ciberseguridad para los usuarios finales industriales. Este nuevo documento comprende el capítulo cuatro de una serie de trabajos de Bedrock Automation. Diseñada para servir como un documento de recursos de ciberseguridad industrial, la primera parte del documento se centra en las prácticas de ciberseguridad convencionales que se aplican a todos los sistemas de control industrial. La segunda mitad, sin embargo, se concentra en "la aplicación de avances de ciberseguridad intrínsecos (integrados) que se han aplicado en el sector militar, aeroespacial y de comercio electrónico, y ahora se utilizan para proteger los sistemas de control industrial", dice Albert Rooyakkers, Bedrock Fundador y CEO de Automatización. "Estos crean una raíz de confianza de punto final de hardware que combina criptografía avanzada, técnicas de firma digital, una autoridad de certificación industrial e infraestructura de clave pública (PKI) incorporada en el sistema de control para crear una infraestructura para la defensa del usuario".

La PKI, un proceso mediante el cual los mensajes fluyen solo entre partes de confianza es un aspecto clave de la seguridad integrada discutida en este documento. Rooyakkers explica que el uso de PKI no elimina la necesidad de medidas de seguridad de red convencionales a nivel de sistema, pero agrega un nuevo nivel de profundidad a la defensa. "Los hackers de élite son expertos en eludir los firewalls. Por el contrario, si se implementa correctamente, la criptografía fuerte no es una posibilidad práctica ", dice.

Aunque ampliamente utilizado para aplicaciones de comercio electrónico basadas en Internet, PKI todavía no se usa ampliamente en la industria. Para ayudar a los usuarios finales industriales a comprender mejor la PKI, Rooyakkers explica sus cuatro componentes clave.

El primer componente es la criptografía asimétrica. "Los algoritmos de criptografía simétrica o normal usan una única clave secreta compartida para cifrado y descifrado. Los algoritmos asimétricos usan claves en pares ", dice Rooyakkers. "En otras palabras, lo que está encriptado por un miembro del par solo puede ser descifrado por el otro. Una PKI funciona haciendo que un miembro sea un secreto celosamente guardado (la clave secreta o privada) y compartiendo libremente el otro (la clave pública).

Los mecanismos de infraestructura de clave pública permiten que todos los miembros de la red de confianza reconozcan a otros actores legítimos y excluyan a los impostores.

Una firma digital es el segundo componente de PKI. Aquí, un bloque de datos se firma digitalmente usando un proceso de dos pasos. El primer paso computa un resumen de los datos usando una función de compresión unidireccional. "Este resumen luego se cifra con el par de claves privadas del firmante y se adjunta a los datos; este pequeño bloque cifrado es la firma", dice Rooyakkers. "El registro de firma adjunto completo también identificará al firmante, especificará los algoritmos criptográficos y de resumen utilizados y proporcionará la clave pública. Cualquier tercero puede replicar el cálculo del resumen y descifrar y verificar la firma. "Un aspecto crítico de la firma digital es que una firma válida prueba dos cosas: 1) los datos firmados no se han corrompido y 2) se ha computado la firma usando la clave secreta correspondiente.

El tercer componente de una PKI es certificados. Los certificados más comunes son los certificados X.509 definidos por el estándar de Internet RFC 2459. Un certificado X.509 es un bloque de datos firmado que vincula la identidad del propietario a una clave pública. PKI usa certificados de tres formas básicas: Primero, es el mecanismo estándar para distribuir claves públicas; segundo, los certificados se usan para probar la identidad mediante un proceso llamado autenticación; y tercero, los certificados se utilizan para establecer canales seguros de comunicación.

La CA o Autoridad de certificación es el cuarto componente de PKI. "Esta es la raíz de la confianza", dice Rooyakkers. "Aquí es donde los certificados se firman, emiten y administran. Para probar la identidad, el certificado que afirma la propiedad de la clave pública debe estar firmado por una parte confiable. Esa firma inicial puede, a su vez, ser verificada con otros certificados que forman una cadena de confianza. Una cadena válida siempre debe terminar con una firma creada con la clave privada de la CA. La clave pública de la AC normalmente se proporciona mediante un certificado distribuido a todas las partes ".

Una vez que ambas partes tienen la clave pública de la CA y se les han emitido certificados y claves privadas asociadas, el primer paso para una comunicación segura y exitosa es que las partes intercambien y validen certificados utilizando la clave pública de CA. "Suponiendo que esto tenga éxito, ambos pueden estar seguros de que la CA hizo, de hecho, emitir el certificado ofrecido por la otra", señala Rooyakkers. "Ofrecer un certificado válido, sin embargo, no prueba nada. El paso final y crítico es exigir que cada parte demuestre que tiene la clave secreta que coincide con su certificado ofrecido. La conclusión es que cada lado está obligado a encriptar correctamente un número aleatorio proporcionado por el otro.

Así es como la seguridad intrínseca integrada, basada en una red de confianza, está mediada por la PKI. Los mecanismos de PKI permiten que todos los miembros de la red de confianza reconozcan a otros actores legítimos y excluyan a los impostores. Los mecanismos de PKI también proporcionan una comunicación segura entre los miembros.

"En el caso de un módulo de controlador en un sistema de control industrial, PKI permite saber, en el controlador, qué actor puede cambiar la programación del usuario, o si un operador debe poder cambiar un punto de ajuste", dice Rooyakkers. "Si el actor tiene el certificado apropiado y la clave privada correspondiente, el controlador permite la acción. Si no, el controlador lo bloquea. El concepto básico es así de simple. Pero en el contexto de la ciberseguridad industrial, es un cambio de juego ".


Fuente de Información: puede acceder a la publicación original aquí

Eduardo Kando

I am a representative of website Administrators.

Leave a Reply