ES2832999T3 - Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial - Google Patents

Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial Download PDF

Info

Publication number
ES2832999T3
ES2832999T3 ES15823434T ES15823434T ES2832999T3 ES 2832999 T3 ES2832999 T3 ES 2832999T3 ES 15823434 T ES15823434 T ES 15823434T ES 15823434 T ES15823434 T ES 15823434T ES 2832999 T3 ES2832999 T3 ES 2832999T3
Authority
ES
Spain
Prior art keywords
network
data
topology
processor
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15823434T
Other languages
English (en)
Inventor
John W Crawford
de Aguiar Leandro Pfleger
Tsao Tzu-Hsin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2832999T3 publication Critical patent/ES2832999T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un procedimiento implementado por ordenador (700) para evaluar y gestionar la seguridad de red para una red de sistema de control industrial, que comprende: recuperar (702) datos de topología y datos de tráfico de red con un procesador, en el que los datos de topología son indicativos de cada dispositivo de la red; recuperar (704), por medio del procesador, datos de flujo de red de una pluralidad de recolectores de datos de red (300, 228, 232, 236, 240); la pluralidad de recolectores de datos de red (300, 228, 232, 236, 240) recopilando información de forma pasiva, incluyendo datos de flujo de red, directamente desde zonas de red por medio de capturas de paquetes sin operaciones de sondeo intrusivas; generar (706), por medio del procesador, un árbol de ataque en base a los datos de topología y los datos de flujo de red; actualizar (708), por el procesador, una base de datos de modelo de cliente con el árbol de ataque y los datos de topología; generar (710), por el procesador, una evaluación de seguridad en base al árbol de ataque y los datos de topología; y permitiendo la pluralidad de recolectores de datos de red (300, 228, 232, 236, 240) que la información pase en una sola dirección.

Description

DESCRIPCIÓN
Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial
ANTECEDENTES
[0001] La presente divulgación se refiere a la seguridad industrial y, más específicamente, a la evaluación pasiva de la seguridad perimetral industrial.
[0002] Los proveedores de servicios de seguridad industrial dentro de los entornos de sistemas de control industrial se enfrentan a múltiples desafíos al evaluar la calidad de una configuración de seguridad de red adoptada. En particular, evaluar la calidad de las listas de control de acceso (ACL) adoptadas dentro de la red plantea muchos desafíos, que pueden no proporcionar evaluaciones de seguridad optimizadas si no se abordan apropiadamente. El desafío puede surgir porque la calidad de las ACL adoptadas se puede observar de manera diferente en diferentes perímetros de red para diferentes zonas de red. La recopilación de esta información plantea automáticamente muchos desafíos. Por ejemplo, los entornos de red de sistemas de control industrial típicamente incluyen múltiples capas de conmutadores, enrutadores, en un entorno altamente segregado, requiriendo por tanto una conexión física con cada una de las capas para el tráfico de red y la recuperación y grabación de la configuración. Las técnicas de sondeo pueden ser menos que ideales, porque los entornos industriales pueden incluir equipos que pueden ser altamente sensibles al sondeo activo de red. En algunos casos, muchos controladores lógicos programables (PLC) heredados instalados que funcionan en entornos industriales pueden ser altamente susceptibles a errores de estado de fallo resultantes del uso de herramientas de descubrimiento de red como mapeadores de redes (por ejemplo, NMAP). Los procedimientos y dispositivos existentes para la evaluación de la seguridad de red en entornos industriales pueden no ofrecer una validación eficaz del uso de reglas y/o ninguna correlación con los vectores de ataque de última generación. En muchos casos, los propietarios de activos pueden simplemente optar por no realizar estas actividades como parte del proceso de verificación de auditoría de la red. En su lugar, puede que se centren exclusivamente en encontrar reglas de red abierta altamente discrepantes (por ejemplo, "permitir cualquiera", "permitir IP", no tener restricciones en los puertos de comunicaciones, etc.). Sin embargo, un análisis puede depender en gran medida de la discreción y la experiencia de los profesionales de la seguridad de red.
[0003] Las evaluaciones manuales se pueden implementar como una cuestión de estrategia convencional. La inspección manual y la correlación de las ACL aplicadas a los cortafuegos y los dispositivos de procesamiento de paquetes multicapa por parte de los analistas de seguridad es una práctica común adoptada en muchos casos en los que solo se proporciona la configuración fuera de línea del dispositivo de red. Este enfoque se puede limitar a las capacidades del analista de seguridad para leer y procesar un gran volumen de reglas de red (en la mayoría de los casos). Con una mayor participación y análisis humanos, la opción de validar las ACL frente al tráfico registrado manualmente se puede volver débil y propensa a errores.
[0004] Otras estrategias convencionales para la evaluación de la seguridad de red pueden incluir el uso de herramientas de evaluación automatizadas listas para usar. En general, las herramientas automatizadas existentes se pueden dividir en las siguientes dos categorías: Una primera categoría de soluciones automatizadas puede incluir herramientas de cumplimiento y auditoría de configuración de cortafuegos/conmutador/enrutador, que pueden estar enfocadas en recopilar y procesar la configuración aplicada frente a una base de conocimiento interna (KB) de mejores prácticas de seguridad. Una segunda categoría puede incluir herramientas de optimización de políticas de cortafuegos, que pueden funcionar como herramientas conectadas que aprovechan la información disponible como tablas de enrutamiento, recuentos de resultados positivos y registros para proporcionar análisis de tráfico histórico y optimización de conjuntos de reglas. La evaluación de las reglas de red aplicadas frente al tráfico real solo es posible en los casos en que el servidor de auditoría puede llegar al dispositivo. En cualquier caso, las herramientas de auditoría de configuración de cortafuegos convencionales listas para usar a menudo requieren una conexión al dispositivo de red objetivo. Por ejemplo, las conexiones a través de un cortafuegos, cortafuegos industrial, conmutador de red multicapa, enrutador, etc., pueden ser problemáticas para la evaluación de entornos de control industrial, para validar que el tráfico observado corresponde a las entradas de ACL configuradas y que no existen "reglas de red sin usar o excesivamente amplias". En otros casos, la infraestructura de red y la configuración de seguridad se pueden controlar convencionalmente por un proveedor de servicios gestionados de TI (MSP) de terceros con la obligación contractual de restringir el acceso de gestión a su propio personal. Esto puede crear dificultades para conectarse a través de diversos cortafuegos, conmutadores de red multicapa, enrutadores, etc.
[0005] Los sistemas de evaluación de seguridad de red convencionales también pueden carecer de un mecanismo para simular el impacto de las vulnerabilidades divulgadas recientemente que son explotables por la red considerando la configuración de seguridad adoptada actualmente. En otras palabras, aunque tanto la información sobre la vulnerabilidad como la configuración del cortafuegos (fuera de línea) pueden estar disponibles, es posible que no exista ningún mecanismo automatizado para correlacionarlos y alertar a los titulares de activos sobre nuevos vectores de ataque que podrían potencialmente seleccionar las ACL válidas existentes para realizar el ataque. Además de los problemas señalados anteriormente, una adopción del enfoque de "auditoría periódica de configuración de cortafuegos" a menudo expone la superficie de ataque de un entorno de red industrial controlado. A medida que incrementa la exposición, también lo hace el vector de ataque y el riesgo de infiltración maliciosa.
[0006] El documento WO2004/031953 A1 divulga el modelado de redes informáticas para realizar simulaciones de ataque y determinar los riesgos asociados con las vulnerabilidades. El documento WO2011/155961 A2 divulga un modelo de evaluación de riesgos que evalúa los activos críticos de una red eléctrica.
SUMARIO
[0007] La invención se define mediante las reivindicaciones independientes. Se definen modos de realización ventajosos en las reivindicaciones dependientes respectivas.
[0008] De acuerdo con algunos modos de realización, se describe un procedimiento implementado por ordenador para evaluar y gestionar la seguridad de red para una red. El procedimiento puede incluir recuperar datos de topología y datos de tráfico de red con un procesador, donde los datos de topología son indicativos de una topología de la red. El procedimiento puede incluir además recuperar, por medio del procesador, datos de flujo de red de una pluralidad de recolectores de datos de red, generar, por medio del procesador, un árbol de ataque en base a los datos de topología y los datos de flujo de red, actualizar una base de datos de modelo de cliente con el árbol de ataque y los datos de topología, y generar una evaluación de seguridad en base al árbol de ataque y los datos de topología.
[0009] De acuerdo con otros modos de realización, se describe un sistema para evaluar y gestionar la seguridad de red para una red de sistema de control industrial. El sistema puede incluir un procesador configurado para recuperar datos de topología y datos de tráfico de red, donde los datos de topología son indicativos de una topología de la red. El procesador se puede configurar además para recuperar datos de flujo de red de una pluralidad de recolectores de datos de red, generar un árbol de ataque en base a los datos de topología y los datos de flujo de red, actualizar una base de datos de modelo de cliente con el árbol de ataque y los datos de topología, y generar una evaluación de seguridad en base al árbol de ataque y los datos de topología.
[0010] De acuerdo con otros modos de realización, se describe un medio de almacenamiento no transitorio legible por ordenador. El medio de almacenamiento no transitorio legible por ordenador se puede configurar para almacenar instrucciones ejecutables por ordenador que realizan un procedimiento para evaluar y gestionar una red de sistema de control industrial cuando es ejecutado por un procesador. El procedimiento puede incluir recuperar datos de topología y datos de tráfico de red con el procesador, donde los datos de topología son indicativos de una topología de la red. El procedimiento puede incluir además recuperar, por medio del procesador, datos de flujo de red de una pluralidad de recolectores de datos de red, generar, por medio del procesador, un árbol de ataque en base a los datos de topología y los datos de flujo de red, actualizar una base de datos de modelo de cliente con el árbol de ataque y los datos de topología, y generar una evaluación de seguridad en base al árbol de ataque y los datos de topología.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
[0011] El contenido considerado como la invención se describe particularmente y se reivindica claramente en las reivindicaciones que aparecen al final de la memoria descriptiva. Estos y otros rasgos característicos y ventajas de la invención resultarán evidentes a partir de la siguiente descripción detallada tomada junto con los dibujos adjuntos, en los que:
La FIG. 1 ilustra un diagrama de bloques de un sistema informático para usar en la práctica de las enseñanzas en el presente documento;
la FIG. 2 representa un entorno informático para realizar un procedimiento de evaluación pasiva de la seguridad perimetral industrial de acuerdo con un modo de realización ejemplar;
la FIG. 3A representa un recolector de datos de red pasivo de acuerdo con algunos modos de realización;
la FIG. 3B representa una sistemática para un aparato recolector de acuerdo con un modo de realización ejemplar;
la FIG. 4 representa un motor de evaluación de seguridad de acuerdo con un modo de realización ejemplar;
la FIG. 5 representa un modelo de riesgo de cliente de acuerdo con un modo de realización ejemplar;
la FIG. 6 representa un modelo de motor de seguridad del lado del cliente de acuerdo con un modo de realización ejemplar; y
la FIG. 7 representa un procedimiento para la gestión de la seguridad de red de acuerdo con un modo de realización ejemplar.
DESCRIPCIÓN DETALLADA
[0012] La FIG. 1 ilustra un diagrama de bloques de un sistema informático 100 (en lo sucesivo, "ordenador 100") para usar en la práctica de los modos de realización descritos en el presente documento. Los procedimientos descritos en el presente documento se pueden implementar en hardware, programa informático (por ejemplo, firmware) o una combinación de los mismos. En un modo de realización ejemplar, los procedimientos descritos en el presente documento se implementan en hardware y pueden ser parte del microprocesador de un ordenador digital especial o de propósito general, tal como un ordenador personal, estación de trabajo, miniordenador u ordenador central. Por lo tanto, el ordenador 100 puede realizar un ordenador de propósito general. En otro modo de realización ejemplar, los procedimientos descritos en el presente documento se implementan como parte de un dispositivo móvil, tal como, por ejemplo, un teléfono móvil, un asistente de datos personales (PDA), un ordenador tableta, etc.
[0013] En un modo de realización ejemplar, en términos de arquitectura de hardware, como se muestra en la FIG.
1, el ordenador 100 incluye el procesador 101. El ordenador 100 también incluye la memoria 102 acoplada al procesador 101, y uno o más adaptadores de entrada y/o salida (E/S) 103, que pueden estar acoplados comunicativamente por medio de un bus de sistema local 105. La memoria 102 se puede acoplar operativamente a uno o más dispositivos de memoria internos o externos. El adaptador de comunicaciones 104 se puede conectar operativamente al ordenador 100 a una o más redes 115. El bus de sistema 105 también puede conectar una o más interfaces de usuario por medio del adaptador de interfaz 112. El adaptador de interfaz 112 puede conectar una pluralidad de interfaces de usuario al ordenador 100 incluyendo, por ejemplo, el teclado 109, el ratón 110, el altavoz 113, etc. El bus de sistema 105 también puede conectar el adaptador de pantalla de visualización 116 y la pantalla de visualización 117 al procesador 101. El procesador 101 también puede estar conectado operativamente a la unidad de procesamiento gráfico 118.
[0014] El procesador 101 es un dispositivo de hardware para ejecutar instrucciones de hardware o programa informático, en particular el almacenado en una memoria no transitoria legible por ordenador (por ejemplo, la memoria 102). El procesador 101 puede ser cualquier procesador personalizado o disponible comercialmente, una unidad central de procesamiento (CPU), una pluralidad de CPU, por ejemplo, CPU 101a-101c, un procesador auxiliar entre varios otros procesadores asociados con el ordenador 100, un microprocesador basado en semiconductores (en forma de microchip o conjunto de chips), un macroprocesador o, en general, cualquier dispositivo para ejecutar instrucciones. El procesador 101 puede incluir un caché de memoria 106, que puede incluir, pero sin limitarse a, una memoria caché de instrucciones para acelerar la búsqueda de instrucciones ejecutables, una memoria caché de datos para acelerar la búsqueda y almacenamiento de datos, y una memoria intermedia de traducción anticipada (TLB) usada para acelerar la traducción de direcciones virtuales a físicas tanto para instrucciones ejecutables como para datos. La memoria caché 106 se puede organizar como una jerarquía de más niveles de memoria caché (L1, L2, etc.).
[0015] La memoria 102 puede incluir una memoria de acceso aleatorio (RAM) 107 y una memoria de solo lectura (ROM) 108. La RAM 107 puede ser uno cualquiera o una combinación de elementos de memoria volátil (por ejemplo, DRAM, SRAM, SDRAM, etc.). La ROM 108 puede incluir uno cualquiera o más elementos de memoria no volátil (por ejemplo, memoria de solo lectura programable y borrable (EPROM), memoria flash, memoria de solo lectura programable y borrable electrónicamente (EEPROM), memoria de solo lectura programable (PROM), cinta, disco compacto de memoria de solo lectura (CD-ROM), disco, cartucho, casete o similares, etc.). Además, la memoria 102 puede incorporar medios de almacenamiento electrónicos, magnéticos, ópticos y/o de otro tipo no transitorios legibles por ordenador. Nótese que la memoria 102 puede tener una arquitectura distribuida, donde diversos componentes están situados alejados entre sí, pero el procesador 101 puede acceder a ellos.
[0016] Las instrucciones en la memoria 102 pueden incluir uno o más programas separados, cada uno de los cuales comprende una lista ordenada de instrucciones ejecutables por ordenador para implementar funciones lógicas. En el ejemplo de la FIG. 1, las instrucciones en la memoria 102 pueden incluir un sistema operativo 111 adecuado. El sistema operativo 111 puede controlar la ejecución de otros programas informáticos y proporciona programación, control de entrada-salida, gestión de archivos y datos, gestión de memoria y control de comunicación y servicios relacionados.
[0017] El adaptador de entrada/salida 103 puede ser, por ejemplo, pero sin limitarse a, uno o más buses u otras conexiones cableadas o inalámbricas, como es conocido en la técnica. El adaptador de entrada/salida 103 puede tener elementos adicionales, que se omiten por simplicidad, tales como controladores, memorias intermedias (memorias caché), controladores, repetidores y receptores, para posibilitar las comunicaciones. Además, la interfaz local puede incluir conexiones de dirección, control y/o datos para posibilitar las comunicaciones apropiadas entre los componentes mencionados anteriormente.
[0018] El adaptador de interfaz 112 se puede configurar para conectar operativamente uno o más dispositivos de E/S al ordenador 100. Por ejemplo, el adaptador de interfaz 112 puede conectar un teclado 109 convencional y un ratón 110. Otros dispositivos de salida, por ejemplo, el altavoz 113 se pueden conectar operativamente al adaptador de interfaz 112. También se pueden incluir otros dispositivos de salida, aunque no se muestran. Por ejemplo, los dispositivos pueden incluir, pero sin limitarse a, una impresora, un escáner, un micrófono y/o similares. Finalmente, los dispositivos de E/S conectables al adaptador de interfaz 112 pueden incluir además dispositivos que comunican tanto entradas como salidas, por ejemplo, pero sin limitarse a, una tarjeta de interfaz de red (NIC) o modulador/demodulador (para acceder a otros archivos, dispositivos, sistemas, o una red), una radiofrecuencia (RF) u otro transceptor, una interfaz telefónica, un puente, un enrutador y similares.
[0019] El ordenador 100 puede incluir además un adaptador de pantalla de visualización 116 acoplado a una o más pantallas de visualización 117. En un modo de realización ejemplar, el ordenador 100 puede incluir además un adaptador de comunicaciones 104 para acoplarse a una red 115.
[0020] La red 115 puede ser una red basada en IP para la comunicación entre el ordenador 100 y cualquier dispositivo externo. La red 115 transmite y recibe datos entre el ordenador 100 y los dispositivos y/o sistemas externos al ordenador 100. En un modo de realización ejemplar, la red 115 puede ser una red IP gestionada administrada por un proveedor de servicios. La red 115 puede ser una red interna de una aeronave, tal como, por ejemplo, una red de aviónica, etc. La red 115 se puede implementar de forma inalámbrica, por ejemplo, usando protocolos y tecnologías inalámbricos, tales como WiFi, WiMax, etc. La red 115 también puede ser una red cableada, por ejemplo, una red Ethernet, una red ARINC 429, una CAN, etc., que tenga cualquier conectividad cableada incluyendo, por ejemplo, una conexión RS232, una conexión R5422, etc. La red 115 también puede ser una red conmutada por paquetes, tal como una red de área local, una red de área amplia, una red de área metropolitana, una red de Internet u otro tipo similar de entorno de red. La red 115 puede ser una red inalámbrica fija, una red de área local (LAN) inalámbrica, una red de área amplia (WAN) inalámbrica, una red de área personal (PAN), una red privada virtual (VPN), intranet u otro sistema de red adecuado.
[0021] Si el ordenador 100 es un PC, estación de trabajo, portátil, tableta y/o similar, las instrucciones en la memoria 102 pueden incluir además un sistema básico de entrada y salida (BIOS) (omitido por simplicidad). El BIOS es un conjunto de rutinas esenciales que inicializan y someten a prueba el hardware al inicio, inician el sistema operativo 111 y admiten la transferencia de datos entre los dispositivos de hardware conectados operativamente. El BIOS se almacena en la ROM 108 para que el BIOS se pueda ejecutar cuando se activa el ordenador 100. Cuando el ordenador 100 está en funcionamiento, el procesador 101 se puede configurar para ejecutar instrucciones almacenadas dentro de la memoria 102, para comunicar datos a y desde la memoria 102 y para controlar en general los funcionamientos del ordenador 100 de acuerdo con las instrucciones.
[0022] En referencia ahora a la FIG. 2, se describe un entorno informático ejemplar 200 para realizar un procedimiento para la seguridad de red de una red, de acuerdo con un modo de realización ejemplar. El entorno informático 200 puede incluir una red de sistemas de control industrial 202. La red industrial 202 puede estar operativamente conectada a un servidor de archivos 204 por medio de la red 115. El servidor de archivos 204 puede ser una plataforma basada en la nube o un servidor de archivos local. La red industrial 202 puede ser cualquier tipo de red que funcione en un entorno industrial, por ejemplo, en una planta de fabricación u otro entorno industrial. La red industrial 202 puede incluir una mezcla de dispositivos industriales (por ejemplo, dispositivos 226, 230, 234 y 238), tales como, por ejemplo, controles lógicos programables (PLC), HMI (interfaz hombre-máquina), dispositivos de campo (sensor y actuadores), ordenadores personales, servidores, conmutadores de red, enrutadores, etc. La red industrial 202 también puede incluir uno o más dispositivos móviles, dispositivos portátiles, etc.
[0023] La red industrial 202 puede incluir una o más zonas de red incluyendo, por ejemplo, las zonas de red industrial 208, 210, 212 y 214. De acuerdo con algunos modos de realización, las zonas de red industrial 208-214 pueden estar interconectadas por medio de uno o más conmutadores/enrutadores 220, 222 y 224. De acuerdo con algunos modos de realización, se pueden aislar una o más zonas, tal como la zona de red industrial 214. Como se muestra en la FIG.
2, la zona de red industrial 214 se puede aislar o dividir del resto de la red industrial 202 por medio de una o más particiones 218, que pueden ser desconexión física de las zonas de red industrial 208, 210 y/o 212, desconexión lógica por medio de VLAN (LAN virtuales), o desconexión lógica por medio de un dispositivo tal como, por ejemplo, un cortafuegos (por ejemplo, cortafuegos 206). Aunque se representan cuatro zonas en la FIG. 2, se debe apreciar que se puede incluir cualquier número de zonas y la red industrial 202.
[0024] La zona de red industrial 208 puede incluir dispositivos 226 conectados a un recolector de datos de red 228 por medio de un conmutador/enrutador 220. Cualquiera de las zonas de red industrial 208, 210, 212, 214 puede incluir una pluralidad de dispositivos (por ejemplo, 226, 230, 234 y/o 238). Los conmutadores/enrutadores 220, 222, 224 y 242 pueden estar interconectados o, en el caso de la zona 214, pueden ser independientes de las otras zonas.
[0025] La red industrial 202 puede incluir uno más nodos cliente 216, que se pueden usar para aislar redes públicas (por ejemplo, la red 115) de los entornos de red habilitados para la seguridad). El nodo cliente 216 puede incluir un módulo de seguridad del lado del cliente 244. El módulo de seguridad del lado del cliente 244 puede incluir uno o más herramientas, dispositivos y/o controladores para comunicarse e informar al motor de evaluación de seguridad 246 que funciona en el servidor de archivos 204. El servidor de archivos 204 puede incluir el motor de evaluación de seguridad 246. El motor de evaluación de seguridad 246, que se describe con más detalle con respecto a la FIG. 4, puede incluir uno o más motores configurados para realizar los modos de realización descritos en el presente documento.
[0026] Como se muestra en la FIG. 2, las zonas de red industrial 208, 210, 212 y/o 214 pueden incluir cada una uno o más recolectores de datos de red (por ejemplo, recolectores de datos de red 228, 232, 236 y 240). En algunos modos de realización, los recolectores de datos de red 228, 232, 236 y 240 pueden ser una herramienta de recopilación de datos de información de red lista para usar, como una herramienta de mapeo de red (NMAP) u otras herramientas de captura de paquetes de red. En otros modos de realización, los recolectores de datos de red 228, 232, 236 y 240 pueden ser uno o más aparatos recolectores de red tales como, por ejemplo, el aparato recolector de datos de red 300, como se representa con respecto a las FIGS. 3A y 3B. Una zona aislada, tal como la zona de red industrial 214, se puede aislar para evitar un vector de ataque a través de la red 115 y/o cualquier lugar dentro de las otras zonas conectadas.
[0027] En algunos modos de realización, las herramientas de recopilación de información de red listas para usar, tales como los NMAP, pueden incluir utilidades para el descubrimiento de red y la auditoría de seguridad. En algunos aspectos, se pueden configurar para realizar tareas tales como inventario de red, gestión de programas de actualización de servicio de red, supervisión de red, recopilación de información de tiempo de actividad del servidor central o servicio y/u otras tareas de gestión y mapeo de red. Los NMAP generalmente funcionan sondeando los activos de red individual y registrando la información aprendida por las sondas de red. En algunos aspectos, los recolectores de datos de red listos para usar pueden usar datos de paquetes IP sin procesar de diferentes maneras para determinar qué servidores centrales de red pueden estar disponibles en la red. También pueden determinar servicios (por ejemplo, aplicaciones y versiones de replicación) que pueden albergar ofertas de red específicas. Los NMAP también pueden determinar información del sistema operativo, tales como versiones del sistema operativo, plataformas de dispositivos, tipos de dispositivos, información de hardware y/u otra información relacionada con los dispositivos que se ejecutan en la red.
[0028] Como se describe previamente, los entornos de red industrial pueden ser muy sensibles a cualquier mecanismo y/o técnica que realice un sondeo activo de la red (tales como las herramientas automatizadas descritas anteriormente) porque los dispositivos instalados, tales como los PLC de modelos más antiguos, pueden ser altamente susceptibles a entrar en estados de fallo después o durante una operación de sondeo de red. En algunas situaciones, puede resultar ventajoso proporcionar recolectores de datos de red de datos de red pasivos que no sondeen intrusivamente los activos de red.
[0029] De acuerdo con algunos modos de realización, los recolectores de datos de red 228, 232, 236 y 240 se pueden configurar para recopilar información de forma pasiva directamente de las zonas de red sin operaciones de sondeo intrusivas. En algunos aspectos, los recolectores 228-240 pueden recopilar pasivamente información de red observando el tráfico de red local a través de la infraestructura de red conectada a cada dispositivo recolector de datos de red respectivo. Las FIGS. 3A y 3B representan un dispositivo recolector de datos de red pasivo 300 ejemplar.
[0030] En referencia ahora a la FIG. 3A, se representa un aparato recolector de datos de red pasivo 300 ejemplar, de acuerdo con algunos modos de realización. En algunos aspectos, el aparato recolector de datos de red 300 puede incluir una o más interfaces USB 304 y/o una o más interfaces de red 306. De acuerdo con algunos modos de realización, la interfaz de red 306 puede ser un conector RJ-45 u otro conector de red configurado para interactuar con uno o más enrutadores de red y/o dispositivo de red (por ejemplo, conmutadores/enrutadores 220, 222 y/o 224). El aparato recolector de datos de red pasivo 300 se puede configurar para interactuar con un dispositivo de enrutamiento de red por medio de la interfaz de red 306.
[0031] En algunos aspectos, el aparato recolector de datos de red 300 puede recibir información por medio de la interfaz USB 304, enrutar información a través de uno o más acoplamientos unidireccionales, procesar la información a través de una o más memorias integradas y generar la información por medio de la interfaz de red 306. En otros aspectos, el aparato recolector de datos de red 300 puede recibir información de captura de paquetes desde Ethernet y exportar la información por medio de USB.
[0032] En otros modos de realización, el aparato recolector de datos de red 300 puede recopilar tráfico pasivamente (por medio de capturas de paquetes) usando el puerto Ethernet, y exportarlo al servidor central y usarlo para validar la calidad de las ACL adoptadas en el perímetro. Por ejemplo, de acuerdo con algunos modos de realización, podría existir un puerto TCP 502 abierto en el perímetro, pero ningún tráfico de Modbus TCP observado en la red usando el dispositivo. La conclusión sería que, muy probablemente, este puerto se pueda cerrar. En consecuencia, el aparato recolector de datos de red 300 se puede usar para la recopilación de tráfico pasivo y la recopilación de información forense. En algunos aspectos, el aparato recolector de datos de red 300 puede ser más seguro que otros dispositivos de red debido al hecho de que no permite que se propague malware hacia y/o desde segmentos de red como pasaría típicamente cuando se usa un medio de almacenamiento USB simple.
[0033] De acuerdo con algunos modos de realización, el aparato recolector de datos de red 300 puede permitir que la información pase en una sola dirección. Al permitir que la información fluya en una sola dirección, se puede eliminar un posible vector de ataque a la red. La información se puede permitir a través del aparato recolector de datos de red 300 accionando un conmutador duro 308. Como se representa en la FIG. 3A, el conmutador duro 308 se muestra en la posición "encendido". De forma alternativa, el conmutador duro 308 se puede conmutar a una posición de "apagado" 310. En algunos aspectos, cuando el conmutador duro 308 está en la posición de encendido, la información puede no pasar de la interfaz USB 304 que actúa como entrada a la interfaz de red 306 que actúa como salida.
[0034] De acuerdo con otros ejemplos, el aparato recolector de datos de red 300 puede incluir uno o más mecanismos para asegurar que la información solo pase en una dirección. Considerando ahora la FIG.3B, se muestra sistemática para un aparato recolector de datos de red 300 ejemplar, de acuerdo con algunos ejemplos. El esquema 312 representa las clavijas 314, 316, 318, 320, 322 y 324. En algunos aspectos, la clavija 314 se puede configurar para recibir entrada de datos y/o alimentación. La clavija 316 se puede configurar como una clavija de tierra y la clavija 318 se puede configurar como una clavija de datos auxiliares. Las clavijas 316 y/o 318 se pueden configurar para enrutar datos a través de uno o más transmisores de luz de comunicaciones LED 326. El transmisor de luz de comunicaciones LED 326 puede transmitir información en forma de luz a uno o más sensores de luz de comunicaciones LED 328. De acuerdo con algunos ejemplos, el sensor de luz de comunicaciones LED 328 se puede configurar para enrutar la información recibida a una memoria de dispositivo integrada 330 y/o una de las clavijas de señal 320, 322 y/o 324. Aunque no se muestra en la FIG. 3B, el esquema 312 puede incluir uno o más microprocesadores configurados para procesar los datos de red recopilados guardados en y recuperados de la memoria 330. La memoria 330 puede almacenar información de flujo de datos de red que puede ser indicativa del enrutamiento de paquetes para una pluralidad de paquetes en una red. La información almacenable en la memoria 330 también puede ser indicativa de uno o más protocolos de red usados previamente en la red, y uno o más patrones de tráfico para la pluralidad de paquetes.
[0035] Los modos de realización y los dispositivos descritos en el presente documento pueden abordar algunas de las lagunas descritas analizadas anteriormente con respecto a las herramientas existentes que proporcionan evaluaciones de seguridad de red y redes de sistema de control y automatización industrial. Los sistemas y dispositivos convencionales no son actualmente no intrusivos ni no destructivos para las operaciones de redes industriales, tal como, por ejemplo, la fabricación. En consecuencia, puede resultar ventajoso proporcionar sistemas y procedimientos para la verificación y evaluación de la seguridad en línea y fuera de línea.
[0036] La FIG. 4 representa el motor de evaluación de seguridad 246, de acuerdo con algunos modos de realización ejemplares. El motor de evaluación de seguridad 246 se puede configurar para derivar modelos de riesgo y modelos de ataque de red en base a la información de red recopilada. Como se analiza previamente, la información de red colectiva puede incluir información recopilada fuera de línea por dispositivos de clientes o dispositivos de recopilación pasivos fuera de línea, o tal vez recopilada en tiempo real usando uno o más recolectores de información de red. El motor de evaluación de seguridad 246 puede detectar anomalías de comportamiento en base a información organizada en forma de una simulación de riesgo de ataque. En algunos casos, el motor de evaluación de seguridad 246 se puede configurar para considerar opciones de mitigación (por ejemplo, cerrar puertos, redireccionar el tráfico, restablecer con la segmentación de red internamente con uno o más niveles y/u otras operaciones de mitigación) y observar los resultados modelados de los cambios de red sin realmente comprometer los cambios en una red operativa. En algunos aspectos, esto puede proporcionar una manera de anticipar y mitigar los riesgos de seguridad (por ejemplo, uno o más vulnerabilidades potenciales) sin poner realmente en riesgo un entorno informático operativo.
[0037] El motor de evaluación de seguridad 246 puede incluir un motor de análisis 400, un motor analítico 402, un motor de construcción de modelos 404 y un motor de simulación de riesgos 406. El motor de análisis 400, el motor analítico 402 y el motor de construcción de modelos 404 pueden compartir información entre los módulos para analizar y crear evaluaciones de seguridad, modelos de ataque de cliente y modelos de riesgo derivado. El motor del sistema de seguridad 246 puede incluir además un motor de notificación al cliente 410, que se puede configurar para recibir información del motor analítico 402, del motor de construcción de modelos 404 y/o del motor de simulación de riesgos 406, y alertar a uno o más clientes sobre un riesgo de seguridad de red.
[0038] En algunos aspectos, el motor de análisis 400 se puede configurar para recibir información de topología y seguridad de red desde el módulo de seguridad del lado del cliente 244 y uno o más recolectores de información de red (por ejemplo, 228, 232, 236 y/o 240). Por ejemplo, el motor de análisis 400 puede recibir uno o más registros de red, información de topología de activos y/u otra información de red, y analizar la información para determinar la información de riesgo de seguridad relevante. El motor de evaluación de seguridad 246 se puede configurar para recibir información proporcionada por el cliente incluyendo, por ejemplo, archivos de captura de paquetes de red, descripciones de zona para una o más zonas donde se recopila el tráfico de red, información de registro de sistema, información de SNMP, información de inventario de activos y/o información de topología de red. En otros aspectos, el motor de evaluación de seguridad 246 se puede configurar para recuperar información automáticamente de uno o más dispositivos de red tales como, por ejemplo, recolectores de zona, 228, 232, 236 y/o 240, módulo de seguridad del lado del cliente 244, y/u otros dispositivos de red, analizar la información usando el motor de análisis 400, y analizar la información usando el motor analítico 402. En otros aspectos, el motor de evaluación de seguridad 246 puede recibir información de fuentes externas tales como, por ejemplo, información de vulnerabilidad de productos de programa informático de sitios web de fabricantes de programa informático, información de malware, estadísticas de objetivos de puertos y otras fuentes de patrones de ataque, campañas y/o inteligencia sobre amenazas abiertas que pueda estar disponible públicamente en Internet, que puede o no ser analizado por el motor de análisis 400.
[0039] El motor analítico 402 se puede configurar para proporcionar supervisión y análisis continuos de la red basados en la seguridad de red y la información de topología recibida por el motor de análisis 400. Por ejemplo, el motor analítico 402 puede analizar la información recibida por el motor de análisis 400, calcular un perfil de seguridad de referencia en base a la información y proporcionar supervisión en línea o fuera de línea de la red industrial 202 comparando la referencia de seguridad con la información de red recibida. Por ejemplo, el motor analítico 402 puede revisar información de red conocida (por ejemplo, información de topología e información de flujo de paquetes, etc.) y determinar, en base a cambios en la información de red conocida, si existe alguna amenaza de seguridad nueva o existente en la red.
[0040] De acuerdo con algunos modos de realización, el motor analítico 402 puede incluir además un analizador de flujo de red 412 y un módulo de detección de anomalías de comportamiento 414. En algunos aspectos, el analizador de flujo de red 412 se puede configurar para recibir información de los recolectores de datos de red 228, 232, 236 y/o 240 y analizar la información de red colectiva con respecto al flujo de paquetes de red.
[0041] El módulo de detección de anomalías de comportamiento 414 se puede configurar para detectar anomalías de la información de red colectiva que pueden ser indicativas de una o más amenazas de seguridad. Por ejemplo, los datos del flujo de red colectiva pueden incluir información que indique que un ataque a la red que está en curso o un ataque a la red se libró en un momento previo. De acuerdo con algunos modos de realización, el módulo de detección de anomalías de comportamiento 414 se puede configurar para realizar una inspección de paquetes profunda de protocolos industriales (incluyendo, por ejemplo, protocolos propiedad de Siemens). En algunos aspectos, el módulo de detección de anomalías 414 se puede configurar para calcular un estado de seguridad de referencia en base al patrón de tráfico observado determinado a partir de la información recopilada. Los comandos críticos que pueden ser relevantes para la seguridad se pueden recopilar y/o identificar para proporcionar detección de comportamiento en los datos de red recopilados. De acuerdo con algunos modos de realización, el motor analítico 402 puede usar esta información para calcular los peores escenarios (por ejemplo, el impacto) para el análisis y la afirmación de los riesgos calculados.
[0042] El motor de construcción de modelos 404 puede incluir un motor de cálculo de árbol de ataque 416 y un recolector de información de amenazas 418. En algunos aspectos, el motor de cálculo del árbol de ataque 416 puede analizar las amenazas de seguridad detectadas por el motor analítico 402 con respecto a una o más topologías de red recibidas y analizadas por el motor de análisis 400. El motor de cálculo de árbol de ataque 416 puede formular uno o más árboles de ataque que pueden ser indicativos de riesgos de seguridad potenciales o reales identificados para una red particular en base a la configuración de seguridad de red recopilada (por ejemplo, ACL). En algunos aspectos, el motor analítico 402 puede identificar riesgos emergentes en base a cambios de red externos (por ejemplo, un malware descubierto recientemente) que pueden ser relevantes para el modelo de ataque. Cuando las herramientas existentes se pueden centrar en conocimientos intangibles de una red (tal como, por ejemplo, una lista de sistemas operativos incluidos dentro de la red), el motor analítico 402 puede utilizar información de red real determinada en tiempo real en conexión con información de ataque de red emergente.
[0043] En algunos aspectos, el motor de notificación al cliente 410 se puede configurar para alertar a los clientes sobre posibles impactos negativos de las amenazas de seguridad y proporcionar recomendaciones e instrucciones para mitigar los riesgos detectados y analizados por medio del módulo de detección y cálculo de riesgos 420. Por ejemplo, el motor de notificación al cliente 410 se puede configurar para proporcionar alertas de riesgo para cualquier patrón de ataque recién descubierto que se pueda aplicar a un entorno de cliente (por ejemplo, la red industrial 202). El recolector de información de amenazas 418 puede agregar información sobre amenazas aprendida de fuentes públicas, incluyendo Internet, y fuentes privadas, incluyendo el motor analítico 402. El analizador de flujo 412 puede enviar recomendaciones de mitigación a uno o más clientes que pueden incluir topologías de red recomendadas o cambios de redirección de flujo.
[0044] En algunos aspectos, el motor de evaluación de seguridad 246 puede observar una configuración o comando anormal y/o crítico existente en la red industrial 202 que puede ser indicativo de una mayor amenaza de seguridad. En consecuencia, el motor de evaluación de seguridad 246 puede proporcionar una configuración de seguridad recomendada y/o una recomendación de optimización a un cliente por medio del motor de notificación al cliente 410. Una recomendación puede incluir, por ejemplo, una recomendación de configuración de red, una configuración de capa de transporte y/o una configuración de capa de aplicación.
[0045] De acuerdo con otros modos de realización, el motor de evaluación de seguridad 246 puede incluir una base de datos de modelo de cliente 408. La base de datos de modelo de cliente 408 puede incluir uno o más modelos de riesgo de cliente tales como, por ejemplo, modelos de riesgo de cliente 424, 426, 428, 430, etc. Aunque sólo se representan cuatro modelos de riesgo de cliente en la FIG. 4. Se debe apreciar que el motor de evaluación de seguridad 246 puede incluir cualquier número de modelos de riesgo de cliente. La FIG. 5 representa un modelo de riesgo de cliente 500 ejemplar, de acuerdo con algunos modos de realización de ejemplo.
[0046] En referencia ahora a la FIG. 5, el modelo de riesgo de cliente 500 puede incluir un modelo de seguridad de red de planta 502 y una estructura de datos de información de árbol de ataque 512. De acuerdo con algunos modos de realización, el modelo de seguridad de red 502 puede incluir una pluralidad de estructuras de datos incluyendo, por ejemplo, una estructura de información de flujo de tráfico 504, una estructura de información de seguridad de zona de red 506, una estructura de información de vector de ataque 508 y un registro de recomendación de configuración 510. De acuerdo con otros modos de realización, el modelo de riesgo de cliente 500 puede incluir además un registro de información de ataque 512 que puede incluir un registro de uso de protocolo 514 y/o una estructura de información de ruta de ataque de credenciales de red 516. La base de datos de modelo de cliente 408 puede incluir modelos de riesgo de clientes individuales (por ejemplo, el modelo de riesgo de cliente 500) correspondientes a una pluralidad de clientes que tienen redes tales como, por ejemplo, la red industrial 202.
[0047] Como se expone previamente, el motor de evaluación de seguridad 246 se puede instalar operativamente en el servidor de archivos 204. En algunos aspectos, el módulo de seguridad del lado del cliente 244 se puede instalar operativamente en el nodo cliente 216. En referencia ahora a la FIG.6, se representa el módulo de seguridad del lado del cliente 244, de acuerdo con algunos modos de realización ejemplares. El módulo de seguridad del lado del cliente 244 puede incluir un motor de agregación de recolectores 602, un motor de topología de red 604 y un módulo de notificación al cliente 606.
[0048] El motor de agregación de recolectores 602 se puede configurar para recopilar información de red de los recolectores 228, 232, 236 y/o 240. En otros modos de realización, el motor 604 de topología de red se puede configurar para recopilar y/o agregar una topología de red para dispositivos de red, tales como, por ejemplo, dispositivos en zonas de red industrial 208, 210, 212 y/o 214. El motor de topología de red 604 puede recopilar y agregar información de topología de red consultando los recolectores de datos de red 228, 232, 236 y/o 240. De acuerdo con algunos modos de realización, los recolectores de datos de red 228, 232, 236 y 240 pueden ser sistemas informáticos en red. En otros aspectos, los recolectores de red pueden ser uno o más aparatos recolectores independientes, tales como, por ejemplo, el aparato recolector de datos de red 300. En consecuencia, los recolectores de datos de red 228, 232, 236 y/o 240 pueden estar conectados físicamente al nodo cliente 216 por medio del conmutador/enrutador 220 y/o conectarse directamente al nodo cliente 216 por medio de la interfaz USB 304 y/o la interfaz de red 306. El módulo de notificación al cliente 606 puede recibir y/o transmitir notificaciones de cliente hacia y desde el servidor de archivos 204.
[0049] En referencia a la FIG. 7, se representa un procedimiento para la gestión de la seguridad de red 700, de acuerdo con algunos modos de realización ejemplares. De acuerdo con algunos modos de realización, el motor de evaluación de seguridad 246 se puede configurar para maximizar el valor de seguridad y resultados de evaluación proporcionados por los clientes por medio del módulo de seguridad del lado del cliente 244 por medio de uno o más dispositivos de recopilación de datos de red pasivos (por ejemplo, dispositivo de recopilación de datos de red pasivo, 300) y/o datos recuperados automáticamente por el sistema de una manera no intrusiva y no destructiva. El motor de evaluación de seguridad 246 se puede configurar para proporcionar verificación en línea y fuera de línea de un perfil de seguridad para una o más redes industriales (por ejemplo, la red industrial 202). Por ejemplo, el motor de evaluación de seguridad 246 se puede configurar para acceder y/o recibir información de una o más herramientas de captura de paquetes que elija un cliente. En otros modos de realización, el motor de evaluación de la seguridad 246 se puede configurar para observar y supervisar el tráfico de la red usando uno o más dispositivos de captura de tráfico de la red tales como, por ejemplo, el aparato recolector de datos de red 300.
[0050] En referencia ahora al bloque 702, en algunos aspectos, el motor de evaluación de seguridad 246 puede recuperar datos de topología de red del módulo de seguridad del lado del cliente 244. Los datos de topología de red pueden ser indicativos de cada dispositivo en una red (por ejemplo, la red industrial 202) incluyendo, por ejemplo, PLC, enrutadores, conmutadores, servidores, puntos de acceso inalámbricos (AP), impresoras, teléfonos VoIP, ordenadores de escritorio, dispositivos móviles., etc. La información de topología puede incluir además información de credenciales de red, información de segmentación de red y/u otra información de enrutador. Los datos de topología también pueden incluir información relacionada con todos los nodos de red. El papel de cada dirección IP de nodo particular asociada con dispositivos de red y/o configuraciones de conexión para cada uno de los dispositivos de red. Los datos de topología pueden incluir además un mapa de red que muestra representaciones de cada uno de los dispositivos.
[0051] El motor de evaluación de seguridad 246 puede recuperar a continuación datos de seguridad de red de una pluralidad de recolectores de datos de red, como se muestra en el bloque 704. Los datos de seguridad de red pueden incluir reglas de reenvío de paquetes, que pueden funcionar junto con recursos de red conocidos para soportar equilibrado de carga, reenvío de protocolos, enrutamiento seguro y operaciones de reenvío de red específicas de regla. Cada una de una o más reglas puede emparejar una dirección IP particular, un protocolo y, opcionalmente, rangos de puertos con grupos objetivo o instancias objetivo seguros. El tráfico se envía a una dirección IP externa que puede ser servida por una regla, de acuerdo con algunos modos de realización, las reglas de reenvío pueden dirigir el tráfico a uno o más objetivos correspondientes.
[0052] En algunos aspectos, los recolectores de datos de red 228, 232, 236 y 240 pueden recibir información de red, incluyendo, por ejemplo, archivos de captura de paquetes de ruta de red y descripciones de zona que indican cómo y dónde se recopilan los datos de tráfico de red, información de registro de sistema, información de SNMP, información de red. e información de activos de planta, información de inventario de red (por ejemplo, inventario de programa informático) y/o información de topología de red (por ejemplo, información de zona y conducto con respecto a la red industrial 202).
[0053] En algunos aspectos, el motor de evaluación de seguridad 246 puede proponer entrada de usuario, donde un usuario introduce los datos de seguridad solicitados. En otros aspectos, el motor de evaluación de seguridad 246 puede acceder a la información del recolector de zona a través de la red 115, o en el caso de que los recolectores de zona sean un dispositivo de recopilación de datos de red pasivo (por ejemplo, dispositivo de recopilación de datos de red pasivo, 300), el motor de evaluación de seguridad 246 puede contactar con un nodo cliente (por ejemplo, nodo cliente 216) que puede estar conectado operativamente a los recolectores.
[0054] En consecuencia, el motor de evaluación de seguridad 246 puede a continuación acceder a la información guardada en cada recolector, analizar la entrada proporcionada por el cliente y combinar la entrada proporcionada por el cliente con la información recopilada automática o manualmente por el sistema. Por ejemplo, información de vulnerabilidad de producto de programa informático, información de malware, listas de puertos e información de estado, estadísticas de objetivos y/u otra información indicativa de las fuentes de los patrones de ataque. Las fuentes de ataque pueden incluir campañas de ataque conocidas de inteligencia conocida internamente y/o información de inteligencia disponible públicamente que puede estar disponible a partir de fuentes en línea y de otro tipo.
[0055] Como se muestra en el bloque 706, el motor de evaluación de seguridad 246 puede generar un árbol de ataque en base a los datos de topología y los datos de seguridad de red. Algunos aspectos de los árboles tecnológicos pueden incluir uno o más diagramas conceptuales que muestran cómo un objetivo de activo u otro dispositivo de red puede ser atacado por malware malicioso, un actor individual, etc. Por ejemplo, un árbol de ataque se puede usar para describir amenazas en sistemas informáticos e identificar aspectos de un nodo particular. En algunos modos de realización, los árboles tecnológicos pueden ser un sistema de diagrama de niveles múltiples de hojas e hijos. La parte inferior de los nodos hijos en general pueden ser condiciones que se satisfacen para que el padre directo no sea verdadero. Por ejemplo, si están satisfechos, el ataque se puede completar. Cada nodo puede ser satisfecho solo por su nodo hijo directo. Los árboles de ataque se pueden volver muy complejos, especialmente cuando se trata de tipos específicos de ataques. Por ejemplo, en el tratamiento fiscal, contienen cientos o incluso miles de rutas diferentes que conducen a la conclusión de uno o más ataques. Los árboles tecnológicos pueden ser útiles para determinar qué niveles de amenaza existen para activos de red particulares y cómo lidiar con ellos de la manera más eficaz.
[0056] De acuerdo con algunos modos de realización, el motor de evaluación de seguridad 246 puede revisar los datos de topología, analizar los datos de topología junto con las reglas de reenvío asociadas con cada nodo de la red y generar un árbol de ataque en base a los datos de topología en los datos de seguridad de red. Como se muestra en el bloque 708, el motor de evaluación de seguridad 246 puede actualizar una o más bases de datos de modelo de cliente usando los datos de seguridad. Por ejemplo, la base de datos de modelo de cliente 408 puede incluir una pluralidad de modelos de riesgo de cliente 424-430. Cada uno de los modelos de riesgo de cliente puede incluir información específica del cliente con respecto a la topología de red, información del árbol de ataque, datos de seguridad de red, etc. De acuerdo con otros modos de realización, el motor del sistema de seguridad 246 también puede actualizar uno o más modelos de riesgo de cliente con uno o más alertas con respecto al entorno de red de un cliente (por ejemplo, red industrial 202). En otros aspectos, los modelos de riesgo de cliente pueden incluir además una o más reglas de mitigación personalizadas que pueden ser indicativas de una o más tareas para mitigar un riesgo particular identificado por el motor de evaluación de seguridad 246.
[0057] De acuerdo con algunos modos de realización, la generación de un árbol de ataque también puede incluir modelar una o más reglas de detección propuestas, que pueden ser realizadas por el motor de simulación de riesgos 406. El motor de simulación y riesgo 406 puede incluir un módulo de detección y cálculo de riesgos 420 y un motor de simulación de mitigación de riesgos 422. En algunos aspectos, el módulo de detección y cálculo de riesgos 420 puede detectar un nodo que tiene uno o más factores de riesgo y asignar una probabilidad de riesgo particular para cada nodo determinado en una topología de red. Dicho de otra manera, cada nodo de los datos de topología puede tener intrínsecamente un riesgo relativamente mayor o menor como vector de ataque. En algunos modos de realización, el árbol de ataque y/o los datos de topología pueden incluir cada probabilidad de riesgo respectiva para un nodo. Por consiguiente, el motor de simulación de mitigación de riesgos 422 puede simular uno o más planes de mitigación modelando una instancia de rezonificación de red, una redirección de tráfico u otros cambios de red para determinar cualquier posible impacto negativo de cualquiera de los cambios propuestos.
[0058] En algunos aspectos, el módulo de notificación al cliente 606 puede proporcionar una alerta de un riesgo simulado o un riesgo observado real. Como se muestra en el bloque 710, el motor de evaluación de seguridad 246 puede haber realizado una o más evaluaciones de seguridad. Las evaluaciones de seguridad pueden incluir, por ejemplo, alertas de riesgo para cada patrón de ataque recién descubierto aplicable a uno o más entornos de cliente (por ejemplo, uno o más modelos de riesgo de cliente 428-430). Las evaluaciones de seguridad pueden incluir además una o más recomendaciones de mitigación para la topología de la red y/o cambios de redirección de flujo con respecto al impacto operativo de uno o más cambios. Las evaluaciones de seguridad también pueden incluir cualquier comando de configuración crítico anormal y/o observado que haya sido cambiado manualmente por el personal de seguridad de red. Finalmente, las evaluaciones de seguridad pueden incluir una o más recomendaciones de optimización de seguridad (por ejemplo, una recomendación de cambio de capa de red, transporte o aplicación).
[0059] De acuerdo con algunos modos de realización, el motor de evaluación de seguridad 246 puede proporcionar un marco para que uno o más clientes accedan a información de vector de ataque conocida con respecto a su propio entorno de red industrial y/o entornos de red industrial de uno o más otros clientes. Por ejemplo, si un cliente que utiliza el motor de evaluación de seguridad 246 determina una amenaza de red particular de su propia evaluación de seguridad de red en 246 puede anotar en la base de datos de cliente esa amenaza en particular y compartir la información obtenida sobre esa amenaza en particular con uno o más clientes que utilizan el motor de evaluación de seguridad 246. El motor de evaluación de seguridad 246 puede recuperar información de la topología de red con respecto a una red particular, recuperar los datos de seguridad de red en la información de los recolectores de datos de red, generar uno o más árboles de ataque en base a la información aprendida y los recolectores de datos de red y/o datos de seguridad, y actualizar una base de datos de modelo de cliente (por ejemplo, un modelo de riesgo de cliente) con la información aprendida. En otros aspectos, la evaluación de seguridad en 246 puede compartir información anónima con uno o más clientes para aprovechar la información de evaluación de seguridad conocida entre clientes. En algunos aspectos, uno o más clientes pueden acceder al motor de sistema de seguridad 246 mediante suscripción a través de la red 115 y/o por otros medios.
[0060] El motor de evaluación de seguridad 246 se puede configurar para proporcionar alertas continuas para riesgos de seguridad de red. En consecuencia, el motor de evaluación de seguridad 246 puede proporcionar una referencia de seguridad para una infraestructura de cliente en base a una o más reglas y configuraciones de enrutamiento de red, comparar activamente las reglas y/o configuraciones con la información de inteligencia de seguridad colectiva y tomar determinaciones con respecto a cualquier amenaza aplicable presente en la red industrial 202.
[0061] En otros aspectos, el motor de evaluación de seguridad 246 puede supervisar los patrones de tráfico considerando la información de paquetes y/o la información de verificación fuera de línea proporcionada por las herramientas de verificación fuera de línea proporcionadas por el cliente. El motor de evaluación de seguridad 246 también puede determinar un estado de seguridad en base al tráfico observado. El motor de evaluación de seguridad 246 puede proporcionar detección de riesgos basada en modelos en base a modelos atacados proporcionados por el cliente y/o una jerarquía de gráficos de red determinados automáticamente por el sistema. En algunos aspectos, el motor de evaluación de seguridad 246 puede identificar riesgos emergentes en base a uno o más cambios internos y/o externos.
[0062] De acuerdo con algunos modos de realización, el motor de evaluación de seguridad 246 puede utilizar información proporcionada por el cliente y recopilada por el sistema para proporcionar salidas intermedias que pueden incluir, por ejemplo, información del modelo de seguridad de red de planta (por ejemplo, árboles de ataque aplicables), alertas de riesgo para cada uno de los patrones de ataque descubiertos, recomendaciones de mitigación para configurar topologías de red y/o redirigir las observaciones de flujo de red con respecto a configuraciones anormales y/o críticas, y recomendaciones de optimización de red para la operatividad general de la red.
[0063] Las descripciones de los diversos modos de realización de la presente invención se han presentado con propósitos ilustrativos, pero no pretenden ser exhaustivos ni limitarse a los modos de realización descritos. Muchas modificaciones y variaciones serán evidentes para los expertos en la técnica sin apartarse del alcance de los modos de realización descritos. La terminología usada en el presente documento se eligió para explicar mejor los principios de los modos de realización, la aplicación práctica o la mejora técnica respecto a las tecnologías que se encuentran en el mercado, o para permitir que otros expertos en la técnica comprendan los modos de realización descritos en el presente documento.
[0064] La presente invención puede ser un sistema, un procedimiento y/o un producto de programa informático. El producto de programa informático puede incluir un medio (o medios) de almacenamiento legible por ordenador que tiene instrucciones de programa legibles por ordenador en el mismo para hacer que un procesador lleve a cabo aspectos de la presente invención.
[0065] El medio de almacenamiento legible por ordenador puede ser un dispositivo tangible que puede retener y almacenar instrucciones para su uso por un dispositivo de ejecución de instrucciones. El medio de almacenamiento legible por ordenador puede ser, por ejemplo, pero sin limitarse a, un dispositivo de almacenamiento electrónico, un dispositivo de almacenamiento magnético, un dispositivo de almacenamiento óptico, un dispositivo de almacenamiento electromagnético, un dispositivo de almacenamiento de semiconductores o cualquier combinación adecuada de los anteriores. Una lista no exhaustiva de ejemplos más específicos del medio de almacenamiento legible por ordenador incluye lo siguiente: un disquete de ordenador portátil, un disco duro, una memoria de acceso aleatorio (RAM), una memoria de solo lectura (ROM), una memoria de solo lectura programable y borrable (EPROM o memoria Flash), una memoria estática de acceso aleatorio (SRAM), disco compacto portátil con memoria de solo lectura (CD-ROM), un disco versátil digital (DVD), una tarjeta de memoria, un disquete, un dispositivo codificado tal como tarjetas perforadas o estructuras en relieve en una ranura que tiene instrucciones grabadas en las mismas, y cualquier combinación adecuada de los anteriores. Un medio de almacenamiento legible por ordenador, como se usa en el presente documento, no se debe interpretar como señales transitorias per se, tales como ondas de radio u otras ondas electromagnéticas que se propagan libremente, ondas electromagnéticas que se propagan a través de una guía de ondas u otros medios de transmisión (por ejemplo, pulsos de luz que atraviesan un cable de fibra óptica) o señales eléctricas transmitidas a través de un cable.
[0066] Las instrucciones de programa legibles por ordenador descritas en el presente documento se pueden descargar a los respectivos dispositivos informáticos/de procesamiento desde un medio de almacenamiento legible por ordenador o a un ordenador externo o dispositivo de almacenamiento externo por medio de una red, por ejemplo, Internet, una red de área local, una red de área amplia y/o una red inalámbrica. La red puede comprender cables de transmisión de cobre, fibras de transmisión óptica, transmisión inalámbrica, enrutadores, cortafuegos, conmutadores, ordenadores de puerta de enlace y/o servidores de periferia. Una tarjeta adaptadora de red o interfaz de red en cada dispositivo informático/de procesamiento recibe instrucciones de programa legibles por ordenador desde la red y reenvía las instrucciones de programa legibles por ordenador para su almacenamiento en un medio de almacenamiento legible por ordenador dentro del dispositivo informático/de procesamiento respectivo.
[0067] Las instrucciones del programa legibles por ordenador para llevar a cabo los funcionamientos de la presente invención pueden ser instrucciones de ensamblador, instrucciones de arquitectura de conjunto de instrucciones (ISA), instrucciones de máquina, instrucciones dependientes de máquina, microcódigo, instrucciones de firmware, datos de configuración de estado o código fuente o código objeto escrito en cualquier combinación de uno o más lenguajes de programación, incluyendo un lenguaje de programación orientado a objetos tal como Smalltalk, C + o similares, y lenguajes de programación procedimentales convencionales, tales como el lenguaje de programación "C" o lenguajes de programación similares. Las instrucciones de programa legibles por ordenador se pueden ejecutar completamente en el ordenador del usuario, parcialmente en el ordenador del usuario, como un paquete de programa informático autónomo, parcialmente en el ordenador del usuario y parcialmente en un ordenador remoto, o completamente en el ordenador o servidor remoto. En el último escenario, el ordenador remoto puede estar conectado al ordenador del usuario a través de cualquier tipo de red, incluyendo una red de área local (LAN) o una red de área amplia (WAN), o la conexión se puede realizar con un ordenador externo (por ejemplo, a través de Internet usando un proveedor de servicios de Internet). En algunos modos de realización, los circuitos electrónicos que incluyen, por ejemplo, circuitos lógicos programables, matrices de puertas programables en campo (FPGA) o matrices lógicas programables (PLA) pueden ejecutar las instrucciones de programa legibles por ordenador utilizando información de estado de las instrucciones de programa legibles por ordenador para personalizar los circuitos electrónicos, para realizar aspectos de la presente invención.
[0068] Aspectos de la presente invención se describen en el presente documento con referencia a ilustraciones de diagramas de flujo y/o diagramas de bloques de procedimientos, aparatos (sistemas) y productos de programas informáticos de acuerdo con los modos de realización de la presente invención. Se entenderá que cada bloque de las ilustraciones de diagramas de flujo y/o diagramas de bloques, y las combinaciones de bloques en las ilustraciones de diagramas de flujo y/o diagramas de bloques, se pueden implementar mediante instrucciones de programa legibles por ordenador.
[0069] Estas instrucciones de programa legibles por ordenador se pueden proporcionar a un procesador de ordenador de propósito general, ordenador de propósito especial u otro aparato de procesamiento de datos programable para producir una máquina, de tal manera que las instrucciones, que se ejecutan a través del procesador del ordenador u otro aparato de procesamiento de datos programable, creen medios para implementar las funciones/actos especificados en el bloque o bloques del diagrama de flujo y/o diagrama de bloques. Estas instrucciones de programa legibles por ordenador también se pueden almacenar en un medio legible por ordenador que puede dirigir un ordenador, un aparato de procesamiento de datos programable y/u otros dispositivos para que funcione de una manera particular, de modo que el medio legible por ordenador que tiene instrucciones almacenadas en el mismo comprende un artículo de fabricación incluyendo instrucciones que implementen aspectos de la función/del acto especificados en el bloque o bloques del diagrama de flujo y/o diagrama de bloques.
[0070] Las instrucciones de programa legibles por ordenador también se pueden cargar en un ordenador, otro aparato de procesamiento de datos programable u otro dispositivo para hacer que se realicen una serie de etapas operativas en el ordenador, otros aparatos programables u otro dispositivo para producir un proceso implementado por ordenador de modo que las instrucciones que se ejecutan en el ordenador, otro aparato programable u otro dispositivo implementen las funciones/los actos especificados en el bloque o bloques del diagrama de flujo y/o diagrama de bloques.
[0071] El diagrama de flujo y los diagramas de bloques de las figuras ilustran la arquitectura, la funcionalidad y el funcionamiento de posibles implementaciones de sistemas, procedimientos y productos de programas informáticos de acuerdo con diversos modos de realización de la presente invención. A este respecto, cada bloque en el diagrama de flujo o los diagramas de bloques puede representar un módulo, segmento o parte de instrucciones, que comprende una o más instrucciones ejecutables para implementar la(s) función(es) lógica(s) especificada(s). En otras implementaciones alternativas, las funciones indicadas en el bloque se pueden producir en un orden distinto al indicado en las figuras. Por ejemplo, dos bloques mostrados en sucesión, de hecho, se pueden ejecutar sustancialmente al mismo tiempo, o los bloques se pueden ejecutar a veces en el orden inverso, dependiendo de la funcionalidad involucrada. También se observará que cada bloque de los diagramas de bloques y/o la ilustración del diagrama de flujo, y las combinaciones de bloques en los diagramas de bloques y/o la ilustración del diagrama de flujo, se pueden implementar mediante sistemas basados en hardware de propósito especial que realizan las funciones o actos especificados o llevan a cabo combinaciones de hardware de propósito especial e instrucciones informáticas.

Claims (15)

  1. REIVINDICACIONES
    i . Un procedimiento implementado por ordenador (700) para evaluar y gestionar la seguridad de red para una red de sistema de control industrial, que comprende:
    recuperar (702) datos de topología y datos de tráfico de red con un procesador, en el que los datos de topología son indicativos de cada dispositivo de la red;
    recuperar (704), por medio del procesador, datos de flujo de red de una pluralidad de recolectores de datos de red (300, 228, 232, 236, 240);
    la pluralidad de recolectores de datos de red (300, 228, 232, 236, 240) recopilando información de forma pasiva, incluyendo datos de flujo de red, directamente desde zonas de red por medio de capturas de paquetes sin operaciones de sondeo intrusivas;
    generar (706), por medio del procesador, un árbol de ataque en base a los datos de topología y los datos de flujo de red;
    actualizar (708), por el procesador, una base de datos de modelo de cliente con el árbol de ataque y los datos de topología;
    generar (710), por el procesador, una evaluación de seguridad en base al árbol de ataque y los datos de topología; y
    permitiendo la pluralidad de recolectores de datos de red (300, 228, 232, 236, 240) que la información pase en una sola dirección.
  2. 2. El procedimiento implementado por ordenador de la reivindicación 1, en el que recuperar los datos de topología comprende transmitir una propuesta para que el usuario introduzca los datos de topología, y recibir los datos de topología de un cliente en respuesta a la propuesta.
  3. 3. El procedimiento implementado por ordenador de la reivindicación 1, en el que recuperar los datos de topología comprende recibir los datos de topología de un aparato recolector.
  4. 4. El procedimiento implementado por ordenador de la reivindicación 1, en el que generar el árbol de ataque comprende:
    analizar, por medio del procesador, los datos de topología y los datos de flujo de red para determinar una pluralidad de vulnerabilidades potenciales en la red;
    analizar los datos de flujo de red, por medio del procesador, para determinar una o más reglas de red asociadas con una pluralidad de nodos en la topología de la red;
    calcular, por medio del procesador, una probabilidad de riesgo asociada con la pluralidad de vulnerabilidades potenciales en base a las una o más reglas de red y datos de flujo de red; y
    generar el árbol de ataque en base a las una o más reglas de red y los datos de flujo de red, en el que el árbol de ataque comprende la pluralidad de vulnerabilidades potenciales y la probabilidad de riesgo asociada con la pluralidad de vulnerabilidades potenciales.
  5. 5. El procedimiento implementado por ordenador de la reivindicación 4, en el que la actualización de la base de datos de modelo de cliente comprende:
    actualizar, por medio del procesador, un registro de modelo de riesgo de cliente con la pluralidad de vulnerabilidades potenciales en la red, la probabilidad de riesgo asociada con la pluralidad de vulnerabilidades potenciales y el árbol de ataque.
  6. 6. El procedimiento implementado por ordenador de la reivindicación 1, en el que generar la evaluación de seguridad comprende:
    determinar, por medio del procesador, una recomendación de mitigación de riesgos que comprenda al menos una etapa recomendada para configurar la red.
  7. 7. El procedimiento implementado por ordenador de la reivindicación 1, en el que generar la evaluación de seguridad comprende, además:
    supervisar la red, por medio del procesador, para determinar si una o más configuraciones de red son indicativas de un mayor riesgo de seguridad de red.
  8. 8. Un sistema (246, 228, 232, 236, 240, 300) para evaluar y gestionar la seguridad de red para una red de sistema de control industrial que comprende:
    una pluralidad de recolectores de datos de red (300, 228, 232, 236, 240) configurados para recopilar información de forma pasiva, incluyendo datos de flujo de red, directamente desde zonas de red por medio de capturas de paquetes sin operaciones de sondeo intrusivas y para permitir que la información pase en una sola dirección, y
    un procesador configurado para:
    recuperar datos de topología y datos de tráfico de red, en el que los datos de topología son indicativos de cada dispositivo de la red;
    recuperar datos de flujo de red de la pluralidad de recolectores de datos de red (300);
    generar un árbol de ataque en base a los datos de topología y los datos de flujo de red; actualizar una base de datos de modelo de cliente con el árbol de ataque y los datos de topología; y generar una evaluación de seguridad en base al árbol de ataque y los datos de topología.
  9. 9. El sistema de la reivindicación 8, en el que el procesador está configurado para recuperar datos de topología transmitiendo una propuesta para que el usuario introduzca los datos de topología, y recibiendo los datos de topología de un cliente en respuesta a la propuesta.
  10. 10. El sistema de la reivindicación 8, en el que el procesador está configurado para recuperar datos de topología recibiendo los datos de topología de un aparato recolector.
  11. 11. El aparato de la reivindicación 8, en el que el procesador está configurado para generar el árbol de ataque:
    analizando los datos de topología y los datos de flujo de red para determinar una pluralidad de vulnerabilidades potenciales en la red;
    analizando los datos de flujo de red para determinar una o más
    reglas de red asociadas con una pluralidad de nodos en la topología de la red;
    calcular una probabilidad de riesgo asociada con la pluralidad de vulnerabilidades potenciales en base a una o más reglas de red y datos de flujo de red; y
    generar el árbol de ataque en base a las una o más reglas de red y los datos de flujo de red, en el que el árbol de ataque comprende la pluralidad de vulnerabilidades potenciales y la probabilidad de riesgo asociada con la pluralidad de vulnerabilidades potenciales.
  12. 12. El sistema de la reivindicación 11, en el que el procesador está configurado para actualizar la base de datos de modelo de cliente: actualizando un registro de modelo de riesgo de cliente con la pluralidad de vulnerabilidades potenciales en la red, la probabilidad de riesgo asociada con la pluralidad de vulnerabilidades potenciales y el árbol de ataque.
  13. 13. El sistema de la reivindicación 8, en el que el procesador está configurado para generar la evaluación de seguridad:
    determinando una recomendación de mitigación de riesgos que comprenda al menos una etapa recomendada para configurar la red.
  14. 14. El sistema de la reivindicación 8, en el que el procesador está configurado para generar la evaluación de seguridad:
    supervisando la red para determinar si una o más configuraciones de red son indicativas de un mayor riesgo de seguridad de red.
  15. 15. Un medio de almacenamiento no transitorio legible por ordenador configurado para almacenar instrucciones ejecutables por ordenador que realizan un procedimiento para evaluar y gestionar una red de sistema de control industrial, cuando es ejecutado por un procesador y una pluralidad de recolectores de datos de red, como se reivindica en las reivindicaciones 1-7.
ES15823434T 2015-12-14 2015-12-14 Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial Active ES2832999T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2015/065447 WO2017105383A1 (en) 2015-12-14 2015-12-14 System and method for passive assessment of industrial perimeter security

Publications (1)

Publication Number Publication Date
ES2832999T3 true ES2832999T3 (es) 2021-06-14

Family

ID=55085899

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15823434T Active ES2832999T3 (es) 2015-12-14 2015-12-14 Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial

Country Status (5)

Country Link
US (1) US10841332B2 (es)
EP (1) EP3371947B1 (es)
CN (1) CN108370370B (es)
ES (1) ES2832999T3 (es)
WO (1) WO2017105383A1 (es)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9769202B2 (en) * 2014-09-12 2017-09-19 Level 3 Communications, Llc Event driven route control
US10558809B1 (en) 2017-04-12 2020-02-11 Architecture Technology Corporation Software assurance system for runtime environments
US10540502B1 (en) * 2017-06-14 2020-01-21 Architecture Technology Corporation Software assurance for heterogeneous distributed computing systems
US10817604B1 (en) 2018-06-19 2020-10-27 Architecture Technology Corporation Systems and methods for processing source codes to detect non-malicious faults
US10749890B1 (en) 2018-06-19 2020-08-18 Architecture Technology Corporation Systems and methods for improving the ranking and prioritization of attack-related events
US10868825B1 (en) 2018-08-14 2020-12-15 Architecture Technology Corporation Cybersecurity and threat assessment platform for computing environments
EP3617825B1 (de) * 2018-08-29 2023-05-17 Siemens Aktiengesellschaft Automatisierte evaluierung von alarmhäufungen
US11212322B2 (en) * 2018-10-10 2021-12-28 Rockwelll Automation Technologies, Inc. Automated discovery of security policy from design data
WO2020136837A1 (ja) * 2018-12-27 2020-07-02 三菱電機株式会社 アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム
US11429713B1 (en) 2019-01-24 2022-08-30 Architecture Technology Corporation Artificial intelligence modeling for cyber-attack simulation protocols
US11128654B1 (en) 2019-02-04 2021-09-21 Architecture Technology Corporation Systems and methods for unified hierarchical cybersecurity
US10949338B1 (en) 2019-02-07 2021-03-16 Architecture Technology Corporation Automated software bug discovery and assessment
US11734636B2 (en) * 2019-02-27 2023-08-22 University Of Maryland, College Park System and method for assessing, measuring, managing, and/or optimizing cyber risk
US11652839B1 (en) * 2019-05-02 2023-05-16 Architecture Technology Corporation Aviation system assessment platform for system-level security and safety
US11451581B2 (en) 2019-05-20 2022-09-20 Architecture Technology Corporation Systems and methods for malware detection and mitigation
US11403405B1 (en) 2019-06-27 2022-08-02 Architecture Technology Corporation Portable vulnerability identification tool for embedded non-IP devices
CN111198860B (zh) * 2019-08-23 2023-11-07 腾讯科技(深圳)有限公司 网络安全监控方法、系统、装置、存储介质和计算机设备
CN110535855B (zh) * 2019-08-28 2021-07-30 北京安御道合科技有限公司 一种网络事件监测分析方法和系统、信息数据处理终端
US11128655B2 (en) * 2019-09-06 2021-09-21 Wipro Limited Method and system for managing security vulnerability in host system using artificial neural network
US11444974B1 (en) 2019-10-23 2022-09-13 Architecture Technology Corporation Systems and methods for cyber-physical threat modeling
CN113054651B (zh) * 2019-12-26 2023-03-31 华为技术服务有限公司 一种网络拓扑优化方法、装置以及系统
CN111245806A (zh) * 2020-01-06 2020-06-05 北京航天测控技术有限公司 网络安全测试方法、装置和平台、存储介质和电子装置
US11503075B1 (en) * 2020-01-14 2022-11-15 Architecture Technology Corporation Systems and methods for continuous compliance of nodes
CN111585968B (zh) * 2020-04-13 2022-09-02 上海核工程研究设计院有限公司 一种基于功能分析的工控网络安全影响分析装置
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US10733303B1 (en) * 2020-04-23 2020-08-04 Polyverse Corporation Polymorphic code translation systems and methods
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
AU2020461851A1 (en) * 2020-08-05 2022-05-26 Chiyoda Corporation Method for managing plant, plant design device, and plant management device
CN111934932B (zh) * 2020-08-13 2022-10-18 中国工商银行股份有限公司 一种互联网架构评价方法及装置
CN112039895B (zh) * 2020-08-31 2023-01-17 绿盟科技集团股份有限公司 一种网络协同攻击方法、装置、系统、设备及介质
CN112202764B (zh) * 2020-09-28 2023-05-19 中远海运科技股份有限公司 网络攻击链路可视化系统、方法和服务器
US11831671B2 (en) * 2021-04-08 2023-11-28 Nozomi Networks Sagl Method for automatic derivation of attack paths in a network
CN113595790B (zh) * 2021-07-29 2024-04-05 国网电力科学研究院有限公司 一种电力终端设备的安全访问评估方法及装置
CN114070648A (zh) * 2021-12-02 2022-02-18 北京神州新桥科技有限公司 配置网络安全策略的评估方法、装置、设备及存储介质
CN114244763B (zh) * 2021-12-20 2023-11-17 中电福富信息科技有限公司 基于规则引擎的动态网络拓扑管理方法及其系统
CN114793182B (zh) * 2022-06-21 2022-09-02 湖南前行科创有限公司 一种智慧园区分布式网络安全风险评估方法及装置
CN115277153B (zh) * 2022-07-22 2023-11-03 国网山东省电力公司电力科学研究院 一种智能电网5g网络风险评估系统及评估方法
CN116016198B (zh) * 2022-12-26 2024-04-26 中国电子信息产业集团有限公司第六研究所 一种工控网络拓扑安全评估方法、装置及计算机设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6269447B1 (en) * 1998-07-21 2001-07-31 Raytheon Company Information security analysis system
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US7013395B1 (en) * 2001-03-13 2006-03-14 Sandra Corporation Method and tool for network vulnerability analysis
US7152105B2 (en) * 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7194769B2 (en) * 2003-12-11 2007-03-20 Massachusetts Institute Of Technology Network security planning architecture
CN101682626A (zh) 2007-05-24 2010-03-24 爱维技术解决方案私人有限公司 用于模拟对网络的黑客攻击的方法和系统
EP2580629A2 (en) * 2010-06-10 2013-04-17 Siemens Corporation Method for quantitative resilience estimation of industrial control systems
US8863293B2 (en) * 2012-05-23 2014-10-14 International Business Machines Corporation Predicting attacks based on probabilistic game-theory

Also Published As

Publication number Publication date
US10841332B2 (en) 2020-11-17
EP3371947A1 (en) 2018-09-12
US20180367563A1 (en) 2018-12-20
EP3371947B1 (en) 2020-09-02
CN108370370A (zh) 2018-08-03
WO2017105383A1 (en) 2017-06-22
CN108370370B (zh) 2021-07-20

Similar Documents

Publication Publication Date Title
ES2832999T3 (es) Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial
US20230421593A1 (en) System and method for comprehensive data loss prevention and compliance management
US11843628B2 (en) Cyber security appliance for an operational technology network
US9961099B2 (en) Systems and methods for detecting and tracking adversary trajectory
US11966871B2 (en) Systems and methods for security operations maturity assessment
Noel et al. Optimal ids sensor placement and alert prioritization using attack graphs
US20170093910A1 (en) Dynamic security mechanisms
Rubio et al. Analysis of Intrusion Detection Systems in Industrial Ecosystems.
CN105493060A (zh) 蜜端主动网络安全
US20170134400A1 (en) Method for detecting malicious activity on an aircraft network
Pan et al. Anomaly based intrusion detection for building automation and control networks
Li et al. A critical review of cyber-physical security for building automation systems
US20230362142A1 (en) Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing
Amro et al. Cyber risk management for autonomous passenger ships using threat-informed defense-in-depth
Ani et al. Vulnerability-based impact criticality estimation for industrial control systems
Demirci et al. Software-defined networking for improving security in smart grid systems
US10387351B2 (en) One-way data transfer device with onboard system detection
Mantas et al. Practical autonomous cyberhealth for resilient micro, small and medium-sized enterprises
US9774628B2 (en) Method for analyzing suspicious activity on an aircraft network
Zhang et al. Securing the Internet of Things: Need for a New Paradigm and Fog Computing
Hossain et al. An ontological security framework to secure the SDN based IoT networks
Balachandar et al. Secure solutions for smart city command control centre using AIOT
Sulkamo IoT from cyber security perspective
Ramirez An Anomaly Behavior Analysis Methodology for the Internet of Things: Design, Analysis, and Evaluation
CN110278075B (zh) 用于跨多层网络的协调安全性的系统和方法