ES2898895T3 - Un sistema de detección de amenazas para controladores industriales - Google Patents

Un sistema de detección de amenazas para controladores industriales Download PDF

Info

Publication number
ES2898895T3
ES2898895T3 ES18823706T ES18823706T ES2898895T3 ES 2898895 T3 ES2898895 T3 ES 2898895T3 ES 18823706 T ES18823706 T ES 18823706T ES 18823706 T ES18823706 T ES 18823706T ES 2898895 T3 ES2898895 T3 ES 2898895T3
Authority
ES
Spain
Prior art keywords
dfplc
plc
monitoring unit
deterministic
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18823706T
Other languages
English (en)
Inventor
Ilan Gendelman
Amir Samoiloff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Si Ga Data Security 2014 Ltd
Original Assignee
Si Ga Data Security 2014 Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Si Ga Data Security 2014 Ltd filed Critical Si Ga Data Security 2014 Ltd
Application granted granted Critical
Publication of ES2898895T3 publication Critical patent/ES2898895T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • Virology (AREA)
  • Programmable Controllers (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un sistema de detección de amenazas para controladores industriales, que comprende: al menos un controlador lógico programable, PLC (160A-160N); al menos un dispositivo físico conectado con dicho PLC; un controlador lógico programable ficticio determinista, DFPLC (200), que comprende una lógica de programa determinista; dicho DFPLC programado y configurado determinísticamente para recibir al menos una señal de entrada y responder con al menos una señal predeterminada de acuerdo con dicha lógica; y una unidad de monitoreo (210) conectada con dicho DFPLC (200); dicho DFPLC (200) disfrazado de PLC; y dicha unidad de monitoreo (210) configurada para enviar al menos una señal de entrada a dicho DFPLC (200), recibir al menos una respuesta desde dicho DFPLC (200) y comunicar al menos una alerta si dicha al menos una respuesta es diferente de una respuesta esperada de acuerdo con dicha programación determinista de dicho DFPLC (200).

Description

DESCRIPCIÓN
Un sistema de detección de amenazas para controladores industriales
Campo de la invención
La presente invención, en algunas realizaciones de la misma, se refiere a sistemas de control industrial y, más específicamente, pero no exclusivamente, al monitoreo de sistemas de control industrial para seguridad y mantenimiento.
Antecedentes
Los sistemas de control de supervisión y adquisición de datos (SCADA), o cualquier tipo de sistemas de control industrial (ICS), son donde los sistemas controlados por ordenador interactúan con los procesos del mundo real al monitorear y controlar la entrada y salida analógica y digital de dispositivos, como bombas, válvulas, calentadores, etc. Los ICS están en el centro de las infraestructuras tecnológicas actuales. Los ICS se usan para controlar y monitorear desde los procesos más cruciales, tales como las infraestructuras para la generación de energía, las redes de transmisión eléctrica, la distribución de agua y el control del transporte, hasta la ventilación a baja escala, la calefacción y el control de gas en instalaciones públicas o privadas.
Los ICS se componen de controladores lógicos programables (PLC), redes de datos SCADA, terminales de operador y supervisor, terminales de gestión, etc. Los dispositivos PLC están conectados a dispositivos físicos, como bombas, medidores, válvulas, calentadores, etc. y controlan estos dispositivos físicos que usan interfaces de hardware, tales como líneas conductoras eléctricas de entrada y/o salida (E/S) analógicas y/o digitales, denominadas en la presente descripción como líneas de E/S. Los PLC usan con frecuencia un diseño de bus del sistema para conectar módulos de E/S a la unidad de procesamiento del PLC, y los módulos de E/S contienen componentes electrónicos para controlar los conductores de salida y realizar mediciones en los conductores de entrada. Al manipular las líneas de E/S en un cierto orden, se implementa el funcionamiento de la instalación. Los dispositivos físicos son operados por el PLC de acuerdo con la lógica incorporada, y cada PLC está diseñado para funcionar de forma autónoma, a menudo en grupos donde cada PLC puede controlar parte del proceso. La información seleccionada y los estados recopilados por los PLC se transfieren a terminales de operador y/o supervisor que tienen un control limitado de las operaciones de acuerdo con restricciones predefinidas, tales como anulaciones manuales de ciertos dispositivos y/u operaciones cuando sea necesario. La información de nivel superior se transfiere a terminales de gestión para el monitoreo ejecutivo de las operaciones.
Los ICS pueden describirse como sistemas de control en los que la mayor parte de la lógica se realiza en el nivel de los PLC, que tienen una conexión exclusiva en el mundo real a los dispositivos físicos. La lógica operativa del PLC se ejecuta automáticamente en tiempo real hasta que se cambia la lógica, se cambian los parámetros o se envía una anulación manual desde un terminal de control. Los ICS están diseñados para proporcionar alta confiabilidad y protección ambiental, y se hicieron grandes esfuerzos para alcanzar valores altos de tiempo medio entre fallos (MTBF). Por lo tanto, los sistemas de control fueron diseñados para ser robustos, autónomos y fácilmente reemplazados por el operador y/o programador cuando sea necesario.
Las técnicas de seguridad actuales para ICS incluyen seguridad a nivel de red mediante cortafuegos, diodos de paquetes de Internet y pasarelas protegidas por contraseña de alto nivel de seguridad. Estas técnicas de seguridad están diseñadas para evitar el acceso no autorizado a través de Internet.
La seguridad cibernética es la protección de los sistemas informáticos contra el robo o daño a su hardware, software o información, así como contra la interrupción o desvío de los servicios que brindan o las tareas que deben realizar. La seguridad cibernética incluye el control del acceso físico al hardware, así como la protección contra daños que puedan surgir a través del acceso a la red, la inyección de datos y de código.
La seguridad cibernética se logra mediante el uso de tres procesos principales: prevención, detección y respuesta. Los sistemas de prevención intentan detectar una amenaza antes de que se produzca algún daño.
Los sistemas de detección intentan detectar cualquier daño, interrupción o desvío y, por ejemplo, alertar.
Los sistemas de reacción están destinados a reaccionar ante amenazas tras su detección.
El documento XP055754331 se relaciona con el análisis forense de PLC basado en la detección de cambios en la lógica del programa de control. Un programa llamado CPLCD se ejecuta en un PC. Este programa está configurado con un conjunto de reglas de detección (DR) para poder detectar cuando la lógica de programación de un PLC ha sido alterada por una persona no autorizada. Para definir estas reglas, cada lógica de escalera (es decir, el algoritmo del PLC) se transforma en expresiones booleanas para determinar un resultado esperado basado en los valores de un conjunto de variables en la memoria (es decir, basado en una entrada específica). Luego, el CPLCD lee los valores reales de estas variables desde la memoria del PLC y calcula el resultado esperado basándose en las DR. Si el resultado real en el PLC es diferente del resultado esperado, significa que la lógica de programación del PLC ha sido alterada.
El documento EP3179323 divulga sistemas y métodos para detectar si un atacante ha reprogramado un controlador lógico programable (PLC) en un sistema de control de supervisión y adquisición de datos (SCADA) para enviar información falsa a la interfaz hombre-máquina (HMI).
El documento KR101252358B divulga un dispositivo y método de prueba de comando de PLC para reducir los costos y el tiempo de prueba de un comando de PLC al probar automáticamente un error de comando de PLC Resumen
De acuerdo con un aspecto de la presente invención, se proporciona un sistema de detección de amenazas para controladores industriales, que comprende: al menos un controlador lógico programable (PLC); al menos un dispositivo físico conectado con el PLC; un controlador lógico programable ficticio determinista (DFPLC) programado determinísticamente para responder con al menos una señal predeterminada a al menos una señal de entrada recibida; y una unidad de monitoreo conectada con el DFPLC; el DFPLC disfrazado de PLC; y la unidad de monitoreo configurada para enviar al menos una señal de entrada al DFPLC, recibir al menos una respuesta del DFPLC y comunicar al menos una alerta cuando la al menos una respuesta sea diferente a la respuesta esperada de acuerdo con la programación determinista del DFPLC.
De acuerdo con otro aspecto de la presente invención, se proporciona un sistema de control industrial, que comprende: una capa de tecnología de la información (TI) conectada a Internet; una capa de Zona Desmilitarizada (DMZ) conectada con la capa de TI; y una capa de tecnología operativa (OT) conectada con la capa DMZ; la capa OT comprende el sistema de detección de amenazas para controladores industriales descrito anteriormente. De acuerdo con otro aspecto de la presente invención se proporciona un método de detección de amenazas en sistemas industriales, que comprende: enviar, mediante una unidad de monitoreo, al menos una señal de entrada a un Controlador Lógico Programable Ficticio Determinista (DFPLC) programado determinísticamente para responder con al menos una señal predeterminada a al menos una señal de entrada recibida; el DFPLC disfrazado de PLC; recibir, por parte de la unidad de monitoreo, al menos una respuesta del DFPLC; y proporcionar, por parte de la unidad de monitoreo, al menos una alerta cuando la al menos una respuesta sea distinta de una respuesta esperada de acuerdo con la programación determinista del DFPLC.
Breve descripción de los dibujos
Para una mejor comprensión de la invención y para mostrar cómo puede llevarse a cabo la misma, ahora se hará referencia, simplemente a modo de ejemplo, a los dibujos adjuntos.
Con referencia específica ahora a los dibujos en detalle, se enfatiza que los detalles mostrados son a modo de ejemplo y para propósitos de análisis ilustrativo de las realizaciones preferidas de la presente invención solamente, y se presentan con la causa de proporcionar lo que se cree que es la descripción más útil y fácil de entender de los principios y aspectos conceptuales de la invención. A este respecto, no se intenta mostrar detalles estructurales de la invención con más detalle del necesario para una comprensión fundamental de la invención, la descripción tomada con los dibujos hace evidente a los expertos en la técnica cómo las diversas formas de la invención pueden ser incorporadas en la práctica. En los dibujos adjuntos:
La Figura 1 es una vista esquemática de un sistema de control industrial existente ilustrativo;
La Figura 2 es una vista esquemática del sistema de la Figura 1 con el PLC ficticio determinista (DFPLC) y la unidad de monitoreo de acuerdo con realizaciones de la presente invención; y
La Figura 3 es un diagrama de flujo que muestra el proceso realizado por el DFPLC y la unidad de monitoreo de acuerdo con realizaciones de la invención.
Descripción detallada de las realizaciones preferidas
Antes de explicar al menos una realización de la invención en detalle, debe entenderse que la invención no está limitada necesariamente en su aplicación a los detalles de construcción y a la disposición de los componentes y/o métodos establecidos en la siguiente descripción y/o ilustrados en los dibujos y/o los Ejemplos. La invención es capaz de otras realizaciones o de llevarse a la práctica o implementarse de varias maneras.
Como apreciará un experto en la técnica, los aspectos de la presente invención pueden realizarse como un sistema, método o producto de programa informático. En consecuencia, los aspectos de la presente invención pueden tomar la forma de una realización completamente de hardware, una realización completamente de software (que incluye microprograma, software residente, microcódigo, etc.) o una realización que combina aspectos de software y hardware a los que se puede hacer referencia en general en la presente descripción como "circuito", "módulo" o "sistema". Además, los aspectos de la presente invención pueden tomar la forma de un producto de programa informático incorporado en uno o más medios legibles por ordenador que tienen incorporado un código de programa legible por ordenador.
Puede utilizarse cualquier combinación de uno o más medios legibles por ordenador. El medio legible por ordenador puede ser un medio de señal legible por ordenador o un medio de almacenamiento legible por ordenador. Un medio de almacenamiento legible por ordenador puede ser, por ejemplo, pero sin limitarse a, un sistema, aparato o dispositivo electrónico, magnético, óptico, electromagnético, infrarrojo o semiconductor, o cualquier combinación adecuada de los anteriores. Ejemplos más específicos (una lista no exhaustiva) del medio de almacenamiento legible por ordenador incluirían los siguientes: una conexión eléctrica que tiene uno o más cables, un disquete de ordenador portátil, un disco duro, una memoria de acceso aleatorio (RAM), una memoria de solo lectura (ROM), una memoria de solo lectura programable y borrable (EPROM o memoria Flash), una fibra óptica, una memoria de solo lectura de disco compacto portátil (CD-ROM), un dispositivo de almacenamiento óptico, un dispositivo de almacenamiento magnético o cualquier combinación adecuada de los anteriores. En el contexto de este documento, un medio de almacenamiento legible por ordenador puede ser cualquier medio tangible que pueda contener o almacenar un programa para su uso por o en conexión con un sistema, aparato o dispositivo de ejecución de instrucciones.
Un medio de señal legible por ordenador puede incluir una señal de datos propagada con un código de programa legible por ordenador incorporado en la misma, por ejemplo, en banda base o como parte de una onda portadora. Tal señal propagada puede tomar cualquiera de una variedad de formas, que incluyen, pero no se limitan a, electromagnética, óptica o cualquier combinación adecuada de las mismas. Un medio de señal legible por ordenador puede ser cualquier medio legible por ordenador que no sea un medio de almacenamiento legible por ordenador y que pueda comunicar, propagar o transportar un programa para su uso por o en conexión con un sistema, aparato o dispositivo de ejecución de instrucciones.
El código de programa incorporado en un medio legible por ordenador puede transmitirse mediante el uso de cualquier medio apropiado, que incluye, pero sin limitarse a, inalámbrico, línea de alambre, cable de fibra óptica, RF, etc., o cualquier combinación adecuada de los anteriores.
El código de programa informático para llevar a cabo operaciones para aspectos de la presente invención puede escribirse en cualquier combinación de uno o más lenguajes de programación, que incluye un lenguaje de programación orientado a objetos como Java, Smalltalk, C++ o similares y lenguajes de programación de procedimientos convencionales, tal como el lenguaje de programación "C" o lenguajes de programación similares. El código del programa puede ejecutarse completamente en el ordenador del usuario, en parte en el ordenador del usuario, como un paquete de software independiente, en parte en el ordenador del usuario y en parte en un ordenador remoto o completamente en el ordenador o servidor remoto. En el último escenario, el ordenador remoto puede estar conectado al ordenador del usuario a través de cualquier tipo de red, que incluye una red de área local (LAN) o una red de área amplia (WAN), o la conexión puede realizarse a un ordenador externo (por ejemplo, a través de Internet mediante el uso de un proveedor de servicios de Internet).
Los aspectos de la presente invención se describen a continuación con referencia a ilustraciones de diagramas de flujo y/o diagramas de bloques de métodos, aparatos (sistemas) y productos de programas informáticos de acuerdo con realizaciones de la invención. Se entenderá que cada bloque de las ilustraciones de diagramas de flujo y/o diagramas de bloques, y las combinaciones de bloques en las ilustraciones de diagramas de flujo y/o diagramas de bloques, pueden implementarse mediante instrucciones de programa informático. Estas instrucciones de programa informático se pueden proporcionar a un procesador de un ordenador de propósito general, ordenador de propósito especial u otro aparato de procesamiento de datos programable para producir una máquina, de modo que las instrucciones, que se ejecutan a través del procesador del ordenador u otro aparato de procesamiento de datos programable, crean medios para implementar las funciones/actos especificados en el diagrama de flujo y/o bloque o bloques del diagrama de bloques.
Estas instrucciones de programa informático también pueden almacenarse en un medio legible por ordenador que puede dirigir un ordenador, otro aparato de procesamiento de datos programable u otros dispositivos para que funcionen de una manera particular, de modo que las instrucciones almacenadas en el medio legible por ordenador produzcan un artículo de fabricación que incluye instrucciones que implementan la función/acto especificado en el diagrama de flujo y/o bloque o bloques del diagrama de bloques.
Las instrucciones del programa informático también pueden cargarse en un ordenador, otro aparato de procesamiento de datos programable u otros dispositivos para hacer que se realicen una serie de pasos operativos en el ordenador, otro aparato programable u otros dispositivos para producir un proceso implementado por ordenador de manera que las instrucciones que se ejecutan en el ordenador u otro aparato programable proporcionan procesos para implementar las funciones/actos especificados en el diagrama de flujo y/o bloque o bloques del diagrama de bloques.
La presente invención, en algunas realizaciones de la misma, se refiere a una capa de detección para monitorear sistemas de control industrial (ICS).
Dado que todos los conceptos de diseño histórico de ICS no estaban orientados a la seguridad, un conjunto de conceptos erróneos, como la seguridad a través de la oscuridad y/o la protección de la capa física, han llevado a una sensación errónea de seguridad por parte de los administradores de iCs . Estas medidas de seguridad no impiden el acceso a los PLC. Más allá del acceso de seguridad físico, tal como las cajas de control cerradas, no hay medidas de seguridad o monitoreo a nivel de PLC de los ICS. Por tanto, existe un riesgo de seguridad urgente, y la mitigación de este riesgo es el objetivo de algunos aspectos de las realizaciones de la invención.
El enorme daño potencial combinado con las vulnerabilidades integradas convierte a los ICS en objetivos de alto perfil para ataques maliciosos. Los daños críticos a la infraestructura nacional afectarán directamente la salud y la seguridad públicas, y son un objetivo y una amenaza de alto perfil para la seguridad nacional. La base de instalación de ICS es extremadamente grande y en su mayoría indefensa, ávida de soluciones de seguridad. La industria no puede darse el lujo de reemplazar y/o actualizar los sistemas de control existentes para cumplir con las amenazas y/o los próximos cambios en las regulaciones. Cualquier sistema de monitoreo que ofrezca asegurar el hardware existente tendrá una ventaja.
Los ICS fueron diseñados para ser altamente confiables y operar en condiciones ambientales extremas, tales como temperatura, humedad, vibración, etc. Esto da como resultado una industria muy conservadora, muy cuidadosa y lenta para adoptar nuevas tecnologías o cambios. Además, el costo de reemplazar el hardware de ICS es extremadamente alto. Cualquier sistema de monitoreo debe superponerse a los sistemas de control existentes, ofreciendo una solución completa para el hardware existente sin interrumpir las operaciones o requerir cambios en el sistema de control.
Los ICS se consideran, incorrectamente, como intrínsecamente seguros, y solo recientemente sus vulnerabilidades se han convertido en una fuente de preocupación cada vez mayor. Por ejemplo, los virus Stuxnet para atacar la infraestructura de producción de combustible nuclear iraní, o la violación de los servicios de agua de Maroochy en Queensland, Australia. Por lo tanto, las soluciones de seguridad para ICS, a diferencia de las de las redes de tecnología de la información (TI), se encuentran en una etapa temprana de desarrollo y la mayoría de las soluciones actuales son soluciones migradas del mundo de las TI que protegen contra el acceso no autorizado desde Internet. Estas soluciones y enfoques para proteger una red ICS se centran en las capas de comunicación y puertas de enlace, y no en las interfaces de hardware internas y/o externas del PLC. A diferencia de los sistemas de TI, los ICS han definido interacciones de punto final con procesos del mundo real a través de líneas de entrada y/o salida (E/S) de hardware, lo que resulta en resultados operativos claros. Cuando las interfaces de hardware se ven afectadas por un ataque, la defensa cibernética puede fallar y podría o no detectar la infracción. Por lo tanto, el punto de defensa crítico y la última línea de defensa es la interfaz de hardware entre el PLC y los procesos del mundo real.
La mayoría de las soluciones existentes son suministradas por los fabricantes de PLC y requieren actualizaciones de hardware enormes y extremadamente costosas. Las soluciones existentes están hechas a medida para cada fabricante, modelo y/o protocolo, y requieren integración para cada línea de producto diferente y para cualquier producto futuro.
La presente invención proporciona una solución rentable para mantener la seguridad de ICS.
De acuerdo con algunas realizaciones de la presente invención, se proporciona un sistema de monitoreo, que puede comprender un método, una unidad de monitoreo y un PLC ficticio determinista (DFPLC), que comprende una lógica de programa determinista, es decir, la entrada X al DFPLC solo puede dar como resultado una salida Y. Los dispositivos de hardware y los métodos de software combinados pueden monitorear e identificar ataques cibernéticos y/o cualquier operación anormal en los sistemas de control industrial (ICS) y/o los sistemas de control de supervisión y adquisición de datos (SCADA). La unidad de monitoreo conectada al DFPLC puede recibir datos del bus del sistema DFPLC y/o líneas de E/S. Durante el monitoreo, los datos de operación recibidos pueden procesarse para detectar anomalías. Sobre la base de las anomalías calculadas, se pueden enviar alertas al personal de respuesta apropiado del ICS. Este enfoque puede dar como resultado la protección de operaciones ICS críticas con cambios mínimos en la infraestructura.
Ocasionalmente, cuando una entidad malintencionada desea hacer daño, penetra en algunos de los controladores lógicos programables (PLC) del sistema y cambia sus instrucciones (comandos y/o parámetros). Es muy común que los atacantes intenten penetrar en muchos PLC y realizar cambios menores, por lo que existe una alta probabilidad de que el DFPLC sea "tocado" y luego incluso el cambio más mínimo resultará en una alerta.
Además, en algunos casos, la entidad maliciosa informa que todo funciona correctamente. De esa manera, una vez que la entidad maliciosa penetra en la capa de prevención del sistema, sin sistema de detección, puede continuar dañando el sistema durante mucho tiempo, hasta que se detecte, si se detecta, a través de un funcionamiento defectuoso del sistema.
La Figura 1 es una vista esquemática de un sistema de control industrial existente ilustrativo 100, que comprende: una capa de tecnología de la información (TI) 120 conectada a Internet 110, una capa de zona desmilitarizada (DMZ) 130 que sirve como capa de prevención y está conectada con la capa de TI 120, una capa de tecnología operativa (OT) 140 conectada con la capa de DMZ 130 y que comprende al menos un controlador lógico programable (PLC) 160A-160N y al menos un dispositivo físico 170A-170N, como bombas, medidores, válvulas, calentadores, robots, actuadores, etc., cada uno conectado a su respectivo PLC, por ejemplo, a través de las líneas de E/S del PLC.
Se apreciará que se puede conectar más de un dispositivo físico a un solo PLC.
Se apreciará que la capa de TI 120 puede estar conectada a Internet 110 a través de un cortafuegos.
La capa de TI 120 comprende cualquier red, almacenamiento, ordenadores y otros dispositivos físicos, procesos e infraestructura para almacenar, procesar, crear, proteger e intercambiar todas las formas de datos electrónicos. La capa DMZ 130 es una subred física o lógica que contiene y expone los servicios externos del sistema a Internet. El propósito de una DMZ es agregar una capa adicional de seguridad al sistema. Un nodo de red externo puede acceder solo a lo que está expuesto en la DMZ, mientras que el resto de la red del sistema tiene un cortafuegos. La capa OT 140 comprende hardware y software para detectar, controlar y/o regular procesos del sistema y dispositivos físicos como bombas, válvulas, etc. La capa OT comprende sistemas que procesan datos operativos, que incluyen sistemas informáticos, electrónica, telecomunicaciones, componentes técnicos, etc. y puede estar destinada a controlar dispositivos físicos, por ejemplo, abrir una válvula, activar un motor, etc. y/o regular varios valores de proceso como presión o temperatura, etc.
De acuerdo con realizaciones de la presente invención, la capa OT puede incluir una interfaz hombre-máquina (HMI) usada para monitorear y controlar los procesos técnicos del sistema.
La Figura 2 es una vista esquemática del sistema de la Figura 1 con el PLC ficticio determinista (DFPLC) 200 y la unidad de monitoreo 210 de acuerdo con realizaciones de la presente invención. El DFPLC 200 está conectado como uno de los PLC del sistema y disfrazado como uno de ellos. En su otro extremo, el DFPLC está conectado con la unidad de monitoreo 210 que monitorea la actividad del DFPLC. El DFPLC 200 recibe un flujo de señales de sensores facticios entrantes (por ejemplo, a través de sus líneas de E/S) desde la unidad de monitoreo 210, que a cambio espera recibir de vuelta las señales correspondientes del DFPLC (predeterminadas), consistentes con su programación determinista. Dado que la unidad de monitoreo 210 espera señales específicas en respuesta a cada entrada o conjunto de entradas enviadas al DFPLC 200, es capaz de detectar si una entidad malintencionada intenta cambiar el rendimiento del DFPLC, es decir, la lógica y/o los parámetros. El DFPLC 200 actúa como uno de los PLC normales (160A-160N) ejecutando su lógica en función de las entradas enviadas por la unidad de monitoreo 210 y respondiendo con las señales correspondientes para camuflarse entre los PLC normales y no ser detectado como un PLC ficticio.
Por lo tanto, cualquier ataque destinado a manipular o dañar la lógica del DFPLC, es decir, los comandos y/o parámetros del programa, puede ser detectado por la unidad de monitoreo 210 y reportado por conexión alámbrica o inalámbrica al cliente mediante un correo electrónico, una llamada telefónica, una notificación de alerta, la HMI, etc. Se apreciará que el DFPLC 200 y la unidad de monitoreo 210 de la presente invención pueden instalarse en un sistema que comprende más o menos componentes que los presentados en las Figuras 1 y 2. Para aclarar, la Internet 110, la capa de TI 120 y la DMZ 130 son opcionales y se presentan con el propósito de demostrar un sistema ilustrativo. Los componentes obligatorios de la presente invención son la capa OT 140 que incluye al menos el DFPLC 200 y la unidad de monitoreo 210 de la presente invención. La Figura 3 es un diagrama de flujo que muestra el proceso realizado por el DFPLC 200 y la unidad de monitoreo 210 de acuerdo con realizaciones de la invención. En el paso 310, la unidad de monitoreo 210 envía una señal o señales de entrada al DFPLC 210 y espera una señal o señales de salida específicas como respuesta. Si en el paso 320 el DFPLC 210 responde como se esperaba, el proceso vuelve al paso 310. De lo contrario, en el paso 330 la unidad de monitoreo 210 alerta.
Los expertos en la técnica apreciarán que la presente invención no se limita a lo que se ha mostrado y descrito en particular anteriormente. Más bien, el alcance de la presente invención está definido por las reivindicaciones adjuntas.

Claims (1)

  1. REIVINDICACIONES
    Un sistema de detección de amenazas para controladores industriales, que comprende:
    al menos un controlador lógico programare, PLC (160A-160N);
    al menos un dispositivo físico conectado con dicho PLC;
    un controlador lógico programable ficticio determinista, DFPLC (200), que comprende una lógica de programa determinista; dicho DFPLC programado y configurado determinísticamente para recibir al menos una señal de entrada y responder con al menos una señal predeterminada de acuerdo con dicha lógica; y
    una unidad de monitoreo (210) conectada con dicho DFPLC (200);
    dicho DFPLC (200) disfrazado de PLC; y
    dicha unidad de monitoreo (210) configurada para enviar al menos una señal de entrada a
    dicho DFPLC (200), recibir al menos una respuesta desde dicho DFPLC (200) y
    comunicar al menos una alerta si dicha al menos una respuesta es diferente de una respuesta esperada de acuerdo con dicha programación determinista de dicho DFPLC (200).
    Un sistema de control industrial, que comprende:
    una capa de tecnología de la información, TI, (120) conectada a Internet;
    una capa de zona desmilitarizada, DMZ, (130) conectada con dicha capa de TI; y
    una capa de tecnología operativa, OT, (140) conectada con dicha capa DMZ (130); dicha capa OT (140) comprende el sistema de detección de amenazas para controladores industriales de la reivindicación 1. Un método para detectar amenazas en sistemas industriales, que comprende:
    enviar, mediante una unidad de monitoreo (210), al menos una señal de entrada a un controlador lógico programable ficticio determinista, DFPLC (200), que comprende una lógica de programa determinista; dicho DFPLC (200) programado y configurado determinísticamente para recibir al menos una señal de entrada y responder con al menos una señal predeterminada de acuerdo con dicha lógica;
    dicho DFPLC (200) disfrazado de PLC; recibir, mediante dicha unidad de monitoreo (210) al menos una respuesta desde dicho DFPLC (200);
    y proporcionar, mediante dicha unidad de monitoreo (210), al menos una alerta cuando dicha al menos una respuesta sea distinta de una respuesta esperada de acuerdo con dicha programación determinista de dicho DFPLC (200).
ES18823706T 2017-06-28 2018-06-17 Un sistema de detección de amenazas para controladores industriales Active ES2898895T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201762525760P 2017-06-28 2017-06-28
PCT/IB2018/054446 WO2019003041A1 (en) 2017-06-28 2018-06-17 THREAT DETECTION SYSTEM FOR INDUSTRIAL CONTROL DEVICES

Publications (1)

Publication Number Publication Date
ES2898895T3 true ES2898895T3 (es) 2022-03-09

Family

ID=64741276

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18823706T Active ES2898895T3 (es) 2017-06-28 2018-06-17 Un sistema de detección de amenazas para controladores industriales

Country Status (5)

Country Link
US (1) US11378929B2 (es)
EP (1) EP3646561B1 (es)
ES (1) ES2898895T3 (es)
PL (1) PL3646561T3 (es)
WO (1) WO2019003041A1 (es)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110390357A (zh) * 2019-07-17 2019-10-29 国网浙江省电力有限公司电力科学研究院 一种基于边信道的dtu安全监测方法
WO2021237739A1 (zh) * 2020-05-29 2021-12-02 西门子(中国)有限公司 工业控制系统安全性分析方法、装置和计算机可读介质
NL2028737B1 (en) * 2021-07-15 2023-01-20 Axite Intelligence Services B V A method, a monitoring system and a computer program product for monitoring a network connected controller
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7633864B2 (en) * 2006-12-20 2009-12-15 Sun Microsystems, Inc. Method and system for creating a demilitarized zone using network stack instances
JP5731223B2 (ja) * 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
KR101252358B1 (ko) * 2011-04-01 2013-04-08 엘에스산전 주식회사 Plc 명령어 테스트 장치 및 방법
US9177139B2 (en) * 2012-12-30 2015-11-03 Honeywell International Inc. Control system cyber security
US9930058B2 (en) * 2014-08-13 2018-03-27 Honeywell International Inc. Analyzing cyber-security risks in an industrial control environment
US10154460B1 (en) * 2015-02-17 2018-12-11 Halo Wearables LLC Power management for wearable devices
US9712554B2 (en) * 2015-04-09 2017-07-18 Accenture Global Services Limited Event correlation across heterogeneous operations
IL243025A0 (en) * 2015-12-10 2016-02-29 Shabtai Asaf Method and system for detecting a malicious attempt to reprogram a plc in scada systems
IL243024A0 (en) * 2015-12-10 2016-02-29 Shabtai Asaf A method and system for detecting a controller programmed in the scada system that sends false measurement data
WO2018038718A1 (en) * 2016-08-24 2018-03-01 Siemens Aktiengesellschaft System and method for threat impact determination

Also Published As

Publication number Publication date
EP3646561A4 (en) 2021-01-20
EP3646561A1 (en) 2020-05-06
WO2019003041A1 (en) 2019-01-03
US20200218221A1 (en) 2020-07-09
PL3646561T3 (pl) 2022-02-07
US11378929B2 (en) 2022-07-05
EP3646561B1 (en) 2021-10-06

Similar Documents

Publication Publication Date Title
US10698378B2 (en) Industrial control system smart hardware monitoring
ES2898895T3 (es) Un sistema de detección de amenazas para controladores industriales
Knapp Industrial Network Security: Securing critical infrastructure networks for smart grid, SCADA, and other Industrial Control Systems
US11431733B2 (en) Defense system and method against cyber-physical attacks
EP2866407A1 (en) Protection of automated control systems
US20180276375A1 (en) System and method for detecting a cyber-attack at scada/ics managed plants
US10530749B1 (en) Security system, device, and method for operational technology networks
CA2980033C (en) Bi-directional data security for supervisor control and data acquisition networks
US10956567B2 (en) Control device, integrated industrial system, and control method thereof
US10819742B2 (en) Integrated industrial system and control method thereof
US20180307841A1 (en) Computer control system security
McParland et al. Monitoring security of networked control systems: It's the physics
CA2927826C (en) Industrial control system smart hardware monitoring
Pires et al. Security aspects of scada and corporate network interconnection: An overview
Vasiliev et al. Providing security for automated process control systems at hydropower engineering facilities
EP3675455B1 (en) Bi-directional data security for supervisor control and data acquisition networks
Robles et al. Assessment of the vulnerabilities of SCADA, control systems and critical infrastructure systems
Daniela Communication security in SCADA pipeline monitoring systems
Krotofil et al. Are you threatening my hazards?
Liebl et al. Threat analysis of industrial internet of things devices
Gupta et al. Integration of technology to access the manufacturing plant via remote access system-A part of Industry 4.0
WO2019034971A1 (en) THREAT DETECTION SYSTEM FOR INDUSTRIAL CONTROL DEVICES
Tomur et al. SoK: Investigation of security and functional safety in industrial IoT
Ocaka et al. Cybersecurity threats, vulnerabilities, mitigation measures in industrial control and automation systems: a technical review
Robles et al. Vulnerabilities in SCADA and critical infrastructure systems