Mejora de la seguridad en las redes de servicios públicos con la administración masiva de dispositivos

Kyle: La forma en que esto funciona es que los cuadros de mando que mostramos aquí eran sólo el registro de los inicios de sesión en el agente de Binary Armor, y que está haciendo cambios. Cuando se empieza a rastrear el registro de los inicios de sesión en el dispositivo, Binary Armor también tiene esa capacidad, donde, debido a que hacemos que la inspección de contenido completo, y estamos viendo todos los datos a través del puerto serie, podemos tomar esa información y detectar cuando hay una acción de inicio de sesión que ocurre y enviar una alerta o un registro de esa acción específica que se toma.

Por lo tanto, eso es un gran beneficio de cuando se pone Armadura binaria en esta capacidad, a medida que comienza a crecer, la inicial es, "Hey, encienda el puerto serie. Apágalo. Hazme saber cuando hay datos pasando". Una vez que te sientas cómodo con eso, puedes empezar a añadir ese conjunto de características adicionales, para decir, "hey, quiero saber cuando alguien se conectó, o cuando alguien hizo un comando de escritura, o cuando alguien cambió la configuración de un punto en particular en mi controlador lógico real". Por lo tanto, esa capacidad está ahí. No lo mostramos hoy.

Sí. En Digi Remote Manager podemos hacer lo mismo, ¿verdad? Por lo tanto, podemos ver cuando alguien está conectado a un dispositivo Digi, o conectado a un dispositivo Digi a través de Remote Manager, además de eso, cuando han accedido al puerto serie de ese dispositivo. Eso es más o menos donde nuestro monitoreo se detiene, y una de las razones por las que nos asociamos con Binary Armor es por la razón exacta que Kyle acaba de dar. Podemos mostrar que alguien ha accedido al punto serie, pero no sabemos realmente lo que ha hecho, ni cuánto tiempo ha estado conectado, ni cuántos datos ha enviado, ni nada por el estilo. Así que, aunque podemos proporcionar cierta visibilidad básica, la asociación con Binary Armor realmente llevó eso al siguiente nivel, para proporcionar los conocimientos que nuestros clientes estaban buscando.

Kyle: Por lo tanto, la forma en que hacemos eso, a medida que crece en la capacidad adicional, es que Binary Armor tiene su propia capacidad de seguimiento de usuario que utiliza. Voy a ponerme un poco nerd aquí.

Utilizamos sus estándares de infraestructura de clave pública, y usted nos pasa un certificado. Comprobamos ese certificado cuando inicias sesión en el dispositivo, para darte acceso a ese puerto de datos para el control. Por lo tanto, se hace a nivel de red, para iniciar sesión, para realizar esas acciones más avanzadas en un marco de tiempo temporal. Tenemos en nuestra hoja de ruta hacerlo por nivel de conexión individual, pero es una forma de manejarlo a un nivel inferior en la red, para decir: "Esta persona que está accediendo se ha autenticado para decir que el sistema está funcionando en un modo que le permite realizar esas acciones en DNP3, y todo eso se maneja con autenticación multifactor".

Kyle: La forma de hacerlo con los dispositivos heredados es a través del puerto serie. Así que, cuando empiezas a hablar de protocolos antiguos, tienes la capacidad, inspeccionando los datos, de deducir qué información es importante extraer. Así, uno común, Modbus RTU, sabes qué controles van hacia y desde el dispositivo, sabes cuándo estás leyendo bobinas, escribiendo bobinas. Entonces puedes decir, para tu postura de seguridad, "Oye, cuando veo escribir bobinas, saquemos esos datos, enviemos un registro y retroalimentemos eso". Por lo tanto, Binary Armor ya ha hecho mucho de ese trabajo con protocolos estándar, para poder obtener la información y generar los registros que el dispositivo no necesariamente haría porque no fue diseñado para hacer eso desde el principio.

Kyle: Por lo tanto, la aplicación Binary Armor - y esto es una ventaja de cómo Digi ha hecho su integración - funciona a través de "contenedores". Si puedes ejecutar un entorno de contenedor de software, eres capaz de ejecutar Binary Armor.

Y por otro lado, si has desarrollado contenedores de software, puedes utilizarlos en tus servidores Digi, suponiendo que cuando vayas a un dispositivo de computación de borde, no vas a tener tu Intel de muy alta potencia, como un Intel Xeon de 8 núcleos.

Por lo tanto, hay que entender las limitaciones de recursos cuando se hace ese tipo de computación extrema. Si tienes un entorno de contenedores, puedes ejecutar Binary Armor. Y luego, si tienes contenedores, tienes la oportunidad de ponerlos en el ecosistema de contenedores Digi.

Kyle: Puede que tenga que seguir para aclarar eso un poco. Nos centramos sobre todo en los protocolos de red y serie. Los más comunes son Modbus DNP3, BACnet, GOOSE. Y luego, hay un amplio número de protocolos que apoyamos en el lado aeroespacial de la casa. Así que, cuando hay datos viajando por el cable, somos capaces de verlos.

Nuestra tecnología puede transferirse para buscar posibles secuencias de comandos. Tenemos herramientas para manejar, si usted está enviando texto sin formato a través del cable, podemos mirar a ese texto sin formato y ver si tiene sentido. No ha sido históricamente donde la gente ha utilizado el producto, por lo que la capacidad está ahí, pero no ha ... No tengo tantos ejemplos del mundo real de que está en funcionamiento en esa capacidad.

Josh: Por supuesto. Así, Binary Armor, o el servicio de contenedores, en particular, que se ejecuta en Binary Armor, está disponible en cualquier dispositivo que ejecute nuestro sistema operativo Digi Accelerated Linux. Es decir, cualquier dispositivo que ejecute DAL OS. Tenemos dispositivos que están diseñados específicamente para hacer el caso de uso que hemos traído a colación, con sólo conexiones en serie, o algún tipo de servidor serie, pero como ustedes saben, la mayoría de los routers celulares Digi también contienen un puerto serie que usted es capaz de conectarse a otro dispositivo usando esos. Así que, sí. Armadura y contenedores binarios están disponibles en cualquier dispositivo Digi que ejecute DAL.

Kyle: Sí. Y para responderte un poco más directamente, Josh, Digi Connect® EZ 4i es uno de los productos de módem celular. Tiene un módem celular. Hemos retirado ese módem cuando trabajamos con nuestra empresa municipal de servicios públicos, porque no querían tener una conexión de módem celular para esa red en particular. En realidad es un reto cuando se empieza a trabajar con sistemas heredados, pero cuando se empieza a trabajar con despliegues modernos de IoT , se trata de una capacidad de contenedor que está disponible en todos los productos de módem celular.

Kyle: Sí. Así que, con la integración con el Digi, tienes principalmente red y serie, por lo que podemos monitorizar tanto el protocolo de red como el protocolo serie, con el que hemos utilizado en particular. Eso no nos limita sólo a esos puertos. Si usted tiene otros puertos que usted estaría interesado en, estaría encantado de seguir con los detalles de lo que está tratando de lograr.

Josh: En realidad, no lo son. Hemos implementado el Servicio de Contenedores Linux, que es un camino ligeramente diferente. Sin embargo, en nuestras páginas de soporte, y si te pones en contacto con nuestro equipo de soporte, nuestro equipo de servicios profesionales, tenemos instrucciones sobre cómo convertir contenedores Docker en contenedores LXC, para que puedas seguir utilizando las mismas aplicaciones.

Josh: Tenemos la capacidad de actualizar el firmware y el sistema operativo en los dispositivos Digi, así como actualizar el software para Binary Armor, cualquiera de los contenedores. Lo que no tenemos la capacidad de hacer directamente desde Digi Remote Manager es actualizar el firmware en los dispositivos que están conectados en serie al dispositivo. Idealmente, en estas situaciones, y lo que hemos estado hablando es que proporcionamos el acceso, de una manera segura, para llegar a ese dispositivo, por lo que puede hacer actualizaciones de firmware. Pero la plataforma Digi Remote Manager no gestionará las actualizaciones de los dispositivos que estén conectados a un dispositivo Digi. No creo que Binary Armor tenga esa capacidad tampoco, pero podría estar equivocado.

Kyle: No, no lo hacemos. Sólo podemos informar cuando alguien dice qué versión de firmware es, usted puede recibir información en su registro que hay un dispositivo fuera de fecha, para ayudar a darle esa idea. Tendrías que actualizar tú mismo el dispositivo conectado.

Josh: Creo que, desde la pregunta que estás tratando de hacer, siempre es una buena práctica para separar las funciones, o áreas de responsabilidad, si su organización lo soporta. Por lo tanto, en Digi Remote Manager, se puede configurar absolutamente administradores completos. Puedes configurar usuarios. Puedes configurar usuarios de sólo lectura, así que si tienes un grupo de usuarios que sólo necesitan entrar y asegurarse de que todo funciona bien, o sólo necesitan ejecutar informes, cosas así. Si ese es todo el acceso que necesitan, entonces eso es lo que debes darles. Nunca hay que dar a nadie más acceso del que necesita. Creo que Binary Armor y su sistema tienen las mismas capacidades.

Kyle: Sí. Ese es el objetivo de nuestra autenticación multifactor. Al igual que Digi, todo el mundo está pasando a un control de acceso basado en roles, así que si quieres tener un equipo dedicado que haga todo el trabajo, y nosotros hacemos un seguimiento de ese único equipo para simplificarlo, si eso tiene sentido para tu organización, estupendo. Si no, y desea tener varios niveles de personal, que tienen diferentes niveles de acceso, puede hacerlo tanto en Digi Remote Manager , así como en Binary Armor, de modo que sólo ciertas personas están autorizadas a ajustar el estado de cómo Binary Armor se está ejecutando para permitir o no permitir ciertas operaciones.

Kyle: Yo creo que gran parte del reto está en la política y la organización. Cuando digo política, me refiero a que hay muchos requisitos, normas y certificaciones que, cuando entras en una red tecnológica operativa, compiten con muchas de tus mejores prácticas de seguridad.

El mejor ejemplo que tengo es - voy a saltar a los aviones por un segundo aquí. Tienes la certificación de la FAA para asegurarte de que el avión puede volar, y que tu código está certificado para que el avión pueda volar, y luego tienes la seguridad que quiere que estés parcheando continuamente cada trimestre. La certificación de la FAA tarda más de un trimestre, así que ¿cómo equilibrar esas prioridades que compiten entre sí?

Esos tipos de retos políticos son algunos de los mayores retos que hay que superar. Y luego, cuando empiezas a hablar de organización, cuando vuelvo a hablar de cómo, en la red corporativa, está bien entendido, tu CISO y tu CIO, están trabajando juntos, han tenido que trabajar juntos, en muchos casos, hasta hace poco, el CISO ha sido el CIO, esa es una relación bien entendida. Cuando empiezas a hablar con operaciones, hay mucho de "No quiero que la seguridad toque mi red de operaciones. ¿Qué pasa si se rompe?"

Por lo tanto, la forma en que tratas de tener en cuenta estos desafíos es, por un lado, que no puedes oscilar totalmente en una dirección u otra, ¿verdad? Ya sabes, la seguridad no puede venir y decir: "Hey, hacer parches trimestrales", porque la respuesta va a ser simplemente "no". Y luego, por otro lado, las operaciones no pueden decir: "Oye, seguridad, sal de mi espacio. Voy a mantener mi red vulnerable".

Así pues, trabajar juntos para conseguir enfoques a medida y empezar a analizar qué es lo que tiene más sentido para la organización y, a continuación, ser capaces de incorporar las tecnologías a medida que tengan sentido y empezar poco a poco.

Por lo tanto, esto es más para el lado de la seguridad de la casa; no vayas directamente a bloquearte con un montón de políticas. Pon algo de monitorización, mira lo que hay en la red. Una vez que te sientas cómodo con eso, puedes añadir información adicional. Puedes añadir refuerzos más detallados. Y entonces puedes empezar a dar respuestas automáticas y protección activa, que es donde, para asegurar adecuadamente una red como esta, necesitas ser capaz de proteger activamente contra una amenaza, porque alguien va a atacarte, a la velocidad de la máquina, necesitas responder a ello. No puedes ir directamente a eso. Tienes que empezar poco a poco y crecer a medida que ganas confianza en tu solución de seguridad.

Kyle: Gran parte es tiempo y compromiso. Así que, por poner un ejemplo perfecto, si pones la capacidad de control de acceso de Binary Armor en una red, no estás haciendo mucho para bloquear automáticamente. Empiezas a obtener información básica.

Una vez que vea el valor de esas ideas, entonces usted puede comenzar a activar más características en Binary Armor. En Binary Armor tenemos la capacidad de realizar bloqueos activos y forzar modos de solo lectura, incluso algunos estados de cambio muy detallados, que requieren que alguien tenga una etiqueta de línea directa en un sistema antes de permitir que se produzca cualquier cambio. Todo esto se vuelve cada vez más complejo y más detallado, por lo que se trata de empezar poco a poco y luego trabajar con herramientas tecnológicas que han sido validadas a través de una gran cantidad de su autoridad existente. Así, los laboratorios nacionales, haciendo cosas como acreditaciones DoD, acreditaciones DOE, tratando de ir a esos productos estables que ya han sido probados en el campo.

Josh: Con cualquier tipo de normas de seguridad o auditorías externas, o incluso auditorías internas, ese tipo de capacidades, cuando estás hablando de cientos o miles de dispositivos, tratar de implementar esas normas de cumplimiento en esos dispositivos individualmente, uno por uno, sería un trabajo a tiempo completo para probablemente todo un equipo de personas. Además, el simple hecho de asegurarse de que esos dispositivos cumplen las normas no es humanamente posible para alguien que se conecte y mire todos los dispositivos y se asegure de que todo va bien.

Así, cuando se adopta un enfoque centralizado para la gestión masiva de dispositivos, se puede gestionar realmente a nivel de red en lugar de a nivel de dispositivo. Y ahí es donde realmente se encuentra la eficiencia y se es capaz de escalar realmente a cientos o miles de dispositivos. Además, en Digi Remote Manager puedes encontrar de forma muy sencilla los estándares de seguridad que se aplican a los distintos protocolos o estándares de seguridad. Por lo tanto, Remote Manager, o cualquier plataforma de gestión, en realidad, es clave cuando se trata de cumplir con cualquier tipo de norma.

Josh: Es una gran pregunta. Una de las claves de la seguridad de la red es mantener el firmware actualizado, porque cada día se encuentran nuevas vulnerabilidades de seguridad en el software. Y poder desplegarlas rápidamente sobre el terreno es realmente un requisito. Digi Remote Manager le permite, con unos pocos clics, actualizar sus dispositivos, por aire, a través de su red celular, una red cableada, cualquiera que sea la conectividad, puede actualizar rápidamente todos esos dispositivos en un grupo. Y además, saber si la actualización ha tenido éxito o no.

Así que, uno de los inconvenientes, cuando estás haciendo este proceso de una sola vez es que inicias una actualización y luego pasas a la siguiente, porque estás tratando de ser eficiente, y a veces, esas actualizaciones fallan, ¿verdad? Estamos hablando de redes celulares. No son 100% fiables. Y si no sabes que ha fallado, y nunca vuelves atrás y lo compruebas, podrías tener sistemas ahí fuera que están ejecutando firmware antiguo, que tienen esas vulnerabilidades en ellos.

Ese es realmente el punto clave. Y cuando se habla de una plataforma de gestión centralizada, y hablamos de la productividad y la capacidad de crear grupos y cosas por el estilo, también le da la capacidad de gestionar que de forma rápida y sencilla, cuando ese firmware sale. Porque, aunque es importante aplicar parches de seguridad, también es importante que la red siga funcionando. Así que tienes la capacidad de actualizar uno, dos o un puñado de dispositivos, asegurarte de que el firmware no interrumpe la conectividad de tus usuarios, no interrumpe la red, no hace que las cosas se caigan, cosas así, y luego, a partir de ahí, puedes desplegarlo en masa. La plataforma centralizada te permite optimizar el flujo de trabajo y conseguir un buen equilibrio entre seguridad y facilidad de uso.

Kyle: No. En realidad es cualquier protocolo de bus de datos que quieras soportar. Hacemos serie, muy común, cuando empiezas a hablar con servidores serie en Digi. También trabajamos mucho con tráfico IP. Por lo tanto, nuestro dispositivo existente es en su mayoría IP que la gente lo utiliza para. Cualquier tipo de tráfico Ethernet, celular, inalámbrico o de monitorización en ese tipo de interfaz. Y luego, incluso entramos en aplicaciones mucho más interesantes. Cuando empezamos a hablar de aeronaves y vehículos espaciales, hay muchos protocolos adicionales, como ARINC 429, MIL-STD-1553, muchos otros protocolos completamente diferentes que hemos soportado con el producto. Así que la capacidad es agnóstica. No tiene por qué ser serie. Hacemos muchas cosas con IP. Mucha gente va a IP, así que tiene sentido. Y si hay otros protocolos o capas físicas que te interesen, estaremos encantados de hablar más sobre los que estás mirando.

Josh: Desde el lado de Digi, si utiliza Digi Remote Manager para actualizar un dispositivo Digi, ya que es en realidad una actualización a nivel de firmware, que requiere que el dispositivo se reinicie. Dicho esto, Remote Manager tiene la capacidad de reiniciar los dispositivos de forma remota y, a continuación, supervisar para asegurarse de que vuelven a funcionar. Así que, quizás, con Remote Manager, podamos eliminar la necesidad de tener un técnico in situ para cada ubicación. Pero le sugiero que se ponga en contacto con su representante de Digi, y podemos hablar de su ejemplo específico, y ver si hay una manera de que podamos ayudar.

Kyle: Sí, y para salir de eso un poco, eso es específicamente para el firmware Digi. Con el Digi containers que se ejecuta, puede reiniciar sin tener que reiniciar físicamente el dispositivo. Las actualizaciones de configuración que se realizan dentro de Digi no requieren un reinicio, por lo que en realidad es específicamente cuando hay una actualización de firmware para el propio Digi donde tendría que mirar a ese flujo de trabajo. Por lo tanto, mucho de lo que haces no requiere un reinicio. En última instancia, cuando usted tiene que hacer una actualización de firmware en un dispositivo de hardware, que requerirá un reinicio de los cambios.

Kyle: Sí. Consideramos que la capacidad de control de acceso es un buen punto de partida para proteger adecuadamente este tipo de dispositivos conectados. Te da esa información básica, ¿quién tiene acceso? ¿Quién no? Encender, apagar. He aludido a algunas de las funciones avanzadas de Binary Armor, con las que, a medida que adquieres confianza en la red, puedes empezar a aumentar tus protecciones. Así, a medida que empiezas a buscar información adicional, puedes empezar a adaptar tus conjuntos de reglas desde lo más básico, hasta decir: "Oye, realmente me importan ciertas operaciones. Asegurémonos de obtener esos datos, sin reflejarlos necesariamente en una sección central de informes". Depende de las necesidades del usuario y, a medida que se avanza, se pueden añadir flujos de trabajo operativos para decir: "Oye, ¿estás operando y siguiendo el procedimiento correcto? Si estoy cambiando una línea de alimentación. ¿Está conectando y desconectando a tierra? ¿Ha realizado las etiquetas de línea directa? ¿Estás siguiendo los procedimientos que se supone que debes seguir?

Hay muchas funciones adicionales que se pueden añadir a medida que se gana confianza, y muchas de ellas están relacionadas con información específica de los dispositivos. La detección de anomalías a gran escala, a medida que se retroalimenta a una plataforma de análisis, es realmente un punto de partida para ampliar la información.

Josh: Es una pregunta excelente. Hay varias cosas. Una de las cosas que la gestión centralizada te da la capacidad de hacer es, en primer lugar, evaluar tu red.

La mayoría de las veces, vas a encontrar vulnerabilidades o lugares donde tu red ha sido comprometida debido a un comportamiento anormal en tu red, tráfico anormal, picos de tráfico, cosas así. Así que, primero tienes que hacer una línea de base de tu red. Tienes que entender: ¿Cómo funciona tu red? ¿Qué está haciendo? ¿Cómo es un mes normal? ¿Cómo es un día normal? Ese tipo de cosas.

A partir de ahí, puedes configurar alertas que te indiquen cosas como: Este dispositivo está enviando el doble de tráfico de lo normal. Para este dispositivo en particular, vemos un nuevo protocolo que nunca antes habíamos visto en la red. Ese es el tipo de cosas que puedes ver.

Así que, con Digi Remote Manager, ya sabes, la parte de análisis de la que hablamos, con el panel de control puedes ver cómo se están utilizando esos datos. Y luego también, capacidades como intelliFlow, que es la capacidad de supervisar los puertos TCP y UDP específicos en sus dispositivos, para asegurarse de que los patrones de tráfico y las cosas están dentro de sus estándares, dentro de sus normales. Sin embargo, no es humanamente posible vigilar cientos de miles de dispositivos. Necesitas ayuda en esa capacidad.

Y luego, con Remote Manager, puedes incluso ir un poco más lejos con la configuración de cosas como plantillas de configuración, y automatizaciones y esas cosas, para que el sistema pueda tomar algunas acciones por sí mismo, incluso sin intervención humana, además de sólo alertar.

Kyle: Disculpa. Me estoy refiriendo casi exclusivamente a tu red IP, o a tu red de comunicaciones. En cuanto a la energía, la red eléctrica, la red eléctrica, no creo que haya mencionado eso, así que, todo ha estado relacionado con esa red de comunicación.

Josh: Sí. Es lo mismo para mí, Kyle. Viniendo de un fondo de red, o un fondo de red de TI / IP, sí - cada vez que digo "red", eso es lo que me refiero, es una red de comunicaciones.

Josh: Sí. Hemos tocado este tema un par de veces, de que la mayor vulnerabilidad de cualquier red de comunicación, es el elemento humano. Y Digi Remote Manager realmente minimiza esos problemas a través de dos funciones principales, la primera son las plantillas de configuración. Así, en lugar de configurar individualmente un montón de dispositivos, se puede configurar una plantilla, y luego aplicar esa plantilla a los dispositivos. Además, Remote Manager comprueba periódicamente esos dispositivos para asegurarse de que su configuración coincide con la plantilla. Así, si alguien entra y un dispositivo tiene un problema -por ejemplo, el dispositivo tiene algún tipo de error o problema, y hay tráfico bloqueado, cualquier número de cosas- un técnico se conectará a ese dispositivo, hará algo de solución de problemas, cambiará algunas cosas, y abrirá algunos agujeros en el cortafuegos. Intentan averiguar cómo hacerlo funcionar. Cuando resuelven el problema, no necesariamente vuelven a poner la configuración como estaba antes. O incluso si lo recuerdan, pueden haber cambiado docenas de configuraciones diferentes, y recordar todo lo que cambiaron y volver a configurarlo, eso es difícil.

Así, con las plantillas, y Digi Remote Manager's capacidad, cada vez que se comprueba que el dispositivo siguiente, que dice "hey, esto está fuera de cumplimiento". Se puede poner esa plantilla de nuevo a la forma en que estaba. Así, que elimina uno de los errores humanos.

La otra característica de Digi es lo que llamamos automatizaciones. Hay tareas rutinarias que a veces hay que hacer en la red. Y a veces pueden ser muy tediosas. Y cuando estás haciendo un trabajo tedioso, los humanos podemos perder la concentración, y podemos cometer errores. Todos los cometemos. Las máquinas son mucho más fiables en ese sentido. Por lo tanto, la creación de automatizaciones para hacer esas tareas regulares, repetitivas y aburridas también puede eliminar muchos de esos errores humanos.

Josh: Una de las grandes ventajas de Digi Remote Manager es que los dispositivos Digi están diseñados desde cero para comunicarse con Remote Manager. Nada más sacarlos de la caja, intentan conectarse. Puede que no estén ahí. Por tanto, si ya tienes una red Digi desplegada y no utilizas Remote Manager, si decides pasar a la gestión centralizada, te registras en una cuenta de Remote Manager y obtienes los asientos, esos dispositivos siguen intentando conectarse a Remote Manager. Así que es muy fácil trasladarlos al sistema. Y, con Digi Professional Services, con nuestro equipo de asistencia, podemos ayudar a nuestros clientes a hacerlo. Algunos de los mayores retos, sin embargo, son si usted no ha estado utilizando Remote Manager, y usted ha estado utilizando algún otro proceso para la gestión de los dispositivos, ya sea de secuencias de comandos, la ejecución de sus propios servidores - ese tipo de cosas - muchas veces, lo que has hecho con tu propio sistema de gestión o los servicios de secuencias de comandos ya están integrados en Remote Manager. Así que, una vez que conectas el dispositivo, cambiar tus flujos de trabajo se vuelve más fácil. El sistema se creó específicamente para gestionar estos dispositivos.