Los Data Diodes o Diodos de Datos son una herramienta crucial en la ciberseguridad de la red OT, protegiendo datos críticos y manteniendo la integridad de la red industrial. Su enfoque unidireccional y su capacidad para trabajar en la capa física los convierten en una elección sólida para la protección de activos industriales operativos críticos.
Diodos de Datos en Ciberseguridad Industrial: Protegiendo la Red OT
Cuando hablamos de ciberseguridad en la red industrial de la OT, surgen preguntas cruciales: ¿Dónde se utilizan los diodos de datos? ¿Cuál es la diferencia entre los firewalls y los diodos de datos?
¿Dónde se utilizan los Diodos de Datos?
Los diodos de datos o Data Diodes, son ampliamente utilizados en sistemas que requieren únicamente la lectura de datos críticos. Los encontramos en entornos como redes de datos OT de distribución de energía, plantas de fabricación, la industria del petróleo y gas, en sistemas SCADA y de control. Su función principal es separar las redes IT de la OT, garantizando un flujo unidireccional de datos críticos desde la OT hacia la IT.
¿Qué son los Data Diodes o Diodos de Datos?
Los Data Diodes son esenciales en ciberseguridad industrial. Actúan como puertas de enlace unidireccionales para la comunicación y transferencia de datos, proporcionando una capa adicional de protección para los activos operativos críticos en la red de capa 1. Su diseño de seguridad evita la fuga de datos y elimina las amenazas cibernéticas al forzar la transferencia unidireccional de datos en la capa física ¿quieres conocer el BIG9000?
¿Cómo se Diferencian de los Firewalls?
Los firewalls, por otro lado, separan dos redes o sistemas, pero permiten un flujo bidireccional de datos restringido entre ellas. Funcionan en gran parte a través de reglas de enrutamiento preestablecidas y determinan si los datos pueden moverse entre las redes IT y OT.
Aunque los firewalls cumplen esta función mediante software, incluso cuando se ejecutan en hardware dedicado, aún están controlados por software. Esto significa que, en algunos casos, pueden presentar riesgos si se configuran incorrectamente o tienen vulnerabilidades intrínsecas.
Complementarios y Seguros
Es importante destacar que los Data Diodes y los firewalls son complementarios. Los Data Diodes brindan una capa adicional de seguridad para segmentos de red especialmente vulnerables en la OT, permitiendo únicamente el flujo de datos en una dirección y protegiendo contra intrusiones en la red OT. Los firewalls, en cambio, permiten el flujo bidireccional de datos y separan las redes IT.
Al observar más de cerca, se vuelve evidente que los Data Diodes y los firewalls tienen enfoques conceptuales completamente diferentes. Los Data Diodes ofrecen una separación física en la capa 1, lo que garantiza que los datos fluyan en una sola dirección y aumenta los niveles de seguridad. Incluso en situaciones desfavorables, como la vulnerabilidad de un servidor proxy de IT, los activos y sistemas críticos en el lado OT siguen estando protegidos.
A diferencia de los firewalls, los diodos de datos ”data diodes” utilizan un enfoque diferente para separar dos redes; aislándolas en la capa física.
Los datos fluyen solo en una dirección, desde sitios seguros a redes abiertas, y no hay forma de que los datos se transfieran en la dirección inversa, ya que no hay puerta para esta ruta. Los servidores proxy en OT e IT se ejecutan de forma independiente para enviar datos de OT al lado de IT. Obviamente, este mecanismo reduce la flexibilidad del sistema, pero también aumenta los niveles de seguridad. Incluso en el peor de los casos, cuando un servidor proxy de TI se ve comprometido, los activos o sistemas importantes en el lado de OT aún están bajo protección.
El Rol de los Diodos de Datos
Los Data Diodes son esenciales en la ciberseguridad industrial, ofreciendo una puerta de enlace unidireccional que preserva la integridad de las redes OT. En casos específicos, los Data Diodes pueden recibir comandos desde el lado IT y transmitirlos al lado OT mediante un diodo inverso, garantizando la seguridad incluso cuando se envían instrucciones básicas.
Diodo Inverso
Solo si es necesario, un diodo inverso recibe comandos específicos del lado IT, los valida y los recrea en el otro lado, destruyendo el original. De esta manera, las instrucciones básicas se pueden enviar al Sistema de Control de Automatización Industrial desde el SCADA o el canal de monitoreo, la separación física entre las dos redes aún se conserva, bloqueando cualquier intento de intrusión, penetración o inyección de malware.