Danfoss se preocupa por la seguridad informática

Network buildings

Danfoss incorpora las mejores prácticas y soluciones de ciberseguridad en sus productos, sistemas y servicios. Nuestro concepto de seguridad desde el diseño hace que nuestros productos sean más resistentes a los ciberataques. W

Implementamos mecanismos para mitigar amenazas, reducir debilidades explotables y defendernos contra violaciones de datos y ciberataques evitables desde el principio del desarrollo de nuestros productos.

Danfoss pretende cumplir con la norma IEC-62443, teniendo en cuenta, por supuesto, otros requisitos de normas de seguridad adicionales.

Más información Leer menos

Danfoss Electronic Controllers está siguiendo el desarrollo seguro hacia IEC-62443 en sus Equipos de Desarrollo

Recomendaciones para los clientes

Para ayudar a mantener tus productos Danfoss seguros y protegidos, te recomendamos que implementes las siguientes buenas prácticas de ciberseguridad.

Seguir estas recomendaciones puede ayudar a reducir significativamente el riesgo de ciberseguridad de tu empresa.

CVE:
Abreviatura de Common Vulnerabilities and Exposures, es una lista de fallos de seguridad informática divulgados públicamente.

DDOS:
Distributed Denial of Service:

este término se utiliza cuando 100 000s de dispositivos remotos atacan a un único dispositivo en la red. Se trata de un ataque muy eficaz contra un sistema. Ni siquiera las grandes empresas y organizaciones de seguridad pueden mantener sus operaciones durante este tipo de ataques. Se ha medido que estos ataques incluyen tasas de ataque de más de 400 Terabits/segundo, que simplemente inundan la conexión al dispositivo. Esto no puede mitigarse a ningún nivel que no sea la red troncal de Internet.  

No hay defensa barata contra este tipo de ataques y la única forma eficaz de mitigarlos es evitarlos, ocultándose.

   

Remote Exploit:
Se puede asumir que todo el software que se enfrenta a Internet contendrá exploits. Por ello, los investigadores están continuamente buscándolos y, cuando los encuentran, los proveedores de software crean parches que mitigan el exploit. Por lo tanto, es extremadamente importante actualizar el software y mantenerlo actualizado con las últimas versiones para evitar vulnerabilidades en el sistema. 

Por ejemplo, los Gestores de Sistemas más antiguos utilizaban la versión 1.12.1 de Nginx, en la que se descubrieron varias vulnerabilidades que fueron parcheadas, por lo que la nueva versión 3.1.9 del Gestor de Sistemas utiliza ahora la versión 1.21.0 de Nginx, que actualmente no tiene vulnerabilidades conocidas. Por lo tanto, es importante actualizar a la última versión de Danfoss - los números de versión pueden haber aumentado después de la redacción de este documento, ya que continuamente se descubren nuevos exploits.

  1. Los dispositivos deben estar siempre completamente actualizados a las últimas versiones de software disponibles, publicadas por Danfoss. En cada versión más reciente, puede haber algunas actualizaciones de seguridad, que se explican en el apéndice.
  2. Asegurar que el dispositivo está siempre protegido de la exposición directa a Internet.  (Instale los dispositivos de red detrás de un cortafuegos)

Danfoss recomienda encarecidamente proteger cualquier dispositivo de red con un cortafuegos y principios de acceso remoto seguro.

El problema que se puede experimentar es que los sistemas que no están totalmente actualizados pueden contener exploits remotos conocidos, que pueden tener efectos negativos en el sistema. Los exploits conocidos suelen publicarse en las bases de datos CVE y en muchos sitios de investigación sobre seguridad.

Esto significa que no se recomienda conectar los dispositivos directamente a Internet, pero si es necesario, es importante utilizar varias salvaguardas para proteger el sistema del acceso directo a Internet.

Las preocupaciones generales para los dispositivos son

  • DDOS – ningún parche de software puede proteger contra este tipo de ataque. (Por lo tanto, es necesaria la protección del cortafuegos)
  • Las ejecuciones remotas conocidas pueden permitir a un atacante entrar en el dispositivo, por lo que todas las actualizaciones de software son necesarias para eliminar los exploits conocidos.
  • La utilización de diversas vulnerabilidades de seguridad conocidas y desconocidas puede provocar la caída del sistema.

Empieza a dividir tu red en zonas/segmentos. Colocar los dispositivos Danfoss en una red separada reducirá la superficie de ataque.

Esta es en general una práctica a considerar en tu red, independientemente de los dispositivos que utilices.

La segmentación podría incluso extenderse a una microsegmentación, por lo que en caso de que un dispositivo se vea comprometido, no se propagará al resto de la red.

A continuación se muestra un ejemplo típico de red segmentada:

Segmented Network

Sitúa siempre los sistemas y dispositivos Danfoss detrás de cortafuegos y otros dispositivos de protección de seguridad que limiten el acceso sólo a conexiones remotas autorizadas. Construir una red altamente protegida que ayude a prevenir el acceso externo es la línea de defensa más crítica contra los ciberataques.

Recomendamos seguir estas directrices:

  • Limitar el acceso a las redes en las que se encuentran los dispositivos Danfoss.
  • Asegurarse de que los sistemas y dispositivos Danfoss no son accesibles desde Internet, a menos que estén situados detrás de cortafuegos y otros dispositivos de protección de seguridad.
  • Restringir la conectividad de red externa a los sistemas y dispositivos.
  • Supervisar continuamente los eventos que puedan indicar intentos de acceso no autorizado.
  • Limitar el acceso a las redes internas donde residen los dispositivos.
  • Aislar las redes de los sistemas de control y seguridad y los dispositivos remotos de la red de la empresa.

Para una conexión/acceso seguro también se puede utilizar una conexión VPN.

Internet firewall

Implementar métodos seguros para que los usuarios remotos accedan a la red. Exigir a todos los usuarios remotos que se conecten y se autentiquen a través de una única interfaz gestionada antes de realizar actualizaciones de software, mantenimiento y otras actividades de soporte del sistema.

Cuando sea necesario acceder a dispositivos desde ubicaciones remotas, es importante limitar al máximo la exposición del dispositivo. Las siguientes soluciones presentan formas de proteger el dispositivo y la red al tiempo que proporcionan la flexibilidad necesaria para acceder al dispositivo, de forma remota.

IP fija en los dispositivos móviles:  

El uso de direcciones IP fijas en los dispositivos móviles remotos es la solución más sencilla para mantener el acceso remoto al sistema a la vez que se mantiene la seguridad total del dispositivo frente a ataques hostiles - también protege el dispositivo frente a ataques DDOS.

Remote gateway

Las soluciones proxy son más complejas de configurar; sin embargo, ofrecen una mayor seguridad, así como la capacidad de proporcionar un certificado SSL (Secure Sockets Layer) válido adecuado para acceder al sistema. El sistema proxy expone un acceso autenticado del sistema a Internet, y este acceso autenticado se llevará la peor parte de cualquier ataque al sistema, protegiendo al System Manager de ser comprometido. 

El proxy puede utilizar métodos como autenticadores, autenticación de 2 factores y otros mecanismos de seguridad para asegurarse de que sólo se permite el acceso autorizado.

El proxy está bloqueado por IP al cortafuegos que está protegiendo al System manager, y todos los clientes móviles, usan direcciones IP aleatorias, y se autentican al proxy (normalmente usando certificados, autenticación de 2 factores, o similares), creando una fuerte validación del cliente.

El cortafuegos y el proxy deniegan el acceso directo a todos los clientes hostiles, ya que no pueden proporcionar las credenciales necesarias para hablar con el proxy.  .  

Esto significa que el proxy soportará la mayoría de los ataques de seguridad, y en el peor de los casos el proxy será DDOS y el acceso local al administrador del sistema seguirá siendo posible.

Proxy solutions

Alsense puede proporcionar esta solución a través de una conexión basada en VPN (Red Privada Virtual), o a través de una solución de proxy IP, donde la conexión puede limitarse al sistema en la nube de Alsense - de nuevo minimizando la exposición del sistema a Internet, permitiendo a Alsense proporcionar la protección del sistema.

Alsense es una solución en la nube de Danfoss para acceder a los System Managers, y mucho más. Esta solución proporciona lo mismo que la solución proxy, sin embargo, es gestionada por Danfoss, y como tal no necesita que el cliente implemente, ni mantenga y opere el proxy.

Technical Instruction & explanation for setting up a firewall
TP Link 2

El acceso a las redes industriales, debe realizarse a través de registros de autenticación/auditoría, por ejemplo, VPN o cortafuegos, para que el acceso pueda ser auditado, y así poder investigar los eventos de seguridad si se produce alguno. Minimice las posibilidades de que se produzcan violaciones de datos supervisando y auditando los eventos del sistema 24 horas al día, 7 días a la semana. Utiliza sistemas de detección de intrusos, sistemas de prevención de intrusos, software antivirus y registros de uso para detectar violaciones de datos o incidentes en sus fases más tempranas.

Como buena práctica, sugerimos el uso de software de supervisión de redes para detectar cualquier alerta de tráfico inusual, intentos de acceso fallidos, etc. Las directrices son muy amplias, desde los requisitos generales de TI contemplados en la norma ISO 27001 hasta los específicos de la norma IEC 62443, y pueden consultarse en estas normas internacionales.

Puedes obtener más información sobre las ofertas de Danfoss relacionadas con las soluciones de supervisión en el siguiente enlace.

Nuestra solución Alsense Cloud ya cumple con OWASP, NIST y, por supuesto, con el Reglamento General de Protección de Datos:  Alsense IoT solutions and monitoring for HVAC-R | Danfoss

Alsense iot faq

Una instalación o maquinaria suele ser manejada por más de una persona, por lo que se recomienda la administración centralizada de usuarios..

Cambia las contraseñas por defecto en la puesta en marcha y utiliza el producto para crear niveles de acceso de usuario..

A modo de ejemplo: Danfoss System Manager es un posible producto, donde se puede definir el nivel de acceso de usuario en el dispositivo a otros posibles usuarios.

-Esto es especialmente importante para las cuentas de administrador y los dispositivos del sistema de control. Utiliza el acceso basado en roles con autenticación multifactor para ayudar a prevenir brechas de seguridad y proporcionar un registro de la actividad de acceso.

Los usuarios deben evitar compartir contraseñas, ya que esto puede ayudar a auditar el acceso y evita que las contraseñas se filtren a la población en general. Una contraseña compartida suele acabar siendo conocida por todo el mundo e impide auditar los problemas de seguridad.

Considera la posibilidad de añadir funciones de seguridad de contraseñas, como un bloqueo de cuentas que se active cuando se introduzcan demasiadas contraseñas incorrectas.

Conceptos básicos:

  • Los mecanismos de listas blancas proporcionan protección adicional contra aplicaciones no deseadas o malware, así como contra cambios no autorizados en las aplicaciones instaladas.

  • El software de listas blancas crea o contiene una lista de programas y aplicaciones cuya ejecución está permitida en el PC.

Utiliza listas blancas para definir qué aplicaciones, IPs, etc. están permitidas, ya que las listas blancas son la forma más fuerte de control de seguridad porque bloquean los intentos de eludirlas. Sin embargo, si por alguna razón las listas blancas no son una opción viable, entonces si es posible, implementa una lista negra para bloquear problemas de seguridad conocidos, pero sabiendo que las listas negras pueden ser eludidas fácilmente.

Las listas negras son un mecanismo básico de control de acceso que permite bloquear elementos no deseados (direcciones de correo electrónico, usuarios, contraseñas, URL, direcciones IP, nombres de dominio, hashes de archivos, etc.), excepto los mencionados explícitamente. A los elementos de la lista se les deniega el acceso.

Las listas negras pueden ayudar a evitar que virus conocidos, spyware, troyanos, gusanos y otros tipos de malware accedan a su sistema.

A menudo, el uso conjunto de listas negras y listas blancas es la opción ideal. Puedes utilizar diferentes enfoques en diferentes niveles de tu infraestructura e incluso utilizar ambos dentro del mismo nivel.

Muchas organizaciones utilizan tanto listas negras como listas blancas para diferentes partes de sus estrategias de seguridad. Por ejemplo, controlar el acceso a un ordenador o a una cuenta mediante una contraseña es una lista blanca. Sólo se permite el acceso a los que tienen la contraseña, y todos los demás no pueden entrar. Muchas de esas mismas organizaciones también ejecutan programas antimalware que utilizan una lista negra de malware conocido para bloquear programas dañinos.

Imparte formación sobre ciberseguridad a tus empleados para ayudarles a mantener la seguridad de tu organización. Explícales los correos electrónicos de phishing, los archivos adjuntos infectados, los sitios web maliciosos y otros métodos que les atacan directamente.

Como ejemplo: El Departamento de TI de Danfoss, que cumple la norma ISO 27001, imparte cada año una formación online obligatoria a todos los empleados, con el fin de formar a las personas y comprender cómo todos los miembros de una empresa pueden contribuir a la ciberseguridad.

Aunque no se trata sólo de un problema de ciberseguridad, es importante establecer controles físicos para que ninguna persona no autorizada pueda acceder a los equipos. Guarda todos los controladores en armarios cerrados con llave y limita el acceso a cualquier dispositivo conectado.

Información general

La ciberseguridad sólo puede ser eficaz cuando todos contribuyen a que el sistema de instalación sea seguro.

Como se muestra en la visualización anterior de la familia de normas IEC-62443, será necesario un esfuerzo y una actividad compartidos, ya que la seguridad es una responsabilidad compartida. Como proveedor de productos, Danfoss aspira a cumplir las normas IEC 62443-4-1 e IEC 62443-4-2.

Además, exigirá responsabilidad y mitigación por parte del integrador del sistema y del propietario del activo.

Consultar la documentación para obtener información específica del producto

Danfoss proporciona información detallada con cada producto. Revisa las guías de producto en la página web o las que acompañan a tus productos para encontrar recomendaciones de ciberseguridad y mejores prácticas directamente relacionadas con tus productos Danfoss.

Consulta también información específica online como la página de preguntas frecuentes de Danfoss, donde se ha colocado esta guía de mejores prácticas.

FAQ Controles Electrónicos y Servicios| Danfoss

Para obtener información adicional sobre las mejores prácticas de ciberseguridad, consultar estos recursos:

Descargo de responsabilidad:

ESTE DOCUMENTO PRETENDE AYUDAR A PROPORCIONAR RECOMENDACIONES GENERALES DE SEGURIDAD Y SE PROPORCIONA "TAL CUAL", SIN GARANTÍA DE NINGÚN TIPO. DANFOSS RECHAZA TODA GARANTÍA, YA SEA EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O IDONEIDAD PARA UN FIN DETERMINADO. EN NINGÚN CASO DANFOSS SERÁ RESPONSABLE DE NINGÚN TIPO DE DAÑO, INCLUYENDO DAÑOS DIRECTOS, INDIRECTOS, INCIDENTALES, CONSECUENTES, PÉRDIDA DE BENEFICIOS COMERCIALES O DAÑOS ESPECIALES, INCLUSO SI DANFOSS HA SIDO ADVERTIDO DE LA POSIBILIDAD DE TALES DAÑOS. EL USO DE ESTE DOCUMENTO, DE LA INFORMACIÓN CONTENIDA EN EL MISMO O DE LOS MATERIALES VINCULADOS AL MISMO CORRE POR CUENTA Y RIESGO DEL USUARIO. DANFOSS SE RESERVA EL DERECHO DE ACTUALIZAR O MODIFICAR ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU ENTERA DISCRECIÓN.