Cuando se habla de diodos de datos “data diodes” para la seguridad en la red OT, la pregunta es: ¿Cuál es la diferencia entre los firewalls y los data diodes?
COMPLEMENTARIOS
Decimos que los dos son complementarios, ya que los diodos de datos brindan medidas de seguridad adicionales para segmentos de red especialmente vulnerables a nivel de la OT. Sin embargo; al observar más detalles, está claro que los firewalls y los diodos de datos tienen conceptos totalmente diferentes.
FIREWALLS
Los firewalls separan dos redes o sistemas, pero permiten un flujo de datos bidireccional entre redes, restringido entre ellos. Según las reglas de enrutamiento preestablecidas, determinan si los datos pueden moverse entre las redes IT y la OT.
Todos los firewalls logran esta función por software. Aunque algunos pueden ejecutarse en hardware dedicado, aún están controlados por software: el software y el hardware simplemente están separados. Los firewalls permiten que los datos fluyan en ambas direcciones, por lo tanto, permiten que la interferencia potencial de la red abierta “IT” ingrese a la red operativa o crítica “OT”. Nunca sabemos lo que está pasando dentro de ellos. Cuando están mal configurados o contienen vulnerabilidades intrínsecas, los firewalls pueden convertirse en factores de riesgo.
DATA DIODES
Los data diodes son una puerta de enlace unidireccional de comunicación y transferencia de datos que protege sus activos operativos críticos a través de la red de capa 1. Su diseño de seguridad evita la fuga de datos y elimina las amenazas cibernéticas al hacer cumplir la transferencia de datos unidireccional en la capa física.
AUMENTA NIVELES DE SEGURIDAD
A diferencia de los firewalls, los diodos de datos ”data diodes” utilizan un enfoque diferente para separar dos redes, aislándolas en la capa física.
Los datos fluyen solo en una dirección, desde sitios seguros a redes abiertas, y no hay forma de que los datos se transfieran en la dirección inversa, ya que no hay puerta para esta ruta. Los servidores proxy en OT e IT se ejecutan de forma independiente para enviar datos de OT al lado de IT. Obviamente, este mecanismo reduce la flexibilidad del sistema, pero también aumenta los niveles de seguridad. Incluso en el peor de los casos, cuando un servidor proxy de TI se ve comprometido, los activos o sistemas importantes en el lado de OT aún están bajo protección.
Es una puerta de enlace unidireccional de comunicación y transferencia de datos que protege sus activos operativos críticos a través de la red de capa 1. Su diseño de seguridad evita la fuga de datos y elimina las amenazas cibernéticas al hacer cumplir la transferencia de datos unidireccional en la capa física.
¿DÓNDE SE UTILIZAN?
Principalmente se utilizan en sistemas que solo requieren leer datos, como redes de distribución de energía, plantas de fabricación y petróleo y gas, en sistemas SCADA y de control, para separar las redes IT de la OT.
DIODO INVERSO
Solo si es necesario, un diodo inverso recibe comandos específicos del lado IT, los valida y los recrea en el otro lado, destruyendo el original. De esta manera, las instrucciones básicas se pueden enviar al Sistema de Control de Automatización Industrial desde el SCADA o el canal de monitoreo, la separación física entre las dos redes aún se conserva, bloqueando cualquier intento de intrusión, penetración o inyección de malware.
