Desarrollo de un Sistema de Detección de Intrusos (IDS) para monitoreo de ciberseguridad en redes SCADA de Energía en la industria mediana

Abstract

El presente trabajo de tesis propone el desarrollo de un nuevo sistema de detección de intrusiones (IDS) de red adaptado para la ciberseguridad industrial de las subestaciones o centrales eléctricas industriales basado en el protocolo IEC60870-5-104 para las empresas eléctricas de la industria mediana. El IDS propuesto se enfoca en integrar la detección de las amenazas conocidas, el comportamiento lógico y conocimiento específico del tráfico industrial en estudio y las especificaciones de protocolo IEC104 (DPI - Deep Packet Inspection), el cuál fue diseñado en primera instancia sin parámetros de ciberseguridad; para proporcionar una solución integral y efectiva que permita alertar los diversos ataques cibernéticos de carácter industrial u OT. Asimismo, se estudia los conceptos y componentes de la red industrial de un SCADA eléctrico como proceso a proteger, los IDS dentro del ámbito de ciberseguridad industrial y el marco de trabajo de referencia MITRE ATT&CK ICS. En el presente trabajo diseña, integra e implementa los componentes necesarios para un IDS técnicamente viable sin falsos positivos y con una interfaz gráfica amigable para personal no especializado; y se realizan pruebas en ambientes controlados de laboratorio con equipamiento real utilizado en aplicaciones industriales de redes SCADA, para validar la vialidad técnica de la solución propuesta. Finalmente, para complementar los aspectos técnicos, se realiza un análisis económico con resultados positivos, lo que refuerza la importancia de la implementación de un IDS industrial para redes SCADA eléctricas como una salvaguarda para garantizar la continuidad de los procesos de generación, transmisión o distribución eléctrica.

This thesis proposes the development of a new intrusion detection system (IDS) for industrial cybersecurity in electrical substations or industrial power plants, based on the IEC60870-5-104 protocol for medium-sized industrial electrical companies. The proposed IDS focuses on integrating the detection of known threats, logical behavior, and specific knowledge of industrial traffic under study, as well as the IEC104 protocol specifications (DPI - Deep Packet Inspection), which was initially designed without cybersecurity parameters. This aims to provide a comprehensive and effective solution to alert various industrial or OT cyber-attacks. Furthermore, this research studies the concepts and components of an electrical SCADA system's industrial network as a process to protect, IDS within the scope of industrial cybersecurity, and the MITRE ATT&CK ICS reference framework. In this work, the necessary components for a technically viable IDS without false positives and with a user-friendly graphical interface for non-specialized personnel are designed, integrated, and implemented. Tests are also conducted in controlled laboratory environments with real equipment used in industrial SCADA network applications to validate the technical viability of the proposed solution. Finally, to complement the technical aspects, an economic analysis is performed with positive results, reinforcing the importance of implementing an industrial IDS for electrical SCADA networks as a safeguard to ensure the continuity of electrical generation, transmission, or distribution processes.