Inventário de ativos. ICS Department

ICS Department

Inventário de

ativos

Introdução

PÁG. 03

Implementar um inventário de ativos

PÁG. 06

Tipos de Ativos Objetivo

Metodologias

Formas de Implementar um inventário de Ativo

Ferramentas com capacidade de inventariado

PÁG. 11

Gestão de Ativos

PÁG. 18

Conclusões

PÁG. 21

Recursos utilizados

PÁG. 23

C om m un ic atio ns C om m un ic atio ns

IaaS PaaS SaaS

Technologies

Information Technology Business Process

IoT Platform Middleware

Operational Technology Processes

Risks Threats

Next-generation intrusion detection and prevention

systems Application whitelisting Integrity monitoring Virtual patching Advance sandboxing analysis Machine learning Behavior analysis Anti-malware Risk detection Vulnerability management Malware Ransomware Advance persistent threats (APT) Spear phishing Bots DDoS Password attacks Rogue software Malvertising Business and operational

disruption financial fraud Privilege abuse attemps

/ escalation

Platform hacking Data leakage, tampering,

manipulation Device manipulation Configuration change

Vulnerabilities Software update and

patch In te g ra tio n In te g ra tio n Endpoint

/ mobile Server MES, ERP Email Gateway Partners

APP

Analytics Applications Data Maintenance

HMI

Introdução

Atualmente, ter um inventário atualizado de ativos em ambientes industriais, ou fazer um do zero, é um dos maiores desafios que uma empresa industrial pode enfrentar. Estes inventários de ativos são complexos de gerir, em parte devido às mudanças causadas pelo paradigma da indústria 4.0 e pela evolução da Internet das Coisas na indústria (IoT).

Com a chegada da Indústria 4.0, modificaram-se as formas de organização dos meios de produção, os processos foram dotados de maior inteligência e implementou-se um grande número de dispo-sitivos para conseguir um maior controlo dos processos industriais. Nesta linha, está a ser imple-mentado um maior número de sensores, atuadores, controladores, gateways para concentração de comunicações, etc. relacionados à IoT. Uma vez que tal número de dispositivos cria uma série de dados quase inatingíveis por algumas infraestruturas, é necessário o apoio em tecnologias que já foram amplamente utilizadas em ambientes IT, como tecnologia cloud ou o machine Learning.

Devido a esta rápida evolução, e por motivos históricos para a falta de diligência em ambientes industriais, é muito comum encontrar nestes ambientes um inventário de ativos incompleto ou, em muitos casos, inexistente. Este é um grande inconveniente quando se tentam executar projetos mais complexos, como redesenho de rede ou monitorização de vulnerabilidades, entre outros. Uma vez que não podemos proteger algo que não conhecemos, é de vital importância dedicar tempo e meios a executar um inventário de ativos.

A somar a esta realidade, o rápido crescimento de muitas empresas (seja de forma orgânica ou através de aquisições de fábricas ou fusões com outras empresas) tornou ainda mais desafiante a conservação de um inventário de ativos atualizado.

Entre os benefícios de ter um inventário de ativos atualizado, podemos destacar:

Melhoria da defesa contra possíveis ciberataques: se conhecermos o nosso ambiente, já sabemos o que temos na rede. Podemos implementar soluções que nos permitem filtrar por CPE (Common Platform Enumerations) e associar modelos, sistemas e tecnologias com vulne-rabilidades concretas.

Melhorias de segurança da arquitetura de rede: Permite o desenvolvimento eficiente de outros projetos como a reestruturação de rede, implementação de sondas, etc. Uma rede plana numa organização industrial permite, na grande maioria das situações, que os atacantes obten-ham controlo da parte IT e OT. Por isso, é importante implementar outros projetos que ajudem a melhorar a cibersegurança em ambientes industriais, tendo sempre o inventário de ativos como referência.

Outras implicações: Não estão tanto relacionadas à cibersegurança, mas à disponibilidade, como, por exemplo, a identificação de falhas em dispositivos. Por vezes, o simples facto de ter dispositivos e fluxos de comunicação controlados pode ajudar em outros âmbitos que melho-ram a eficiência dos processos industriais.

CVE CPE

CVE-2012-4698 cpe:2.3:o:siemens:ros:*:*:*:*:*:*:*:* cpe:2.3:o:siemens:rox_i_os:*:*:*:*:*:*:*:* cpe:2.3:o:siemens:rox_ii_os:*:*:*:*:*:*:*:* cpe:2.3:o:siemens:ruggedmax_os:*:*:*:*:*:*:*:*

Controlo de vulnerabilidades por CPE (formato 2.3)

CVE-2012-4698 CVE-2012-4698 CVE-2012-4698

Implementar um

inventário de Ativos

Implementar um

inventário de Ativos

Para conseguir uma implementação ordenada de um inventário de ativos, é necessário considerar uma série de etapas e boas práticas. Ao longo desta secção, descrevem-se os principais conceitos a considerar para atingir este objetivo.

Para classificar os ativos corretamente, é necessário acordar uma tipologia de classificação. Alguns dos tipos mais usados são:

Hardware:Ativos físicos envolvidos em processos industriais.

Software:Ativos lógicos que permitem a gestão, controlo e monitorização de processos industriais,

entre outras tarefas.

Pessoal: Pessoas contratadas ou que colaboram de forma externa dentro de uma organização

industrial.

Documentação: Qualquer ativo que contenha informações sobre processos industriais ou outro

tipo de informação sensível.

TIPOS DE ATIVOS

Antes de começar a implementar um inventário de ativos, é importante definir o âmbito. Quando falamos de âmbito num inventário de ativos, não nos referimos à quantidade de ativos a serem incluídos na análise de um ambiente industrial, mas ao nível de detalhe das informações sobre cada ativo. É aconselhável incluir um conjunto de informações básicas que permitam ter controlo, entre outros campos:

ÂMBITO

Exemplo de âmbito inicial definido para obter informação de cada ativo

ID MAC / fabricante Nº Serie Modelo Propietario Responsable Localización física Firmware_versión Valoración del activo

Confidencialidad Integridad Disponibilidad Criticidad Coste (€)

S21sec001 00:1C:06:00:BC:37/Siemens 00:1C:06:00:BB:38/Siemens AC:64:17:4C:CA:F2/Siemens AC:64:17:4D:A3:8A/Siemens 00:80:F4:18:42:82/Schneider Electric 00:80:F4:18:35:83/Schneider Electric S21sec002 S21sec003 S21sec004 S21sec005 S21sec006 V-LA263238 V-L3B62271 V-PJ9133606 C-C1VJ54042012 X-4398dsa786 X-4398dsb5423 SIMATIC S7 1200 SIMATIC S7 1200 SCALANCE M874-3 SIMATIC S7 1500 M340 M340 Paco Pérez Juan Martín Paco Pérez Juan Martín Paco Pérez Juan Martín Luis Alfonso Luis Alfonso Luis Alfonso Ataulfo López Ataulfo López Ataulfo López Sala de máquinas Sala de máquinas Sala de máquinas Sala de máquinas Sala de máquinas Sala de máquinas V.04.02.03 V.04.02.03 V.04.03.01 V.03.03.01 v2.9 v2.9 5 4 3 4 5 6 4 6 5 4 5 5 8 7 8 9 9 9 5 5 6 7 7 8 960 960 1500 3467 3345 6780

Alguns dos campos mais importantes na tabela são:

ID: identificador único associado a cada dispositivo que permite filtrar rapidamente na tabela e

pro-curar mais informações.

Proprietário: proprietário do ativo.

Responsável: Pessoa responsável por garantir que o ativo funciona corretamente e não causa pro-blemas.

Localização Física: Além de possuir informações sobre o ativo, em muitos casos é ótimo saber onde está localizado para, por exemplo, realizar trabalhos de manutenção.

Avaliação de ativos: Todos os ativos devem ser avaliados tendo em consideração as diferentes dimensões de segurança, Confidencialidade, Integridade e Disponibilidade. Essa avaliação deter-minará a criticidade do ativo para o negócio e o custo que um mau funcionamento acarretaria. Como um campo relevante e altamente importante para o inventário de ativos, algumas organi-zações também incorporam informações sobre o nível de Purdue no qual o ativo é classificado. Tal permite definir melhor as possíveis tarefas que o ativo executa dentro do processo industrial e serve como método de classificação para medir a sua importância.

No caso de já ter um inventário de ativos, pode ser interessante expandir o âmbito para aprofundar as informações de cada ativo. Além disso, também será necessário garantir que o inventário exis-tente está completo e contém todos os ativos. Para executar uma extensão de âmbito, é recomen-dável incluir campos que forneçam valor extra em termos de cibersegurança, como por ejemplo:

Serviços e portas abertas/expostas: Controlar as portas que o dispositivo industrial tem dispo-níveis através da rede e os serviços que nelas funcionam permite ter um maior controlo das comunicações industriais.

Ativos com os quais se comunica: Conhecer os ativos com os quais outro deve ter comunicação, permite controlar os fluxos de comunicação e facilita a criação de linhas de base de comunicação para a deteção de anomalias na rede.

Software implementado: ter um conhecimento sobre o software e as versões que a ser execu-tadas num ativo permite controlar as vulnerabilidades deteexecu-tadas.

Formas de Implementar

um inventário de Ativos

Uma vez definido o âmbito, é necessário ter clara a forma que escolhida para a realização da árdua tarefa de implementação de um inventário de ativos. Existem 3 opções para realizar um inventário de ativos:

Manual: As informações de cada ativo são recolhidas por uma ou várias pessoas, que preencherão os campos previamente definidos no âmbito, sem o auxílio de nenhum software comple-mentar. Recomenda-se esta opção quando a organização industrial não é muito grande ou os ativos não são realocados ao longo de um terreno. Também é aconselhável usar esta opção quando a organização possui ativos que não estão conectados a uma rede ou quando se utilizam comunicações em série.

Mista: é a forma mais completa de implementar um inventário de ativos e a mais recomendada, independentemente da orga-nização. É baseada no uso ferramentas automatizadas e o uso de técnicas manuais para obter maior precisão na recolha de formação.

Automática: Esta forma de implementar um inventário de ativos baseia-se na utilização de ferramentas que permitem recolher as informações definidas no âmbito de cada ativo de forma automáti-ca. Recomenda-se esta opção quando a organização industrial possui um grande número de dispositivos, ou estes estão em locais diferentes. Um exemplo deste tipo de ferramentas é a OT BASE. Esta ferramenta permite a deteção de ativos através de pro-tocolos de comunicação para a descoberta de dispositivos, como

SNMP, LLDP, Ethernet / IP, consultas via WMI, etc.

Uso de folhas Excel como exemplo de forma manual para implementar um

inventário de ativos

Uso da ferramenta OT BASE, fuente:

https://www.youtube.com/watch?v=-V7j02qduNgA

Combinação de ferramentas que permitem a automação de alguns processos na implementação de um inventário de ativos e

Metodologias

Com base na forma elegida para implementar o inventário de ativos, pode escolher uma série de metodologias que, entre outros fatores, dependendo do ambiente em que são realizados os testes, podem ser mais ou menos ajustadas às necessidades requeridas.

Algumas das metodologias que podem ser seguidas ao implementar um inventário de ativos são:

Outro fator importante a ter em conta é o tempo, que geralmente é marcado pelo dinheiro que é investido ao fazer um inventário de ativos, e pela necessidade da realização do projeto por parte da organização. Por vezes, as empresas precisam de um inventário de ativos para executar um plano diretor ou para calcular os riscos que afetam os seus negócios.

Quando nos referimos à primeira situação, o tempo muitas vezes desempenha um papel importan-te, uma vez que, neste caso, o inventário de ativos não é o projeto principal.

Inspeção física de ativos: Complexa de execu-tar em grandes instalações espalhadas por locais diferentes. Pode ser perigosa em certas áreas.

Análise de tráfego: redução do tempo de análi-se e método pouco intrusivo.

Scans Ativos: Metodologia rápida de executar, mas com possíveis impactos sobre as ope-rações OT.

Análise dos ficheiros de configuração: Boa opção quando os dispositivos são conhecidos. É um processo demorado e tem pouco impacto nas operações em ambientes industriais.

Análise dos ficheiros de configuração Inspeção física de Ativos Análise de Tráfego Scans Ativos

Risco para as operações OT

Te

m

p

Ferramentas

com recursos

de Inventariado

1 2

Ferramentas

com recursos

de Inventariado

Existem ferramentas comerciais e de Open Source no mercado que permitem a deteção de ativos e podem ser utilizadas tanto pela metodologia de análise de tráfego quanto pela baseada em scans ativos. Embora seja verdade que, quando se trata de ambientes industriais, o objetivo é sempre ter um impacto nulo na rede industrial, existem algumas ferramentas que permitem scan-ning’s ativos. Estes scanscan-ning’s são executados de forma seletiva ou "inteligente", minimizando o nível de intrusão.

Na maioria dos casos, as ferramentas de que falamos foram desenvolvidas para permitir a análise do tráfego industrial em tempo real e detetar anomalias. No entanto, possuem certas funcionalida-des que permitem a execução de um inventário de ativos graças ao fingerprinting que realizam dos ativos com presença nas redes.

Outro desafio para as ferramentas de monitorização são as comunicações cifradas. Como as comu-nicações são trocadas através túneis de comunicação TLS / SSL, a análise torna-se muito comple-xa. Para contornar este problema, os developers podem incorporar soluções de proxy que que-bram a criptografia e, também, conseguem analisar a comunicação.

As ferramentas de monitorização que permitem analisar o tráfego com a referida metodologia ou com a análise ativa são:

SIEM

1

COMERCIAIS

SilentDefense – Security Matters (Forescout): Possui funcionalidades para implementar a meto-dologia tanto em modo passivo (análise de tráfego) como em modo ativo (análise ativa). Algumas funcionalidades a destacar e que se relacionam com o inventário de ativos são:

Fingerprinting de dispositivos industriais graças às comunicações passivas. Visualização das propriedades, atividades e configurações dos ativos.

Catalogação de ativos num mapa visual que também permite visualizá-los em diferentes níveis do modelo Purdue.

Componente opcional que permite scanning’s ativos (ICS Patrol) para recolher informações sobre um host. Entre as informações que podem ser recolhidas estão as portas abertas, serviços em execução, aplicações e patches.

> > > > LIVE NETWORK TRAFFIC

SILENTDEFENSETM _MANAGEMENT NETWORK OT Network Passive sensors ALERT ENTERPRISE COMMAND CENTER (ECC) Active sensors (ICS Patrol) Command Center

Implementação do SilentDefense e do componente ICS Patrol opcional numa rede industrial, fonte :https://www.forescout.com/company/re-sources/silentdefense-solution-brief-ics-patrol/

Mais informação sobre a solução e a componente opcional: https://www.forescout.com/company/resources/silentdefense-datasheet/

Guardian – Nozomi: Como a solução anterior, o Guardian incorpora recursos que permitem a uma organização desenvolver um inventário de ativos através de uma metodologia passiva ou ativa. Dentro das suas funcionalidades relacionadas à elaboração de um inventário de ativos estão:

Fornece informações detalhadas e verificadas dos ativos detetados na rede industrial. indus-trial.

Identifica a comunicação entre os ativos através de técnicas passivas de análise na rede. Catalogação de ativos num mapa visual que também permite que sejam visualizados em dife-rentes níveis do modelo Purdue.

Deteção de ativos aparentemente inativos ou não autorizados dentro da rede industrial graças ao módulo Smart Polling. Além disso, este módulo de análise ativa permite detetar a versão do firmware, nível de patch e outras características do ativo.

> > > >

Implementação do Guardian e da componente opcional Smart Pollingl nuna rede industrial, fonte: https://www.nozominetworks.com/down-loads/US/Nozomi-Networks-Guardian-Data-Sheet.pdf Level 4 Enterprise IT OT ThreatFeed SUBSCRIPTION

Central Management Console

HIGH AVAILABILITY CONFIGURATION

Remote access SIEM Security operations center (SOC) Level 3 Operations (ICT/DMZ) Level 2 Process Network Level 1 Control Network Level 0 Field Network IT Network OT Network Firewall Historian DNS HMI, LOCAL SCADA PLCs RTUs HMI, LOCAL SCADA Site #1 Site #2 Site #N Guardian Smart Polling OPTIONAL

Tenable.ot - Tenable/Indegy: Esta solução nasceu de uma aliança entre a Tenable e a Indegy e permite entre as suas funcionalidades realizar uma análise passiva e ativa das comunicações e ativos dentro da rede industrial. Entre as suas funcionalidades relacionadas ao inventário de ativos destacam-se:

Exemplo do portal web da solução que proporciona infirmações ao cliente Mais informação sobre a solução e componente opcional

https://static.tenable.-com/marketing/solution-briefs/SolutionBrief-Industrial_Cybersecurity.pdf

Possui uma componente dentro da solução que permite scanning’s ativos através de solici-tações personalizadas.

Catalogação de ativos num mapa visual que também permite visualizá-los em diferentes níveis do modelo Purdue.

Possui um poderoso banco de dados de vulnerabilidades e permite a fácil criação de plugins personalizados para detetar mais vulnerabilidades ou ativos.

Informações detalhadas sobre dispositivos industriais de forma visual. Entre esta informação pode-mos encontrar os módulos de comunicação que o dispositivo possui, detalhes sobre o código que está a ser executado no dispositivo, eventos associados e vulnerabilidades, etc.

Kaspersky Industrial CyberSecurity (KICS) - Kaspersky: Entre os produtos de propriedade da Kaspersky, encontra-se o KICS for Nodes para a proteção de endpoints, KICS for Networks para a deteção de anomalias e problemas de segurança e o Kaspersky Security Center para gerir infor-mações de forma centralizada. Dada a natureza das ferramentas descritas nesta seção, a descrição das funcionalidades incidirá sobre o produto KICS for Networks.

Node

User terminal GUI Server + Web server + sensorKICS for Network Postgre SQL

Node

User terminal GUI Server + Web server + sensorKICS for Network Postgre SQL KICS for Network

Sensors 1 - 12

Fácil monitorização dos parâmetros que os ativos possuem e que estão a ser trocados para uma possível modificação.

Graças à sua solução KICS for Nodes, é possível monitorizar o comportamento dos sistemas SCADA e postos de trabalho que possuem versões do Windows como sistema operacional. Esta solução não executa um scan ativo, mas permite obter a mesma ou mais informações. A solução KICS for Network pode ser incorporada junto com a KICS for Nodes para obter mais informações sobre os ativos. Além disso, graças ao Kaspersky Security Center, a organização pode ter uma solução centralizada, onde pode analisar todas as informações dos diferentes pro-dutos mencionados acima.

2

OPEN SOURCE

Distribuição de Security Onion adaptada a ambientes industriais: Esta distribuição permite, entre outras tarefas, a monitorização das redes. Graças à implementação das diferentes ferramen-tas presentes nesta distribuição Linux, é possível desenvolver um inventário de ativos.

GRASSMARLIN: :Ferramenta totalmente passiva que permite a visualização dos ativos através de um mapa de rede.

Nmap: ferramenta que permite scanning’s ativos na rede para obter informações sobre os ativos presentes na rede industrial. Entre as informações que podem ser obtidas estão as portas ativas, serviços em execução e versões das soluções que estão por trás desses serviços.

Zeek, anteriormente BRO: Permite implementar módulos para a deteção de ativos, anomalias, etc. Foi apresentado um exemplo do poder desta ferramenta na XIII Conferência STIC. Neste evento realizado em 2019 e organizado pelo Centro Nacional de Criptologia (CCN), foi reservada uma sala para discussão dos temas de cibersegurança industrial, onde a S21Sec apresentou o tema “Estratégias de ataque para o setor elétrico” e mostrou aos participantes como desenvolver dissectores para analisar o tráfego com protocolos industriais e detetar anomalias.

Implementação de sondas e recolha de informações graças à monitorização ou ferramentas de análise de tráfego para implementar um inventário de ativos

Gestão

de Ativos

Gestão

de Ativos

Uma das grandes vantagens de ter um inventário de ativos é que a gestão é feita de forma muito mais simples. Se o inventário de ativos foi implementado corretamente, a organização industrial pode desfrutar dos seguintes benefícios:

Scan de ativos

A organização pode estabelecer uma baseline, ao nível físico e lógico de cada ativo, para dete-tar possíveis problemas.

Identificação

Para cada ativo terá guardado diferentes atribu-tos como modelo, sistema operativo que utiliza, protocolos que utiliza, endereço MAC, infor-mações de nível de patch, versões de firmware, etc.

Visibilidade

A organização industrial terá capacidade para detetar a conexão e desconexão de dispositi-vos à rede, o IP associado a cada um e as conexões em série que os dispositivos indus-triais possam ter.

Disposição

Conhecer o nível de criticidade, comumente classificado como alto, médio e baixo de cada ativo em particular. Além disso, a organização industrial será capaz de saber a relação entre os ativos através da rede OT e comunicações que possam ter (incluindo séries).

Capacidades de alerta

Possuir conhecimento profundo de cada ativo permite que a organização industrial detete desvios nos processos que envolvem alguns ativos.

SITE REMOTO

LOCALIZAÇÃO DA EMPRESA Tráfego de rede bruto disponível

Dados estruturados Dados de ativos Dados puros SISTEMAS DE CONTROLO GESTIÃO DE SISTEMAS DE CONTROLO ATUAL SERVIDORES DE DADOS EM SITES REMOTOS Sensores passvos Ferramentas passivas de s de

activos ICS Historizadores Servidores SCADA Outros dispositivos agregados PCLs RTUs Outros dispositivos ICS / SCADA / DCS

Nem todos os dispositivos listados estarão localizados em

Dados estruturados do site remoto PROCESSOS DE GESTÃO DE ATIVOS ESCRITÓRIO DE EVENTOS Ferramentas de gestão de ativos ICS Ferramentas de gestão de parches Ferramentas de gestão de logs Deteção de eventos de cibersegurança ANALISTA DE GESTÃO DE ATIVOS

O local onde todas as informações de um inventário de ativos são depositadas pode ser variado, mas é bastante comum encontrar uma folha de Excel onde se encontram todas as informações sobre cada ativo recolhidas ao longo do tempo. Algumas alternativas ao Excel são:

As ferramentas e soluções discutidas nos pontos anteriores são totalmente adequadas quando uma organização decide usar a metodologia de análise de arquivo de configuração para imple-mentar ou inventariar ativos.

Configuration Management Database (CMDB): É um repositório central ou banco de dados que permite gerir e manter elementos que influenciam a configuração (Itens de configuração - IC). Este banco de dados atua como um armazém que abriga configurações de ativos críticos e outras informações importantes sobre seus atributos, como proprietário, identificador, tipo, criti-cidade, etc.

Ferramentas Específicas: como a Cyber Integrity. Esta ferramenta permite manter um inven-tário de ativos a nível industrial entre os níveis 3 e 0 do modelo Purdue, identificar alterações na configuração e ter ótimas informações de ativos atualizadas.

Conclusões

Por outro lado, para detetar ativos industriais e completar o inventário, há que ter em conta: Aumentar a velocidade de reação a ciberataques

Executar projetos com maior complexidade como um redesenho de rede ou imple-mentação de uma monitorização centralizada

Controlar os fluxos de comunicação que possuem os dispositivos industriais e detetar problemas nos processos

Nem todos os ativos enviam frames ou pacotes para a rede e, portanto, algumas ferramentas não são capazes de os detetar. Por vezes, os dispositivos industriais só podem ser detetados quando arrancam ou são reiniciados.

É importante ter em consideração o tipo de ambiente em que vamos realizar a deteção de dispositivos e o âmbito e metodologia a serem seguidos.

A forma de implementar o inventário de ativos é um dos pontos-chave, pois marcará a dife-rença entre detetar ou obter mais informações sobre os ativos presentes num ambiente indus-trial.

Recursos utilizados

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf

“ICS/OT Devices And Assets Management Using Splunk”

https://www.first.org/resources/papers/telaviv2019/Minis-try-of-Energya-s-Cyber-Security-Center-Eli-Kaufman-ICS-OT-devices-....pdf

“Energy Sector Asset Management”

https://www.nccoe.nist.gov/sites/default/files/library/sp1800/esam-nist-sp1800-23c-draft.pdf

“Practical Industrial Control System (ICS) Cybersecurity: IT and OT Have Converged -Discover and Defend Your Assets”

https://www.sans.org/reading-room/whitepapers/internet/practi-cal-industrial-control-system-ics-cybersecurity-ot-converged-discover-defend-assets-38620

“Analyzing the ICS Asset Inventory / Detection Market”

https://www.youtube.com/watch?v=ciM-n_JI9Ao

“Retrieving OT/ICS Asset Inventory Data using REST & Python”

https://www.youtube.com/watch?v=a7fIxSMneCQ

“Inventario de activos y gestión de la seguridad en SCI”.

https://www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-sci

"The Future of ICS Security Products".

https://www.langner.com/2019/06/ot-ics-asset-inventory-using-elasticsearch/

“Guía para la construcción de un SGCI. Sistema de Gestión de la Ciberseguridad Industrial”

https://www.cci-es.org/documents/10694/409645/GUIA+SGCI_PAR-TE1.pdf/45ef55e6-31e9-4ba1-86e6-f9e71d4ee9fa

“What Security Teams Discover When They Automate Cybersecurity Asset Management”

https://www.axonius.com/resource/what-security-teams-disco-ver-when-they-automate-cybersecurity-asset-management/