Ciberseguridad OT: Cuatro pilares fundamentales.
Los entornos IT y OT están convergiendo aceleradamente. El auge del Internet Industrial de las Cosas (IIoT) ha puesto nuevos objetivos en ciertos sectores industriales como energéticas, servicios públicos y manufacturero. Indudablemente para los ciberdelincuentes acceder a los entornos OT es un objetivo que puede ser fácilmente alcanzable en la medida que IT y OT estrechan su colaboración. Los dispositivos industriales también deben ser protegidos, pero ¿cómo? ¿la misma estrategia que el entorno IT?
Tampoco hay “balas de plata” en materia de ciberseguridad para los entornos OT. Toda organización debe revisar de modo global todos los aspectos e identificar las áreas de mejora para establecer una estrategia de protección tanto activa como pasiva. En este proceso será precisa la adquisición de soluciones para la visibilidad de activos, la seguridad de la red y la protección de puntos finales en el primer caso, y soluciones de detección, respuesta y recuperación de amenazas en el segundo.
Un ejemplo que podríamos revisar con un historial brillante en materia de ciberseguridad: Emiratos Árabes Unidos. En 2020 según la Unión Internacional de Telecomunicaciones (UIT) de la ONU clasificó al país en el quinto lugar de 194 países en su Índice Global de Ciberseguridad (GCI). Hay cuatro áreas principales que reflejan la madurez de su estrategia en materia de ciberseguridad OT:
- Perímetros
La estrategia defensiva de ciberseguridad comienza en el perímetro. A medida que los entornos de IT y OT intercambian datos cada vez más, las pasarelas de seguridad (security Gateway) pueden intervenir para garantizar que los datos fluyan en una dirección. Los firewalls no pueden igualar las protecciones de las puertas de enlace, que son fáciles de implementar y configurar, altamente escalables y alineadas con estándares industriales como NIST ICS / CSF / 800-82 / 800-53. Algunas puertas de enlace incluso incorporan tecnologías que implementan otras capas de seguridad que escanean los datos en tránsito en busca de amenazas antes de que accedan a un entorno crítico.
- Visibilidad de la red OT
El descubrimiento de cada activo de OT es un gran desafío, un inventario completo es fundamental para una estrategia de seguridad sólida. Diferentes dispositivos, sistemas operativos, versiones de firmware, marcas, modelos y países de origen deben ser identificados de alguna manera. Para esto, las organizaciones necesitan un inventario de activos y es una solución de visibilidad de red OT la que pueda mapear el entorno ICS y presentarlo de manera clara en una única consola. Además, esta solución debe incorporar suficiente inteligencia de cara a parametrizar cuál es el comportamiento normal en el contexto del modelo de negocio, de modo que las alertas no se conviertan en un ruido blanco de falsos positivos. Es esta solución la que asegurará el cumplimiento normativo al que se suscribe la organización, especialmente, debido a que pueda identificar qué dispositivos son fabricados en países no sujetos a normativa internacional y lance la alerta correspondiente cuando este tipo de dispositivos comience a comunicarse con otros en la red.
- Medios extraíbles
Es una realidad, en todas las organizaciones los medios extraíbles circulan continuamente rebasando los límites del perímetro corporativo. Es importante fijarse en el punto de entrada para estos componentes de almacenamiento. En la proporción que los entornos OT reciben datos en este tipo almacenamiento para actualizar los PLCs u otros dispositivos, estas en redes aisladas o “airGapped”, se vuelven más vulnerables.
La confianza es vital, por lo que las organizaciones deben asegurarse mediante Kioskos de sanitización de ficheros, firewall de dispositivos extraíbles, y las soluciones de almacenamiento adecuadas. El conjunto de estas soluciones debe proporcionar una capacidad de
seguridad de medios extraíbles multifacética que ofrezca movilidad y sea compatible con todos los tipos de medios utilizados por la empresa. Tenga en cuenta la profundidad del escaneado de los dispositivos. ¿Qué tan exigentes son? ¿Cómo se protegen los datos en reposo? Todas estas consideraciones y más deben ser planteadas y respondidas si el ecosistema del OT ha de ser protegido de manera efectiva.
- Acceso remoto
Las limitaciones de escritorio remoto en entornos OT vienen dadas por la particularidad de las aplicaciones industriales y su compatibilidad con los entornos IT. Los emuladores de terminal y servidores X-Window han sido, y siguen siendo, utilizados como primera opción ante este contexto. La última generación de soluciones de este tipo permite compatibilizar un acceso sencillo, a la vez que seguro y en todo momento está en manos del Administrador la gestión de las sesiones activas. Revisar un proceso de larga duración, acceso a los sistemas de control central, etc… fuera de la infraestructura son ya una realidad con un estandar de calidad (visual 2D y 3D, sonidos, etc…) y ciberseguridad (protocolos SSL/SSI, ocultación IPs, etc…). Sin comprometer activos corporativos fuera de la instalación.
La madurez en materia de ciberseguridad es un proceso de años, aunque también es posible que en cuestión de meses se produzca una visibilidad de las medidas desplegadas. Además, la continua evolución tecnológica y de la ciberdelincuencia obliga a una revisión permanente en la estrategia de defensa.
Todas las organizaciones hacen promesas ante: socios, clientes, proveedores, reguladores… y su éxito depende de cumplir esas promesas. La ciberseguridad integral es un ingrediente vital en este cumplimiento. Por lo tanto, es aconsejable invertir en las personas, los procesos y la tecnología que protegerán su infraestructura tecnológica frente a las amenazas de los ciberdelincuentes.
¿Hablamos de ciberseguridad?