¬°Hub de contenido!
Acceso a contenido educativo gratis.

Por qué la era de IIoT exige un nuevo paradigma de seguridad

A medida que los fabricantes se modernizan para negocios basados en datos, la automatización industrial se ha convertido en un objetivo de ataques cibernéticos. Así es como las empresas deben evaluar y planificar un nuevo panorama de ciberseguridad.

Por qué la era de IIoT exige un nuevo paradigma de seguridad

Por Beth Stackpole

La historia de dos suministros de agua presagia la inminente pesadilla de seguridad a medida que los activos industriales est√°n conectados a Internet de las cosas (IoT).

Los piratas informáticos, potencialmente vinculados a Irán, pudieron violar un sistema de interfaz hombre-máquina (HMI) desprotegido en un depósito de agua israelí, lo que les permitió manipular la presión del agua y los cambios de temperatura. Más recientemente, un operador de planta que trabajaba en una instalación de tratamiento de agua en Oldsmar, Florida, descubrió que un pirata informático desconocido había ingresado y había alterado con éxito los niveles de químicos en el suministro de agua del condado; el momento de esta incursión es notable ya que tuvo lugar durante el fin de semana del Super Bowl, que se celebró en las cercanías de Tampa, en los Estados Unidos.

Si bien ambos incidentes no causaron da√Īo p√ļblico alguno inmediato, s√≠ plantean preocupaciones alarmantes sobre las vulnerabilidades de seguridad a medida que los equipos de f√°brica, los activos industriales remotos y la infraestructura p√ļblica cr√≠tica se sincronizan con la nube y los sistemas empresariales en apoyo de nuevas iniciativas dise√Īadas para obtener eficiencias, mejorar el rendimiento operativo, y ofrecer un mantenimiento proactivo. Si bien la TI ha adoptado activamente las pr√°cticas de ciberseguridad, incluida la administraci√≥n de parches y configuraci√≥n, OT (tecnolog√≠a de operaciones) hist√≥ricamente ha evitado tales medidas, principalmente debido a preocupaciones sobre c√≥mo los cambios no planificados, inoportunos o inadvertidos podr√≠an hacer que los sistemas se caigan, impactando negativamente la seguridad de los trabajadores y resiliencia de la planta.

"Esta es una historia de culturas que chocan, en el mundo de la TI donde el cambio es algo bueno ... para el mundo de la industria donde el cambio es malo e introduce riesgos", dice Grant Geyer, director de producto de Claroty, un proveedor de tecnolog√≠a de ciberseguridad industrial. ‚ÄúPero para obtener acceso a an√°lisis avanzados, sistemas de pedidos justo a tiempo y desbloquear nuevos conocimientos, es inherente que conectemos el mundo de la aversi√≥n al cambio con el mundo de la atracci√≥n por el cambio; ese es realmente el n√ļcleo del problema".

Un panorama de seguridad cambiante

La creciente complejidad y la naturaleza conectada del panorama industrial moderno presenta riesgos que simplemente no exist√≠an antes. La expansi√≥n de los dispositivos IIoT, la implementaci√≥n m√°s generalizada de an√°lisis de borde, la transmisi√≥n continua de datos de series de tiempo y la adopci√≥n de gemelos digitales abren nuevos vectores de ataque en entornos industriales, que nunca fueron dise√Īados teniendo en cuenta la ciberseguridad. No solo se ampl√≠a la l√≠nea de ataque, los actores de amenazas est√°n cada vez m√°s en sinton√≠a con la oportunidad de interrumpir el negocio a trav√©s de operaciones industriales.

‚ÄúFrancamente, los sistemas industriales son m√°s f√°ciles de comprometer o entrar que los sistemas comerciales, pero son m√°s dif√≠ciles de explotar‚ÄĚ, dice Francis Cianfrocca, CEO y fundador de Insight Cyber ‚Äč‚ÄčGroup, que ofrece un servicio de seguridad de IoT administrado. Cianfrocca explic√≥ adem√°s que se requiere cierto nivel de habilidades para causar un da√Īo real a los equipos industriales. ‚ÄúSe necesita un conocimiento real para meterse con una centr√≠fuga o un robot, mientras que cualquiera puede meterse con una computadora con Windows porque todo el mundo tiene una‚ÄĚ, dice.

Un informe de Trend Micro sobre la seguridad de IIoT identificó varios escenarios de ataque emergentes, como: el compromiso de una estación de trabajo de ingeniería a través de un complemento industrial malicioso para robar secretos comerciales, la troyanización de un dispositivo IIoT personalizado para convertirse en un mal actor y la explotación de un dispositivo móvil vulnerable. HMI para aprovechar información confidencial o para hacerse cargo del dispositivo. La infiltración de sistemas MES para crear defectos en el producto final o para promover ataques de denegación de servicio que bloquean la producción es otra preocupación creciente, al igual que la capacidad de inyectar lógica de automatización maliciosa en una máquina compleja, allanando el camino para el robo de información o el movimiento desatendido de la máquina.

Quiz√°s las amenazas de seguridad m√°s peligrosas y potencialmente prol√≠ficas son los empleados, sostienen los expertos. ‚ÄúTememos a Rusia en t√©rminos de violaciones de seguridad cibern√©tica, pero el empleado de buen coraz√≥n es el m√°s peligroso‚ÄĚ, dice Greg Baker, vicepresidente y gerente general de la organizaci√≥n Cyber ‚Äč‚ÄčDigital Transformation en Optiv, un integrador de sistemas de seguridad. "El empleado que intenta estirar sus responsabilidades actualizando una estaci√≥n de trabajo con Windows XP a Windows 10 y cierra la f√°brica, es el actor de amenazas m√°s peligroso".

Hist√≥ricamente, la seguridad de los entornos de TO se ha abordado evitando la conectividad a fuentes externas o aisl√°ndose tanto como sea posible de Internet mediante una estrategia a la que muchos se refieren como un "espacio de aire". Con el √ļltimo enfoque, los firewalls son el punto focal de la arquitectura de seguridad, bloqueando un entorno de automatizaci√≥n, quiz√°s en un edificio espec√≠fico, para evitar el acceso externo en contraposici√≥n a una estrategia basada en asegurar puntos finales individuales en la red industrial, como HMI o PLC. "Sol√≠amos vivir en un mundo que estaba protegido; no era necesario poner un candado en el caj√≥n de las joyas porque ten√≠a una valla enorme alrededor de la propiedad y nadie entraba", explica John Livingston, director ejecutivo de Verve Industrial , que comercializa una plataforma de seguridad de terminales de sistemas de control industrial. "Ahora que se ha derrumbado la valla, es necesario proteger los activos internos en lugar de depender √ļnicamente de la protecci√≥n de la red".

Si bien los fabricantes han estado recopilando datos durante a√Īos a trav√©s de historiadores de datos, los datos permanecieron aislados o, en el mejor de los casos, se compartieron dentro de la red interna. En el entorno actual, el flujo de datos se ha alterado; no solo los datos de la planta se env√≠an a trav√©s de la nube a los sistemas empresariales o expertos en automatizaci√≥n para su an√°lisis, tambi√©n hay tr√°fico entrante para iniciar cambios, ya sea calibrando maquinaria para optimizar el rendimiento o corrigiendo una falla que est√° causando problemas de calidad. "Con IIoT, la gente no solo quiere analizar, quiere actuar", dice Livingston de Verve. ‚ÄúLo que era una calle de un solo sentido ahora es una calle de dos sentidos y existen riesgos asociados con eso. Si est√° haciendo un cambio de temperatura en una caldera, por ejemplo, tambi√©n est√° cambiando su presi√≥n. Ahora, potencialmente no solo est√°s tomando una mala decisi√≥n, sino que est√°s tomando una mala acci√≥n".

La necesidad de visibilidad

El primer paso para cualquier fabricante que intente elevar la seguridad industrial es tener visibilidad de lo que hay realmente en su entorno, una imagen que falta en la mayoría de las empresas. Antes de la implementación, las organizaciones necesitan obtener un conocimiento profundo de sus activos tecnológicos de operaciones actuales y del entorno de red para poder establecer dónde están los riesgos y evaluar cómo las nuevas iniciativas de IIoT podrían afectar la exposición futura. Muchas tiendas desconocen los dispositivos IIoT que han pasado desapercibidos, como un enrutador aleatorio agregado para crear un punto de acceso Wi-Fi en una zona muerta o un dispositivo conectado a la placa posterior de un controlador que es parte del sistema de control distribuido que rige procesos de la planta.

‚ÄúLa conectividad inal√°mbrica cierra la brecha de aire te√≥rica, que es uno de los componentes de seguridad clave en los que conf√≠an las empresas‚ÄĚ, dice Livingston. "Como resultado, los sistemas sin parches ahora pueden estar expuestos a Internet a trav√©s de la placa posterior de un controlador".

Una vez realizado, el inventario de activos debe asignarse a un perfil de riesgo basado en aspectos como los ingresos comerciales o el cumplimiento normativo. Si se determina que los riesgos de infiltraci√≥n de la red y el negocio son altos, ese activo debe ser marcado para una acci√≥n inmediata, mientras que otros activos de alto riesgo que se asignan a √°reas de menor vulnerabilidad pueden esperar una correcci√≥n de seguridad, seg√ļn Cianfrocca de Insight Cyber ‚Äč‚ÄčGroup. Seg√ļn se informa, el servicio de seguridad de IoT administrado por NetRadar de Insight Cyber ‚Äč‚ÄčGroup recopila datos de entornos ciberf√≠sicos de una manera "no invasiva" para obtener una imagen precisa del inventario sin interrumpir los procesos industriales y la producci√≥n, dice. Su enfoque tambi√©n favorece la supervisi√≥n inteligente y los servicios de respuesta a incidentes en comparaci√≥n con los firewalls de TI convencionales. ‚ÄúEl monitoreo inteligente es el camino a seguir, es no invasivo y proactivo, y la forma en que cambia la seguridad, necesita pasar de la tecnolog√≠a tradicional a algo basado en el monitoreo, la visibilidad y la inteligencia artificial (IA)‚ÄĚ, explica.

Diferentes enfoques de la ciberseguridad de OT

Cisco est√° aprovechando su fuerza de seguridad empresarial para el espacio industrial, pero se compromete a adaptar sus ofertas para satisfacer las necesidades del mundo de OT donde existe en lugar de obligarlos a utilizar soluciones impulsadas por TI, se√Īala Wes Sylvester, director de industria global, manufactura y energ√≠a de Cisco. Es importante la visibilidad de los activos, pero espec√≠ficamente la visibilidad de los detalles del siguiente nivel relacionados con esos activos; por ejemplo, conocer el tipo de datos, de d√≥nde provienen y si est√°n protegidos, explica Sylvester. Mediante el reconocimiento de dispositivos y el etiquetado de datos, la plataforma CyberVision de Cisco crea una vista del inventario de activos, patrones de comunicaciones y topolog√≠as de red, al tiempo que extiende las capacidades de ciberseguridad de TI al dominio de OT, incluido el an√°lisis de protocolos, detecci√≥n de intrusiones, an√°lisis de comportamiento e inteligencia de amenazas de OT. La plataforma crea un centro de operaciones de seguridad de TI / OT convergente, que brinda informaci√≥n detallada sobre los activos y las amenazas de OT a la infraestructura de seguridad empresarial, como los firewalls.

La vista de riesgos y vulnerabilidades de Tripwire muestra un activo o zona individual presentado en un gr√°fico de telara√Īa para resaltar los riesgos.La vista de riesgos y vulnerabilidades de Tripwire muestra un activo o zona individual presentado en un gr√°fico de telara√Īa para resaltar los riesgos.Imagen cortes√≠a de Tripwire.‚ÄúEn el mejor de los casos, OT tiene una postura de seguridad diferente; en el peor de los casos, no tiene postura‚ÄĚ, dice Sylvester. "No se puede activar el interruptor y hacer que est√©n del lado de la seguridad de TI".

Si bien IIoT abre un camino hacia el análisis en tiempo real y la capacidad de impulsar el rendimiento operativo mediante la calibración de los sistemas de automatización, la capacidad misma de modificar los equipos crea riesgos al establecer nuevas rutas de acceso a la red de control industrial. Como resultado, las organizaciones deben alejarse de las medidas de seguridad convencionales basadas en el perímetro a un enfoque basado en software y centrarse en fortalecer los puntos finales como HMI, estaciones de trabajo, controladores y PLC contra posibles ataques, dicen los expertos en seguridad.

Se dice que Endpoint Protection Platform de Verve aborda el problema con la tecnolog√≠a de agentes y sin agentes, ya que la plataforma utiliza capacidades de administraci√≥n de activos basadas en agentes para proporcionar una vista de cada subred y activo en tiempo real sin escaneo ni scripts y consumiendo un ancho de banda m√≠nimo. La interfaz del dispositivo sin agente recopila datos sobre el firmware, las configuraciones y las reglas del dispositivo de red. La plataforma tambi√©n combina el inventario de activos, la gesti√≥n de vulnerabilidades, la gesti√≥n de la configuraci√≥n y la gesti√≥n de parches en una √ļnica plataforma al tiempo que admite API abiertas (interfaces de programaci√≥n de aplicaciones) para que la telemetr√≠a de los mundos de TI y OT pueda integrarse para una visibilidad empresarial de un extremo a otro.

Tripwire Industrial Visibility también hace que los activos de la red OT sean visibles para los equipos de seguridad empresarial. La plataforma extiende los controles de seguridad de TI (descubrimiento automático de activos, segmentación y zonificación de red impulsada por IA y detección de anomalías y amenazas conocidas y de día cero) al panorama de OT al admitir una amplia gama de protocolos industriales e incorporar pasivos, activos, y capacidades de escaneo de AppDB para mayor visibilidad.

Por qué la era de IIoT exige un nuevo paradigma de seguridadLa plataforma Claroty implementa cinco motores de detección para perfilar automáticamente todos los activos, comunicaciones y procesos en un entorno OT.Foto cortesía de Claroty.Claroty Platform está evolucionando el modelo de seguridad OT con nuevas capacidades para abordar el trabajo remoto, ahora la norma incluso para las empresas industriales debido a la pandemia global. Con sus capacidades Continuous Threat Detection 4.2 y Secure Remote Access 3.1, la plataforma Claroty presenta características de gestión remota de incidentes, que incluyen alertas sobre la actividad del usuario remoto y brinda ayuda para priorizar la remediación, así como información sobre eventos similares en toda la base de usuarios de Claroty para contextualizar si las alertas son amenazas verdaderas o falsos positivos.

‚ÄúEn TI, los an√°lisis activos que tocan todos los dispositivos y todas las consultas a trav√©s de la red son la norma, pero en entornos industriales, esas pr√°cticas pueden derribar una planta‚ÄĚ, dice Tim Erlin, vicepresidente de gesti√≥n y estrategia de productos de Tripwire. "Hemos cambiado la tecnolog√≠a para admitir la evaluaci√≥n pasiva ... y hemos encontrado diferentes formas de abordar la visibilidad".

Las plataformas que abarcan las necesidades de seguridad empresarial e industrial son un camino importante para fomentar la alineaci√≥n de TI / OT, ‚Äč‚Äčque es esencial para una estrategia de ciberseguridad exitosa. Si bien TI tiene una gran cantidad de talento dedicado a las pr√°cticas de ciberseguridad, como la administraci√≥n de parches y la realizaci√≥n de pruebas de vulnerabilidad y administraci√≥n de la configuraci√≥n, ese nivel de experiencia en el dominio falta en OT. Debido a ese delta y la necesidad de visibilidad de un extremo a otro, fomentar la alineaci√≥n entre TI y OT a trav√©s de la educaci√≥n y la colaboraci√≥n conjunta es crucial para el √©xito.

"La educación es el mayor obstáculo en el lado de OT de la casa", dice Richard Wood, gerente de la división de marketing de productos de Moxa. “El trabajador promedio no entiende que conectar su teléfono celular a un puerto USB en una computadora industrial puede potencialmente infectar toda la red. La gente tiene que entender que la seguridad no es algo que se compra, es un proceso continuo como la calidad".