Cinco mejores prácticas para la ciberseguridad industrial: cerrar la brecha entre TI y OT
Etay Maor es director sénior de estrategia de seguridad de Cato Networks, un desarrollador de tecnologías avanzadas de ciberseguridad nativas de la nube.
getty
Asegurar los sistemas de tecnología operativa (OT) puede haber sido más simple cuando las medidas tradicionales de "seguridad por oscuridad", como la separación de aire y el establecimiento de zonas industriales desmilitarizadas (DMZ), todavía eran relevantes. Pero el surgimiento de la Internet industrial de las cosas (IoT) ha cambiado eso por completo. Hoy en día, las redes OT dependen cada vez más de la conectividad a Internet y el acceso a la nube.
Por ejemplo, las cámaras de protocolo de Internet (IP) que monitorean los sistemas OT críticos deben sincronizar los datos que recopilan con la nube. Aislar las redes OT hoy haría que los datos fueran inaccesibles y retrasaría las actualizaciones del sistema y los parches de seguridad. Otro problema con el air gapping es que, una vez dentro, los actores de amenazas disfrutan de un movimiento lateral libre a través de la red, a menos que existan otros mecanismos de seguridad más sólidos. Tal como está, la evolución tecnológica industrial está superando con creces la ciberseguridad de las redes industriales.
A medida que TI y OT se entrelazan de manera irreversible gracias al Internet industrial de las cosas (IIoT), la brecha entre el enfoque tradicional de la seguridad de OT y las nuevas amenazas de tecnología de la información (TI) deja vulnerables a los sistemas críticos. Eventos pasados como el ataque de ransomware Colonial Pipeline y el ataque de tratamiento de agua de Oldsmar, Florida, tienen a los analistas de Gartner prediciendo que los entornos OT (y otros sistemas ciberfísicos) serán armados para dañar o incluso matar a víctimas humanas para 2025.
Aquí hay cinco mejores prácticas para cerrar la brecha entre TI y TO para ayudar a fortalecer los métodos de ciberseguridad industrial.
1. Establezca puntos en común entre los equipos de TI, SecOps y OT.
Con demasiada frecuencia, los equipos de seguridad de OT y TI operan en silos, centrándose en sus propios objetivos aislados. OT se centra en la fiabilidad y la disponibilidad para garantizar la continuidad de la producción. Los equipos de ciberseguridad, por otro lado, se enfocan en la confidencialidad de la información y la integridad de los datos. A pesar de este aparente conflicto, los equipos aislados aún pueden encontrar puntos en común al comprometerse a maximizar el tiempo de actividad y mitigar los riesgos para que la organización mantenga sus resultados.
Establecer objetivos comunes es el primer paso para adoptar un enfoque colaborativo de la ciberseguridad. El siguiente paso es asegurarse de que cada equipo comprenda las operaciones, limitaciones y expectativas de los demás. El personal de OT debe apreciar los riesgos cibernéticos y la importancia de la higiene cibernética. De esta manera, pueden esquivar ataques evitables comunes, como el ataque Oldsmar basado en el protocolo de escritorio remoto (RDP), lo que facilita mucho el trabajo de los equipos de ciberseguridad.
Por ejemplo, el ataque de Oldsmar podría haberse evitado si TI, al darse cuenta de las consecuencias de un posible sabotaje de TI, hubiera trabajado en colaboración con el equipo de OT para diseñar un contenedor que simplemente no pudiera contener cantidades dañinas de lejía.
2. Construya un equipo multifuncional.
Incluso con mejores conocimientos sobre la perspectiva de OT, los equipos de seguridad cibernética no suelen ser expertos en implementar seguridad por diseño para maquinaria de OT y sistemas ciberfísicos, ya que generalmente carecen de la experiencia y el conocimiento de los ingenieros de OT. Por esta razón, los CISO que se unen a las organizaciones de OT deben pensar estratégicamente a quién incluir en su equipo de seguridad. ¿CISO de hospitales? Mejor busque un médico y un experto en dispositivos médicos. Es posible que necesiten expertos en maquinaria que se unan a ellos como parte de su equipo de respuesta a incidentes para diseñar e implementar medidas de respaldo adicionales, como en el ejemplo hipotético del dispensador de lejía improvisado, para mitigar los incidentes cibernéticos que rodean los puntos débiles críticos.
3. Alinear a cada equipo en torno a un marco de ciberseguridad común.
Para permitir una colaboración fluida, establecer un lenguaje común es tan importante como encontrar motivaciones y objetivos comunes. Las organizaciones deben establecer estándares para toda la organización o adoptar un marco de ciberseguridad probado y verdadero, como ISO 27001 o NIST Cybersecurity Framework para mantener a todos los equipos en sintonía con respecto a los roles y desafíos de los demás.
Por ejemplo, parchear los sistemas OT es mucho más complejo que los sistemas de TI debido a la sensibilidad de las operaciones, las cadenas de suministro complejas y las rigurosas necesidades de prueba. Un marco de seguridad cibernética ayudará a garantizar que las medidas de seguridad de TI también tengan en cuenta las necesidades únicas y arduas de la tecnología OT obsoleta.
4. Implemente una política de confianza cero y un control de acceso granular.
Históricamente, los sistemas con espacio de aire han otorgado acceso abierto y permitido el libre movimiento lateral a los usuarios autorizados. Esa es una de las principales razones por las que el arma cibernética global, Stuxnet, podría operar sigilosamente en un entorno de planta nuclear altamente sensible. Los entornos TO modernos ya no están aislados y dependen de la nube y de aplicaciones de administración remota, como la computación en red virtual (VNC) y RDP, lo que aumenta la superficie de ataque.
Las organizaciones industriales deben adoptar una arquitectura de confianza cero, un componente clave del borde del servicio de acceso seguro (SASE), para restringir el acceso a datos, aplicaciones, redes y sistemas en función de una estricta necesidad de acceso. Las tecnologías de confianza cero también aprovechan otros mecanismos, como la última inteligencia de amenazas, análisis de comportamiento y heurística, para el control de acceso inteligente, incluso para usuarios autenticados y autorizados. Implementada correctamente, una política de confianza cero puede mitigar con éxito las vulnerabilidades creadas por la brecha en la vigilancia cibernética de OT.
5. Habilite la gestión de políticas y la visibilidad desde un solo panel.
Los equipos de seguridad necesitan una vista y un control centralizados de la red de TI de una organización, así como de la red de procesos de IoT/OT. Una plataforma centralizada de monitoreo y administración puede permitir que los equipos de seguridad vean toda la cadena de eliminación cibernética e implementen los controles necesarios y las configuraciones de políticas en los sitios de TI y OT de inmediato. Este es uno de los desafíos clave que SASE pretende combatir mediante la convergencia de servicios de red y seguridad dentro de una única plataforma de orquestación que disfruta de una visión holística de todos los usuarios, dispositivos de TI/IoT y perímetros en ubicaciones centralizadas y remotas.
Al integrar alertas de OT dentro de las herramientas de seguridad de TI y las plataformas de gestión, es importante utilizar algoritmos de IA y conciencia situacional justo a tiempo para evitar falsos positivos y fatiga de alertas que pueden minimizar la productividad, detener las operaciones y disuadir al personal de OT.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó más de 50 avisos de sistemas de control industrial (ICS) solo en diciembre de 2022. Con tantos problemas de seguridad, vulnerabilidades y exploits que rodean a los ICS, proteger los entornos de OT sin interrumpir la producción es un desafío. Sin embargo, la clave es romper los silos organizacionales entre TI y OT y permitir una visibilidad unificada y una administración de panel único para que todos los equipos obtengan una visión holística de los entornos de red de TI y OT.
Una vez que TI y OT entienden mutuamente las perspectivas y los desafíos de cada uno, pueden comenzar a trabajar juntos hacia sus objetivos superpuestos: seguridad organizacional y continuidad del negocio.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
