NEWSPAPER

      GREINCOR TECHNOLOGIES ®

¿Qué nos enseña Covid sobre la ciberseguridad OT?

Por: Joe Robertson ( Fortinet )

 Perspectivas de la industria

Hoy en día, casi ninguna discusión sobre ningún tema continúa durante mucho tiempo sin que la pandemia actual se plantee de alguna manera. Domina todas nuestras vidas de muchas maneras. Por supuesto, la vida debe continuar, los negocios continúan. Pero no de la misma forma. Las empresas han tenido que revisar sus modelos de negocio y adaptarse a la realidad de que menos personas trabajan desde una oficina en el futuro cercano: se han convertido en trabajadores desde casa. Esto ha ejercido presión sobre los departamentos de TI, incluidas nuevas preocupaciones de seguridad. Asimismo, el impacto en la seguridad de la tecnología operativa (TO) ha sido enorme. 

Por ejemplo, bajo cierres cerrados, muchas líneas de producción han tenido que reducir la velocidad o cerrarse por completo porque los trabajadores no pueden llegar a la planta. Pero a diferencia de un entorno de TI, donde cambiar un proceso de software o apagar un dispositivo es relativamente sencillo y se puede hacer de forma remota, la realidad de la TO significa que no es tan fácil apagar un proceso químico o cerrar una línea de ensamblaje. Algunos sistemas, como un alto horno o una caldera masiva, están diseñados para un funcionamiento continuo, por lo que es casi imposible apagarlos por completo. En muchos casos, un cambio de esqueleto de operadores tiene que estar en el sitio para operar una planta o proceso solo para evitar que la maquinaria falle. En muchos más casos, los operadores intentan ejecutar las cosas de forma remota, aunque los sistemas no fueron diseñados para esto.

Una de las lecciones más importantes de Covid ha sido que los cambios disruptivos pueden ocurrir en cualquier momento. Incluso si no podemos anticipar qué interrupciones pueden afectarnos, tenemos que asumir que habrá algunas. O, como un CISO que conozco, opere como si ya hubiera sido violado. Lo que significa que debemos hacer un mejor trabajo para anticiparnos y prepararnos para el cambio, y eso comienza por no dar nada por sentado. 

OT es un objetivo. De Verdad.

Históricamente, los procesos de OT se ejecutaban en protocolos no enrutables. Esto tendía a hacer de la seguridad más o menos una simple cuestión de protección física. La separación de la red OT de todo lo demás, el llamado air gap, facilitó a los equipos de operaciones ignorar los principales dolores de cabeza de ciberseguridad que enfrentan los centros de datos y las redes comerciales. Y el resultado fue que, para muchas organizaciones, la ciberseguridad para el entorno de producción era un elemento de baja prioridad o incluso ignorado.

Un director de operaciones me preguntó recientemente: “Hacemos copias de seguridad de todos nuestros datos de producción y configuraciones todos los días; ¿Por qué invertir en ciberseguridad? Si nos atacan, podemos simplemente volver a empezar con los datos de ayer “. Solo me tomó unos minutos cambiar de opinión cuando le mencioné una nueva generación de ransomware. Le pregunté: “¿Conoce el malware específico de OT como EKANS? ¿O de exploits que falsifican la consola HMI, engañando al operador haciéndole creer que todo está bien cuando en realidad las máquinas están girando fuera de control? ” Se sorprendió al darse cuenta de que los ciberataques pueden resultar no solo en problemas de producción, sino también en daños potenciales al equipo, peligro para la seguridad del personal e incluso peligros ambientales.

Adiós, Air Gap. Fue bueno mientras duro.

Durante la última década, más y más sistemas OT han cambiado para ejecutarse en Ethernet estándar utilizando protocolos IP. Pero no son solo los protocolos los que están cambiando. El espacio de aire ha desaparecido a medida que las redes industriales convergen con la red de TI. Durante casi tres décadas, una de las principales arquitecturas para la automatización de la producción y la fabricación ha sido el modelo Purdue, que divide los aspectos funcionales de un proceso en zonas. La zona de control de proceso está definida por los sensores, actuadores e instrumentación relacionada que implementa un proceso. La zona de operaciones y control describe la gestión de este proceso y múltiples procesos en un sitio. El modelo Purdue es muy jerárquico, por lo que cada zona de control de procesos solo tiene un punto de comunicación con la zona de control y operaciones de supervisión. A su vez, las Operaciones y La zona de control solo tiene un único punto de conexión con el entorno de TI corporativo, denominado zona empresarial. Ese punto de interconexión suele ser una zona desmilitarizada con un firewall para separarlos. Durante mucho tiempo, este nivel de seguridad pareció ser suficiente.

Sin embargo, las redes de TI y OT están convergiendo ahora necesariamente a medida que pasa una cantidad cada vez mayor de información entre ellas. Los sensores y los controladores lógicos programables (PLC) proliferan en el entorno de producción y muchos de ellos tienen conectividad inalámbrica. Las LAN inalámbricas y las LAN cableadas son compartidas por los trabajadores de oficina y la maquinaria de producción. Las redes de OT y de TI aún pueden estar separadas lógicamente, pero ya no están separadas físicamente. Además, la multitud de sensores OT instalados produce una gran cantidad de datos que las aplicaciones deben analizar en la zona empresarial. Y la información y las instrucciones también fluyen en la otra dirección. Y donde los datos fluyen, también lo hacen las amenazas.

Esto no significa que el modelo Purdue ya no se aplique. Sin embargo, significa que tenemos que repensar las protecciones que implementamos dentro y entre las zonas OT. Por ejemplo, aunque un cortafuegos de segmentación para cada zona de control de procesos es como una puerta de entrada cerrada con llave en una casa (está bien para mantener alejados a los transeúntes), no bloqueará a un ladrón determinado, especialmente si las ventanas y una puerta trasera asociada están abierto.

Las nuevas herramientas del oficio

Muchas de las herramientas necesarias para proteger nuestros entornos OT ya están disponibles. Fortinet ha desarrollado una amplia gama de soluciones de ciberseguridad que se adaptan perfectamente a los entornos de tecnología operativa. Y todos están integrados en  Fortinet Security Fabric , lo que brinda una amplia visibilidad y control para proteger las redes de TI y OT. Estos son solo algunos ejemplos de soluciones a su disposición:

  • Los firewalls de próxima generación FortiGate de Fortinet   no solo segmentan la tecnología operativa de manera lógica, sino que pueden incluir un  sistema de prevención de intrusiones  que reconoce las firmas de miles de tipos de malware OT y las bloquea. 
  • Cuando llega tráfico sospechoso no reconocido por el IPS, se puede reenviar a una caja de arena, como  FortiSandbox , donde se coloca en un entorno contenido y se analiza en busca de comportamiento peligroso. 
  • Otra herramienta disponible para usted es un “bote de miel”, que pretende ser un objetivo tentador. FortiDeceptor  es un ejemplo. Atrae a un pirata informático que ha obtenido acceso a la red, lo que le permite identificar los TTP del atacante: tácticas, técnicas y procedimientos. 
  • El crecimiento explosivo de los dispositivos IoT e IIoT es una gran amenaza. Asegúrese de que solo los usuarios y dispositivos autorizados se conecten a la red con  FortiNAC , nuestra solución de control de acceso a la red.
  • El software Endpoint Protection (EPP) y Endpoint Detection and Response (EDR), como  FortiClient  y  FortiEDR , puede fortalecer muchos controladores basados ​​en PC, HMI críticos o Historians. 

Un último punto sobre la ciberseguridad para las redes OT: no existe una única solución para hacer que todo esto desaparezca. La protección de su entorno probablemente involucrará a varios proveedores que proporcionan varios tipos de equipos: el propio sistema ICS, herramientas para la visibilidad de dispositivos OT y PLC altamente especializados, sondas y analizadores. Y ningún proveedor puede hacerlo todo; así que asegúrese de que los proveedores que elija puedan jugar bien entre ellos.                                       

Las soluciones de Fortinet incluyen una gran cantidad de API abiertas y conectores que les permiten interoperar con soluciones de muchos otros proveedores. Esto incluye proveedores de alianza de tecnología OT, proveedores de sistemas de control e integradores de sistemas OT. Para obtener una lista completa, consulte el Directorio de ecosistemas de Fortinet  . 

Abrir chat
En qué podemos ayudarle?
Bienvenido a la Zona Greincortech!
¿En qué podemos ayudarle?