Protección ‘cibersegura’ para sistemas de control industrial

No hay estrategia industrial de desarrollo tecnológico 4.0 que no contemple la ciberseguridad desde la base. Pero los ecosistemas industriales son complejos, plagados de sistemas de múltiples fabricantes y con larga vida útil a las espaldas. Se necesita un fuerte entendimiento del paisaje completo para prevenir, monitorizar, detectar y responder ante este tipo de incidentes. Hablamos de ello con alguno de los líderes en este tipo de dispositivos.

PREGUNTAS

1. ¿Cuáles son los elementos principales a tener en cuenta para la protección ‘cibersegura’ de sistemas de control industrial?

2. ¿Cuál es la función principal de cada uno de estos dispositivos?

3. ¿Cuál es el estado del arte en cada uno de ellos?

4. ¿Qué ofrece su compañía al respecto?

Rocío Dantart, directora de Ventas de Sistemas Industriales e IoT en Cisco España

1. A lo largo de los años, las compañías del sector industrial han ido conectando sus entornos industriales a las redes empresariales para automatizar la producción y obtener ventajas operativas. Ahora, las organizaciones están desplegando tecnologías del Internet de las Cosas (IoT) para migrar a la Industria 4.0, optimizar la producción y construir nuevas generaciones de productos y servicios.

Esta integración más profunda entre las TI, la nube y las redes industriales genera muchos retos de ciberseguridad. En esta digitalización, las organizaciones se encuentran con tres problemas principales:

• Falta de visibilidad: no suelen tener un inventario preciso de lo que hay en su red industrial, limitando su capacidad para construir una arquitectura de comunicaciones segura.

• Falta de control: a menudo desconocen qué dispositivos se están comunicando y a dónde van esas comunicaciones. No se puede controlar lo que no se conoce.
• Falta de colaboración: los dispositivos y procesos OT son gestionados por el equipo de operaciones. La ciberseguridad suele estar dirigida por los equipos de TI y de seguridad. Todos estos equipos deben colaborar para construir las políticas de seguridad.

Pero construir una red industrial segura no se consigue de la noche a la mañana. Para ayudar a garantizar el éxito, Cisco promueve un enfoque por fases en el que cada una de ellas construye los cimientos de la siguiente, mejorando la estrategia de seguridad al ritmo de cada organización.

2. Una correcta estrategia de ciberseguridad industrial requiere abordar esta aproximación con distintas soluciones que permitan:

• Identificar los activos industriales, entendiendo cómo se comunican e identificando las vulnerabilidades que se deben parchear.

• Segmentar las redes de control, agrupando los activos en zonas ICS aisladas, definiendo políticas de seguridad para proteger las zonas e impedir que los ataques se propaguen.
• Aplicar las políticas de seguridad, detectando las intrusiones procedentes del entorno TI, bloqueando los intentos de escanear y modificar los activos industriales y controlando las comunicaciones en la red industrial.
• Supervisar los procesos industriales, detectando comportamientos anormales de los activos industriales, llevando a cabo investigaciones de amenazas convergentes de TI/OT y bloqueando los ataques a los sistemas ICS antes de que sea demasiado tarde.

3. A través de Cisco Industrial Threat Defense, todas las soluciones están preintegradas para funcionar bien juntas. Esto supone un revulsivo ya que la mayoría de los equipos de seguridad tienen entre 15 y 20 herramientas de ciberseguridad diferentes. Y nadie quiere la complejidad añadida de integrar otro producto puntual. Así, Cisco permite:

• Descubrir los activos industriales con Cisco Cyber Vision
• Habilitar micro-segmentaciones con Cisco ISE
• Aplicar la segmentación de zonas con los firewall de nueva generación Cisco Firepower 1000
• Supervisar la actividad anómala con Cisco Cyber Vision
• Prevenir las intrusiones maliciosas con Cisco Firepower, impulsado por Cisco Talos
• Investigar las amenazas en TI y OT con Cisco Stealthwatch
• Construir una DMZ industrial y proteger el entorno OT con Cisco Firepower

4. Cisco es líder en seguridad de redes empresariales, pero también en redes industriales, reconocido por informes sobre seguridad ICS como el de Forrester. Y combinamos nuestras soluciones líderes, junto con nuestro profundo conocimiento de los requisitos de la tecnología operativa (OT) y junto a la ciber-inteligencia frente a amenazas de Talos (uno de los mayores equipos de investigación de seguridad del mundo) para hacer que la seguridad sea inherente y esté integrada en la red industrial.

Agustín Valencia, OT Security Business Development Manager Iberia en Fortinet 

1. Para establecer un proyecto de ciberseguridad industrial se requiere la implementación de múltiples elementos. Por un lado, necesitaremos soluciones que nos ofrezcan visibilidad a la vez que nos permitan inventariar los equipos, software y comunicaciones de los que disponemos. Requeriremos un elemento que nos permita segmentar las redes de proceso, así como una solución específica de dispositivos y protocolos industriales, los cuales suelen ser inseguros por diseño. También deberemos contar con distintos elementos que faciliten la gestión de accesos remotos, la protección de estaciones y servidores, realicen el backup y control de cambios y nos permitan monitorizar y detectar la seguridad en los activos y las comunicaciones.

En definitiva, un conjunto de soluciones que protejan todos y cada uno de los elementos que configuran nuestro sistema de control industrial.

2. Como indicábamos anteriormente, se trata de un conjunto de soluciones, no de un solo equipo que ofrezca solución para todo, ni siquiera que cada dispositivo se encargue de una única función. La integración entre los distintos elementos es un factor clave a evaluar, como señala Gartner con el concepto de Arquitectura de Malla de Ciberseguridad (CSMA), un modelo de integración y automatización que en Fortinet adoptamos hace años bajo la denominación Security Fabric y que contempla no solo la integración de las tecnologías de Fortinet sino también las de otros fabricantes con los que colaboramos.

En relación a la función de cada uno de los elementos que enumerábamos, los Firewalls de Nueva Generación (NGFW) deben ofrecer una segmentación de redes inteligente, que permita realizar un control basado en identidades o roles para acceder a las redes, así como la identificación y control de aplicaciones y protocolos industriales e, incluso, realizar tareas de mitigación de vulnerabilidades de red a través de lo que se viene denominando ‘Parcheo Virtual’. Por otro lado, emplearemos Antivirus avanzados (EPP), para identificar no solamente el software malicioso sino también el legítimo, inventariarlo y evaluar también si tienen vulnerabilidades identificadas y si hay disponibilidad de parches que aplicar. Se está incrementando la implementación de una nueva generación de protección de endpoint denominada EDR basada en la evaluación de comportamientos, que ya no busca identificar software malicioso analizando archivos sino analizando los procesos que se van ejecutando en las estaciones, de modo que la inteligencia de amenazas que se obtiene de los laboratorios de referencia permitirá identificar ataques en sus primeras fases antes de que p.ej.; un ransomware o una parada de equipos tenga lugar. Estas tecnologías pueden también hacer listas blancas de software autorizado (whitelisting) que permitan reducir la capacidad de instalación de software malicioso por los atacantes. Es importante tener en cuenta que las soluciones de endpoint funcionen en redes cerradas como son las de sistemas de control y que sean compatibles con sistemas operativos obsoletos, como suele pasar en entornos productivos, donde Win7, WinXP o Win2003 siguen siendo muy habituales.

En relación con la solución de Gestión y Autorización de Identidades (IAM), ésta debe ser capaz de permitir una gestión global de las mismas para los distintos sistemas de un entorno y armonizarlos, evitando estar dependiendo del control interno de cada sistema, que normalmente conduzca a una gestión deficiente de los mismos. Se deben aplicar de manera separada para entornos de IT respecto de OT para evitar compromisos entre redes etc. La gestión del acceso remoto tiene distintos modos de aplicación en la industria. En algunos casos se están desplegando dispositivos sobre las células de producción o los controladores (PLC), teniendo estas capacidades para acotar los usuarios que acceden y los equipos a los que tienen accesos. La realidad indica que se suelen desplegar para solventar la necesidad del acceso remoto pero sin llegar a aplicar las capacidades de seguridad que la tecnología permite. En otros casos se habla de servidores de salto (Jump Servers) que en sus versiones más avanzadas se denominan Privileged Access Management (PAM). Estas soluciones son las indicadas para los entornos más críticos, ofreciendo una separación de redes y no permitiendo acceder más allá excepto con las herramientas desplegadas en dicho servidor de salto. ofreciendo normalmente al usuario externo únicamente un entorno de escritorio virtualizado desde el que poder hacer tareas de configuración pero sin, normalmente, poder hacer envío de archivos. Estos entornos ofrecen múltiples capacidades de configuración pero requieren de entrenamiento y despliegue local, lo que no los hace idóneos para despliegues numerosos en entornos dispersos por las normales limitaciones de personal, tiempo y presupuesto.

El concepto de Secure Remote Access (SRA) es un término medio que permite aprovechar las capacidades de los NGFW desplegados con el control de usuarios de los IAM y de dispositivos y software de los EPP/EDR dando la agilidad de permitir utilizar el software propio de los terceros que requieren acceso, limitar las capacidades de entrada de malware circunscribiendo el acceso solamente a los protocolos y aplicaciones industriales, chequear previamente a la conexión la postura de seguridad de los dispositivos (vulnerabilidades sin parchear, última fecha de escaneo en busca de virus etc) y también prohibiendo el trasiego de archivos.

3. Desde nuestro punto de vista, el estado del arte se centra en la adopción del concepto Zero Trust, aquel por el cual se pide establecer filosofía de diseño y adopciones tecnológicas que permitan cumplir la famosa frase de ‘Never Trust, always verify’. Este concepto se ha desarrollado mucho en el ámbito de la seguridad de la información y los mecanismos para acceder a documentos en bases de datos etc., pero requiere una aproximación específica para sistemas industriales. Es decir, disponer de mecanismos que permitan chequear de manera integrada identidades de usuarios, de dispositivos y de aplicaciones que, con los elementos anteriores protegiendo, permitan reducir la superficie de exposición, controlar que solamente se accede a las redes y dispositivos con los equipos y aplicaciones adecuados, que se controlan apertura y cierre de dichas comunicaciones y que, todo junto, se chequea continuamente durante el funcionamiento para evitar que ningún potencial atacante suplanta a ningún usuario, dispositivo o red aprovechando un canal ya abierto.

4. Fortinet pone en valor el Zero Trust Network Access (ZTNA) que permite alinear tecnologías residentes en productos como los FortiGate (NGFW), los elementos de protección de Endpoint como FortiClient (EPP) y FortiEDR (EDR), y elementos de gestión de identidades como FortiAuthenticator (IAM) para establecer estas redes con ZTNA desplegado. También hay tecnologías que permiten consultar a la electrónica de red para evaluar conexiones de nuevos dispositivos a las mismas, tanto para funciones de inventario como para control de conexión solamente de los dispositivos autorizados, lo cual se lleva a cabo con FortiNAC.

Además tecnologías como FortiManager permitirán un despliegue similar en otras redes de manera sencilla. La monitorización se realiza a través de nuestra solución FortiAnalyzer que permte obtener toda la telemetría del conjunto de soluciones Fortinet, así como FortiSIEM, que permite agrupar la información proveniente del resto de dispositivos de la red industrial. En conjunto, estas tecnologías permiten integrar inventarios así como analizar los comportamientos de los usuarios y procesos, pudiendo dar evidencia del cumplimiento de las políticas corporativas o de análisis de riesgos.   

Este artículo aparece publicado en el nº 542 de Automática e Instrumentación págs. 38 a 41.