¿Cómo proteger y monitorizar adecuadamente el entorno OT?

La deseada convergencia entre el mundo IT (Tecnologías de la información) y el mundo OT (Tecnologías de la operación) se va abriendo paso en instalaciones y activos industriales. A medida que aumenta la conectividad entre las diferentes redes, se exponen activos críticos cuyo ataque puede resultar en graves pérdidas humanas, en infraestructuras o para la naturaleza. Los silos OT/IT, así como sistemas y protocolos heredados, dificultan la implementación de una estrategia de ciberseguridad capaz de mitigar amenazas en tiempo real. De cómo proteger y monitorizar adecuadamente el entorno OT, hablaremos en el próximo artículo con los líderes de la ciberseguridad industrial.

PREGUNTAS

1. ¿Cuáles son los principales desafíos que presenta la seguridad de los entornos OT?

2. ¿Qué normas o estándares son de obligado o aconsejado cumplimiento para el correcto diseño de una arquitectura IT/OT cibersegura?

3. ¿Cuáles son los equipos y sistemas mínimos necesarios para asegurar una correcta protección?¿Son necesarias otras medidas que van más allá de la instalación de equipos de protección?

4. ¿Son necesarias diferentes arquitecturas y/o equipos y sistemas en función del tipo de industria manufacturera?

5. ¿Cuál es la propuesta global resumida que propone su compañía?

1. A lo largo de los años, las compañías del sector industrial han ido conectando sus entornos industriales a las redes empresariales para automatizar la producción y obtener ventajas operativas. Ahora, los entornos de IT y de OT están integrándose más que nunca, y necesitan herramientas comunes para escalar y proteger la red. La automatización, la segmentación y las funcionalidades para identificar y resolver problemas de forma proactiva resultan fundamentales. Estas capacidades -ampliamente desplegadas en la empresa- deben así extenderse a las redes industriales.

2. Esta integración más estrecha entre las redes IT y las redes industriales genera muchos retos de ciberseguridad. Las organizaciones se encuentran con tres problemas principales:

• Falta de visibilidad: no suelen tener un inventario preciso de lo que hay en su red industrial, limitando su capacidad para construir una arquitectura de comunicaciones segura.
• Falta de control: a menudo desconocen qué dispositivos se están comunicando y a dónde van esas comunicaciones. No se puede controlar lo que no se conoce.
• Falta de colaboración: Los dispositivos y procesos OT son gestionados por el equipo de operaciones. La ciberseguridad suele estar dirigida por los equipos de IT y de seguridad. Todos estos equipos deben colaborar para construir las políticas de seguridad. 

Más de la mitad de las empresas no saben qué elementos tienen conectados a sus redes. Elaborar un mapa, especificar cuáles queremos tener conectados y de qué manera se comunican, es el primer proceso para evitar la propagación de ataques a través de la creación de redes que permitan aislar esos elementos.

3. Implementar firewalls para construir una zona desmilitarizada (DMZ) entre las redes industriales y el dominio IT es el primer paso obligatorio. Pero a medida que las organizaciones conectan más dispositivos, permiten un acceso más remoto y crean nuevas aplicaciones, no resulta suficiente.

Igualmente, las soluciones de seguridad diseñadas para redes industriales normalmente monitorizan el tráfico de la red para obtener visibilidad de activos, comportamientos, actividades maliciosas y amenazas. El proceso de evaluación y prueba de estas soluciones inicialmente tiende a ir bien, pero cuando comienzan a implementarlas a escala podrían aparecer problemas.

4. Cisco propone una estrategia de ciberseguridad industrial con distintas soluciones que permitan:

• Identificar los activos industriales, entendiendo cómo se comunican e identificando las vulnerabilidades que se deben parchear.
• Segmentar las redes de control, agrupando los activos en zonas ICS de Sistemas de Control Industrial (ICS) aisladas, definiendo políticas de seguridad para proteger las zonas e impedir que los ataques se propaguen. 
• Aplicar las políticas de seguridad, detectando las intrusiones procedentes del entorno IT, bloqueando los intentos de escanear y modificar los activos industriales y controlando las comunicaciones en la red industrial.
• Supervisar los procesos industriales, detectando comportamientos anómalos de los activos industriales, llevando a cabo investigaciones de amenazas convergentes de IT/OT y bloqueando los ataques a los sistemas ICS antes de que sea demasiado tarde. 

Todas las soluciones están preintegradas para funcionar bien juntas. Esto supone un revulsivo, ya que la mayoría de los equipos de seguridad tienen entre 15 y 20 herramientas de ciberseguridad diferentes. Y nadie quiere la complejidad añadida de integrar otro producto. Y, aunque las arquitecturas y/o equipos pueden aplicarse a cualquier industria, para facilitar su adopción, Cisco ofrece más de 50 diseños validados para sectores verticales concretos. Colaborando con partners del sector, son modelos para arquitecturas de OT que se han probado y contrastado para ofrecer resultados de negocio. Los Diseños Validados de Cisco (Cisco Validated Designs) permiten a los clientes y partners evolucionar rápidamente desde pruebas de concepto a implementaciones escalables y exitosas.

5. Cisco es líder en seguridad de redes empresariales, pero también en redes industriales. Y combinamos nuestras soluciones líderes, junto con nuestro profundo conocimiento de los requisitos de la tecnología operativa y junto a la ciber-inteligencia frente a amenazas de Talos (uno de los mayores equipos de investigación de seguridad del mundo) para hacer que la seguridad sea inherente y esté integrada en la red industrial.

1. Hay algunos riesgos que son conocidos y recurrentes como son la obsolescencia de los sistemas, la diversidad de fabricantes y la aceleración de la conectividad con otros entornos. 

A estos hay que añadir otros dos como son el riesgo de la cadena de suministro y el riesgo de terceras partes. Estos riesgos han motivado regulaciones específicas, tanto en el ámbito europeo como norteamericano, con el objetivo de proteger entornos que son críticos para la sociedad.

Nos encontramos en un ecosistema vulnerable por su heterogeneidad. En los entornos OT actuales conviven con equipos diseñados para operar entre 15 y 25 años y que no están preparados para estar hiperconectados, con plataformas más modernas, que incluso tienen una parte desplegada en la nube. Sin embargo, en muchas ocasiones esta vulnerabilidad no es percibida como tal por los propios equipos de gestión, si bien esta sensación se va revirtiendo. Un dato relevante del último informe ‘Estado de la Ciberseguridad y Tecnología Operativa 2023’ de Fortinet revela que los profesionales de la ciberseguridad sobrestiman la madurez en seguridad OT, un 13% consideran que la postura de seguridad OT de su organización es "muy madura", una cifra que ha descendido desde el año anterior donde esta afirmación la realizó el 21% de los profesionales. Es decir, crece la concienciación entre los profesionales OT sobre los retos de seguridad a los que se enfrentan. 

En conjunto, si bien las organizaciones de OT han mejorado su postura general de ciberseguridad, todavía hay margen de mejora. Los equipos de redes e IT están sometidos a una gran presión para adaptarse y ser más conscientes de la OT y las organizaciones están en proceso de encontrar y emplear soluciones que implementen la seguridad en todo su entorno de IT/OT para reducir su riesgo de seguridad general.

2. Desgraciadamente, todavía no hay una normativa clara y de obligado cumplimiento y, además, hay que distinguir el concepto de componente o dispositivo del sistema, donde el concepto de arquitectura es de vital importancia. Hay un consenso general en cuanto a la necesidad de la segmentación de entornos IT y OT, pero las iniciativas de digitalización con proyectos de IoT y hasta Nube suponen un gran reto para entender estos niveles iniciales de segmentación. 

Aun así, en la industria, hay dos estándares de referencia, ISA/IEC 62443 y NIST 800-82 rev3. También se ha de decir que hay varios sectores que están haciendo adaptaciones de las anteriores y ya se empieza a hablar de obligado cumplimiento para los próximos años. El sector marítimo ya plantea el ER26 y ER27, y el ferroviario hizo una guía denominada TS 50701, y que está evolucionando hacia la IEC 63542. En el sector de la manufactura hay una nueva directiva de seguridad de maquinaria, llamada Regulation on Machinery EU 2023/1230 que, si bien no habla de arquitecturas, merece especial atención por ser la primera que señala los requisitos de ciberseguridad. 

3. Las organizaciones pueden hacer frente a los retos de la seguridad OT adoptando buenas prácticas como: desarrollar una estrategia de plataforma de seguridad para proveedores y entornos OT, implantar tecnología de control de acceso a la red (NAC) y aplicar un enfoque de confianza cero. En este sentido, y a nivel amplio, debemos tomar lo que indica NIS2, que engloba desde las entidades críticas (ya cubiertas por regulaciones anteriores) como las entidades importantes, donde el sector manufacturero es cubierto en la mayoría de las situaciones. 

Por tanto, debemos hablar de segmentación, control del tráfico industrial y de parcheo virtual (donde los firewalls FortiGate son una referencia absoluta en entorno industrial), de protección de endpoints (donde muchas situaciones de equipos desactualizados y no conectables a redes externas presentan un reto ante muchas soluciones, aunque hay algunas que sí responden a esta necesidad, como FortiClient y FortiEDR-), también las soluciones de monitorización y detección de seguridad para poder cumplir con las obligaciones de detección y reporting de incidentes en plazos super exigentes de 24h a 72h (con soluciones como FortiAnalizer, FortiSIEM hasta soluciones avanzadas como FortiDeceptor) y, conforme las iniciativas de sensorización e IIoT van aumentando, las soluciones de inventario y control de dispositivos (FortiNAC), seguridad de APIs (FortiWeb) o nube también deben estar en la mente de los responsables para incorporar la ciberseguridad desde el diseño.

4. Por supuesto, y es algo por lo que el amplio concepto de OT requiere una aproximación específica para cada sector. Vemos habitualmente como en una misma empresa que tiene fábricas que se dedican a lo mismo -teóricamente-, acabamos desplegando distintos tipos de arquitectura y de capas defensivas atendiendo a criterios como producto, tamaño, geografía, criticidad para la empresa, etc. Por lo tanto, no podemos hablar de una única solución para todos los entornos OT.

5. Si bien hemos nombrado alguna de las tecnologías que Fortinet ofrece tanto para la prevención, detección como la respuesta a ciberincidentes, la idea principal es el concepto de plataforma, que cada pieza se integre con las demás, tanto de Fortinet como de otros fabricantes, que permita una operación más sencilla, una curva de aprendizaje más rápida y menos recursos para gestionar todos los dominios gracias a la integración de fuentes, consolidación de dashboards o la automatización entre soluciones. 

Un enfoque de plataforma, con APIs abiertas y un sólido ecosistema de alianzas tecnológicas preparadas para una estructura y arquitectura óptimas, diseñado para ofrecer funciones conscientes de la OT para proteger los entornos OT, permite a los CISO y a los equipos de seguridad reducir la complejidad, aumentar la eficacia en la prevención y detección del ransomware, y acelerar la clasificación, investigación y respuesta ante incidentes.

----

Este artículo aparece publicado en el nº 551 de Automática e Instrumentación págs. 44 a 46.