Nozomi Networks Enters Next Phase of Growth as Mitsubishi Electric Completes Acquisition
Read the News
Una forma sencilla de comparar OT e IT es la siguiente: Las TI valoran la integridad, confidencialidad y disponibilidad de los datos. La OT valora el tiempo de actividad, la seguridad y la fiabilidad de los procesos.
Las TI están omnipresentes en una organización y son utilizadas por casi todos los empleados, en todos los centros de costes. Por ello, la seguridad informática se centra en proteger los datos de accesos o modificaciones no autorizados, haciendo hincapié en el acceso basado en funciones y en la formación de los usuarios, el eslabón más débil, en prácticas seguras de ciberseguridad.
OT assets and networks typically manage and control the crown jewels that drive revenue for an organization (or provide essential public services), often autonomously. If OT fails or is attacked, the stakes are higher than with IT, especially for critical infrastructure. Therefore, OT security involves ensuring the safe, reliable operation of physical processes.
La protección de los activos y redes OT presenta muchos retos en comparación con las prácticas de ciberseguridad de TI, que siguen de cerca las diferencias entre los propios sistemas de OT y TI.
El volumen y la diversidad de los dispositivos OT e IoT los hacen más difíciles de gestionar que los dispositivos IT. Además, cada componente de una red OT forma parte de un proceso mayor en un entorno muy distribuido. Si una máquina tiene un problema, hay que saber inmediatamente de qué depende y qué depende de ella".
Históricamente, las redes OT estaban "aisladas": sin conectividad a Internet o a las redes informáticas de la empresa, las ciberamenazas no eran motivo de preocupación. Esos días han quedado atrás, pero con demasiada frecuencia la ciberseguridad en entornos OT sigue siendo una idea tardía. Gracias a la digitalización industrial, los entornos de producción actuales incluyen cientos de sistemas digitales interconectados que mejoran la eficiencia, pero también introducen nuevos riesgos. Muchos dispositivos OT no están gestionados y no pueden parchearse como los ordenadores y servidores IT. Cuando es posible aplicar parches, no se puede automatizar. Con algunas excepciones, la detección de amenazas se basa en la inspección profunda de paquetes y en técnicas de detección de anomalías basadas en el comportamiento y diseñadas específicamente para entornos OT.
Los ataques de ransomware acaparan los titulares, pero las desconfiguraciones cotidianas de la red o los procesos, los errores operativos, los picos de uso de recursos y otras anomalías tienen muchas más probabilidades de amenazar los entornos OT que los ataques externos. Una anomalía es cualquier cosa que se desvíe del rendimiento de referencia. Puede tratarse de valores de proceso inestables, mediciones de proceso incorrectas y configuraciones erróneas que pueden provocar un mal funcionamiento.
Los datos que se mueven a través de los activos y procesos OT (como los valores de los procesos) sólo son relevantes durante un instante, y puede haber millones de estos puntos de datos por minuto. Por lo tanto, la ciberseguridad OT se centra menos en la exfiltración de datos y más en garantizar que los datos solo se mueven entre dispositivos autorizados y son actuales en cada instante.
La mayoría de las TI tienen un ciclo de vida corto, con obsolescencia incorporada. El software caduca o se somete a una actualización importante cada pocos años, y el hardware debe sustituirse con frecuencia. En cambio, la OT suele tener un ciclo de vida largo, de varias décadas en algunos casos. Dispositivos como los PLC suelen estar diseñados específicamente para entornos de producción difíciles, y fabricados para durar. Muchos dispositivos OT siguen dependiendo de tecnología heredada que es "insegura por diseño", con vulnerabilidades bien documentadas que con demasiada frecuencia permanecen sin parchear. Y pueden pasar años hasta que se autoricen en fábrica y se realicen las pruebas de aceptación in situ, por lo que no se fomentan los pequeños ajustes.
Algunos sistemas OT -y sus componentes- funcionan continuamente durante años, con breves intervalos de tiempo para el mantenimiento programado. El funcionamiento continuo ayuda a garantizar la seguridad y la fiabilidad, ya que el tiempo de inactividad puede provocar fallos críticos en entornos industriales. Los parches (si están disponibles) y otras actualizaciones son poco frecuentes y deben programarse durante ventanas de mantenimiento estrechas.
IT uses standard operating systems and communicate using standard protocols. Many OT devices have proprietary operating systems specific to their use. OT systems also use hundreds of protocols to communicate, many of them industry specific and inherently insecure. These protocols are tailored for real-time monitoring and control of physical processes and devices, prioritizing reliability, deterministic response times and resilience over speed and flexibility. Proprietary protocols like Modbus or Profibus that must be carefully analyzed using deep packet inspection (DPI) to identify suspicious or anomalous behavior. IT intrusion detection systems (IDS) and endpoint detection and response systems (EDRs) don't understand industrial protocols so can't detect OT-focused threats. At best they would be ineffective; at worst they could consume too many resources or break something.
En un día cualquiera, los fabricantes pueden tener docenas de técnicos de terceros que se conectan remotamente para supervisar la producción y solucionar problemas de los equipos, a menudo utilizando sus propias herramientas de acceso remoto. El uso poco riguroso de credenciales débiles y contraseñas por defecto deja a las empresas expuestas a ataques mediante la ejecución remota de código.
Especialmenteen el caso de los equipos no tripulados, es posible que las contraseñas por defecto no se cambien nunca, lo que facilita su pirateo por parte de agentes malintencionados, y la autenticación multifactor (MFA) es poco práctica. En su lugar, se utiliza la supervisión continua para autenticar los dispositivos y garantizar la integridad de la comunicación entre ellos.
La segmentación es un control compensatorio esencial para limitar las comunicaciones y proteger los dispositivos que se pueden reparar con poca frecuencia, si es que se reparan. Para aislar las joyas de la corona industrial y evitar que los incidentes cibernéticos en las redes de TI se trasladen lateralmente a las redes OT , los entornos industriales hacen uso de zonas seguras y conductos que controlan y supervisan el tráfico entre segmentos
Comprender el riesgo de ciberseguridad, introducir las mejores prácticas de seguridad y crear una cultura de concienciación en los entornos industriales son cambios culturales importantes. Por ejemplo, conseguir que los ingenieros de OT acepten la mitigación del riesgo de ciberseguridad como mantenimiento programado requiere un cambio de mentalidad. Este cambio debe producirse a medida que los CISO adopten la gestión del riesgo empresarial y OT pase a estar cada vez más bajo su autoridad.
A pesar del escepticismo inicial, los operadores OT obtienen muchos beneficios de la supervisión continua de activos y redes. Recopila una gran cantidad de información sobre los activos y procesos que supervisa, útil para detectar cambios importantes, tanto anomalías de la línea de base como amenazas a la ciberseguridad. Además, una vez que comienza la supervisión continua, suelen salir a la luz problemas antiguos que los operadores no sabían que existían.
En cuanto se instala la plataforma Nozomi Networks , los sensores de red empiezan a analizar el tráfico de la red ICS y construyen una visualización interactiva del mismo. Los operadores y el personal de ciberseguridad ven los nodos de la red industrial visualizados, a menudo por primera vez. Perciben rápidamente aspectos de su entorno de los que antes no eran conscientes, y pueden profundizar fácilmente para encontrar más información.
Los operadores pueden ver no sólo los cambios de configuración y las anomalías, sino también quién ha iniciado sesión en un dispositivo, con qué otros dispositivos se está comunicando y qué protocolos está utilizando. Dos grandes ventajas son la visibilidad del tráfico Este-Oeste en los niveles inferiores de Purdue y las conexiones USB no autorizadas.
Los centros de operaciones de seguridad (SOC, por sus siglas en inglés) fusionados de OT son el punto de encuentro de las dos culturas. Están ganando popularidad por razones obvias, como la supervisión central del CISO, la convergencia OT , la mejora de los tiempos de respuesta y, por supuesto, el ahorro de costes. Sin embargo, más que un SOC fusionado, lo que se ve más a menudo es al equipo tradicional del SOC de TI prestando un servicio a un nuevo cliente, la unidad de negocio OT . Con frecuencia, lo que ocurre es un ejemplo de libro de texto de que el proveedor de servicios no entiende a su cliente. Debe producirse una importante transferencia de conocimientos, pero no es así.
Una forma sencilla de comparar OT e IT es la siguiente: Las TI valoran la integridad, confidencialidad y disponibilidad de los datos. La OT valora el tiempo de actividad, la seguridad y la fiabilidad de los procesos.
Las TI están omnipresentes en una organización y son utilizadas por casi todos los empleados, en todos los centros de costes. Por ello, la seguridad informática se centra en proteger los datos de accesos o modificaciones no autorizados, haciendo hincapié en el acceso basado en funciones y en la formación de los usuarios, el eslabón más débil, en prácticas seguras de ciberseguridad.
OT assets and networks typically manage and control the crown jewels that drive revenue for an organization (or provide essential public services), often autonomously. If OT fails or is attacked, the stakes are higher than with IT, especially for critical infrastructure. Therefore, OT security involves ensuring the safe, reliable operation of physical processes.
La protección de los activos y redes OT presenta muchos retos en comparación con las prácticas de ciberseguridad de TI, que siguen de cerca las diferencias entre los propios sistemas de OT y TI.
El volumen y la diversidad de los dispositivos OT e IoT los hacen más difíciles de gestionar que los dispositivos IT. Además, cada componente de una red OT forma parte de un proceso mayor en un entorno muy distribuido. Si una máquina tiene un problema, hay que saber inmediatamente de qué depende y qué depende de ella".
Históricamente, las redes OT estaban "aisladas": sin conectividad a Internet o a las redes informáticas de la empresa, las ciberamenazas no eran motivo de preocupación. Esos días han quedado atrás, pero con demasiada frecuencia la ciberseguridad en entornos OT sigue siendo una idea tardía. Gracias a la digitalización industrial, los entornos de producción actuales incluyen cientos de sistemas digitales interconectados que mejoran la eficiencia, pero también introducen nuevos riesgos. Muchos dispositivos OT no están gestionados y no pueden parchearse como los ordenadores y servidores IT. Cuando es posible aplicar parches, no se puede automatizar. Con algunas excepciones, la detección de amenazas se basa en la inspección profunda de paquetes y en técnicas de detección de anomalías basadas en el comportamiento y diseñadas específicamente para entornos OT.
Los ataques de ransomware acaparan los titulares, pero las desconfiguraciones cotidianas de la red o los procesos, los errores operativos, los picos de uso de recursos y otras anomalías tienen muchas más probabilidades de amenazar los entornos OT que los ataques externos. Una anomalía es cualquier cosa que se desvíe del rendimiento de referencia. Puede tratarse de valores de proceso inestables, mediciones de proceso incorrectas y configuraciones erróneas que pueden provocar un mal funcionamiento.
Los datos que se mueven a través de los activos y procesos OT (como los valores de los procesos) sólo son relevantes durante un instante, y puede haber millones de estos puntos de datos por minuto. Por lo tanto, la ciberseguridad OT se centra menos en la exfiltración de datos y más en garantizar que los datos solo se mueven entre dispositivos autorizados y son actuales en cada instante.
La mayoría de las TI tienen un ciclo de vida corto, con obsolescencia incorporada. El software caduca o se somete a una actualización importante cada pocos años, y el hardware debe sustituirse con frecuencia. En cambio, la OT suele tener un ciclo de vida largo, de varias décadas en algunos casos. Dispositivos como los PLC suelen estar diseñados específicamente para entornos de producción difíciles, y fabricados para durar. Muchos dispositivos OT siguen dependiendo de tecnología heredada que es "insegura por diseño", con vulnerabilidades bien documentadas que con demasiada frecuencia permanecen sin parchear. Y pueden pasar años hasta que se autoricen en fábrica y se realicen las pruebas de aceptación in situ, por lo que no se fomentan los pequeños ajustes.
Algunos sistemas OT -y sus componentes- funcionan continuamente durante años, con breves intervalos de tiempo para el mantenimiento programado. El funcionamiento continuo ayuda a garantizar la seguridad y la fiabilidad, ya que el tiempo de inactividad puede provocar fallos críticos en entornos industriales. Los parches (si están disponibles) y otras actualizaciones son poco frecuentes y deben programarse durante ventanas de mantenimiento estrechas.
IT uses standard operating systems and communicate using standard protocols. Many OT devices have proprietary operating systems specific to their use. OT systems also use hundreds of protocols to communicate, many of them industry specific and inherently insecure. These protocols are tailored for real-time monitoring and control of physical processes and devices, prioritizing reliability, deterministic response times and resilience over speed and flexibility. Proprietary protocols like Modbus or Profibus that must be carefully analyzed using deep packet inspection (DPI) to identify suspicious or anomalous behavior. IT intrusion detection systems (IDS) and endpoint detection and response systems (EDRs) don't understand industrial protocols so can't detect OT-focused threats. At best they would be ineffective; at worst they could consume too many resources or break something.
En un día cualquiera, los fabricantes pueden tener docenas de técnicos de terceros que se conectan remotamente para supervisar la producción y solucionar problemas de los equipos, a menudo utilizando sus propias herramientas de acceso remoto. El uso poco riguroso de credenciales débiles y contraseñas por defecto deja a las empresas expuestas a ataques mediante la ejecución remota de código.
Especialmenteen el caso de los equipos no tripulados, es posible que las contraseñas por defecto no se cambien nunca, lo que facilita su pirateo por parte de agentes malintencionados, y la autenticación multifactor (MFA) es poco práctica. En su lugar, se utiliza la supervisión continua para autenticar los dispositivos y garantizar la integridad de la comunicación entre ellos.
La segmentación es un control compensatorio esencial para limitar las comunicaciones y proteger los dispositivos que se pueden reparar con poca frecuencia, si es que se reparan. Para aislar las joyas de la corona industrial y evitar que los incidentes cibernéticos en las redes de TI se trasladen lateralmente a las redes OT , los entornos industriales hacen uso de zonas seguras y conductos que controlan y supervisan el tráfico entre segmentos
Comprender el riesgo de ciberseguridad, introducir las mejores prácticas de seguridad y crear una cultura de concienciación en los entornos industriales son cambios culturales importantes. Por ejemplo, conseguir que los ingenieros de OT acepten la mitigación del riesgo de ciberseguridad como mantenimiento programado requiere un cambio de mentalidad. Este cambio debe producirse a medida que los CISO adopten la gestión del riesgo empresarial y OT pase a estar cada vez más bajo su autoridad.
A pesar del escepticismo inicial, los operadores OT obtienen muchos beneficios de la supervisión continua de activos y redes. Recopila una gran cantidad de información sobre los activos y procesos que supervisa, útil para detectar cambios importantes, tanto anomalías de la línea de base como amenazas a la ciberseguridad. Además, una vez que comienza la supervisión continua, suelen salir a la luz problemas antiguos que los operadores no sabían que existían.
En cuanto se instala la plataforma Nozomi Networks , los sensores de red empiezan a analizar el tráfico de la red ICS y construyen una visualización interactiva del mismo. Los operadores y el personal de ciberseguridad ven los nodos de la red industrial visualizados, a menudo por primera vez. Perciben rápidamente aspectos de su entorno de los que antes no eran conscientes, y pueden profundizar fácilmente para encontrar más información.
Los operadores pueden ver no sólo los cambios de configuración y las anomalías, sino también quién ha iniciado sesión en un dispositivo, con qué otros dispositivos se está comunicando y qué protocolos está utilizando. Dos grandes ventajas son la visibilidad del tráfico Este-Oeste en los niveles inferiores de Purdue y las conexiones USB no autorizadas.
Los centros de operaciones de seguridad (SOC, por sus siglas en inglés) fusionados de OT son el punto de encuentro de las dos culturas. Están ganando popularidad por razones obvias, como la supervisión central del CISO, la convergencia OT , la mejora de los tiempos de respuesta y, por supuesto, el ahorro de costes. Sin embargo, más que un SOC fusionado, lo que se ve más a menudo es al equipo tradicional del SOC de TI prestando un servicio a un nuevo cliente, la unidad de negocio OT . Con frecuencia, lo que ocurre es un ejemplo de libro de texto de que el proveedor de servicios no entiende a su cliente. Debe producirse una importante transferencia de conocimientos, pero no es así.
