Demostración en directo: La plataforma Nozomi Networks en 15 minutos
Ver
Una forma sencilla de comparar OT e IT es la siguiente: Las TI valoran la integridad, confidencialidad y disponibilidad de los datos. La OT valora el tiempo de actividad, la seguridad y la fiabilidad de los procesos.
Las TI están omnipresentes en una organización y son utilizadas por casi todos los empleados, en todos los centros de costes. Por ello, la seguridad informática se centra en proteger los datos de accesos o modificaciones no autorizados, haciendo hincapié en el acceso basado en funciones y en la formación de los usuarios, el eslabón más débil, en prácticas seguras de ciberseguridad.
Los activos y redes OT suelen gestionar y controlar las joyas de la corona que impulsan los ingresos de una organización (o proporcionan servicios públicos esenciales), a menudo de forma autónoma. Si OT falla o sufre un ataque, lo que está en juego es más importante que con la TI, especialmente para las infraestructuras críticas. Por lo tanto, la seguridad de OT implica garantizar el funcionamiento seguro y fiable de los procesos físicos.
El volumen y la diversidad de los dispositivos OT e IoT los hacen más difíciles de gestionar que los dispositivos IT. Además, cada componente de una red OT forma parte de un proceso mayor en un entorno muy distribuido. Si una máquina tiene un problema, hay que saber inmediatamente de qué depende y qué depende de ella".
Históricamente, las redes OT estaban "aisladas": sin conectividad a Internet o a las redes informáticas de la empresa, las ciberamenazas no eran motivo de preocupación. Esos días han quedado atrás, pero con demasiada frecuencia la ciberseguridad en entornos OT sigue siendo una idea tardía. Gracias a la digitalización industrial, los entornos de producción actuales incluyen cientos de sistemas digitales interconectados que mejoran la eficiencia, pero también introducen nuevos riesgos. Muchos dispositivos OT no están gestionados y no pueden parchearse como los ordenadores y servidores IT. Cuando es posible aplicar parches, no se puede automatizar. Con algunas excepciones, la detección de amenazas se basa en la inspección profunda de paquetes y en técnicas de detección de anomalías basadas en el comportamiento y diseñadas específicamente para entornos OT.
Los ataques de ransomware acaparan los titulares, pero las desconfiguraciones cotidianas de la red o los procesos, los errores operativos, los picos de uso de recursos y otras anomalías tienen muchas más probabilidades de amenazar los entornos OT que los ataques externos. Una anomalía es cualquier cosa que se desvíe del rendimiento de referencia. Puede tratarse de valores de proceso inestables, mediciones de proceso incorrectas y configuraciones erróneas que pueden provocar un mal funcionamiento.
Los datos que se mueven a través de los activos y procesos OT (como los valores de los procesos) sólo son relevantes durante un instante, y puede haber millones de estos puntos de datos por minuto. Por lo tanto, la ciberseguridad OT se centra menos en la exfiltración de datos y más en garantizar que los datos solo se mueven entre dispositivos autorizados y son actuales en cada instante.
La mayoría de las TI tienen un ciclo de vida corto, con obsolescencia incorporada. El software caduca o se somete a una actualización importante cada pocos años, y el hardware debe sustituirse con frecuencia. En cambio, la OT suele tener un ciclo de vida largo, de varias décadas en algunos casos. Dispositivos como los PLC suelen estar diseñados específicamente para entornos de producción difíciles, y fabricados para durar. Muchos dispositivos OT siguen dependiendo de tecnología heredada que es "insegura por diseño", con vulnerabilidades bien documentadas que con demasiada frecuencia permanecen sin parchear. Y pueden pasar años hasta que se autoricen en fábrica y se realicen las pruebas de aceptación in situ, por lo que no se fomentan los pequeños ajustes.
Algunos sistemas OT -y sus componentes- funcionan continuamente durante años, con breves intervalos de tiempo para el mantenimiento programado. El funcionamiento continuo ayuda a garantizar la seguridad y la fiabilidad, ya que el tiempo de inactividad puede provocar fallos críticos en entornos industriales. Los parches (si están disponibles) y otras actualizaciones son poco frecuentes y deben programarse durante ventanas de mantenimiento estrechas.
Las TI utilizan sistemas operativos estándar y se comunican mediante protocolos estándar. Muchos dispositivos OT tienen sistemas operativos propietarios específicos para su uso. Los sistemas OT también utilizan cientos de protocolos para comunicarse, muchos de ellos específicos del sector e intrínsecamente inseguros. Estos protocolos están adaptados para la supervisión y el control en tiempo real de procesos y dispositivos físicos, priorizando la fiabilidad, los tiempos de respuesta deterministas y la resiliencia sobre la velocidad y la flexibilidad. Protocolos propietarios como Modbus o Profibus que deben analizarse cuidadosamente mediante inspección profunda de paquetes (DPI) para identificar comportamientos sospechosos o anómalos. Los sistemas informáticos de detección de intrusiones (IDS) y los sistemas de detección y respuesta endpoint (EDR) no entienden de protocolos industriales, por lo que no pueden detectar amenazas OT. En el mejor de los casos, serían ineficaces; en el peor, podrían consumir demasiados recursos o romper algo.
En un día cualquiera, los fabricantes pueden tener docenas de técnicos de terceros que se conectan remotamente para supervisar la producción y solucionar problemas de los equipos, a menudo utilizando sus propias herramientas de acceso remoto. El uso poco riguroso de credenciales débiles y contraseñas por defecto deja a las empresas expuestas a ataques mediante la ejecución remota de código.
Especialmenteen el caso de los equipos no tripulados, es posible que las contraseñas por defecto no se cambien nunca, lo que facilita su pirateo por parte de agentes malintencionados, y la autenticación multifactor (MFA) es poco práctica. En su lugar, se utiliza la supervisión continua para autenticar los dispositivos y garantizar la integridad de la comunicación entre ellos.
La segmentación es un control compensatorio esencial para limitar las comunicaciones y proteger los dispositivos que se pueden reparar con poca frecuencia, si es que se reparan. Para aislar las joyas de la corona industrial y evitar que los incidentes cibernéticos en las redes de TI se trasladen lateralmente a las redes OT , los entornos industriales hacen uso de zonas seguras y conductos que controlan y supervisan el tráfico entre segmentos
Comprender el riesgo de ciberseguridad, introducir las mejores prácticas de seguridad y crear una cultura de concienciación en los entornos industriales son cambios culturales importantes. Por ejemplo, conseguir que los ingenieros de OT acepten la mitigación del riesgo de ciberseguridad como mantenimiento programado requiere un cambio de mentalidad. Este cambio debe producirse a medida que los CISO adopten la gestión del riesgo empresarial y OT pase a estar cada vez más bajo su autoridad.
A pesar del escepticismo inicial, los operadores OT obtienen muchos beneficios de la supervisión continua de activos y redes. Recopila una gran cantidad de información sobre los activos y procesos que supervisa, útil para detectar cambios importantes, tanto anomalías de la línea de base como amenazas a la ciberseguridad. Además, una vez que comienza la supervisión continua, suelen salir a la luz problemas antiguos que los operadores no sabían que existían.
En cuanto se instala la plataforma Nozomi Networks , los sensores de red empiezan a analizar el tráfico de la red ICS y construyen una visualización interactiva del mismo. Los operadores y el personal de ciberseguridad ven los nodos de la red industrial visualizados, a menudo por primera vez. Perciben rápidamente aspectos de su entorno de los que antes no eran conscientes, y pueden profundizar fácilmente para encontrar más información.
Los operadores pueden ver no sólo los cambios de configuración y las anomalías, sino también quién ha iniciado sesión en un dispositivo, con qué otros dispositivos se está comunicando y qué protocolos está utilizando. Dos grandes ventajas son la visibilidad del tráfico Este-Oeste en los niveles inferiores de Purdue y las conexiones USB no autorizadas.
Los centros de operaciones de seguridad (SOC, por sus siglas en inglés) fusionados de OT son el punto de encuentro de las dos culturas. Están ganando popularidad por razones obvias, como la supervisión central del CISO, la convergencia OT , la mejora de los tiempos de respuesta y, por supuesto, el ahorro de costes. Sin embargo, más que un SOC fusionado, lo que se ve más a menudo es al equipo tradicional del SOC de TI prestando un servicio a un nuevo cliente, la unidad de negocio OT . Con frecuencia, lo que ocurre es un ejemplo de libro de texto de que el proveedor de servicios no entiende a su cliente. Debe producirse una importante transferencia de conocimientos, pero no es así.
Una forma sencilla de comparar OT e IT es la siguiente: Las TI valoran la integridad, confidencialidad y disponibilidad de los datos. La OT valora el tiempo de actividad, la seguridad y la fiabilidad de los procesos.
Las TI están omnipresentes en una organización y son utilizadas por casi todos los empleados, en todos los centros de costes. Por ello, la seguridad informática se centra en proteger los datos de accesos o modificaciones no autorizados, haciendo hincapié en el acceso basado en funciones y en la formación de los usuarios, el eslabón más débil, en prácticas seguras de ciberseguridad.
Los activos y redes OT suelen gestionar y controlar las joyas de la corona que impulsan los ingresos de una organización (o proporcionan servicios públicos esenciales), a menudo de forma autónoma. Si OT falla o sufre un ataque, lo que está en juego es más importante que con la TI, especialmente para las infraestructuras críticas. Por lo tanto, la seguridad de OT implica garantizar el funcionamiento seguro y fiable de los procesos físicos.
El volumen y la diversidad de los dispositivos OT e IoT los hacen más difíciles de gestionar que los dispositivos IT. Además, cada componente de una red OT forma parte de un proceso mayor en un entorno muy distribuido. Si una máquina tiene un problema, hay que saber inmediatamente de qué depende y qué depende de ella".
Históricamente, las redes OT estaban "aisladas": sin conectividad a Internet o a las redes informáticas de la empresa, las ciberamenazas no eran motivo de preocupación. Esos días han quedado atrás, pero con demasiada frecuencia la ciberseguridad en entornos OT sigue siendo una idea tardía. Gracias a la digitalización industrial, los entornos de producción actuales incluyen cientos de sistemas digitales interconectados que mejoran la eficiencia, pero también introducen nuevos riesgos. Muchos dispositivos OT no están gestionados y no pueden parchearse como los ordenadores y servidores IT. Cuando es posible aplicar parches, no se puede automatizar. Con algunas excepciones, la detección de amenazas se basa en la inspección profunda de paquetes y en técnicas de detección de anomalías basadas en el comportamiento y diseñadas específicamente para entornos OT.
Los ataques de ransomware acaparan los titulares, pero las desconfiguraciones cotidianas de la red o los procesos, los errores operativos, los picos de uso de recursos y otras anomalías tienen muchas más probabilidades de amenazar los entornos OT que los ataques externos. Una anomalía es cualquier cosa que se desvíe del rendimiento de referencia. Puede tratarse de valores de proceso inestables, mediciones de proceso incorrectas y configuraciones erróneas que pueden provocar un mal funcionamiento.
Los datos que se mueven a través de los activos y procesos OT (como los valores de los procesos) sólo son relevantes durante un instante, y puede haber millones de estos puntos de datos por minuto. Por lo tanto, la ciberseguridad OT se centra menos en la exfiltración de datos y más en garantizar que los datos solo se mueven entre dispositivos autorizados y son actuales en cada instante.
La mayoría de las TI tienen un ciclo de vida corto, con obsolescencia incorporada. El software caduca o se somete a una actualización importante cada pocos años, y el hardware debe sustituirse con frecuencia. En cambio, la OT suele tener un ciclo de vida largo, de varias décadas en algunos casos. Dispositivos como los PLC suelen estar diseñados específicamente para entornos de producción difíciles, y fabricados para durar. Muchos dispositivos OT siguen dependiendo de tecnología heredada que es "insegura por diseño", con vulnerabilidades bien documentadas que con demasiada frecuencia permanecen sin parchear. Y pueden pasar años hasta que se autoricen en fábrica y se realicen las pruebas de aceptación in situ, por lo que no se fomentan los pequeños ajustes.
Algunos sistemas OT -y sus componentes- funcionan continuamente durante años, con breves intervalos de tiempo para el mantenimiento programado. El funcionamiento continuo ayuda a garantizar la seguridad y la fiabilidad, ya que el tiempo de inactividad puede provocar fallos críticos en entornos industriales. Los parches (si están disponibles) y otras actualizaciones son poco frecuentes y deben programarse durante ventanas de mantenimiento estrechas.
Las TI utilizan sistemas operativos estándar y se comunican mediante protocolos estándar. Muchos dispositivos OT tienen sistemas operativos propietarios específicos para su uso. Los sistemas OT también utilizan cientos de protocolos para comunicarse, muchos de ellos específicos del sector e intrínsecamente inseguros. Estos protocolos están adaptados para la supervisión y el control en tiempo real de procesos y dispositivos físicos, priorizando la fiabilidad, los tiempos de respuesta deterministas y la resiliencia sobre la velocidad y la flexibilidad. Protocolos propietarios como Modbus o Profibus que deben analizarse cuidadosamente mediante inspección profunda de paquetes (DPI) para identificar comportamientos sospechosos o anómalos. Los sistemas informáticos de detección de intrusiones (IDS) y los sistemas de detección y respuesta endpoint (EDR) no entienden de protocolos industriales, por lo que no pueden detectar amenazas OT. En el mejor de los casos, serían ineficaces; en el peor, podrían consumir demasiados recursos o romper algo.
En un día cualquiera, los fabricantes pueden tener docenas de técnicos de terceros que se conectan remotamente para supervisar la producción y solucionar problemas de los equipos, a menudo utilizando sus propias herramientas de acceso remoto. El uso poco riguroso de credenciales débiles y contraseñas por defecto deja a las empresas expuestas a ataques mediante la ejecución remota de código.
Especialmenteen el caso de los equipos no tripulados, es posible que las contraseñas por defecto no se cambien nunca, lo que facilita su pirateo por parte de agentes malintencionados, y la autenticación multifactor (MFA) es poco práctica. En su lugar, se utiliza la supervisión continua para autenticar los dispositivos y garantizar la integridad de la comunicación entre ellos.
La segmentación es un control compensatorio esencial para limitar las comunicaciones y proteger los dispositivos que se pueden reparar con poca frecuencia, si es que se reparan. Para aislar las joyas de la corona industrial y evitar que los incidentes cibernéticos en las redes de TI se trasladen lateralmente a las redes OT , los entornos industriales hacen uso de zonas seguras y conductos que controlan y supervisan el tráfico entre segmentos
Comprender el riesgo de ciberseguridad, introducir las mejores prácticas de seguridad y crear una cultura de concienciación en los entornos industriales son cambios culturales importantes. Por ejemplo, conseguir que los ingenieros de OT acepten la mitigación del riesgo de ciberseguridad como mantenimiento programado requiere un cambio de mentalidad. Este cambio debe producirse a medida que los CISO adopten la gestión del riesgo empresarial y OT pase a estar cada vez más bajo su autoridad.
A pesar del escepticismo inicial, los operadores OT obtienen muchos beneficios de la supervisión continua de activos y redes. Recopila una gran cantidad de información sobre los activos y procesos que supervisa, útil para detectar cambios importantes, tanto anomalías de la línea de base como amenazas a la ciberseguridad. Además, una vez que comienza la supervisión continua, suelen salir a la luz problemas antiguos que los operadores no sabían que existían.
En cuanto se instala la plataforma Nozomi Networks , los sensores de red empiezan a analizar el tráfico de la red ICS y construyen una visualización interactiva del mismo. Los operadores y el personal de ciberseguridad ven los nodos de la red industrial visualizados, a menudo por primera vez. Perciben rápidamente aspectos de su entorno de los que antes no eran conscientes, y pueden profundizar fácilmente para encontrar más información.
Los operadores pueden ver no sólo los cambios de configuración y las anomalías, sino también quién ha iniciado sesión en un dispositivo, con qué otros dispositivos se está comunicando y qué protocolos está utilizando. Dos grandes ventajas son la visibilidad del tráfico Este-Oeste en los niveles inferiores de Purdue y las conexiones USB no autorizadas.
Los centros de operaciones de seguridad (SOC, por sus siglas en inglés) fusionados de OT son el punto de encuentro de las dos culturas. Están ganando popularidad por razones obvias, como la supervisión central del CISO, la convergencia OT , la mejora de los tiempos de respuesta y, por supuesto, el ahorro de costes. Sin embargo, más que un SOC fusionado, lo que se ve más a menudo es al equipo tradicional del SOC de TI prestando un servicio a un nuevo cliente, la unidad de negocio OT . Con frecuencia, lo que ocurre es un ejemplo de libro de texto de que el proveedor de servicios no entiende a su cliente. Debe producirse una importante transferencia de conocimientos, pero no es así.
