Implementación de controles cibernéticos proactivos en OT: mitos …



Desmontando los mitos que rodean la implementación de controles cibernéticos proactivos en la tecnología operativa.

A medida que aumenta la frecuencia de los ataques cibernéticos, a menudo con un mayor nivel de sofisticación para evadir la detección, es fácil ver por qué las organizaciones están invirtiendo en tecnologías de seguridad, como la automatización, que pueden responder de manera más eficiente a posibles ataques después de que se cumplen ciertas condiciones. .

Los efectos de este riesgo pueden tomar muchas formas, incluida la divulgación no autorizada de los datos del cliente, la pérdida de la confianza del cliente, los litigios, la pérdida financiera (incluidas las fuertes sanciones) y la reputación de marca dañada. Si bien estos impactos suenan mal, y lo son, a menudo palidecen en comparación con las posibles implicaciones de una brecha en la tecnología operativa (OT) y los entornos de infraestructura crítica, que también pueden incluir preocupaciones de seguridad y pérdida de vidas.

Al mejorar la forma en que protegen sus redes de TI, las organizaciones pueden lograr una reducción de riesgos más inmediata, acortar el tiempo que necesitan los defensores para contrarrestar un ataque y maximizar el uso de inversiones y recursos humanos. Entonces, ¿por qué a menudo vemos esfuerzos menos proactivos en OT?

Primero, es probable que las implicaciones de bloquear inadvertidamente una conexión no conduzcan a un evento catastrófico y, por lo tanto, hay un poco más de flexibilidad sobre dónde se pueden automatizar los controles. En segundo lugar, hay una mayor tasa de ataques cibernéticos observados en los perímetros externos que en el perímetro de las redes OT, lo que nos recuerda que los controles en la purple empresarial son a menudo las primeras líneas de defensa para OT. Si bien ambas son razones válidas, no significa que no se pueda lograr un mayor nivel de madurez en ciberseguridad en entornos OT.

Los controles proactivos en OT no son nada nuevo. Pensando en los días del LOGIICA (Vinculando la industria del petróleo y el gasoline para mejorar la ciberseguridad), el consorcio se unió para evaluar la lista blanca de aplicaciones, una tecnología de seguridad diseñada para mantener una lista de archivos ejecutables autorizados y luego bloquear automáticamente la ejecución de cualquier archivo que no esté en esa lista. Este es un gran ejemplo, de hace casi una década, de controles proactivos utilizados en los niveles más altos de OT, y el caso de negocios no fue muy diferente al precise.

Cuando muchas personas piensan en redes OT, piensan en los sensores y actuadores que realizan tareas, como abrir válvulas, encender bombas, elevar temperaturas y agregar productos químicos. Estos dispositivos residen en los niveles , 1 y 2 del Modelo Purdue y son el núcleo de lo que supervisa y controla ese sitio. Debido a que muchas tecnologías de seguridad de puntos finales, como la inclusión de aplicaciones en listas blancas, están diseñadas para instalarse en dispositivos de tipo TI, como estaciones de trabajo y servidores, estas soluciones generalmente no son aplicables a estos activos industriales que residen en los niveles inferiores.

Sin embargo, hay muchos otros activos de apoyo que residen en los Niveles 3 y 3.5 (el OT DMZ) que son Menos críticos y pueden incluir dispositivos como controladores de dominio, cajas de salto de acceso remoto, servidores antivirus y de parcheo, historiadores (un historiador recopila puntos de datos a lo largo del tiempo de muchas áreas diferentes de la planta para que se puedan tomar decisiones sobre esos datos en un momento posterior), y mucho más. Esta es un área de gran potencial para comenzar mejoras de seguridad proactivas porque se asemeja más a los dispositivos tradicionales de tipo de TI que admiten el entorno de OT, pero lo que es más importante, a menudo no tienen un directo impacto en las operaciones. Por estas razones, los niveles 3 y 3.5 son un excelente punto de partida para automatizar los controles cibernéticos en OT.

Tomar medidas proactivas en estos niveles proporciona algunas ventajas significativas sobre el adversario. Un ejemplo very simple podría ser aprovechar una solución de monitoreo de crimson continuo para detectar tráfico malicioso o anómalo, que es donde a menudo llega el tráfico de la crimson empresarial. Luego, una vez que se detecta actividad, se puede generar una alerta seguida de la creación de una política de firewall para bloquear automáticamente ese host y al mismo tiempo abrir un ticket de soporte asignado al grupo apropiado para cualquier acción de seguimiento.

Otro ejemplo podría ser cuando un nuevo host, no definido en la línea base de la crimson, comienza a comunicarse con la interfaz hombre-máquina o la estación de trabajo de ingeniería. Una acción apropiada puede ser bloquear automáticamente esas conexiones no autorizadas y, por supuesto, también generar una alerta y un ticket de soporte. Estas acciones son prudentes en el entorno genuine y son solo un par de ejemplos básicos que aprovechan los beneficios de la automatización.

Muchas opciones
Mientras que algunos pueden dudar ante la concept de bloquear automáticamente alguna comunicaciones en la pink OT, hay muchas opciones, que dependen del nivel de comodidad de cada uno. Por ejemplo, en cualquiera de los escenarios mencionados anteriormente, se podría haber generado una alerta y un ticket sin implementar un bloqueo. Otra opción sería agregar o actualizar automáticamente cualquier activo descubierto a la foundation de datos de administración de configuración o enviar eventos críticos al sistema de administración de eventos e información de seguridad, deshabilitar dispositivos USB no autorizados, cambiar LAN virtuales por un activo si no se cumplen ciertos criterios, valide y corrija el antivirus, o parchee las brechas de cumplimiento para laptops transitorias. Las opciones, aunque no son infinitas, son ciertamente abundantes y permiten una amplia gama de acciones mientras se aprovechan las inversiones existentes que ha realizado la empresa.

Cada uno de estos es un paso en la dirección correcta hacia la seguridad proactiva en entornos OT. Al closing, se trata de reducir el riesgo y equilibrar las necesidades de la empresa mientras se garantiza que el sitio continúe funcionando y funcionando. sin peligro.

Cualquier buen programa de ciberseguridad no se implementa de la noche a la mañana, sino que, más bien, puede tardar años en implementarse. Incluso entonces, es un viaje en constante evolución que requiere adaptación a nuestros tiempos cambiantes. Pero no podemos descuidar las redes de TO como parte de este viaje, incluso dando pequeños pasos manejables y trabajando hacia los hitos en los Niveles 3 y 3.5 para cumplir con las metas y objetivos de seguridad de la organización.

Michael Piccalo es el Director de Ingeniería de Sistemas OT / ICS en Forescout Systems. Con más de 25 años de experiencia en la industria de la ciberseguridad, trabajó en la implementación de algunos de los primeros firewalls que protegen la OT y la infraestructura crítica en 2001 y se desempeñó en el … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original