Cómo cerrar la brecha de seguridad entre TI y OT

0
14

Schneider Electric conoce el valor comercial de conectar sus más de 200 centros de distribución y producción, y hacerlos converger con los sistemas informáticos. A medida que más y más entornos industriales se conectan a través de sensores y actuadores para producir datos para una visión proactiva y servicios, la «IIoT [internet industrial de las cosas] se está convirtiendo en la nueva normalidad», señala Christophe Blassiau, CISO global de Schneider.

Conectar la tecnología operativa (OT) y las operaciones de TI se ha convertido en un imperativo empresarial para las organizaciones que quieren impulsar la fiabilidad, obtener una ventaja competitiva o hacer que las operaciones sean más ágiles y resistentes.

Blassiau también conoce los riesgos. «La TI puede infectar y eliminar los entornos de OT en general y a gran velocidad, como se ha visto con WannaCry y NotPetya», añade. «Los expertos de OT y de TI deben colaborar para proteger las plantas y la infraestructura crítica».

Hoy en día, Schneider tiene en marcha iniciativas de ciberseguridad para segmentar y monitorizar las redes industriales en todo el mundo, lo que las sitúa muy por delante de muchas organizaciones con entornos de OT. «Durante mucho tiempo, la seguridad no ha sido una preocupación, porque nada estaba conectado; pero ahora sí lo es», comenta el Dr. Abel Sánchez, director ejecutivo e investigador científico del Laboratorio de Fabricación y Productividad del Instituto Tecnológico de Massachusetts. «La TI tiene su propia pila de seguridad y prácticas bien establecidas, pero cuando se trata del mundo de la OT y la IIoT, hay un panorama muy diferente. Para muchas empresas esto es nuevo», añade.

En el 2018, el 78% de los activos operativos estaban conectados a una red, frente al 60% en el 2016, según el IDC. Se espera que ese número aumente nuevamente este año.

Ya sea que se trate de sensores inalámbricos desplegados en una subestación eléctrica remota o en un yacimiento petrolífero, o de los intereses de un entorno corporativo de obtener visibilidad sobre el rendimiento del taller, la productividad de la línea de fabricación o su estado de seguridad actual, toda la información que se origina en los entornos operativos tiene que viajar al entorno de TI. Al mismo tiempo, los entornos empresariales están enviando comandos al entorno de producción para ayudar a crear un cambio operativo.

No es sorprendente que los actores de la amenaza estén buscando vacíos y costuras en esas conexiones, lo que deja a muchos entornos de OT sin preparación. A medida que se desdibujan las fronteras entre los dominios tradicionalmente separados de OT y TI, ambas partes deben alinear la estrategia y trabajar más estrechamente para garantizar la seguridad de extremo a extremo.

Brechas de seguridad de TI/OT
Resolver los problemas de seguridad de la convergencia TI/OT no es tan simple como llevar la OT al terreno de la seguridad TI. Varias diferencias técnicas y culturales separan los dos mundos.

Para empezar, los sistemas operativos como el control de supervisión y adquisición de datos (SCADA), los sistemas de ejecución de fabricación (MES) y los controladores, suelen gestionarse como dispositivos individuales de proveedores dispares, lo que ha hecho muy difícil para el departamento de TI mantener su mandato de ciberseguridad.

En muchos entornos de OT, incluso la forma en que se parchean los sistemas está fuera del control de la organización. «Algunos activos heredados aprovisionados en un entorno operativo tienen contraseñas de código duro que, si se exponen, no se pueden cambiar, o tratar de cambiar la contraseña crea problemas operativos», anota David London, director senior del Grupo Chertoff. «Las herramientas y tecnologías de seguridad en torno a esos activos, no han tenido la madurez y sofisticación que se ve en el lado de la TI».

Las tres áreas clave de conflicto entre la seguridad de la TI y la OT son:

Más riesgo con el tiempo de inactividad en la OT: En el entorno de la OT, la reparación de vulnerabilidades conlleva más riesgo que en el entorno empresarial, señala London. Un mantenimiento erróneo en el lado de la TI puede causar algunos inconvenientes, como sistemas más lentos o una aplicación no disponible, «pero en el lado de la OT esos riesgos se amplifican, con más preocupaciones de seguridad y consecuencias, si se intenta remediar una vulnerabilidad y, en el camino, se crea una falla crítica en un sistema», como un gran corte de energía o una inundación masiva debido a la falla de una estación de bombeo, indica London.

Choque cultural: Existen diferencias de larga data entre los ingenieros de OT y los profesionales de seguridad de TI. «La TI está muy centrada en la seguridad; la OT está centrada en la disponibilidad. Cuando los pone juntos, chocan entre sí», comenta Jonathan Lang, director de investigación de la práctica de investigación Worldwide IT/OT Convergence Strategies de IDC. Los requisitos de producción están cambiando rápidamente y es posible que sea necesario cambiar los equipos con mucha rapidez. «Cuando la TI comienza a entrometerse con sus equipos, eso se traduce en una pérdida de productividad».

Pocos marcos o prácticas óptimas de seguridad: Los estándares y directrices actuales son una base esencial para la seguridad, pero la mayoría no son interoperables para los entornos de OT y de TI.

Vectores de ataque TI/OT
El 42% de los profesionales de la ciberseguridad en los entornos de OT dicen que las conexiones a los sistemas internos, como las redes empresariales o de sistema a sistema, presentan el mayor riesgo para las operaciones de OT, según la Encuesta sobre Ciberseguridad de OT/ICS 2019 del SANS Institute, realizada entre 338 profesionales de todo el mundo. «La mayoría de los riesgos para el entorno de OT comienzan en realidad como un punto de contacto inicial dentro del entorno de TI, a menudo en aplicaciones de cara a la web, intentos de spear-phishing o subversión de credenciales. A partir de ahí, los actores de amenazas sofisticadas encuentran maneras de comprometer el entorno operativo», indica London.

Los servidores de OT con sistemas operativos heredados son los que corren el mayor riesgo de seguridad (58%), a menudo ejecutando Windows NT y XP con bajos índices de parches rutinarios. La TI podría ser útil en estos casos con más parches de rutina, según el informe de SANS. «Una arquitectura de red y seguridad diseñada estratégicamente, puede mejorar o mitigar las vulnerabilidades a través de la forma en que los activos de los servidores se colocan y protegen en los límites entre los dominios de TI y OT, o cerca de ellos, específicamente la DMZ industrial», afirma el informe del SANS.

Cerrar la brecha de seguridad de TI/OT
Las organizaciones industriales maduras entienden que es necesario compartir la responsabilidad y la sensibilidad al riesgo, tanto en los grupos de TI como en los de OT, señala London.

Responsabilidades de seguridad compartidas: «Un organismo de gobierno de alto nivel sobre temas de TI/OT puede reunir a miembros del personal de ambos lados para una verdadera rendición de cuentas», comenta Lang.

Algunas organizaciones han creado un puesto de CISO con visibilidad y responsabilidad sobre los entornos de seguridad de TI y OT, «o han creado una contraparte de línea punteada entre el CISO y una persona con autoridad operativa sobre los sistemas de control de automatización industrial [IACS] o la seguridad SCADA», añade London. «Estas dos personas están hablando regularmente, creando informes de amenazas que reflejan las amenazas a ambos entornos junto con el análisis de las consecuencias», añade Lang.

Schneider Electric adoptó un enfoque diferente y creó una red de unos 200 líderes cibernéticos en cada fábrica con el apoyo de tecnologías de protección, supervisión y detección, y un centro de operaciones de seguridad aumentado por expertos ciberindustriales. Yendo un paso más allá, SANS cree que toda la fuerza de trabajo de OT debe ser incluida en todas las campañas de concienciación sobre seguridad y programas educativos, no solo los trabajadores de la empresa.

Una DMZ industrial: La zona desmilitarizada industrial, recomendada como una adición a los marcos de arquitectura industrial populares como la Arquitectura de Referencia Empresarial de Purdue (PERA), también conocida como el Modelo Purdue, es una zona de interconexión entre los sistemas de TI y OT. Esta zona normalmente contiene un host de salto para el acceso remoto seguro a los sistemas de control industrial. Cuando no se permite el acceso a la red directamente entre la empresa y la planta, pero se requiere que los datos y servicios sean compartidos entre las zonas, la DMZ industrial proporciona una arquitectura para el transporte seguro de datos, incluyendo servidores de acceso remoto y servicios espejados.

Visibilidad compartida a través de análisis de cadena de eliminación y marcos de ataque: En los últimos seis meses se han introducido nuevas herramientas industriales para aportar más visibilidad y opciones de seguridad procesables a la convergencia TI/OT. La empresa de ingeniería de sistemas MITRE publicó en enero un framework para los ciberataques a los sistemas de control industrial, con una base de conocimientos de las tácticas y técnicas que los ciberdelincuentes utilizan cuando atacan los sistemas de control industrial.

Utiliza el marco estándar de amenazas y la cadena de muerte, desde el reconocimiento, hasta la entrada inicial, la persistencia y el movimiento lateral utilizados para lograr los objetivos finales del actor de la amenaza, y organiza un conjunto de acciones contra cada uno de esos pasos para el entorno de OT. Los equipos de seguridad pueden mapear las herramientas y tecnologías que ya tienen en su lugar para el comportamiento de amenaza real. También mapea las actividades de la organización a los actores de amenaza específicos que podrían estar dirigiéndose a ellos.

Esto podría ayudar a crear un enfoque de cadena de matanza compartida, incluyendo la ayuda para establecer un lenguaje estándar para que los equipos de seguridad lo usen al reportar incidentes, señala London.

Creación de normas y alianzas: «Compartir las mejores prácticas es realmente valioso. La Alianza Tecnológica Operativa de Seguridad Cibernética (OTCSA, por sus siglas en inglés), una nueva alianza global centrada en la ciberseguridad, se lanzó en octubre del 2019 para ayudar a las empresas a abordar los retos de seguridad de los OT que siguen poniendo en peligro las operaciones y, por consiguiente, los negocios.

Hoy en día, la mitad de las organizaciones de OT encuestadas por SANS tienen una estrategia de convergencia de OT/TI que están implementando o han completado, y otro 33% están desarrollando una estrategia de convergencia de OT/TI. Sin embargo, el éxito de su estrategia de convergencia puede requerir una mayor aceptación del riesgo, señala Lang. «El relajamiento de la tolerancia al riesgo precede a la madurez de la convergencia TI/OT», agrega Lang. «Es un concepto que da miedo, pero la tecnología está ahí para apoyarlo, y la seguridad está recibiendo su debida atención en este momento».

Stacy Collett, CSOonline