Por qué la era de IIoT exige un nuevo paradigma de seguridad
A medida que los fabricantes se modernizan para negocios basados en datos, la automatización industrial se ha convertido en un objetivo de ataques cibernéticos. Así es como las empresas deben evaluar y planificar un nuevo panorama de ciberseguridad.
may 1, 2021
Por Beth Stackpole
La historia de dos suministros de agua presagia la inminente pesadilla de seguridad a medida que los activos industriales están conectados a Internet de las cosas (IoT).
Los piratas informáticos, potencialmente vinculados a Irán, pudieron violar un sistema de interfaz hombre-máquina (HMI) desprotegido en un depósito de agua israelí, lo que les permitió manipular la presión del agua y los cambios de temperatura. Más recientemente, un operador de planta que trabajaba en una instalación de tratamiento de agua en Oldsmar, Florida, descubrió que un pirata informático desconocido había ingresado y había alterado con éxito los niveles de químicos en el suministro de agua del condado; el momento de esta incursión es notable ya que tuvo lugar durante el fin de semana del Super Bowl, que se celebró en las cercanías de Tampa, en los Estados Unidos.
Si bien ambos incidentes no causaron daño público alguno inmediato, sí plantean preocupaciones alarmantes sobre las vulnerabilidades de seguridad a medida que los equipos de fábrica, los activos industriales remotos y la infraestructura pública crítica se sincronizan con la nube y los sistemas empresariales en apoyo de nuevas iniciativas diseñadas para obtener eficiencias, mejorar el rendimiento operativo, y ofrecer un mantenimiento proactivo. Si bien la TI ha adoptado activamente las prácticas de ciberseguridad, incluida la administración de parches y configuración, OT (tecnología de operaciones) históricamente ha evitado tales medidas, principalmente debido a preocupaciones sobre cómo los cambios no planificados, inoportunos o inadvertidos podrían hacer que los sistemas se caigan, impactando negativamente la seguridad de los trabajadores y resiliencia de la planta.
"Esta es una historia de culturas que chocan, en el mundo de la TI donde el cambio es algo bueno ... para el mundo de la industria donde el cambio es malo e introduce riesgos", dice Grant Geyer, director de producto de Claroty, un proveedor de tecnología de ciberseguridad industrial. “Pero para obtener acceso a análisis avanzados, sistemas de pedidos justo a tiempo y desbloquear nuevos conocimientos, es inherente que conectemos el mundo de la aversión al cambio con el mundo de la atracción por el cambio; ese es realmente el núcleo del problema".
Un panorama de seguridad cambiante
La creciente complejidad y la naturaleza conectada del panorama industrial moderno presenta riesgos que simplemente no existían antes. La expansión de los dispositivos IIoT, la implementación más generalizada de análisis de borde, la transmisión continua de datos de series de tiempo y la adopción de gemelos digitales abren nuevos vectores de ataque en entornos industriales, que nunca fueron diseñados teniendo en cuenta la ciberseguridad. No solo se amplía la línea de ataque, los actores de amenazas están cada vez más en sintonía con la oportunidad de interrumpir el negocio a través de operaciones industriales.
“Francamente, los sistemas industriales son más fáciles de comprometer o entrar que los sistemas comerciales, pero son más difíciles de explotar”, dice Francis Cianfrocca, CEO y fundador de Insight Cyber Group, que ofrece un servicio de seguridad de IoT administrado. Cianfrocca explicó además que se requiere cierto nivel de habilidades para causar un daño real a los equipos industriales. “Se necesita un conocimiento real para meterse con una centrífuga o un robot, mientras que cualquiera puede meterse con una computadora con Windows porque todo el mundo tiene una”, dice.
Un informe de Trend Micro sobre la seguridad de IIoT identificó varios escenarios de ataque emergentes, como: el compromiso de una estación de trabajo de ingeniería a través de un complemento industrial malicioso para robar secretos comerciales, la troyanización de un dispositivo IIoT personalizado para convertirse en un mal actor y la explotación de un dispositivo móvil vulnerable. HMI para aprovechar información confidencial o para hacerse cargo del dispositivo. La infiltración de sistemas MES para crear defectos en el producto final o para promover ataques de denegación de servicio que bloquean la producción es otra preocupación creciente, al igual que la capacidad de inyectar lógica de automatización maliciosa en una máquina compleja, allanando el camino para el robo de información o el movimiento desatendido de la máquina.
Quizás las amenazas de seguridad más peligrosas y potencialmente prolíficas son los empleados, sostienen los expertos. “Tememos a Rusia en términos de violaciones de seguridad cibernética, pero el empleado de buen corazón es el más peligroso”, dice Greg Baker, vicepresidente y gerente general de la organización Cyber Digital Transformation en Optiv, un integrador de sistemas de seguridad. "El empleado que intenta estirar sus responsabilidades actualizando una estación de trabajo con Windows XP a Windows 10 y cierra la fábrica, es el actor de amenazas más peligroso".
Históricamente, la seguridad de los entornos de TO se ha abordado evitando la conectividad a fuentes externas o aislándose tanto como sea posible de Internet mediante una estrategia a la que muchos se refieren como un "espacio de aire". Con el último enfoque, los firewalls son el punto focal de la arquitectura de seguridad, bloqueando un entorno de automatización, quizás en un edificio específico, para evitar el acceso externo en contraposición a una estrategia basada en asegurar puntos finales individuales en la red industrial, como HMI o PLC. "Solíamos vivir en un mundo que estaba protegido; no era necesario poner un candado en el cajón de las joyas porque tenía una valla enorme alrededor de la propiedad y nadie entraba", explica John Livingston, director ejecutivo de Verve Industrial , que comercializa una plataforma de seguridad de terminales de sistemas de control industrial. "Ahora que se ha derrumbado la valla, es necesario proteger los activos internos en lugar de depender únicamente de la protección de la red".
Si bien los fabricantes han estado recopilando datos durante años a través de historiadores de datos, los datos permanecieron aislados o, en el mejor de los casos, se compartieron dentro de la red interna. En el entorno actual, el flujo de datos se ha alterado; no solo los datos de la planta se envían a través de la nube a los sistemas empresariales o expertos en automatización para su análisis, también hay tráfico entrante para iniciar cambios, ya sea calibrando maquinaria para optimizar el rendimiento o corrigiendo una falla que está causando problemas de calidad. "Con IIoT, la gente no solo quiere analizar, quiere actuar", dice Livingston de Verve. “Lo que era una calle de un solo sentido ahora es una calle de dos sentidos y existen riesgos asociados con eso. Si está haciendo un cambio de temperatura en una caldera, por ejemplo, también está cambiando su presión. Ahora, potencialmente no solo estás tomando una mala decisión, sino que estás tomando una mala acción".
La necesidad de visibilidad
El primer paso para cualquier fabricante que intente elevar la seguridad industrial es tener visibilidad de lo que hay realmente en su entorno, una imagen que falta en la mayoría de las empresas. Antes de la implementación, las organizaciones necesitan obtener un conocimiento profundo de sus activos tecnológicos de operaciones actuales y del entorno de red para poder establecer dónde están los riesgos y evaluar cómo las nuevas iniciativas de IIoT podrían afectar la exposición futura. Muchas tiendas desconocen los dispositivos IIoT que han pasado desapercibidos, como un enrutador aleatorio agregado para crear un punto de acceso Wi-Fi en una zona muerta o un dispositivo conectado a la placa posterior de un controlador que es parte del sistema de control distribuido que rige procesos de la planta.
“La conectividad inalámbrica cierra la brecha de aire teórica, que es uno de los componentes de seguridad clave en los que confían las empresas”, dice Livingston. "Como resultado, los sistemas sin parches ahora pueden estar expuestos a Internet a través de la placa posterior de un controlador".
Una vez realizado, el inventario de activos debe asignarse a un perfil de riesgo basado en aspectos como los ingresos comerciales o el cumplimiento normativo. Si se determina que los riesgos de infiltración de la red y el negocio son altos, ese activo debe ser marcado para una acción inmediata, mientras que otros activos de alto riesgo que se asignan a áreas de menor vulnerabilidad pueden esperar una corrección de seguridad, según Cianfrocca de Insight Cyber Group. Según se informa, el servicio de seguridad de IoT administrado por NetRadar de Insight Cyber Group recopila datos de entornos ciberfísicos de una manera "no invasiva" para obtener una imagen precisa del inventario sin interrumpir los procesos industriales y la producción, dice. Su enfoque también favorece la supervisión inteligente y los servicios de respuesta a incidentes en comparación con los firewalls de TI convencionales. “El monitoreo inteligente es el camino a seguir, es no invasivo y proactivo, y la forma en que cambia la seguridad, necesita pasar de la tecnología tradicional a algo basado en el monitoreo, la visibilidad y la inteligencia artificial (IA)”, explica.
Diferentes enfoques de la ciberseguridad de OT
Cisco está aprovechando su fuerza de seguridad empresarial para el espacio industrial, pero se compromete a adaptar sus ofertas para satisfacer las necesidades del mundo de OT donde existe en lugar de obligarlos a utilizar soluciones impulsadas por TI, señala Wes Sylvester, director de industria global, manufactura y energía de Cisco. Es importante la visibilidad de los activos, pero específicamente la visibilidad de los detalles del siguiente nivel relacionados con esos activos; por ejemplo, conocer el tipo de datos, de dónde provienen y si están protegidos, explica Sylvester. Mediante el reconocimiento de dispositivos y el etiquetado de datos, la plataforma CyberVision de Cisco crea una vista del inventario de activos, patrones de comunicaciones y topologías de red, al tiempo que extiende las capacidades de ciberseguridad de TI al dominio de OT, incluido el análisis de protocolos, detección de intrusiones, análisis de comportamiento e inteligencia de amenazas de OT. La plataforma crea un centro de operaciones de seguridad de TI / OT convergente, que brinda información detallada sobre los activos y las amenazas de OT a la infraestructura de seguridad empresarial, como los firewalls.
La vista de riesgos y vulnerabilidades de Tripwire muestra un activo o zona individual presentado en un gráfico de telaraña para resaltar los riesgos.Imagen cortesía de Tripwire.“En el mejor de los casos, OT tiene una postura de seguridad diferente; en el peor de los casos, no tiene postura”, dice Sylvester. "No se puede activar el interruptor y hacer que estén del lado de la seguridad de TI".
Si bien IIoT abre un camino hacia el análisis en tiempo real y la capacidad de impulsar el rendimiento operativo mediante la calibración de los sistemas de automatización, la capacidad misma de modificar los equipos crea riesgos al establecer nuevas rutas de acceso a la red de control industrial. Como resultado, las organizaciones deben alejarse de las medidas de seguridad convencionales basadas en el perímetro a un enfoque basado en software y centrarse en fortalecer los puntos finales como HMI, estaciones de trabajo, controladores y PLC contra posibles ataques, dicen los expertos en seguridad.
Se dice que Endpoint Protection Platform de Verve aborda el problema con la tecnología de agentes y sin agentes, ya que la plataforma utiliza capacidades de administración de activos basadas en agentes para proporcionar una vista de cada subred y activo en tiempo real sin escaneo ni scripts y consumiendo un ancho de banda mínimo. La interfaz del dispositivo sin agente recopila datos sobre el firmware, las configuraciones y las reglas del dispositivo de red. La plataforma también combina el inventario de activos, la gestión de vulnerabilidades, la gestión de la configuración y la gestión de parches en una única plataforma al tiempo que admite API abiertas (interfaces de programación de aplicaciones) para que la telemetría de los mundos de TI y OT pueda integrarse para una visibilidad empresarial de un extremo a otro.
Tripwire Industrial Visibility también hace que los activos de la red OT sean visibles para los equipos de seguridad empresarial. La plataforma extiende los controles de seguridad de TI (descubrimiento automático de activos, segmentación y zonificación de red impulsada por IA y detección de anomalías y amenazas conocidas y de día cero) al panorama de OT al admitir una amplia gama de protocolos industriales e incorporar pasivos, activos, y capacidades de escaneo de AppDB para mayor visibilidad.
La plataforma Claroty implementa cinco motores de detección para perfilar automáticamente todos los activos, comunicaciones y procesos en un entorno OT.Foto cortesía de Claroty.Claroty Platform está evolucionando el modelo de seguridad OT con nuevas capacidades para abordar el trabajo remoto, ahora la norma incluso para las empresas industriales debido a la pandemia global. Con sus capacidades Continuous Threat Detection 4.2 y Secure Remote Access 3.1, la plataforma Claroty presenta características de gestión remota de incidentes, que incluyen alertas sobre la actividad del usuario remoto y brinda ayuda para priorizar la remediación, así como información sobre eventos similares en toda la base de usuarios de Claroty para contextualizar si las alertas son amenazas verdaderas o falsos positivos.
“En TI, los análisis activos que tocan todos los dispositivos y todas las consultas a través de la red son la norma, pero en entornos industriales, esas prácticas pueden derribar una planta”, dice Tim Erlin, vicepresidente de gestión y estrategia de productos de Tripwire. "Hemos cambiado la tecnología para admitir la evaluación pasiva ... y hemos encontrado diferentes formas de abordar la visibilidad".
Las plataformas que abarcan las necesidades de seguridad empresarial e industrial son un camino importante para fomentar la alineación de TI / OT, que es esencial para una estrategia de ciberseguridad exitosa. Si bien TI tiene una gran cantidad de talento dedicado a las prácticas de ciberseguridad, como la administración de parches y la realización de pruebas de vulnerabilidad y administración de la configuración, ese nivel de experiencia en el dominio falta en OT. Debido a ese delta y la necesidad de visibilidad de un extremo a otro, fomentar la alineación entre TI y OT a través de la educación y la colaboración conjunta es crucial para el éxito.
"La educación es el mayor obstáculo en el lado de OT de la casa", dice Richard Wood, gerente de la división de marketing de productos de Moxa. “El trabajador promedio no entiende que conectar su teléfono celular a un puerto USB en una computadora industrial puede potencialmente infectar toda la red. La gente tiene que entender que la seguridad no es algo que se compra, es un proceso continuo como la calidad".
