Seguridad que va más allá Ciberseguridad

Ve más allá del simple monitoreo de la red e incluye seguridad basada en dispositivos para tener un análisis situacional de tus entornos de TO que sea significativamente mejor.

Las consultas activas inspeccionan los dispositivos en tu red de TO y deberían proporcionar un conocimiento situacional a profundidad que llegue a un nivel de detalle extremo. Esta capacidad mejora tu posibilidad de detectar y clasificar en forma automática todos tus activos del ICS, desde equipos con Windows hasta dispositivos como los controladores lógicos programables (PLC) y las unidades terminales remotas (RTU), incluso cuando no se comunican a través de tu red.

Las consultas activas también identifican los cambios locales en los metadatos de dispositivos (por ejemplo, la versión del firmware, los detalles de la configuración y el estado), así como también los cambios en cada bloque de código/de funciones del lenguaje del dispositivo. Para que sean completamente seguras y que no afecten de forma negativa a los dispositivos consultados, es esencial que la tecnología utilice consultas de solo lectura en los protocolos nativos de comunicación del controlador.

Las consultas activas complementan el monitoreo de la red, ya que recogen información que resulta imposible de encontrar en tu red, pero que es fundamental para obtener todos los beneficios descritos previamente. También es fundamental para ofrecer más datos contextuales a las alertas de seguridad.

Dado que las consultas activas eliminan la necesidad de monitorear cada switch en tu organización, permiten ahorrar en costos de mantenimiento y realizar implementaciones más flexibles. Si tu entorno tiene capacidad de enrutamiento, puedes obtener información de todos los dispositivos desde uno solo.

Elementos clave para proteger tu entorno de TO

Los proveedores de seguridad de los activos de TO no son todos iguales. Algunos carecen de funcionalidades de consultas activas ya que las consideran “demasiado peligrosas”.

Lógicamente, cualquier cosa que se haga de forma incorrecta puede ser peligrosa; sin embargo, ejecutar consultas activas es seguro y aprovecha tecnología desarrollada para tu PLC o tu sistema de control distribuido (DCS).

Otros proveedores proporcionan un método de verificación de dispositivos, pero, si la verificación no se realiza en el lenguaje nativo del dispositivo, puede desestabilizar el sistema. En otros casos, las verificaciones no proporcionan el nivel de conocimiento situacional necesario y nos dejan vulnerables.

Cuando se evalúan soluciones de seguridad de los activos de TO, estos son algunos de los requisitos básicos que se deben abordar a nivel de la red y del dispositivo, incluyendo la visibilidad hacia lo que está ocurriendo, la seguridad frente a los ataques y el control de tu entorno de TO.

VISIBILIDAD

Visibilidad empresarial a profundidad

En el nivel más básico, la información fluye a lo largo de tu red de TO. Los dispositivos crean datos en tu red. Como consecuencia, es fundamental mantener un inventario detallado y actualizado de activos para ayudarte a controlar tu entorno de TO.

Lo que es más importante: normalmente, los datos de los activos no recorren tu red. Los datos almacenados en los dispositivos pueden estar “inactivos” y no transmitir detalles, tales como los inicios de sesión de los usuarios, las revisiones más recientes instaladas en las PC y los servidores, las versiones del firmware, los puertos abiertos y las listas de controladores.

Las consultas activas resuelven este problema realizando consultas a los dispositivos y reuniendo de manera automática la información más completa y crítica sobre cada activo en tu entorno.

Detección de “puntos ciegos”

Las consultas activas detectan los dispositivos industriales inactivos que están conectados a tu red y no estén comunicándose. La mayoría de los proveedores de control industrial tienen un mecanismo de “encuéntrame” incorporado a sus controladores, lo que permite detectarlos con una sola transmisión de un paquete único. De esta forma, las estaciones de ingeniería (HMI) pueden encontrar automáticamente todos los controladores en tu red.

Las consultas activas utilizan ese mismo mecanismo incorporado y garantizan que tu inventario de activos esté completo y sea preciso.

SEGURIDAD

Protección contra comportamientos maliciosos y errores humanos

Es habitual que los empleados, contratistas e integradores se conecten a dispositivos de control utilizando un cable serie o un dispositivo USB. Los agentes maliciosos con acceso físico a tu red pueden conectarse a los controladores de esa manera.

Con o sin autorización, el monitoreo de la red no puede detectar cambios en el código, el firmware o la configuración del controlador. También es probable que un empleado o contratista exponga sin saberlo los controladores a amenazas al utilizar un dispositivo vulnerado, por ejemplo, una computadora portátil o un dispositivo USB infectados con malware. Mediante la obtención periódica de snapshots del dispositivo y su comparación con los puntos de referencia previos, se pueden identificar cambios y confirmar que nadie haya puesto en riesgo la integridad del dispositivo.

Información sobre vulnerabilidades y riesgos

Cuando se realizan consultas activas a los servidores y controladores periódicamente para obtener información detallada, tal como la versión del sistema operativo y el firmware, los puertos abiertos, el software más reciente, las revisiones, la configuración del hardware, el nivel de parches, etc., dichas consultas pueden alcanzar de forma proactiva un conocimiento absoluto de las vulnerabilidades más recientes, las cuales podrían poner en riesgo tus controladores industriales.

Esto te ofrece una puntuación del riesgo más precisa, que se verá potenciada con base en los datos fuera de la red. En vez de esperar a que el dispositivo transfiera información a través de tu red, las consultas activas recuperan la información más actualizada y precisa del dispositivo, y detienen la propagación del ataque antes de que afecte a tu red.

CONTROL

Mayor eficiencia de la respuesta ante incidentes

Las alertas pueden carecer de sentido sin otra información que las contextualice, por ejemplo, qué usuario inició sesión en tu estación de ingeniería en un momento determinado y cuál es el efecto de una actividad específica sobre el lenguaje Ladder del PLC.

Cuando detectan un evento de red sospechoso, las consultas activas utilizan protocolos nativos y consultan automáticamente a los dispositivos pertinentes para obtener más detalles contextuales. Esto, comparado con una solución limitada a la red, proporciona alertas más útiles y genera un conocimiento situacional mucho mejor y una actividad forense y de mitigación más rápida.

Menor costo total de propiedad (TCO)

Una de las principales desventajas de las tecnologías limitadas a la red es la necesidad de implementarlas en cada intersección y cada switch que requiera monitoreo dentro de tu red. Esto puede resultar costoso en caso de un entorno grande con varias subredes.

La metodología clásica para ahorrar en costos de hardware y mantenimiento consiste en implementar una menor cantidad de dispositivos en tu red. Cuando se emplea un abordaje limitado a la red, esto suele traducirse en un sacrificio en materia de control y/o visibilidad. La tecnología de consultas activas permite monitorear la totalidad de las secciones enrutables de tu red con un único dispositivo.

Resiliencia de las operaciones

Salvo que exista una copia de seguridad que rastree los cambios que se realizaron en los dispositivos de control, la recuperación ante incidentes puede resultar difícil. Con las consultas activas, se puede simplificar la arquitectura y reducir los costos al mismo tiempo.

Al capturar una snapshot completa del dispositivo, incluyendo el firmware, la configuración, la totalidad del lenguaje Ladder, búferes de diagnóstico y la estructura de etiquetas, se puede dar seguimiento al historial completo de las versiones del controlador e identificar un estado “aceptable” conocido previamente.

¿Te pareció interesante esta información? No te pierdas nuestros siguientes blogs donde te seguiremos compartiendo más puntos claves para proteger la información valiosa de todas las áreas de operación dentro de tu empresa.

En BG2 Services te ofrecemos soluciones que van más allá de tu red porque sabemos el alto valor que tiene la visibilidad, la seguridad y el control al momento de hablar de la infraestructura operativa de tu empresa. ¡Contáctanos hoy!

Fuente

Tenable.ot. (2022). Ciberseguridad de infraestructuras críticas. Tenable. Ciberseguridad de infraestructuras críticas – Documento técnico | Tenable®

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.