Zero Trust en el borde

Febrero 19, 2021

Zero Trust en el borde

IIoT está impulsando al mundo de control a incorporar una amplia gama de fuentes de datos más allá de los límites del sistema de control tradicional. Computación en nube, dispositivos de borde e interfaces hombre-máquina (HMIs) móviles, junto con el acceso más 'tradicional' vía VPN y técnicas similares para soporte remoto por parte de personal y/o proveedores, siguen desafiando la práctica comúnmente aceptada de separar las redes de informática (IT) y de tecnología de operaciones (OT) mediante una zona desmilitarizada (DMZ).

La seguridad tradicional de una red se basa en un concepto conocido como ‘castillo y foso’, en cuyo caso es difícil acceder desde el exterior, pero es confiable para todos en la red. IEC 62443 divide la red en grupos más pequeños, denominados zonas, según el rol o las funciones de los dispositivos en una zona, y luego monitorea y gestiona las comunicaciones a través de los conductos que conectan las zonas. Las zonas se pueden considerar en cierta forma análogas a las VLANs que se usan en el espacio informático.

Desafortunadamente, como todos sabemos y la historia lo ha demostrado, una vez que se cruza el foso (firewalls), la defensa primaria ya queda comprometida. Las estadísticas de una gran variedad de fuentes indican que los ciberataques iniciados internamente, que incluyen memorias USB infectadas, representan aproximadamente el 43% de todos los ciberincidentes. Pero, a pesar de que se conozca esta estadística, el número no parece estar bajando.

En consecuencia, ya que gran parte de los cibereventos se inician en el foso y hay numerosas fuentes de datos que residen fuera del foso, tal vez se debería pensar en un nuevo concepto que reemplace el foso.

El modelo ‘Zero Trust Network’, o ‘Zero Trust Architecture’ (ZTA), fue creado en 2010 por John Kindervag, analista principal de Forrester Research Inc., como respuesta al desafío de cómo gestionar la ciberseguridad dentro y fuera del foso.

Zero Trust parte de la idea de que, por defecto, las organizaciones nunca deberían confiar en ninguna entidad interna o externa que ingrese en su perímetro, de ahí su nombre. Es un modelo de seguridad que detiene el movimiento lateral en una red corporativa utilizando microsegmentación y agregando perímetros granulares en ubicaciones críticas de la red. También elimina el inconveniente de un modelo de seguridad tradicional basado en el perímetro al remover por completo la confianza de los usuarios internos y reforzar la seguridad en torno a activos valiosos.

Con Zero Trust no se trata de lograr que un sistema sea confiable, sino eliminar la confianza. En Zero Trust, el usuario identifica una ‘superficie protegida’ conformada por los datos, activos, aplicaciones y servicios (DAASs según sus siglas en inglés) más críticos y valiosos de la red.

A cada punto de acceso de la red se le asigna un acceso según una política de Zero Trust basada en quién, qué, cuándo, dónde, por qué y cómo, durante un tiempo limitado, necesita realizar una tarea específica. Esto significa que probablemente se tengan diferentes niveles de confianza si se accede a la red desde una oficina, desde un dispositivo móvil, desde un hotel o cafetería, o desde la casa.

A pesar de esta definición, Zero Trust no depende de una ubicación. Los usuarios, dispositivos y cargas de trabajo de una aplicación están en todas partes, por lo que Zero Trust debe estar en todo el entorno.

Los sistemas informáticos y de OT dependen del acceso a dispositivos fuera del firewall como entradas para control en tiempo real y análisis de decisiones, y se espera que esta tendencia crezca a medida que se amplíe aún más el uso de dispositivos de borde, Edge computing y sistemas basados en la nube.

Google comenzó a implementar ZTA en sus sistemas en 2014 como parte de su iniciativa BeyondCorp, y ahora es la base del acceso al sistema con resultados ya probados.

Zero Trust, con su granularidad y foco en tiempo real, es consistente con los conceptos básciso de todos los modelos de ciberseguridad que se utilizan hoy en día, además de conformar la base de los sistemas integrados del futuro.

 

Preparado por Ian Verhappen, gerente de proyectos de automatización en CIMA+.

Hoy en día se dispone de varias medidas preventivas para asegurar los procesos industriales contra ciberataques.

‘Seguridad por diseño’ para IoT

medida que dispositivos, sistemas y procesos se van digitalizando e interconectando cada vez más, crecen las oportunidades que brinda IoT a la industria. Sin embargo, esas mismas tecnologías que contribuyen a la creación de valor también aportan nuevas superficies de ataque para los ciberdelincuentes. Por ejemplo, un puerto abierto en un dispositivo le permite a un hacker infiltrarse en las redes de empresa y en la infraestructura crítica de las instalaciones de producción conectadas.

En la era de IoT, todos los productos wireless representan una amenaza potencial para la seguridad y privacidad de los datos, pero con una planificación de seguridad sólida y proactiva es posible administrar el riesgo de ciberseguridad para mitigar los ataques.

  Las medidas preventivas de seguridad deberían comenzar en la fase de diseño, o incluso en la fase de concepto, empleando el principio de ‘seguridad por diseño’. Sin embargo, si bien, tal como lo sugiere el nombre, está dirigido a la etapa de diseño, es muy importante comprender que la seguridad es un proceso continuo.

El principio de ‘seguridad por diseño’ es razonable pero se lo debe definir claramente. Por lo tanto, este proceso se debe comenzar con una evaluación del impacto en el negocio y la probabilidad de riesgos. Sin comprender y priorizar claramente los riesgos, es imposible determinar los requerimientos adecuados de seguridad para un determinado producto y el sistema de IoT en su conjunto.

 

Evaluación de ciberseguridad

Una vez comprendidos los riesgos, el siguiente paso es evaluar el hardware y el software, o sea la ‘superficie de ataque’. El testeo de los componentes individuales contra los requerimientos determinados por la evaluación de riesgos es la base de un producto seguro.

La seguridad es muy difícil de instalar como complemento de software una vez iniciado el desarrollo de un producto. Por lo tanto, es necesario evaluar todos los aspectos en busca de vulnerabilidades, incluido el hardware del dispositivo (chipsets, sensores y actuadores), módulos y protocolos de comunicación wireless, firmware de dispositivos (sistema operativo y aplicaciones embebidas), plataformas de nube y aplicaciones.

Luego del testeo de los componentes, se debe realizar una evaluación de punta a punta para determinar la resilencia al ataque de los componentes individuales y servicios de soporte. Es importante que este proceso sea continuo. Preguntas como ‘¿hemos encontrado todas las vulnerabilidades?’ o ‘¿hemos introducido nuevas vulnerabilidades?’ siempre están a la orden del día. Por lo tanto, también es importante implementar un proceso de validación de seguridad para las actualizaciones durante el ciclo de vida de un producto.

 

Estándares de ciberseguridad en la industria

Muchas veces está la percepción de que un sistema, por ser complejo, es automáticamente seguro. Lamentable­mente, no es tan así…

El advenimiento de la Directiva NIS (Network & Information Systems) en Europa tuvo como objetivo mejorar esta situación, pero su adopción es lenta, al igual que la introducción de los estándares que se requieren para mejorar la ciberseguridad. Sin embargo, los estándares existen o están en fase de desarrollo, apuntando a establecer una protección de referencia que aportaría provisiones de seguridad básica para una primera línea de ciberdefensa.

Los dos estándares principales relacionados con dispositivos de IoT son NIST 8259 (EE. UU.) y EN 303 645 (Unión Europea). El propósito de NIST es abordar una amplia gama de productos de tipo IoT, que tienen al menos un transductor. Por lo tanto, se lo puede aplicar a productos de Industria 4.0.

En cambio, EN 303 645 está dirigido a dispositivos de IoT de consumo masivo, por lo que no es aplicable a productos industriales, si bien sus principios generales pueden utilizarse de manera genérica para conseguir un cierto nivel mínimo de protección.

 

Prevención de ciberseguridad

Hay una cierta controversia en relación a los actuales estándares de ciberseguridad por el hecho de carecer de detalles y de una aplicación adecuada, y no cubrir correctamente el alcance de las aplicaciones típicas. Es por eso que las empresas tendrán que elaborar sus propios programas comenzando por:

  • Pensar en ‘seguridad por diseño’ y adoptar un esquema proactivo de  ciberseguridad reconociendo que los ataques son ‘cuándo no si’;
  • Asegurar el cumplimiento actualizado de todos los estándares;
  • Revisar constantemente el estado de ‘ciberresistencia’.

La inversión en ciberseguridad es clave para mantenerse al día con los desarrollos tecnológicos y conservar una ventaja competitiva, además de implementar medidas eficaces para combatir las nuevas formas de ataques de hackers a la infraestructura informática crítica. Por ejemplo, las empresas suelen descuidar la capacitación en seguridad informática de su personal, aun cuando la ingeniería social haya sido durante mucho tiempo un arma estándar en el arsenal de los ciberdelincuentes.

Luego de realizar una nueva inversión en informática o en adquisiciones, las empresas suelen olvidarse de desconectar equipos obsoletos o no utilizados. Estos podrían estar funcionando con sistemas operativos no soportados y sin parches de seguridad actualizados, abriendo brechas para los ataques de hackers.

En cuanto a la concordancia de patrones, se la estuvo utilizando hasta ahora para identificar riesgos de seguridad en un infraestructura informática, pero esto ya no es suficiente cuando hay cada vez más ciberataques que se implementan usando inteligencia artificial.

En consecuencia, las empresas deberían centrarse en tareas de identificación de anomalías implementando inteligencia artificial en su búsqueda de ciberseguridad.

Hoy en día, la ciberseguridad se está convirtiendo en un tema central no sólo para los gerentes de informática, sino también para los ejecutivos ‘C-level’. Pero ocurre que los ejecutivos y los expertos en informática muchas veces no se comunican de manera eficaz y adoptan diferentes perspectivas en muchos temas.

En este caso, sería bueno adoptar un nivel de comunicación que sea apropiado para el respectivo grupo de tareas. De no ser así, los problemas de comunicación demorarían la inversión necesaria en seguridad informática.

Además de tener cierto nivel de conocimiento de seguridad interno, también es recomendable recurrir a especialistas externos a la hora de evaluar los distintos tipos de productos o infraestructura  y gestionar las posibles ciberamenazas nuevas y por venir. Abordar los problemas de los riesgos de ciberseguridad sólo puede concretarse mediante una planificación integral, evaluaciones periódicas, actualizaciones y monitoreo, desde el diseño hasta la obsolescencia.

 

Crece el riesgo de amenazas por USB en el mundo

 Crece el riesgo de amenazas por USB en el mundo

Un reporte de Honey­well preparado en base a datos de ciberamenazas recolectados de cientos de instalaciones industriales en todo el mundo, señala que la severidad de las amenazas a los sistemas de tecnología operativa (OT) ha crecido considerablemente en los últimos 12 meses.

También muestra que la cantidad total de amenazas que plantean los medios extraíbles USB para las redes de control de procesos industriales sigue siendo constantemente alta, habiéndose detectado un 45% de las instalaciones con al menos una amenaza entrante. Durante el mismo período de tiempo, el número de amenazas dirigidas específicamente a los sistemas OT creció del 16 al 28%, mientras el número de amenazas capaces de causar una pérdida de visualización u otra disrupción importante en los sistemas OT subió del 26 al 59%.

El reporte indica que 1 de cada 5 de todas las amenazas fueron diseñadas específicamente para aprovechar los medios extraíbles USB como vector de ataque, y más de la mitad de las amenazas fueron diseñadas para abrir backdoors, establecer un acceso remoto persistente o descargar cargas maliciosas adicionales. Estos hallazgos son indicativos de ataques más coordinados, probablemente destinados a los sistemas aislados que se usan en la mayoría de los entornos de control industrial e infraestructura crítica.

"El malware transmitido por USB sigue siendo un riesgo importante para los operadores industriales", explicó Eric Knapp, de Honeywell Connected Enterprise. "Lo sorprendente es que se está viendo una densidad mucho mayor de amenazas importantes que son más orientadas y más peligrosas. No se trata de un caso de exposición accidental a virus a través de USB, sino que es una tendencia de usar medios extraíbles como parte de ataques más deliberados y coordinados".

Los datos recolectados para este reporte se refieren a la tecnología SMX (Secure Media Exchange) de Honeywell, diseñada para escanear y controlar medios extraíbles, tales como USB, que es considerado como el segundo vector de ataque más frecuente en sistemas de automatización y control.

Para reducir el riesgo de amenazas relacionadas con USB, Honeywell recomienda implementar una combinación de productos y servicios de software de ciberseguridad OT, tales como SMX, Honeywell Forge Cybersecurity Suite, capacitación y cambios en los procesos.

Elegir una arquitectura SIS capaz de proteger una operación durante todo su ciclo de vida es una de las primeras decisiones que debe tomar una organización.

 

Cuando una organizaión inicia un proyecto de Sistema Instrumen­tado de Seguridad (SIS), una de las primeras decisiones que debe tomar es la elección de una arquitectura.

Es posible implementar sistemas exitosos y robustecidos utilizando una arquitectura SIS integrada o interconectada dentro de las restricciones que imponen los estándares internacionales de ciberseguridad, tales como IEC 62443, y/o las recomendaciones locales, tales como las pautas de NAMUR. Comprender los beneficios y las consideraciones detrás de cada arquitectura es crítico a la hora de tomar una decisión informada en la búsqueda de una solución que satisfaga de la mejor manera las necesidades de la organización.

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 1 – NAMUR ofrece un conjunto similar de pautas al del estándar de ciberseguridad ISA 62443, con funciones SIS agrupadas en tres zonas: SIS núcleo, SIS extendido y arquitectura del sistema de control (referido como ‘periféricos’ por NAMUR).

 

Comprender los estándares

Los estándares de ciberseguridad ofrecen pautas para separar los componentes críticos para la seguridad de los no críticos. Según las pautas de ISA, los activos críticos para la seguridad deben agruparse en zonas que estén lógica o físicamente separadas de los activos no críticos para la seguridad.

Por su parte, NAMUR ofrece un conjunto similar de pautas en la hoja de trabajo NA 163, “Evaluación de riesgos de seguridad de SIS”. Estas pautas definen tres zonas lógicas: SIS núcleo, SIS extendido y arquitectura del sistema de control (referido como ‘periféricos’ por NAMUR), que deben estar física o lógicamente separadas (figura 1).

Un SIS núcleo contiene los componentes necesarios para ejecutar la función de seguridad (logic solver, componentes de E/S, sensores y elementos finales).

El SIS extendido contiene los componentes del sistema de seguridad que no son necesarios para ejecutar la función de seguridad (por ejemplo, las estaciones de trabajo de ingeniería).

Los periféricos son componentes y sistemas, por ejemplo el sistema de control de procesos básico (BPCS por sus siglas en inglés), que no son ni directa ni indirectamente asignados a SIS, pero podrían usarse en el contexto de una función de seguridad (por ejemplo, una solicitud de reinicio desde la BPCS o la visualización de la función de seguridad en una HMI).    

Es importante reconocer que ninguno de los estándares define una arquitectura requerida. Los usuarios deben decidir la mejor manera de estructurar sus redes SIS y asegurarse de que la solución final proporcione una separación lógica o física suficiente entre el BPCS y el SIS. Generalmente, esto les da a las organizaciones tres opciones para diseñar redes SIS:

  • Un SIS aparte, completamente desconectado e independiente del BPCS;
  • Un SIS integrado e interconectado con un BPCS por medio de protocolos industriales (normalmente Modbus);
  • Un SIS integrado e interconectado con un BPCS, pero suficientemente aislado para cumplir con los estándares de ciberseguridad.

Algunos sostienen que un SIS aparte es más seguro que cualquier otro tipo de implementación de SIS. Sin embargo, todas las arquitecturas enumeradas anteriormente pueden entregar una postura de seguridad robustecida, siempre y cuando la postura esté definida de antemano y se aplique durante el diseño, la implementación y el mantenimiento del sistema de seguridad.

Si bien es importante, la arquitectura SIS es tan sólo un aspecto a la hora de definir la seguridad en un sistema de seguridad

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 2. Una infraestructura con ‘air gap’ separa los componentes críticos de SIS de los no críticos, pero agrega mantenimiento adicional para mantener capas de seguridad de defensa en profundidad en dos sistemas diferentes.

 

Maximizar la defensa en profundidad

La protección de un SIS requiere implementar una estrategia de defensa en profundidad. Ante el aumento del número de ciberataques, una sola capa de protección para los activos críticos de seguridad no es suficiente. Los administradores de redes están empleando muchas capas de seguridad (antivirus, gestión de usuarios, autenticación por múltiples factores, prevención y detección de intrusiones, whitelists, firewalls y más) que garantizan que los usuarios no autorizados se enfrenten a una barrera de entrada insuperable.

El objetivo de una estrategia de defensa en profundidad es aumentar los mecanismos de protección de control de acceso, que se consigue agregando capas de protección que se complementan entre sí.

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 3. Las arquitecturas interconectadas separan físicamente el SIS del BPCS, pero mantienen una conexión con el BPCS. Esta configuración normalmente requiere que se mantengan múltiples enlaces de ingeniería y sistemas de defensa en profundidad.

 

Defensa en profundidad – Sistemas separados

Uno de los métodos más comunes para proteger un SIS es separar completamente el sistema, creando un espacio físico o ‘air gap’ entre las funciones del SIS núcleo y el BPCS (figura 2). A primera vista, los beneficios de este método parecen obvios. Si el SIS está separado por completo de los demás sistemas, se robustece por defecto contra intrusiones.

Sin embargo, incluso los sistemas separados no son inmunes a los ciberataques. Los usuarios a la larga necesitarán acceso externo al sistema para distintas tareas, tales como extraer registros de eventos para el análisis de secuencia de eventos, bypasses, invalidaciones, registros de pruebas de verificación o simplemente para realizar cambios de configuración y aplicar actualizaciones de seguridad.

Los drives USB, que son los medios que se usan normalmente para implementar estas actualizaciones, no son fáciles de proteger. 

La dependencia de medios externos es una de las razones por las que un SIS separado sigue necesitando capas de protección adicionales, similares a las utilizadas para proteger el BPCS. El robustecimiento adecuado de un sistema deja que los usuarios gestionen dos conjuntos separados de arquitecturas con defensa en profundidad. Esto se traduce posiblemente en más horas de trabajo, paradas más prolongadas y áreas adicionales donde los descuidos pueden debilitar capas de protección.

 

Defensa en profundidad – Sistemas interconectados

Los sistemas interconectados funcionan como sistemas separados en el sentido de que las funciones relacionadas con la seguridad se encuentran físicamente separadas de las funciones no relacionadas con la seguridad (figura 3). La diferencia es que, en los sistemas interconectados, los elementos del BCPS y las funciones del SIS núcleo se conectan mediante enlaces diseñados con protocolos industriales abiertos, por ejemplo Modbus. Normal­mente, los firewalls u otro hardware y software de seguridad restringen el tráfico entre el BPCS y el SIS.

Puesto que tanto el SIS núcleo como el SIS extendido se encuentran separados físicamente de los periféricos, los sistemas interconectados ofrecen una protección adecuada para cumplir con los estándares ISA y NAMUR. Sin embargo, igual a lo que ocurre con los sistemas separados, el hardware y el software de SIS necesitan estar protegidos. Los usuarios deben asegurarse de que el SIS núcleo no se vea comprometido a través de conexiones al SIS extendido.

Para alcanzar esta protección, los sistemas interconectados necesitan que las capas de seguridad de defensa en profundidad estén duplicadas en múltiples sistemas. En algunos casos, las múltiples instancias de seguridad que deben monitorearse pueden aumentar la carga de trabajo necesaria para mantener la seguridad adecuada. Adicional­mente, es responsabilidad del usuario final asegurarse de que el enlace entre el BPCS y el SIS esté configurado de modo que el sistema no esté expuesto al riesgo. 

 

Defensa en profundidad – Sistemas integrados

Otra opción en el diseño de sistemas separados es SIS integrado (figura 4). En esta implementación, el SIS está integrado al BPCS, pero hay una separación lógica y física entre el SIS núcleo y el SIS extendido. Normalmente, esta separación viene con protocolos patentados que utilizan ciberseguridad embebida lista para funcionar de inmediato, lo que elimina muchos de los riesgos de seguridad que significa implementar manualmente una conexión entre el SIS y el BPCS.

El SIS integrado necesita los mismos niveles de protección de defensa en profundidad que los sistemas separados, pero, al haber algunas capas de seguridad que protegen tanto al BPCS como al SIS, un SIS integrado puede reducir considerablemente el tiempo y el esfuerzo invertidos para monitorear, actualizar y mantener capas de seguridad. Este método ofrece protección que va más allá de las capas de seguridad comunes. Un SIS integrado también cuenta con capas de protección adicionales y específicas para proteger el SIS núcleo.

La eliminación de interfaces complicadas entre el SIS núcleo y el SIS extendido con un entorno integrado puede derivar en pruebas de aceptación en fabrica (FAT) más sencillas y más rápidas, lo que lleva a la concreción de proyectos en menos tiempo y con menos trabajo.

 

Arquitectura de ciberseguridad sostenible para SIS
Figura 4. En una arquitectura de SIS integrado, las funciones críticas para la seguridad están separadas lógica y físicamente, aun cuando cumplen con los estándares ISA y NAMUR, pero se encuentran ubicadas en el mismo sistema, lo que elimina la necesidad de mantener múltiples implementaciones de defensa en profundidad.

 

Gestión de puntos de entrada

Considerar cuidadosamente las capas de defensa en profundidad es fundamental para conseguir un SIS ciberseguro, pero no es suficiente. Para garantizar la seguridad adecuada de una red SIS, las organizaciones deben limitar los puntos de entrada a las funciones críticas para la seguridad y proporcionar mitigaciones para cualquier riesgo que pueda afectar dichos puntos de entrada.

Cuantos más puntos de entrada estén disponibles en las funciones críticas para la seguridad de un SIS, más oportunidades tendrán los ciberataques de aprovechar las vulnerabilidades que pudieran existir en las capas de seguridad. Por ejemplo, aun cuando sea posible defender de forma adecuada cinco puntos de entrada contra intrusiones, es mucho más fácil y demanda menos recursos defender solamente uno

  

Puntos de entrada – Sistemas interconectados

NAMUR ofrece pautas muy claras para una arquitectura por zonas del SIS en un formato interconectado (figura 1). En el diagrama, el SIS núcleo, el SIS extendido y los periféricos están adecuadamente aislados en sus propias zonas. Las conexiones implementadas entre los elementos de la arquitectura en las tres zonas (estaciones de ingeniería, BPCS, sistemas de gestión de información de planta, sistemas de gestión de activos y más) pueden introducir muchos puntos potenciales de conexión al SIS núcleo. Estos puntos de conexión no presentan inherentemente un riesgo de seguridad, ya que se supone que todo estará asegurado con una adecuada defensa en profundidad. Sin embargo, cada una de estas puertas debe ser asegurada, lo que puede llevar a cinco o más conjuntos de hardware y software de seguridad que necesitan ser gestionados y mantenidos. 

 

Puntos de entrada – Sistemas integrados

Las arquitecturas de un SIS integrado ofrecen un diseño que limita los puntos de entrada. Los mejores sistemas instrumentados de seguridad cuentan con un solo componente que actúa como guardián y/o proxy para todo el tráfico que va y viene de las funciones críticas para la seguridad. El resultado es un solo punto de entrada que es necesario defender, probablemente usando las mismas capas de defensa en profundidad que protegen el BPCS y algunas capas de protección adicionales más específicas al SIS núcleo. Este diseño puede reducir el mantenimiento y el monitoreo, mientras brinda el mismo nivel de separación de un SIS estándar, o incluso mayor, que cualquier otra arquitectura.

Muchas veces se asume que una mayor separación física entre el SIS y el BPCS significa una mayor seguridad inherente. Sin embargo, como ocurre en el caso de sistemas con ‘air gap’, una mayor separación física puede derivar en un aumento de carga de trabajo de mantenimiento y monitoreo para garantizar una defensa en profundidad adecuada. Esta carga adicional, en última instancia, limita el valor para los usuarios que buscan optimizar el desempeño y la producción, a la vez que tratan de cumplir con los estándares de ciberseguridad.

En cambio, los sistemas integrados y los interconectados pueden alcanzar niveles altos de conectividad, mientras ofrecen flexibilidad en la implementación de estructuras de ciberseguridad con defensa en profundidad. Ambas arquitecturas ofrecen los niveles de seguridad más altos, por lo que los equipos de trabajo que buscan mantener un SIS bien defendido durante todo el ciclo de vida del sistema, suelen descubrir que tienen más y mejores opciones que nunca para un BPCS y un SIS que se ajusten a los objetivos de cada organización en particular.

 

Preparado en base a una presentación de Sergio Díaz y Alexandre Peixoto, gerentes de producto de DeltaV DCS y SIS en Emerson.

La ciberseguridad durante una crisis

En tiempos de crisis, algunas partes de una organización quizás sean consideradas más críticas que la ciberseguridad, pero este pensamiento puede dejar desprotegidos los sistemas. En consecuencia, es necesario conocer sus vulnerabilidades para preservar la fortaleza de un sistema.

Por culpa de COVID-19, trabajar desde la casa es algo cada vez más común. Y en estos tiempos muy exigentes, muchas funciones corporativas consideradas no esenciales son las primeras en reducirse.

En algunas organizaciones, la ciberseguridad tiende a estar en la categoría de no esencial. Si esto es extraño, ya que la importancia de la ciberseguridad y de las buenas prácticas de ciberseguridad son aún más críticas ahora que en tiempos de operación normal, si bien los proyectos relacionados con la ciberseguridad pueden quedar suspendidos por el momento.

Al haber emergencias a nivel global, los intentos de los estafadores de comprometer sistemas o cuentas a través de ataques de phishing suelen mostrar una clara tendencia al alza.

Cada persona de una organización posee información que puede ser valiosa para un atacante. La gente que tiene una función relacionada con la tecnología podría recibir intentos de phishing que parezcan provenir de otros integrantes de la organización. Estos podrían decir que tienen problemas para conectarse a los sistemas de trabajo o que tienen errores aleatorios con una imagen del error adjunta. Estos archivos adjuntos podría ser ataques maliciosos que intenten cargar keyloggers, otras piezas de software o incluso tratar de crear una sesión remota en el sistema. En estas instancias, el atacante está aprovechando la disposición del empleado para ayudar a otros en tiempos de necesidad.

Los empleados que no están en un rol específico de tecnología también son un objetivo de ataque. Estos intentos dirigidos no apuntan a la urgencia de ayudar a alguien, sino que buscan la curiosidad del empleado. Un ataque de phishing puede atraer al empleado con un mensaje de correo electrónico que diga: “Varias personas dentro de la organización han dado positivo por COVID-19. Haga clic en el siguiente enlace para seguir actualizaciones en vivo de todos los empleados que han dado positivo".

Y una vez que se ha hecho clic en el enlace y el empleado accede a la página web maliciosa, el ataque ya ha comprometido el sistema y le ha dado acceso al atacante a todos los datos del sistema.

Más allá del aumento de los intentos de phishing, también podría aparecer un aumento de ciberataques activos en todo el mundo durante estos tiempos. Con más personas trabajando desde casa y menos en una oficina, un atacante podría utilizar esta situación para atacar a una organización. Cuando los empleados se concentran en otras tareas, es posible que omitan la revisión de los registros que pueden haberlos alertado de un ataque en un sistema. Y cuando el tiempo, el esfuerzo y los pensamientos de los empleados están dedicados a lo que consideran más críticos para ellos que la ciberseguridad, los atacantes dispondrán de mucho más tiempo y libertad dentro de una organización antes de ser detectados y detenidos.

Aun cuando este tipo de escenarios no ocurre en todos los casos, hay una probabilidad muy real de que les suceda a algunos. En tiempos de crisis, como se da actualmente, debemos corregir nuestro enfoque y asegurarnos de ser diligentes y conscientes de los problemas de ciberseguridad que nos rodean. No se debe permitir que la distracción genere vulnerabilidad en una organización.

La mayor alianza de ciberseguridad en la historia

El Acuerdo Tecnológico de Ciberseguridad es un compromiso público entre 144 empresas globales y tiene como objetivo proteger y capacitar a las organizaciones y personas con el fin de mejorar la seguridad, la estabilidad y la capacidad de recuperación del ciberespacio.

Nos enfrentamos a una nueva realidad y a un clima geopolítico en el que los cibercriminales tienen tiempo, recursos y fondos ilimitados para planear y poner en marcha sus ataques. Implementar alternativas frente a amenazas cada vez más innovadoras y peligrosas no puede limitarse a una sola empresa, industria o región", explicó Christophe Blassiau, vicepresidente senior de seguridad digital en Schneider Electric.

Schneider Electric y las demás organizaciones que han decidido sumarse a esta iniciativa, entre las cuales se destacan Cisco y Microsoft, definen los aspectos críticos del entorno digital, tales como telecomunicaciones, centros de datos y sistemas de control industrial, que deben tomarse como prioridad a la hora de desarrollar proyectos de innovación digital que aseguren y garanticen la seguridad en el actual entorno.

"Es primordial que el ecosistema digital tenga comunicaciones abiertas y productivas, sea transparente en cuanto a los ataques y colabore en el desarrollo de nuevos enfoques destinados a garantizar que tanto las tecnologías ya existentes como las nuevas puedan resistir las ciberamenazas más sofisticadas", agregó Blassiau.

Ciberseguridad de planta durante todo el ciclo de vida de desarrollo de un producto

 

El cibercrimen está aumentando rápidamente en todo el mundo y se está volviendo cada vez más sofisticado. Recientes ciberataques dirigidos a dispositivos de control industrial han interrumpido operaciones de producción y provocado el robo de datos. Como resultado, muchos usuarios en las industrias de petróleo, petroquímica, gas natural, energía y otras que operan una infraestructura crítica están prestando cada vez más atención especial a la posibilidad de evaluar las características de ciberseguridad antes de implementar dispositivos y sistemas de control.

Yokogawa anunció haber obtenido la certificación ISASecure SDLA (Security Development Lifecycle Assurance) de ISCI (ISA Security Compliance Institute). Esta certificación garantiza, por medio de una evaluación de terceros, que sus procesos de desarrollo de sistemas de control cumplen con los requerimientos para el desarrollo de productos ciberseguros.

Yokogawa ya había obtenido la certificación ISASecure EDSA de ISCI para su sistema de control de producción integrado CENTUM VP y el sistema instrumentado de seguridad ProSafe-RS. Esta última certificación cumple con la versión 2.0.0 de las especificaciones de certificación ISASecure SDLA y fue otorgada en cumplimiento del estándar IEC 62443-4-1 y otros requerimientos.

A la hora de proteger plantas y otras instalaciones contra ciberamenazas y garantizar operaciones estables y seguras, es importante seguir avanzando en el estudio, diseño, operación y evaluación de medidas de ciberseguridad. Yokogawa ofrece soluciones que respaldan las actividades de sus usuarios en cada fase del ciclo de vida de una planta, desde diseño y desarrollo de producto hasta implementación de medidas de ciberseguridad en la fase de integración de sistema y gestión de ciberseguridad en la fase de operación.

¿Qué tan vulnerable se siente ante un ciberataque? En este momento, el software que tiene en su teléfono y computadora, en su automóvil y en su hogar puede ponerlo en riesgo. Lo mismo ocurre con una infraestructura crítica como, por ejemplo, centrales eléctricas,  edificios donde se trabaja e instalaciones de manufactura.

Constantemente aparecen brechas… Un estudio reciente de Accenture indica que los incidentes de ciberdelitos aumentaron más del 11% en el último año y más del 67% en los últimos cinco años.

Idealmente, cualquier software debería incorporar prácticas seguras de desarrollo de software para minimizar la posibilidad de que ocurran problemas de ciberseguridad. "La ciberseguridad es el gran ecualizador", comentó Matthew Bohne, vicepresidente de Honeywell Building Technologies. "Ninguna industria, ningún software y ninguna empresa son inmunes".

Global Cybersecurity Alliance (GCA), fundada por ISA (International Society of Automation), reúne empresas que trabajan en la elaboración de un estándar que defina una infraestructura digital robusta y segura, tanto para grandes instalaciones como para productos cotidianos.

 

Por qué se necesita un estándar de ciberseguridad?

 

Según Matthew, son tres las razones que explican su importancia:

 

Razón 1:

Garantizar que nuestro mundo digital pueda operar

Un software seguro y protegido es crítico para que nuestro mundo conectado pueda operar de manera eficaz. Piense en una ventana de nuestro hogar. El vidrio le da la percepción de protección; el cerrojo garantiza que existe. Sólo por tener un dispositivo incorporado que funciona, no siempre significa que sea seguro. Estándares como éstos garantizan que los fabricantes incorporen ciberseguridad por diseño.

 

Razón 2:

Establecer estándares básicos de seguridad para que sean algo común

Al igual que los cinturones de seguridad, que alguna vez no eran tan importantes y ahora no hay automóvil que no los tenga, la ciberseguridad es clave cuando está incorporada por diseño en los productos y sistemas que usa la gente.

 

Razón 3:

Pensar en un mundo aún más centrado en lo digital

Nuestra dependencia de la tecnología está creciendo exponencialmente, con asistentes inteligentes en nuestros hogares y en nuestros coches con pilotos automáticos que les permiten mantenerse  en su carril. En todos estos casos, un software no protegido también es inseguro y lo pone a usted y a sus datos en riesgo. El objetivo de GCA apunta a hacer posible que este crecimiento sea realidad.

Nueva plataforma de software simplifica, refuerza  y escala la ciberseguridad

 

La plataforma Honeywell Forge for Cybersecurity mejora la ciberseguridad en un sitio o en toda la empresa al aumentar la visibilidad de vulnerabilidades y amenazas, mitigar riesgos y mejorar la eficiencia de la gestión de ciberseguridad.

La nueva plataforma mueve de forma segura datos de un sitio a otro y utiliza datos de operaciones para reforzar la seguridad de puntos extremos y red, además de mejorar la ciberseguridad. La plataforma también ofrece una solución de software escalable para abordar mejor los puntos débiles de ciberseguridad en entornos OT e IIoT.

"Honeywell Forge for Cybersecurity es un gran paso adelante en la estrategia de ciberseguridad de una empresa. La suite unificada de aplicaciones, servicios y productos puede responder a una gran variedad de requerimientos  de ciberseguridad del usuario final, desde descubrimiento y monitoreo de activos y acceso remoto seguro a servicios totalmente gestionados," comentó Larry O'Brien, vicepresidente de ARC Advisory Group. "La plataforma representa un concepto común en ciberseguridad a nivel de entorno OT que reconoce la incidencia de IoT en manufactura, lo que incluye supervisión de máquinas virtuales, firewalls y otros activos en plantas industriales".

Basada en una tecnología ya instalada en miles de lugares de todo el mundo, la plataforma mejora la performance de ciberseguridad al aportar a los usuarios las herramientas necesarias para reforzar sus operaciones de ciberseguridad y gestión de activos, todo a través de un solo dashboard. Además, sus capacidades de múltiples sitios y múltiples proveedores admiten una solución para toda la empresa con una mayor eficiencia y un menor costo total de propiedad, sin importar el sistema de control utilizado.

"Los usuarios tendrán ahora una mejor opción para reforzar la ciberseguridad en toda su empresa para lograr la convergencia IT-OT y la transformación digital, mejorando la performance de la empresa y reduciendo el costo de ciberseguridad", comentó Jeff Zindel, vicepresidente y gerente general de Honeywell Connected Enterprise, Cybersecurity .

La plataforma Honeywell Forge for Cybersecurity está disponible en tres versiones, lo que permite a los usuarios escalar según necesidad. Al mismo tiempo, los usuarios sin experticia o recursos para soportar esta plataforma, podrán recurrir a los Managed Security Services de Honeywell para alojar y ejecutar el software.

Honeywell también ofrece Cybersecurity Consulting Services para reforzar aún más las ciberdefensas.

ISA Global Cybersecurity Alliance

 

Una de las mayores tendencias en cuanto a ciberseguridad industrial ha sido la aparición de varias alianzas que apuntan a educar a la industria sobre la necesidad de mayores protecciones de ciberseguridad y alinear las tecnologías disponibles.

Dentro de este contexto, la nueva alianza ISA Global Cybersecurity Alliance apunta a "reunir a usuarios finales, proveedores de sistemas de control, proveedores de infraestructura de informática y operaciones, integradores de sistemas y a la industria en general".

Las empresas fundadoras de esta alianza son Claroty, Honeywell, Johnson Controls, Nozomi Networks, Rockwell Automation y Schneider Electric. Si bien todas son proveedores de tecnología industrial, ISA enfatiza que la alianza está abierta a todas las organizaciones involucradas en ciberseguridad industrial, tales como usuarios finales, proveedores de automatización, integradores de sistemas, consultores, proveedores de seguros y entes gubernamentales.

Para explicar las diferencias con otras alianzas de ciberseguridad industrial, Andre Ristaino, director gerente de ISA, señaló que “muchas empresas están abordando los problemas de ciberseguridad en sus propios ecosistemas, lo cual es un buen enfoque, pero limitado. Los problemas que esta alianza intenta resolver son de un gran número de proveedores. El enfoque busca la colaboración para implementar estándares. Lo que se quiere lograr es que la ciberseguridad deje de ser algo artesanal y convertirse en una disciplina de ingeniería, parecido a lo logrado años atrás con la seguridad”.

 

ISA Global Cybersecurity Alliance

 

En cuanto a estándares, la actividad se centrará en los estándares ISA99/IEC 62443 a fin de desarrollar guías de aplicación para industrias específicas.

Estos estándares de ciberseguridad son los únicos basados en el consenso para aplicaciones de automatización y sistemas de control. Codifican cientos de años de tecnología operativa y experticia en materia de ciberseguridad de IoT y definen los requerimientos y procedimientos para la implementación de sistemas electrónicamente seguros de automatización y control, como así también prácticas de seguridad y evaluación del desempeño de la seguridad electrónica, todo apuntando a cerrar la brecha entre operaciones e informática y entre seguridad de proceso y ciberseguridad.

Según Nathalie Marcotte, vicepresidente senior en Schneider Electric, la nueva alianza de ciberseguridad es “muy importante por su alcance internacional y su convocatoria abierta. Participar como miembro fundador fortalece la capacidad de detectar y evitar ciberamenazas y responder a ellas, además de ayudar a nuestros clientes a proteger mejor sus activos y sus operaciones y también a mejorar la performance de su negocio.”

Estamos equivocados con lo que hacemos en ciberseguridad?

 

La mayoría de las charlas y artículos sobre ciberseguridad en la industria de petróleo y gas apunta a dos aspectos: educar ‘usuarios’ y soluciones tecnológicas. Pero quizás estemos todos equivocados.

Hagamos una comparación con la seguridad física y el mundo policial. Allí, los errores humanos y la tecnología tienen su rol, pero es muy raro escuchar a los oficiales de policía y a la gente encargada de la seguridad física quejándose de sus ‘usuarios’ o pedir por más tecnología.

La gente encargada de la seguridad física sólo cumple con su trabajo, entendiendo claramente que siempre hay personas vulnerables, criminales sofisticados y estupidez de ambos lados, y que la tecnología puede ayudar y, al mismo tiempo, obstaculizar. Son concientes de que su tarea es manejar la situación lo mejor que se pueda, con la ayuda del sentido común y criterio humano.

Quizás la gente de ciberseguridad tenga que adoptar un enfoque similar.

La industria de petróleo y gas registró un evento importante de ciberseguridad en diciembre de 2018, cuando la empresa de servicios de perforación Saipem fue víctima de una versión del virus Shamoon que afectó entre 300 y 400 servidores, y hasta 100 computadoras personales, de un total de 4.000 máquinas, según un reporte de Reuters.

Shamoon es famoso por el ataque a Saudi Aramco en 2012, perpetrado después de que un empleado del departamento de informática cliqueara en un e-mail falso (phishing). Se puede propagar de una máquina a otra en la red, enviando sus archivos por e-mail, borrando el archivo y finalmente sobrescribiendo el registro de boot maestro de la computadora infectada, tornándolo inutilizable. Fueron sobrescritos más de 30.000 sistemas Windows y la empresa tuvo que instalar nuevos discos duros.

Teniendo en cuenta lo que ha pasado, ¿alguien que se encargue de la seguridad física estaría dispuesto a asumir el riesgo en su empresa?

Es muy probable que no se culparan a los usuarios o buscar soluciones de alta tecnología – los e-mails falsos son cada vez más sofisticados. La alta tecnología podría venir en forma de mejores escáneres de virus o sistemas analíticos de red, pero sólo lo harían si estuvieran preprogramados para detectar este tipo de amenaza, y tuvieran la autoridad y la capacidad de detener la propagación en un determinado sistema en cuestión de milisegundos.

Quizás en estos casos resulte más adecuada una respuesta con una tecnología no tan elevada.

Igual a lo que ocurre con un extraño a quien no se le permite el ingreso en una instalación altamente segura o hacer aterrizar un avión en un aeropuerto muy cargado, no se debería permitir que un e-mail desde afuera llegue al escritorio de un empleado sin un enlace que le permita instalar un software en una computadora segura conectada a una red segura.

Una lista blanca de aplicaciones de software y desconectar computadoras para aceptar e-mails externos desde computadoras con acceso a redes internas es molesto pero sin duda que podría servir en este caso.

¿Y qué hay acerca de la vigilancia humana en el mundo de la ciberseguridad? El mundo de la seguridad física hace un amplio uso de la gente.

El guardia de seguridad realiza chequeos físicos manuales y mantiene un registro mental de las idas y venidas regulares en una instalación, lo que hace mucho más fácil detectar un intruso.

En el cibermundo, si es necesario identificar rápidamente una actualización legítima de Windows versus una falsa, es una tarea que no requiere de talentos enormes en ciberseguridad y quizás sea mejor tratar de hacer tal trabajo con personas en lugar de máquinas.

El mundo de la seguridad física adora la simplicidad. Un aeropuerto tiene una sola área segura de gran tamaño en la cual se puede ingresar una vez chequeado. En cambio, los sistemas computarizados son tan complicados que a un intruso le puede resultar realmente fácil ocultarse allí.

Pero está claro que esto podría ser mucho más simple. ¿Qué sentido tiene usar Windows cuando un simple controlador lógico podría realizar perfectamente esta tarea?

 

Ideas rescatadas de una serie de foros de ciberseguridad 2019 en Inglaterra.

Página 1 de 2
© 2018 Editorial Control. Desarrollado por Estudio Pionero.