Los responsables de Ciberseguridad industrial, los CISO, los equipos de seguridad y los responsables operativos, se dan cuenta cada vez más del impacto financiero, operativo y de seguridad potencial de los eventos cibernéticos. Muchos responsables, que intentan hacerse con la seguridad de esta parte desafiante de sus redes, han iniciado esfuerzos separando sus redes de IT y OT, ganando visibilidad en el mundo arcaico de los activos de OT o recopilando datos de las redes de OT en procesos de detección de incidentes para identificar amenazas potenciales.
Algunos requieren acciones de seguridad específicas basadas en estructuras regulatorias. La actividad es bulliciosa. Las reuniones, la planificación, las discusiones sobre la arquitectura de la red, los POC, etc. mantienen a los equipos increíblemente ocupados, ya que también intentan mantener sus plantas operativas en un mundo de recursos en declive y limitado por el COVID-19.
Debemos detenernos y hacernos preguntas fundamentales: ¿Estamos progresando? Si no somos una víctima esta semana, mes o año, ¿tenemos éxito? ¿Estamos malgastando el dinero o gastando muy poco? Debemos comenzar a tratar la ciberseguridad de OT con el mismo conjunto de objetivos, métricas, logros y gestión del rendimiento que tratamos al operar una planta, un ferrocarril o una red eléctrica.
Ofrezcamos un punto de vista que invitamos a otros a agregar o brindar perspectivas alternativas. Creemos que hay dos objetivos principales de la seguridad de OT que brindan el objetivo final de reducir el impacto potencial en las operaciones de OT:
1 – Reducir el riesgo
2 – Responder a las amenazas
Sabemos que esto es simplista. Esto es simplemente reafirmar lo obvio. Pero, de hecho, diríamos que esta base comienza respondiendo preguntas desde la parte superior de la organización: ¿Cómo sabemos si estamos progresando o teniendo éxito? ¿Estamos realmente mejorando nuestra postura de riesgo? ¿Estamos equipados para responder a una amenaza real o simplemente detectar un comportamiento anómalo?
Muchas organizaciones industriales quieren «visibilidad» o «detección», pero no tienen claro el objetivo final o cómo medirlo. Si tenemos muchas detecciones, ¿es eso bueno… o malo? Si tenemos visibilidad, ¿hemos aumentado nuestra seguridad? Estos dos fundamentos básicos y los componentes clave de cada uno ayudan a determinar el mejor camino.
Pasos para reducir el riesgo en entornos industriales
Crear una vista en tiempo real del estado de riesgo del entorno OT
El primer paso para reducir el riesgo es la conciencia del riesgo. La mayoría de las organizaciones comienzan este viaje con una evaluación de vulnerabilidad de su entorno OT, luego estiman la probabilidad potencial y el impacto de cada riesgo potencial. Este es un paso necesario, pero insuficiente.
Una evaluación única o poco frecuente queda desactualizada inmediatamente Y hace que sea muy difícil seguir el progreso en la reducción a lo largo del tiempo. El éxito en la reducción de riesgos requiere una visión constantemente actualizada del riesgo.
Tomar medidas correctivas para reducir el riesgo
La reducción de riesgos requiere ejecutar acciones específicas para reducir esos riesgos específicos. Si la evaluación identifica riesgos de sistemas sin parches, configuraciones inseguras, cuentas y usuarios inactivos o inseguros, controles de acceso deficientes, etc., el siguiente paso debe ser reducir esos riesgos.
La capacidad de acción requiere que la organización administre sus puntos finales de OT. Deben recuperar el control de los proveedores y asegurarse de que las configuraciones se refuercen, los dispositivos de red se actualicen y configuren correctamente, los usuarios y las cuentas se limpien, etc. Estas acciones de punto final son un ejemplo de por qué la detección de riesgos no es suficiente y por qué deben cerrar el bucle para remediar los riesgos.
Rastrear e informar sobre la excelencia operativa
Lo mejor de proteger los entornos operativos es que el liderazgo y el personal se sienten cómodos con una gestión de operaciones rigurosa. La seguridad requiere el mismo tipo de excelencia operativa que la fabricación o la cadena de suministro. Fundamental para la gestión de operaciones es el seguimiento del rendimiento en métricas críticas y la generación de informes sobre el rendimiento. Ya sea que se trate de tableros de «rojo a verde» o % completado, un sólido programa de reducción de riesgos establece métricas claras y las supervisa a lo largo del tiempo.
Este informe también debe incluir quién es responsable de cada métrica. En seguridad, esto requiere tener conversaciones incómodas con los responsables operativos sobre su responsabilidad personal de mantener y mejorar el perfil de riesgo general de los sistemas OT.
Elementos para una respuesta eficaz ante amenazas
Proceso y plan de respuesta definidos
Los planes de respuesta a incidentes son comunes en casi todos los estándares de Ciberseguridad porque son críticos en la capacidad de detener un ataque potencial en tiempo real. Pero muchos procesos de respuesta a incidentes se detienen con un conjunto de procedimientos o políticas de alto nivel, como a quién llamar cuando ve un problema, cómo comunicarse con las autoridades y a quién usar como proveedor de respuesta a incidentes.
Recientemente, la industria ha visto de primera mano que los planes de respuesta a incidentes deben ser mucho más detallados y específicos para el entorno de IT-OT individual. El evento del Oleoducto Colonial destacó los riesgos de una planificación de respuesta limitada en el entorno OT. La solución a su ransomware involucrado el cierre de operaciones. Este puede haber sido un paso necesario, pero la clave para un plan sólido de respuesta a incidentes es identificar la respuesta menos disruptiva (LDR) para cada amenaza. El LDR se construye al comprender los detalles de la postura de riesgo de OT (parte del paso uno de Reducción de riesgos). Para definir la respuesta menos disruptiva, la organización necesita visibilidad de la postura de riesgo de cada activo y conocimiento para reducir el impacto de los diferentes tipos de amenazas. Esto va más allá del «a quién llamar» basado en papel.
Detección de dimensión «X»
“XDR” es una palabra de moda en la industria de la seguridad en crecimiento para definir la amplia telemetría necesaria para contener las amenazas modernas. En OT, «XDR» a menudo se descarta debido a los riesgos de las acciones de respuesta automatizadas. Pero no debemos desechar el concepto de detección “X-dimensional”. Esto se refiere a la recopilación de un amplio conjunto de datos de los sistemas OT (registros de punto final, comportamiento del usuario, flujos de red, registros de firewall, incluso alarmas de procesos físicos) y el uso de análisis integrados para identificar amenazas potenciales. En el mundo de IT, ningún responsable en seguridad aceptaría una única forma de telemetría, como la inspección de paquetes, como respuesta a la detección.
La integración de estas diversas formas de telemetría también reduce los falsos positivos que paralizan a los equipos SOC y evitan que respondan a las alertas más críticas.
Respuesta segura, rápida y menos perturbadora para OT
Como se mencionó, las organizaciones necesitan planes para LDR: respuesta menos disruptiva. Pero también necesitan implementar acciones de respuesta de manera rápida, aunque operativamente segura. Un plan de respuesta es tan bueno como la capacidad de una organización para ejecutarlo en el fragor del momento. El plan debe estar respaldado por las personas, los procesos y la tecnología que permitan al equipo de seguridad (incluidos los expertos en seguridad y los expertos en procesos industriales) tomar las medidas de seguridad necesarias para detener la amenaza. Esto incluiría: eliminar un usuario específico, cambiar contraseñas, eliminar ciertos puertos y servicios, parchear un sistema, etc. Con demasiada frecuencia, en el mundo de OT, estos pasos son manuales o requieren la participación del proveedor en medio de un evento. Para una respuesta rápida, la industria necesita la capacidad de tomar acciones de respuesta específicas cuando sea necesario.
Estas acciones de respuesta deben ser gestionadas por un equipo de seguridad y personal operativo. A diferencia de IT, donde la respuesta automatizada se está convirtiendo en la norma, OT cree que la respuesta requiere que un ser humano revise la amenaza potencial y los posibles impactos operativos negativos antes de ejecutar la acción. A esto lo llamamos el enfoque “Piensa globalmente: actúa localmente”.
Las organizaciones están reaccionando a las amenazas emergentes a la seguridad de OT y están comenzando a tomar medidas. Esta es una gran noticia. Sin embargo, todos debemos dar un paso atrás para determinar cuáles son los objetivos generales y cómo asegurarnos de que realmente estamos progresando en los dos elementos clave (reducción de riesgos y respuesta a amenazas) antes de tomar medidas que pueden no conducir a una verdadera mejora de la seguridad.