Cómo combatir la ceguera de activos en la seguridad de OT
Uno de los principales retos de la seguridad OT es el problema de la compatibilidad. Los componentes de OT a menudo difieren significativamente entre sí en términos de antigüedad y sofisticación, así como en software y protocolos de comunicación.
Esto complica el descubrimiento de activos y dificulta el establecimiento de un enfoque coherente de gobernanza de la ciberseguridad. La lucha contra la ceguera de los activos en la seguridad de OT comienza teniendo en cuenta estas diferencias.
Los modelos estándar de visibilidad de activos, activo y pasivo, tienen fallas aparentes; el monitoreo activo puede sobrecargar los controladores con señales innecesarias, mientras que el monitoreo pasivo puede ralentizar el proceso de recopilación de datos completos. Estas desventajas se pueden mitigar mediante la adopción de un enfoque equilibrado que maximice la visibilidad y la productividad operativa.
Eliminación de silos de información
La base fundamental de los puntos ciegos de los activos es la información aislada. Esto puede incluir datos incompletos o inexactos sobre los activos y la infraestructura, o simplemente podría ser una falta de conocimiento entre los equipos, como la seguridad de TI y OT. Diferentes equipos e individuos se enfocan en sus propias prioridades y objetivos. Nadie tiene la imagen completa.
El advenimiento de la pandemia resaltó el nivel significativo de fragmentación que existía entre los equipos de TI y OT. A diferencia del mundo de TI, donde las soluciones adoptan un alto nivel de estandarización, el El paisaje del AT puede describirse como caóticolo que hace que la interactividad eficiente entre equipos sea casi imposible.
Sin embargo, según informe de fortinetla pandemia tomó por sorpresa a la mayoría de los líderes de OT y tuvieron que implementar procesos de ajuste presupuestario en muy poco tiempo, como comprar más equipos para respaldar la conectividad del trabajo desde el hogar para los trabajadores y mejorar el acceso remoto seguro.
Tratar a TI como una entidad separada de las operaciones de la planta contribuye a los problemas de gestión de activos. Esto crea áreas «ciegas» donde los activos permanecen desprotegidos y donde los equipos de TI y OT no comparten los datos.
Sin embargo, supongamos que ha habido una ventaja de la pandemia en ciberseguridad. En ese caso, debe ser cómo obligó a las organizaciones a adoptar prácticas de seguridad maduras, creando una mayor colaboración entre los departamentos de TI y OT.
El proceso para abordar la ceguera de activos requiere la colaboración entre los equipos de seguridad y sus contrapartes en TI y operaciones. Los equipos deben trabajar juntos para identificar, analizar y mitigar los riesgos asociados con los puntos ciegos en sus sistemas. La interoperabilidad de las operaciones de seguridad es una excelente manera de empoderar a los empleados para disminuir el riesgo y aumentar la resiliencia.
Al trabajar juntos desde el principio, los equipos pueden crear una visión holística de cada activo, incluido su funcionamiento interno y la infraestructura circundante, lo que les permite identificar vulnerabilidades de manera más eficiente y mitigarlas según sea necesario.
Un enfoque de monitoreo equilibrado
Cuando las organizaciones consideran implementar una solución de seguridad OT, a menudo lo hacen con una mentalidad de monitoreo «activo versus pasivo». La dificultad radica en el hecho de que se pueden usar muchos tipos de dispositivos para controlar los sistemas industriales, lo que dificulta proteger todos los tipos posibles de equipos contra ataques digitales.
Esto incluye dispositivos de control industrial heredados. Aunque originalmente no se diseñaron teniendo en cuenta la seguridad informática, estos activos aún deben mantenerse actualizados con los estándares actuales para la protección contra ataques de piratas informáticos.
Sin embargo, es hora de ir más allá de este obsoleto dicotomía. En cambio, deberíamos discutir cómo los profesionales de seguridad de OT pueden aprovechar una combinación de ambos proactivo y medidas reactivas para adelantarse a los ciberataques antes de que afecten a los sistemas de producción, mitigar los riesgos lo antes posible cuando se produzcan los ataques y crear un entorno que detecte activamente amenazas potenciales para que puedan mitigarse o prevenirse rápidamente antes de que se conviertan en incidentes completos.
Con las tecnologías de detección integradas, las organizaciones pueden monitorear la actividad maliciosa en tiempo real y obtener una comprensión detallada del comportamiento del usuario, la actividad de la red y el punto final, las configuraciones y el uso del software.
Solución de visibilidad integrada
Aunque la mayoría de las empresas se han trasladado a plataformas de visibilidad centralizada para TI y procesos de negocio, lo mismo no es válido para OT. Esto deja a los equipos de seguridad sin las herramientas y la información necesarias para monitorear, analizar y detectar amenazas en los sistemas OT.
De acuerdo a Informe de estado de la tecnología operativa 2021 de Fortinet, solo las organizaciones de primer nivel tienen más probabilidades de tener una visibilidad del 100 % de las actividades de OT. La visibilidad promedio para la mayoría de las empresas ronda el 75 %, pero como cualquier profesional de ciberseguridad puede darse cuenta rápidamente, incluso el 1 % de las actividades que quedan sin protección pueden derribar la arquitectura de seguridad.
Por lo tanto, la mejor manera de combatir la ceguera de los activos en la seguridad de OT es proporcionar una plataforma unificada que le permite ver todos sus activos bajo un solo panel de vidrio. Esto solo es posible a través de un enfoque integrado que aprovecha los datos de fuentes dispares, incluidos los dispositivos de planta, SCADA/HMI, PLC y otros sensores, sistemas de TI y soluciones de seguridad existentes.
Adoptando un enfoque de confianza ceroincluso para activos OT, lo ayuda a establecer las prioridades de seguridad adecuadas y a tomar mejores decisiones sobre la mejor manera de asignar recursos limitados para proteger su infraestructura y activos.
Conclusión
Para combatir la ceguera de los activos, debemos alejarnos del ruido blanco de las alertas y las investigaciones y preguntarnos qué datos tienen el riesgo más significativo a nuestra organización.
Al final, el descubrimiento de activos debería permitir una comprensión más amplia de los requisitos de ciberseguridad de OT. La política de seguridad cibernética debe tener en cuenta estos activos, y la identificación de activos es necesaria para cualquier organización que desee crear políticas de defensa cibernética consistentes.
Sin embargo, aunque el descubrimiento de activos puede actuar como una pista de auditoría para eventos de seguridad cibernética para determinar qué ocurrió durante un ataque a un proceso de producción, no puede reemplazar un análisis más profundo y auditorías de seguridad externas, compromisos que pueden ayudar a las organizaciones a identificar vulnerabilidades específicas y priorizar acciones correctivas. acciones en función de los niveles de riesgo.
Una de las mejores formas de combatir la ceguera de los activos en la ciberseguridad de OT es desarrollar un programa integral de gestión de vulnerabilidades. Aquí, el personal de seguridad de TI y OT trabaja en conjunto para recopilar y analizar datos de todas las fuentes para identificar vulnerabilidades, que luego se pueden priorizar para la mitigación futura. Descubra cómo HCiberSeguritypuede ayudar a su organización a crear un programa de gestión de vulnerabilidades hoy.