Defensa en profundidad: 4 capas esenciales de seguridad ICS
Siempre se dice que la seguridad nunca es una solución única para todos. Esto es cierto no solo por las aparentemente infinitas variedades de equipos en cada organización individual, sino también, y quizás lo más importante, por las diferentes formas en que cada organización ve la seguridad. Algunos pasan mucho tiempo centrándose en la seguridad física, especialmente aquellos con sistemas de control industrial (ICS). Otras son organizaciones pequeñas, donde la principal preocupación es el robo de datos personales. También hay de todo entre esas dos ideologías.
Afortunadamente, el objetivo final suele ser el mismo para cada entidad, y las disparidades equivalen a un malentendido del lenguaje o alguna frase específica de la industria.
Un ejemplo de eso sería alguien del SCI mundo se refiere a su solución de gestión de registros como «el historiador», mientras que alguien en la vertical comercial lo conoce como SIEM. Fundamentalmente, hacen lo mismo; recopilar todos los datos de actividades o eventos de los dispositivos para ser almacenados/analizados de forma forense en una fecha posterior.
¿Cómo se puede cerrar la brecha de la jerga de la industria para tratar de explicar que aunque una cosa se conozca como otra cosa, no significa que proporciona una función diferente? La analogía tradicional puede ser el mejor método.
Si bien hay amplias extensiones donde la seguridad es importante, hay cuatro áreas clave de preocupaciones de seguridad que todas las organizaciones de ICS deben mantener.
1. Gestión de activos
Esto se refiere a la gestión consistente o el conocimiento de los dispositivos dentro de una organización, ya sea que se trate de software, PC o incluso dispositivos de hardware, como un PLC en una planta de ICS. Cualquier entidad que se encuentre dentro de una organización podría ser vulnerable al compromiso, y no saber lo que tiene no es diferente a dejarlo intencionalmente sin protección. La ignorancia no es felicidad.
Hubo un tiempo en que la idea de que cualquier dispositivo pudiera ser un objetivo se miraba con gran escepticismo, sin embargo, desde entonces hemos visto brechas en la red a través de dispositivos aparentemente inocuos, como un máquina expendedora y un termómetro de acuario.
analogía común: Imagina que un extraño en la calle se te acerca y te dice que está planeando entrar en tu casa para llevarse un artículo. No sabes quién es o incluso a qué elemento se refiere. Lo primero que piensas es ¿entrará?
Lo primero que haces al llegar a casa es realizar una valoración patrimonial. ¿Dónde están los puntos físicos débiles? ¿Quizás las ventanas, las puertas, o tal vez el ladrón tiene una obsesión por Papá Noel y planea usar la chimenea para acceder? Aplicas medidas de seguridad, pero ¿tu prisa te ha hecho pasar por alto algo? El monitoreo inconsistente puede conducir a vulnerabilidades potenciales.
También puede aplicar la misma metodología a los artículos dentro de la casa. ¿Cuándo fue la última vez que hizo un inventario de todos los artículos de su hogar, o incluso solo de los artículos de alto valor? ¿Sería capaz de averiguar lo que fue robado unos meses más tarde solo cuando vaya a buscar su reloj Rolex y lo encuentre perdido?
La seguridad para llevar: Si bien es inviable hacer un inventario constante de todos los objetos de su casa, mantener un inventario de red preciso no es tan difícil. Asegúrese de que todos los dispositivos que podrían verse comprometidos y utilizarse como un medio para acceder a información confidencial estén inventariados y mantenidos. No saber qué dispositivos hay en su red es probablemente el mayor error que cometen muchas organizaciones. Recuerde que esto no siempre significa artículos físicos. El software sin parches y desactualizado también podría crear una brecha de seguridad.
La diferencia entre intentar monitorear continuamente sus pertenencias personales y los activos de una empresa es que existen herramientas automatizadas para ayudar a una organización.
2. Segmentación de la red
La segmentación de la red es fundamental para una buena higiene de la seguridad, ya que separa las redes internas entre sí. Si alguien accedera ilegalmente a su red, la segmentación de la red podría ayudar a mantenerlos limitados a la zona o área a la que han accedido, limitando así el daño que podrían causar.
Los beneficios de este control pueden parecer obvios, pero muchas organizaciones, tanto comerciales como industriales, todavía tienen topologías de red «planas». Por lo general, esto es solo el resultado del crecimiento organizacional. Esto es particularmente cierto en las organizaciones ICS. La principal preocupación en las instalaciones industriales siempre ha sido la seguridad física. Sin embargo, a medida que se introducen más y más dispositivos IoT en estas redes, esto se ha convertido en un vector de ataque que debe abordarse.
analogía común: Imagina que tu familia viene de visita durante las vacaciones de invierno y, durante su visita, te piden la contraseña de tu Wi-Fi local.
Obviamente, divulgará la contraseña, ya que (con suerte) confía en los miembros de su familia. Sin embargo, si no ha habilitado la red de invitados, está permitiendo que cualquier dispositivo ingrese a la misma red donde realiza su negocio personal. El problema aquí es que estos dispositivos invitados pueden almacenar la contraseña de Wi-Fi, y si uno de esos dispositivos ya está comprometido, tiene el mismo acceso que cualquier otro dispositivo en la red. Esto podría extenderse a comprometer la computadora en la que realiza sus transacciones bancarias.
Asumir que sus medidas de seguridad son lo suficientemente fuertes no es lo suficientemente bueno en estos días, ya que el eslabón más débil podría ser otra persona conectada a la red. La mejor solución sería decirle no a su familiar, cambiar su contraseña en su red Wi-Fi cuando se vaya, o habilitar la segmentación (una red de invitados) que solo tiene acceso a recursos limitados. Esto evitaría que cualquier dispositivo comprometido acceda a la red interna sensible.
La seguridad para llevar: Segmente tantos dispositivos como sea posible. Comprensiblemente, la segmentación de redes y la instalación de firewalls y otras tecnologías de protección podría ser un esfuerzo costoso, sin embargo, no hacerlo podría costar más a largo plazo si se produce una infracción.
3. Evaluación de la vulnerabilidad
Una evaluación de vulnerabilidad busca debilidades conocidas dentro de una entidad. Tener visibilidad sobre dónde se encuentran los posibles puntos débiles dentro de su organización es fundamental no solo para prevenir posibles ataques, sino también para mantener la eficacia operativa.
La mayoría de las personas solo piensan en la evaluación de vulnerabilidades como una forma de alertar sobre agujeros de seguridad; sin embargo, tener un dispositivo que está potencialmente abierto a recibir información inesperada podría provocar que el dispositivo se desconecte debido a que está sobrecargado de información. Esto se ve más comúnmente dentro de la industria de ICS y, obviamente, que un dispositivo como un PLC se desconecte durante el funcionamiento de una planta de fabricación podría ser devastador en algunos casos.
Ser capaz de ver dónde podrían estar todos los posibles agujeros de seguridad en el dispositivo, y también qué aplicaciones o servicios se están ejecutando, podría ser un gran beneficio para que una organización determine el riesgo potencial que plantea.
analogía común: Imagine que es dueño de una tienda de conveniencia y está cerrando por la noche. Un simple escaneo del área indicaría que todos los puntos de acceso a la tienda están cerrados y bloqueados. Parte de esa inspección también incluiría cualquier punto de acceso al sótano o al techo. Por supuesto, cerrar la caja fuerte también sería una parte importante de esta evaluación nocturna, así como dejar la caja registradora vacía con la caja registradora completamente abierta para mostrar a los ladrones ocasionales que no hay dinero presente. Como paso final, los detectores de movimiento y el sistema de alarma se configurarían y encenderían, y luego se cerraría la tienda.
Si tuviera que contemplar que alguno de sus sistemas de seguridad no funciona, ¿cuál sería su acción para corregir el problema antes de que pudiera considerar que la tienda es segura para dejarla desatendida? Esta evaluación de riesgos improvisada es una parte importante de las operaciones comerciales.
La seguridad para llevar: Cada organización debe tener algún tipo de evaluación de vulnerabilidad en el lugar. Sin embargo, tener una solución no debe considerarse una panacea de seguridad, ya que necesita algo más que una herramienta de notificación. Imagínese cuánto más eficaz podría ser su organización si cada vulnerabilidad se detectara y luego se mostrara con los consejos de reparación recomendados, como qué parche resolvería la falla de seguridad.
Esto le ahorraría a su equipo horas de tiempo y esfuerzo de investigación. Otro punto importante es separar la herramienta de evaluación de vulnerabilidades de la solución de administración de parches. No se debe asumir que una falla de seguridad ha sido remediada simplemente porque se encontró una versión de parche en el dispositivo. A veces, un parche se ejecutará en un sistema y parece tener un 100 por ciento de éxito, pero cuando se escanea nuevamente en busca de riesgos, ciertas vulnerabilidades aún están presentes.
Una buena práctica sería usar su solución de vulnerabilidad para detectar el riesgo, informar a la solución de administración de parches para ejecutar el parche recomendado y, a su vez, iniciar un nuevo análisis de la solución de vulnerabilidad para verificar que todo se haya solucionado, es decir, verifique dos veces cada el trabajo de otro.
4. Monitoreo Continuo
El monitoreo continuo debe tener la más alta prioridad cuando se trata de higiene de seguridad. Las personas a menudo no saben por dónde empezar con esto y, por lo general, se las dirige a marcos que pueden ayudar. La mayoría de los marcos en todas las industrias enfatizan que el primer paso de seguridad es el descubrimiento de activos. Una vez que se logre, se debe implementar el monitoreo continuo y, en particular, la gestión de la configuración y el monitoreo de la integridad para todos los dispositivos.
El monitoreo de integridad se conoce comúnmente como Monitoreo de integridad de archivos (FIM), pero el aspecto de «archivo» no es estrictamente cierto, ya que el monitoreo debe estar en todos los elementos que se encuentran dentro de la organización, no solo en los archivos. Si pudiera ver cuándo se produce un cambio dentro de una configuración crítica y pudiera reaccionar en tiempo real, se podría evitar cualquier daño.
analogía común: Imagina que tienes una pequeña tienda de dulces en el centro de la ciudad y decides no gastar dinero en un dispositivo de seguridad como una cámara de circuito cerrado de televisión. Un día, pasa un autobús escolar y todos los niños entran en la tienda en un gran grupo. Obviamente, tu atención es atraída en todas las direcciones y hay mucha actividad. Cuando todos se han ido, observa que un frasco de sus dulces más caros se ha reducido a la mitad y no recuerda haber vendido un solo artículo ese día. Decides revisar tus recibos para ver si olvidaste o te perdiste esa transacción durante el ajetreo. Esto sería equivalente a revisar sus datos de registro para ciertas actividades.
Lamentablemente, tiene razón y no hubo ventas de ese dulce en particular ese día. Entonces, como usted y la mayoría de las organizaciones solían hacer, simplemente lo barre debajo de la alfombra y se promete a sí mismo estar más atento la próxima vez. Ahora, imagine que ha instalado una cámara de circuito cerrado de televisión. Podría ver fácilmente quién no solo abrió el jar (un cambio de configuración), sino que el contenido del jar estaba siendo alterado (un cambio de integridad).
En una escala mayor, esto es lo que hace un gran supermercado al instalar cámaras de circuito cerrado de televisión y contratar personal para monitorearlas en tiempo real en la oficina administrativa. Cuando una persona intenta pasar por el punto de venta sin pagar los bienes robados, el equipo de seguridad podría reaccionar y detenerla.
La seguridad para llevar: La analogía anterior parece obvia, y sabemos que la gente ha estado usando este tipo de seguridad durante años, y profundiza la necesidad de gestión de integridad y configuración, incluso por encima de la gestión de vulnerabilidades. Es razonable suponer que no se produciría mucho daño en una red con alguien que hiciera un cambio real.
En conclusión
La idea de comenzar con la gestión del cambio podría verse como controvertida, sin embargo, es importante enfatizar que se deben implementar todo tipo de medidas de seguridad, ya que cada una ofrece sus propios valores y beneficios cuando se trabaja en conjunto. Los cuatro (FIM, administración de configuración, administración de registros y evaluación de vulnerabilidades) deben adoptarse en paralelo para lograr una imagen de seguridad completa. La segmentación de la red también es vital para limitar el posible alcance de los daños.
Omitir cualquiera de esos elementos dejaría un espacio para que algunos actores malintencionados lo exploten.