¿Podemos aligerar la carga de ciberseguridad para las industrias pesadas?
Uno de los mayores problemas con la convergencia de TI/OT en la infraestructura crítica es que gran parte del hardware heredado no puede simplemente parchearse a un nivel de cumplimiento aceptable. Recientemente, Sean Tufts, director de práctica de Sistemas de Control Industrial (SCI) y la seguridad de Internet de las cosas (IoT) en Optivofreció sus perspectivas sobre dónde ha estado la industria, hacia dónde se dirige y algunos de los avances que se están logrando para asegurar la infraestructura crítica.
Phil Labás: Cuéntame un poco sobre tu viaje a la ciberseguridad y cómo te convertiste en el gerente de práctica de ICS IOT en Optiv.
Sean mechones: Comenzó con un correo electrónico no solicitado de todas las cosas. Lo que más odiamos, lo que se supone que no debemos hacer clic, resultó llevarme a la ciberseguridad. En ese momento, trabajaba en General Electric, y acababan de comprar esta genial compañía llamada Wurldtech, que era uno de los abuelos del espacio de tecnología operativa (OT). Enviaron una nota en la que pedían personas que quisieran aprender ciberseguridad. Pensé que sonaba increíble. Estaba instalando sistemas SCADA y estaba del lado de las redes, pero nunca había estado tan involucrado como me hubiera gustado. Me pusieron en un entorno de formación en el que aprendimos sobre el riesgo, la recompensa y los modelos de negocio. Esa fue mi primera entrada en la ciberseguridad.
ES: ¿Qué te mantiene en el espacio de OT? Hay muchos lugares a donde ir, muchas pequeñas venas y pequeñas áreas de enfoque. Entonces, ¿qué te mantiene en el espacio ICS?
S T: Es real, es tangible y puedo tocarlo. Puedo ver un proceso y saber cómo lo hicieron. Hay algo de orgullo en lo que hago. Esto no pretende menospreciar al resto de la industria de la seguridad, pero esta área es mi enfoque y tiene verdaderos intereses físicos de seguridad nacional. Si miramos un ejemplo del pico de la pandemia, en realidad lo vimos en tiempo real. Tres fabricantes de papel higiénico invirtieron en cibernética cuando comenzaron a tener problemas en la cadena de suministro. Comenzaron a comunicarse porque sabían que la seguridad cibernética debía tomarse en serio. Me importa eso, y también hay una parte de patriotismo. Nuestro equipo habla mucho de eso. Una de las razones por las que nos gusta esta industria es porque tenemos voz en el interés nacional, y eso es bastante divertido.
ES: Por otro lado, para las personas que trabajan en ciberseguridad de TI más tradicional, existe la idea de proteger la propiedad intelectual, aunque entiendo perfectamente de dónde viene. Mientras habla con sus clientes de papel higiénico y la gente que fabrica zapatos, ¿cuáles son algunos de los desafíos comunes para las organizaciones que tienen estos sistemas ICS y que quieren asegurar este tipo de infraestructura?
S T: Es muy parecido. Nos frustramos un poco porque, por ejemplo, hablamos con una empresa de alimentos y planeamos tener el mismo consultor en todo el proyecto. El ejecutivo de la compañía de alimentos dijo que no podíamos hacer eso porque un lugar era una planta de caldo y el otro era una planta de galletas. Su lógica era que ambos usaban procesos totalmente diferentes. Desde nuestra perspectiva, ambas plantas usaban exactamente el mismo equipo, por lo que era la misma planta para nosotros. Desde una perspectiva de riesgo, algunas plantas serían más peligrosas para el medio ambiente o la seguridad humana que otras, pero la forma en que resolvemos estos problemas es la misma.
Vas a entrar en un nivel diferente de profundidad en un generador nuclear que en una granja solar. Pero la misma mentalidad sigue existiendo. Necesitamos migrar de los sistemas heredados y necesitamos mejores políticas, procedimientos y capacitación en las habilidades interpersonales. En el lado de la tecnología, hay muchas nuevas vías allí. Podemos desconectar Internet, todos estos dispositivos, y no es un desafío, pero eso es miope. Hay impactos comerciales en eso. Por lo tanto, debemos asegurarnos de rodear esos entornos heredados e históricamente aislados con el conjunto de herramientas adecuado y la tecnología adecuada, así como también asegurarnos de que esté construido con la sensibilidad correcta.
ES: Cuando se habla de gestión de parches, tanto la gestión de parches de ruta como la gestión de vulnerabilidades probablemente sean exclusivas de OT como lo son para otras verticales. ¿Cuáles son los desafíos específicos con los que se encuentra en los entornos ICS que no ve en otros entornos?
S T: El grande es la incapacidad de parchear. Si fuera a una compañía de tarjetas de crédito y les dijera que no creemos que podamos parchear una máquina en particular durante los próximos 25 años, me echarían de su oficina. Sin embargo, esa es la realidad de muchas situaciones con las que te encuentras en una planta de producción de alimentos. El mejor enfoque para muchos de nuestros clientes es documentar por qué su entorno y sus procesos prohíben la aplicación de parches.
ES: ¿Considera que las organizaciones con las que está hablando tienen planes de Vulnerabilidades comunes y exploits (CVE) robustos o bien desarrollados?
S T: Algunos tienen programas CVE realmente sólidos en el lado de TI, y esos no están bien integrados en el lado de OT. recuerdo cuando el Truco del sistema de seguridad de Schneider sucedió, y eso fue un gran impulso. Fuera de los incidentes de Oldsmar y Colonial Pipeline, el problema de Schneider fue probablemente uno de los más aterradores porque afectó los sistemas de seguridad. La mayoría de la gente no tenía otra forma que no fuera papel y lápiz, así como levantar el teléfono y llamar a un operador para saber si tenían equipos de Schneider en el entorno. Necesitamos encontrar formas de obtener un poco más de inteligencia de esta comunidad más rápido y mejor.
ES: Haces un buen punto. Tenemos estos controles. Sabemos que estas cosas existen porque están conectadas, se comunican de alguna manera y nos conectamos a ellas, pero las personas que trabajan con este equipo ven los procesos de una manera completamente diferente. Están mirando un proceso de fabricación, y están mirando a través del mundo con una lente diferente en torno a lo que sus máquinas están haciendo por ellos. No es una lente de seguridad. Se trata más de garantizar el tiempo de actividad. Pero como profesional de la seguridad, lo está viendo a través de unas gafas completamente diferentes.
Entonces, ¿cómo las personas que se enfocan en asegurarse de que la máquina no se rompa físicamente elevan el nivel de la conversación a las personas que necesitan preocuparse y realmente tienen el presupuesto para esto? ¿Hay otras recomendaciones para que esas personas entiendan lo que una organización debe hacer para protegerse?
S T: Pasamos mucho tiempo hablando de adversarios y amenazas. En Clint Bodungen libro, habla sobre cómo lo primero que debe darse cuenta es que el actor de amenazas más común es el empleado de buen corazón que solo quiere hacer su trabajo y traslada una carga de trabajo a la nube que no debería haberse ido. Alternativamente, abre un puerto de firewall o parchea un sistema antiguo que no podía soportar eso. Todas esas acciones son procesos comerciales perfectamente normales que, si no tiene cuidado y no tiene un memorando realmente estricto de controles de cambios, podría meterse en muchos problemas que afectarán la producción. Eso afectará el tiempo de actividad. Eso tendrá un impacto en la salud, la seguridad y los factores ambientales. La «primera pieza» más importante es darse cuenta de que todo esto podría detenerse por completo debido a un problema de TI que creamos nosotros mismos.
El peor problema es que estos sistemas heredados aún pueden operar, lo que nos facilita activar las alarmas en nuestras propias cosas. También es un gran medio y motivo para un actor de amenazas. Una vez que ingresan allí, hay muchos menos controles que pasar que en el lado de TI, por ejemplo, en comparación con tratar de encontrar números de tarjetas de crédito o de seguro social. Es un juego gratuito más grande. El hackeo del suministro de agua de Florida no fue un hackeo inteligente, pero fue un problema letal. Por suerte, el tipo estaba despierto en los controles porque eso era lo único que protegía el sistema.
ES: Cuando empiezas a mirar un programa de seguridad OT o un seguridad ICS programa, ¿cuáles son algunas de las cosas que le vienen a la mente sobre las mejores prácticas? Quiero tener una visión clara de si una organización debe proteger su entorno ICS y su entorno OT desde un punto de vista de marco como NIST, el marco MITRE o algo así. ¿O hay algo más que le recomendaría a una organización acerca de cómo deberían ver el medio ambiente?
S T: Lo primero es suspender la palabra “medio ambiente” porque es un problema de personas. No es que no hayamos hecho lo correcto desde la perspectiva del proceso humano. Programas de capacitación, capacitación cruzada, tener buenos esfuerzos de recuperación ante desastres, probarlos, tener planes de respuesta instantánea y probarlos… todas esas son iniciativas de personas que no tienen suficiente tiempo o recursos. Hay muchos componentes que intervienen en eso. Pero esa es la pieza para mí que grita al frente de la fila, es decir, la falta de tiempo o recursos. Hablamos con un cliente que es una marca global. Tenían 250 ubicaciones en todo el mundo, y casi todo estaba sobre los hombros de un tipo que había estado en la empresa durante muchos años. Y luego, se retiró. Confiaron en él para todo y tuvieron que comenzar de nuevo la evaluación de riesgos porque todo estaba en manos de una sola persona. Toda la generación que construyó la mayor parte de la infraestructura crítica moderna se está jubilando y están entregando estas herramientas a una nueva generación que quiere herramientas habilitadas para la nube. Tenemos que encontrar eso en el medio.
ES: ¿Ve organizaciones que miran los marcos antiguos y quieren seguir modelando la empresa de la misma manera porque pueden estar haciéndolo de esa manera en el lado de TI? ¿Estás viendo sangrado en el lado OT con respecto a eso?
S T: He visto mucho de eso. Hay un par que están cobrando un poco más de impulso en cosas que antes se ignoraban. Durante mucho tiempo, fue CEI 62443y era cualquier cosa NIST. NIST 800-82 para la fabricación ha sido un buen estándar en el que mucha gente ha profundizado mucho, especialmente en organizaciones centradas en NIST. He visto a muchas personas que también se inclinan por MITRE ATT&CK para ICS. Ha sido una manera muy lógica de ver el problema. Se dirige a toda una clase de actores de amenazas y los expone a algunas de las debilidades de estos controladores lógicos programables (PLC). Ese ha sido un buen punto de migración para muchas personas preocupadas por las amenazas que no han trabajado antes en entornos de automatización.
ES: ¿Hay marcos OT e ICS que le gustan más que otros, o los considera buenos?
S T: Está todo bien. El mejor método es asegurarse de no dejar un agujero evidente y evidente en su seguridad. A medida que trabaja en la evaluación para detectar todas las debilidades, hay muchas cosas debajo que son fáciles de omitir una vez que comienza a construir realmente el programa. Cualquier estándar es bueno. Elige un marco. Tenga algo que respaldar, y cuando se desafía, puede demostrar que miró los componentes y cómo maduró. Esa es la gran pieza.
ES: ¿Puedes compartir con qué has luchado últimamente?
S T: estoy luchando con CIP NERC ahora mismo. Es uno de los estándares más complejos que existen. Hay partes que me encantan, como la forma en que promueve el uso de la autenticación multifactor, pero no está completamente actualizada con todas las nuevas partes interesantes de MFA, como el etiquetado de velocidad o las credenciales múltiples. La ausencia de estos hace que suene como una seguridad de «marcar la casilla». Sin embargo, cuando observo cómo han madurado los fabricantes, está claro que NERC CIP ha movido las empresas de servicios públicos en una dirección positiva para todos, desde el IOU más grande en la ciudad de Nueva York hasta el más pequeño en cooperativa rural en Iowa. Desafortunadamente, no estamos viendo el mismo crecimiento de la seguridad en otras industrias.
ES: Hay una brecha enorme.
S T: Sí, y eso no se ve en los servicios públicos. El problema no es una tendencia generalizada, así que eso ha sido bueno. Es por eso que estoy luchando con NERC, por un lado, podría ser mucho mejor, pero por otro lado, es bastante eficiente.
ES: Creo que el hecho de que sea una regulación, en lugar de una guía, hace toda la diferencia del mundo. Mencionó anteriormente sobre el cambio generacional con respecto a las personas que trabajan en OT, las personas que primero desarrollaron estos controles y la próxima generación que avanza hacia la adopción de la nube. Históricamente, ha sido bastante lento en comparación con otras áreas de negocios. ¿Por qué crees que ha sido lento adoptar? ¿Es el relevo generacional lo que va a permitir que se acelere, o hay otro factor que influye?
S T: Creo que las personas simplemente se sienten incómodas si no pueden tocar el interruptor y no pueden ver el enrutador. Esas piezas y repuestos son una especie de elemento vital para una gran parte de la fuerza laboral que construyó esos sistemas. Solo la desconfianza general y el miedo es la razón por la que hemos tardado en abordarlo. Además, el cambio es difícil, y no hay un montón de presupuesto para gastar y desconectar una línea de producción durante cualquier cantidad de tiempo para reconstruir la red de rutas y conmutadores. No tienes esos períodos de tiempo para hacer eso. Si la adopción de la nube sale mal y ha eliminado algunos de los entornos heredados de rutas y conmutadores, ¿qué le queda? Ahora estás en problemas. Entonces, esos seis días pasan a ser 12 o 20. Todo el mundo está realmente esperando a ver quién va primero, y la gente está trasladando las cargas de trabajo a la nube.
Otra pieza que lo impulsará es el costo. Es realmente costoso volver a segmentar su red, incorporar todo el hardware nuevo y reemplazar todo el material antiguo heredado. Es mucho más barato y más fácil aprovechar las capacidades de red más modernas que, en algunos casos, son muy pesadas en la nube y eso implicará un enfoque más barato y más fácil. Por necesidad, vamos a tener todas estas cargas de trabajo en la nube y accederemos a todas nuestras interfaces desde un navegador en lugar de un tablero dedicado. Creo que será interesante ver qué industria se mueve primero. Creo que la industria automotriz es un mercado muy interesante para observar en este sentido. Han incorporado tanta automatización, robótica y mucha menos interacción humana con el proceso de fabricación.
ES: Agradezco tu perspicacia al respecto. Cuando se trata de trabajar con proveedores de seguridad OT, ¿cuáles son algunos de los elementos clave que toda empresa debe considerar cuando tiene conversaciones con un OEM potencial o un proveedor de soluciones?
S T: Busco detalles sobre los conjuntos de habilidades en los que estamos tratando de extraer amenazas, visibilidad y activos. Es importante tener los datos presentados de la forma en que desea que se presenten, mapearlos correctamente y obtener un buen diagrama a partir de ellos. ¿Es una gran barra de búsqueda en la que solo puede escribir una palabra y encontrar todo el equipo de un fabricante en particular? Así es como desea interactuar con la herramienta.
ES: Por lo tanto, es importante que la organización se preocupe lo suficiente por usted como para poder hablar su idioma y trabajar de la forma en que necesita trabajar.
S T: Exactamente.
ES: Ha habido algunas iniciativas nuevas instituidas por el presidente Biden para asegurar y proteger la infraestructura crítica. ¿Cuáles son sus pensamientos sobre esas iniciativas?
S T: Ellos son buenos. Es la manera correcta. Necesitamos tener ese tema de conversación del poder ejecutivo. Necesitamos poder tener gente que no se meta con nosotros. He estado siguiendo de cerca algunos de los requisitos que surgieron de la Administración de Seguridad del Transporte (TSA), que controla las tuberías a raíz del incidente del ransomware Colonial. Ha habido algunas jugadas interesantes en las que no esperaba que fuera lo primero en salir del tablero, realmente madurar la gestión de credenciales en OT. Eso ha sido muy interesante para mí. Pienso que el API 1164 estándar va a tener mucho que decir acerca de dónde irá la gestión de tuberías en el futuro lejos de la TSA. Ese ha sido un giro fascinante para que el entorno realmente se centre en la identidad.
Otro punto que he estado siguiendo es la convergencia de la ciberseguridad y la seguridad. Otro profesional de la seguridad planteó que deberíamos tratar esto como un problema de seguridad. De lo contrario, nunca vamos a conseguir la financiación. Necesitamos hacer mella en el problema de la seguridad tratándolo con la misma seriedad que un problema de seguridad física. Algunas de las cosas que sucedieron en los últimos 12 meses han estado al borde. Hubo un ataque de ransomware en un hospital en Alemania que indirectamente condujo a la muerte de un paciente. Se informó que esta fue la primera muerte causada por un ataque de ransomware. Pero, ¿podemos sentarnos en nuestra silla y pensar que va a ser la última? No sé.
ES: Es una buena pregunta. Me gusta la idea de que sea un problema de seguridad, y creo que se relaciona con la forma en que los problemas de las personas y las iniciativas de las personas son el componente clave. Anteriormente pregunté sobre el presupuesto y cómo tener esa conversación con el responsable del presupuesto. ¿Cómo construyes esa declaración de valor para ir contra la corriente y solicitar dinero para algo intangible como la seguridad?
S T: Esa es en realidad la parte emocionante. Muchas de nuestras capacidades analíticas actuales, sin mencionar la utilización de todas las cosas divertidas, la inteligencia artificial y el aprendizaje automático, lo están poniendo todo sobre la mesa. No veo a nadie apresurándose en los programas de análisis y forzándolos en un entorno no reforzado. Es demasiado peligroso. Lo que estoy viendo en este momento es una tendencia hacia el desbloqueo de análisis que podemos ejecutar en ese motor eléctrico o mantenimiento predictivo en esa válvula de flujo. Al hacer esto, podemos reducir nuestros costos generales, hacer algunas inversiones y sacar algo valioso de ello. Los ganadores y perdedores en los mercados de petróleo y gas serán aquellos que puedan hacer más con la misma cantidad de activos. y una parte de eso va a ser un componente digital. Si puede obtener entre un 2 % y un 3 % más a través de una tubería porque un motor no se apaga, una válvula se cierra accidentalmente o una tubería está agrietada. Tener más inteligencia para llegar más rápido afectará quiénes serán los ganadores y los perdedores. No hay capital. Necesitamos nuevos proyectos, y podemos hacer más con lo que tenemos.
ES: Y luego, centrarse en comprender mejor su entorno le permitirá impulsar esas eficiencias. Y simplemente no tenemos esa óptica en ese momento.
S T: Exactamente.
ES: Muy genial. ¿Hay algún área que potencialmente no hayamos cubierto y que creas que es importante sobre la que quieras hablar?
S T: No, estoy feliz. Llegamos a esa pieza de datos porque va a ser un gran factor de desbloqueo, y es una especie de cosas de «estado futuro». Eso fue divertido.
ES: Gracias por tomarse el tiempo para hablar conmigo hoy.
S T: Del mismo modo, fue muy divertido hablar contigo.