Pub Talk: Convergencia de TI/TO, marcos y amenazas de ciberseguridad predominantes

Pub Talk: Convergencia de TI/TO, marcos y amenazas de ciberseguridad predominantes

PorJulio Huerta

Cuando lee su blog de seguridad cibernética favorito, ¿a menudo se pregunta cómo sería sentarse con los autores y conocer sus pensamientos reales sobre algunos de los temas sobre los que escriben? La mayoría de los blogs y artículos están tan cuidadosamente seleccionados, editados, verificados y vinculados a evidencia de apoyo que pueden parecer algo forzados y, lo que es peor, muy artificiosos. Tal vez por eso es tan divertido conocer a algunos de los oradores y autores en eventos públicos. Nos da a todos la oportunidad de escuchar a la persona en un ambiente informal, con toda la franqueza posible que genera una verdadera conexión.

Pensamos que este podría ser un buen enfoque para una nueva serie que llamamos «Pub Talk». Nos da la oportunidad de echar un vistazo sin tapujos a algunos de los problemas de seguridad cibernética de algunos de los expertos populares y respetados en el campo. Estas son las conversaciones que todos queremos tener sobre nuestra bebida favorita. Desenfrenado, honesto, pero todavía familiar, esperamos que disfrute de estas conversaciones informales.

En nuestra primera charla de la serie, nos imaginamos en el Revolution Bar de Clapham High Street, en Londres. Mientras se sirven las bebidas, se me unen Henry Partridge, de Belden, y carril támesis y Tyler Regly.

Pub Talk: Convergencia de TI/TO, marcos y amenazas de ciberseguridad predominantes

Ricardo: Desde el punto de vista de la seguridad de OT, ¿cuál es la parte superior de su lista en lo que respecta a la seguridad de OT?

Tyler: Creo que mucho de eso es esa idea de fruta madura. Una de las cosas que, incluso hoy, cuando miraba las últimas alertas industriales de CSA, la primera de la lista era el problema de las credenciales codificadas. Las cosas que estábamos arreglando en los años noventa en TI recién se están descubriendo en OT a medida que comenzamos a hacer mucha convergencia de TI/OT. Y, entonces, creo que una de las cosas más importantes que noto es que tenemos todos estos pequeños problemas, ya sean sistemas que no funcionan, o contraseñas cableadas que se encuentran en el piso de la fábrica o son estos sistemas que están entrando en nuestras redes donde el proveedor dice: «bueno, nuestra mejor práctica es no conectarlo a su red local».

Enrique: Es obvio que la gente va a querer tener acceso remoto a estas plantas, y esos tipos de dispositivos son intrínsecamente inseguros, especialmente cuando abre diferentes sistemas, que pueden no ser tan seguros como esperaría incluso fuera de la planta. . Definitivamente quieres que tu fruta baja sea atendida como decía Tyler.

Ricardo: ¿Cuáles son algunos de los mejores consejos o trucos, porque el acceso remoto parece que va a suceder? ¿Cómo mitigar ese riesgo?

Enrique: Quiere establecer un perímetro de seguridad que diga, esta es la planta, aquí es de donde provienen los datos. Entonces desea instalar algún tipo de restrictor o firewall en ese punto. Posiblemente incluso una DMZ, donde puede enviar los datos de la planta a la DMZ, y luego desde esa DMZ, permite que solo ocurran ciertas conexiones.

Ricardo: Buen consejo allí. Suena casi histórico. Quiero decir, ahí es donde una vez estuvimos. Creamos sistemas de control industrial sin tener que preocuparnos por la seguridad. Lane, ¿y tú? No tuve la oportunidad de hablar con usted acerca de algunas de sus principales preocupaciones de seguridad de OT.

Carril: Cuando miro 10 años en el futuro, cinco años en el futuro, el problema con esto es sobre la segmentación y el cortafuegos y esas cosas en términos de abrir brechas en el cortafuegos con políticas. Lo, lo que veo en el futuro es la escala. Justo hoy, tuvimos un acalorado debate sobre cómo llamar un «dispositivo de borde» en un futuro muy cercano. A medida que comenzamos a adaptar o reemplazar y renovar los sistemas heredados con sistemas más baratos y potentes con, en particular, capacidades informáticas y de comunicación más potentes y la capacidad de comunicarse a través de una red basada en IP, aquí es donde entra en juego el aspecto de la escala.

Ricardo: Tyler, estoy intrigado, desde tu perspectiva, en cuanto a la convergencia TI/TO, es una película de miedo en la que el Monstruo está justo detrás de ti. ¿Cuál es su perspectiva sobre esa convergencia, y dónde estamos, y tal vez una predicción sobre cuándo se cierra realmente esa brecha?

Tyler: Es interesante, porque hizo referencia a un monstruo de película de terror, pero ahora estamos viendo horrores que se construyen alrededor de dispositivos IoT, y se sienten mucho más realistas y más aterradores de mirar, donde se ven estos dispositivos que permiten a las personas acceder directamente. a su red a través de cualquier número de medios; genial para automatizar pequeñas tareas y esas cosas, pero para tener eso, ahora tengo que tener un concentrador en mi casa. Tiene que tener una conexión a internet. Tiene que recibir datos de otros servicios. Entonces, ahora no solo tengo estos dispositivos a los que las personas podrían conectarse directamente, sino que también tengo rutas de varios proveedores de servicios porque usa un modelo basado en la nube.

Ya sea que mire estos dispositivos IoT domésticos o dispositivos IoT médicos o IoT militar o IoT industrial, cualquiera de estos dispositivos tiene el mismo problema en el que nos hemos vuelto dependientes de varios proveedores de la nube que nos dan acceso a nuestros datos a través de sus sistemas. Esto significa que ahora nos metemos en esos problemas de la cadena de suministro en los que tenemos todos estos diferentes proveedores de servicios en la nube que tienen un camino a través de nuestra red.

Hay un programa de televisión en el que el último episodio fue literalmente sobre la eliminación de una red eléctrica, y la forma en que lo abordaron fue para comprometer a uno de los proveedores de servicios. Sí, era un programa de televisión. Sí, simplificaron las cosas, pero ese tipo de ataque de todos estos diferentes proveedores de servicios en la nube que estamos dando caminos dentro y fuera de nuestra red, incluso si es solo temporal, es algo realmente aterrador que no creo que estemos mirando, especialmente en términos de convergencia de TI/TO. Estamos pensando en ellos en términos de tal vez, no estamos pensando en lo que eso significa para las redes industriales que hemos conectado a nuestras redes de TI. Creo que esa va a ser la próxima ronda de películas de terror.

Ricardo: ¿Alguno de ustedes piensa que va a haber algún tipo de certificación ISO, o un sello de aprobación o algo donde estos millones de dispositivos hayan sido identificados con algún nivel de seguridad? ¿Una escala del uno al cinco, en lugar de tener que pasarla por su propio laboratorio y construir su propia seguridad o práctica a su alrededor?

Carril: Sé que la gente con la que trabajo ha estado hablando de esto. Algún tipo de organización que realmente podría decir: «Oye, este es un buen dispositivo certificado». Si piensa en algunas de las órdenes ejecutivas recientes y las cosas que han estado sucediendo recientemente, espero que algún tipo de organización de estándares venga a ayudar con la certificación de ciertos tipos de cosas. Pero si piensas en sistemas industriales, ¿qué pasa con un automóvil? Estos autos que se comunican por aire. La gente realmente no se da cuenta de que incluso algunos de los aparatos que compramos, como el termostato de su casa, ¿qué puede hacer un delincuente?

Ricardo: Desde el punto de vista del operador, ¿cuáles son los primeros pasos o enfoques que recomendaría para tratar de cuantificar el problema?

Carril: Desde una perspectiva operativa, la visibilidad es ante todo. No puedes proteger lo que no sabes que tienes. Si trae un dispositivo loco, como un dispositivo conectado a Wi-Fi, y lo coloca en la cocina de los empleados para que lo usen sus empleados, no puede hacer eso y beneficia a los empleados, porque ese dispositivo podría ser un punto de apoyo para un criminal que quiere entrar en su red OT. La visibilidad en todo el espacio de TI y OT será lo primero y más importante en este proceso.

Enrique: Esos puntos de entrada y salida del entorno OT son clave. Tiene algún tipo de dispositivo que puede monitorear ese tráfico y posiblemente incluso enviar registros o a un correlacionador que puede activar algún tipo de alerta sobre tráfico inusual. Estoy de acuerdo con Lane en que tienes que tener esa visibilidad para ver la anomalía.

Carril: Anteriormente mencionamos esta idea de un espacio de aire, pero la frase «espacio de aire» debe desaparecer porque ya no podemos proporcionar un espacio de aire garantizado. Hay tantos dispositivos OT conectados, que ni siquiera puedes imaginar en términos de escala. Visibilidad en términos de, si sabe qué hay en su red, entonces el siguiente paso es que debe saber dónde se conecta y cómo se conecta.

Tyler: Enseño a mis alumnos que no promueven la seguridad industrial cómo puede encontrar fácilmente dispositivos expuestos en Internet. Animo a todos a probar y diagramar cada dispositivo conectado en su red doméstica. Probé esto en mi apartamento. Mi apartamento tiene menos de 700 pies cuadrados. Todavía no podía obtener todos los dispositivos conectados que tener. Lo miré y lo revisé varias veces. Y cada vez que escaneaba mi red, encontraba nuevos dispositivos. Si no puede diagramar toda su red doméstica, ¿cómo va a saber qué hay en su red en la empresa, qué hay en su red, en la planta de producción? Es absolutamente imposible.

Ricardo: El desafío de la visibilidad es lo suficientemente grande, por no hablar de tratar de «bajo el capó» de estos dispositivos para averiguar dónde y cómo se fabricaron. Me gusta cómo lo ilustras, y cómo ambos han hablado sobre la evolución de los espacios industriales. Es un espacio relativamente inmaduro. Henry, ¿cómo ves que TI se involucre con OT? ¿Cómo ve que ocurra esa convergencia?

Enrique: Bueno, creo que podría haber algunas cosas buenas que TI puede ofrecernos en cuanto a lo que han tenido que lidiar. Por ejemplo, TI ha estado trabajando con acceso remoto mucho más tiempo que OT. Para OT, es más algo nuevo. Tal vez podría haber algo más de defensa en profundidad extrayendo el acceso remoto a través de la red de TI y manteniéndose y ganando ese pequeño envoltorio adicional de seguridad que podrían tener, pero también hay riesgo allí. Depende de qué tan bien esté protegido el espacio de TI.

Tyler: Creo que hay dos espacios en los que me gustaría ver grandes mejoras en el crecimiento. Una es que muchas tecnologías de seguridad de TI más activas se han trasladado al espacio de OT, y eso se debe a la inestabilidad y los productos de OT. Usemos las impresoras como un ejemplo hipotético, aunque no son necesariamente OT, sino la idea de que estos productos están construidos con pilas de TCP muy débiles que no pueden manejar muchas de las técnicas de detección activa y exploración activa que vemos. Realmente me encantaría ver a los proveedores de estas tecnologías dar un paso más activo en la creación de sistemas que sean más robustos. Y la segunda es que me encantaría ver mucha más convergencia de TI/OT en lo que respecta no solo a las tecnologías, sino también a los ejercicios de equipos rojos y equipos azules.

Carril: ricardo feynman dijo una vez, que era un tiempo hermoso para ser físico. Para mí, como ingeniero, diré que es un momento hermoso para ser ingeniero porque estamos ingresando a un mundo nuevo donde es muy emocionante. Una de las cosas clave de hacer esto es una colaboración interdisciplinaria significativa entre los involucrados, los ingenieros de TI y control, y la gente de OT trabajando juntos.

Ricardo: ¿Cuáles son las mayores amenazas de ciberseguridad en este momento? ¿Ransomware, brechas internas, acceso remoto, espionaje industrial?

Tyler: ¿Puedo decir “todo lo anterior”? Quiero decir, si miras las noticias en este momento, es probable que el ransomware esté impulsando muchas de las noticias que estamos viendo. Creo que la mayoría de las organizaciones deben hacer un trabajo mucho mejor para que su personal sea consciente de lo que pueden y no pueden hacer, en lo que pueden y no pueden hacer clic. Eso siempre será una gran amenaza hasta que encontremos una mejor manera de lidiar con eso.

Carril: El ransomware es una de nuestras mayores amenazas, y el vector para ingresar suele ser el phishing. Y, como acaba de mencionar Tyler, esto se basa en la poca conciencia y demás, pero también hay un aumento en los actores de amenazas en las organizaciones criminales que implementan amenazas persistentes avanzadas, o APT, como las llamamos, que están comenzando a enfocarse y perforar sobre SCI redes, redes de sistemas de control industrial.

Enrique: Creo que en este entorno en el que todos intentan trabajar desde casa y aprovechar el acceso remoto, solo acentúa el riesgo del que hemos hablado y del que acaban de hablar Lane y Tyler, porque abre más puertas.

Ricardo: Desde mi punto de vista, es un enfoque de “seguir el dinero”, y ciertamente el ransomware es la monetización más actual del cibercrimen. Cuando describe una red como «robusta», ¿cuál cree que es la mejor manera de demostrarlo?

Tyler: Él Controles de la CEI que se actualizaron este año es un gran punto de partida. Creo que si puedes atravesar esos controles, eso es sólido. Si tienes dudas al respecto, el blog State of Security ha estado revisando un control a la semana durante las últimas 14 semanas. Si puede mirar esos controles y decir: «Oye, estoy practicando todo eso en mi red», consideraría que tiene una red sólida en ese punto.

Carril: Hablamos de dispositivos que podrían estar conectados a Internet, pero aplicar estos controles es especialmente crítico en la parte superior de sus organizaciones de TI, porque así es como los atacantes ingresan para ingresar a sus redes OT. Tenga en cuenta que, en muchos, muchos casos, irrumpir en la red de TI puede cerrar sus redes de OT. El incidente de la tubería colonial es un ejemplo perfecto de ese caso particular.

Enrique: Sí, creo que un buen diseño de red es útil para crear una red sólida. Si miras el Directrices del NIST para las redes ICS, ese sería un buen lugar para comenzar a obtener un buen diseño de red básico y solidez para sus redes.

Ricardo: Parece que el cantinero ha hecho la ronda para la última llamada. Realmente ha sido un excelente momento charlando con todos ustedes. Definitivamente aprendí algunas cosas aquí hoy. Y practicar una seguridad robusta y estar protegido es la razón por la que estamos sentados en estos asientos. Y continuaremos en este viaje, porque no hay punto final. Las malas personas que hay por ahí continuamente se vuelven creativas y nos mantienen empleados y activos.

Y, con eso, tomamos nuestros abrigos y caminamos hacia el metro de Clapham North para regresar a casa, considerando lo que depara el futuro para la convergencia de TI/TO y cualquier otra preocupación de seguridad cibernética.

Publicaciones Similares

Cumpliendo con los Requisitos de Seguridad para el Sector Transporte

Cumpliendo con los Requisitos de Seguridad para el Sector Transporte

PorJulio Huerta

Proteger nuestra infraestructura crítica contra la amenaza del ransomware sigue siendo una prioridad tanto para el sector privado como para el gobierno federal. De hecho, una encuesta reciente de HCiberSegurityencontró que los profesionales de seguridad en ambos sectores aún identifican el ransomware como una de las principales preocupaciones de seguridad. Más de la mitad (53…

Comunicaciones de alta mar y alto riesgo: asegurando la industria marítima

Comunicaciones de alta mar y alto riesgo: asegurando la industria marítima

PorJulio Huerta

Recuerda la última vez que estuviste en la orilla, disfrutando de la brisa salobre que acariciaba suavemente tu piel y los sonidos y olores del mar. Es posible que haya notado en la distancia un gran velero. ¿Alguna vez ha considerado todas las partes móviles que contribuyen a estas «ciudades flotantes»? Más allá de la…

Seguridad ICS: qué es y por qué es un desafío para las organizaciones

Seguridad ICS: qué es y por qué es un desafío para las organizaciones

PorJulio Huerta

Sistemas de control industrial (SCI) son tipos específicos de activos e instrumentación asociada que ayudan a supervisar los procesos industriales. De acuerdo con la Instituto Nacional de Normas y Tecnología, hay tres tipos comunes de ICS. Estos son sistemas de control de supervisión y adquisición de datos (SCADA), que ayudan a las organizaciones a controlar…

Industrial Edge: el nuevo método de visibilidad para redes industriales

Industrial Edge: el nuevo método de visibilidad para redes industriales

PorJulio Huerta

¿Cuándo fue la última vez que pensó en todos los dispositivos que se ejecutan en su red? Piense en su red doméstica y en lo engañosamente simple que parece. Un inventario completo de esa red probablemente lo sorprendería, ya que mostraría todos los dispositivos que puede haber olvidado, así como algunos de los dispositivos del…

Seguridad de ICS en el cuidado de la salud: por qué las vulnerabilidades de software representan una amenaza para la seguridad del paciente

Seguridad de ICS en el cuidado de la salud: por qué las vulnerabilidades de software representan una amenaza para la seguridad del paciente

PorJulio Huerta

La falta de ciberseguridad en el cuidado de la salud es una de las amenazas más importantes para la santidad de la industria global del cuidado de la salud. Esto se hace evidente por el hecho de que en 2020 más de 18 millones de registros de pacientes se vieron afectados por ataques cibernéticos exitosos…

Protección contra la mala química (con ciberseguridad)

Protección contra la mala química (con ciberseguridad)

PorJulio Huerta

¿Recuerdas uno de los primeros experimentos de química realmente divertidos que realizaste cuando eras niño? Si su escuela siguió el plan de estudios habitual, entonces probablemente hizo una volcán modelo y luego agregó un poco de bicarbonato de sodio a la abertura, seguido de la adición de vinagre. A variación de este experimento fue agregar…