Seguridad be.OT/ entornos OT
Cuando hablamos de seguridad, tendemos a pensar en entornos IT, no porque sean los más vulnerables, sino porque son los más comunes. Los entornos industriales también son vulnerables.
Seguridad en entornos industriales
Hoy en día, los sistemas de Tecnología Operacional (OT) sufren los mismos males tradicionales que los sistemas de Tecnología de la Información (IT) debido a la convergencia y conectividad que ambos sistemas están experimentando:
- La protección OT requiere inteligencia de amenazas específica y dedicada.
- La seguridad debe acercarse lo máximo posible a la maquinaria.
- La naturaleza estable de estas redes permite formas de IA mucho más fiables.
- Protocolos, puertos… Los entornos OT requieren productos de seguridad especializados.
- La adaptabilidad es clave. Sistemas antiguos coexisten con nuevas soluciones.
Visión del mercado de Tecnología Operacional
De necesidad industrial a necesidad militar
Debido al aumento en el despliegue de tecnología en plataformas industriales que avanzan hacia la industria 4.0, el nivel de amenaza de ciberataques se ha elevado por la gravedad de dichos ataques, no solo en términos económicos, sino también por la posibilidad de causar víctimas mortales. Este aumento en el despliegue tecnológico en el ámbito industrial ha provocado que los cibercriminales centren sus ataques en las tecnologías de operación (OT) como una nueva plataforma de ataque y beneficio.
Además, debido al aumento de la automatización y la robotización tanto del lugar de trabajo como de la cadena de producción, se espera que estas dependencias solo crezcan. Es precisamente por esta razón que tanto los ataques como los atacantes han incrementado su complejidad de forma exponencial en los últimos años, y se espera que esta tendencia continúe. Incluso a nivel geopolítico, estamos empezando a ver interés militar en este tipo de ataques como una nueva arma.
Es por ello que nuevas soluciones de seguridad están comenzando a aparecer en el mercado. Al consolidar las soluciones de seguridad y los proveedores, la industria busca facilitar la integración entre entornos. Las organizaciones deben esforzarse por combinar sus soluciones OT e IT y consolidar un número menor de proveedores para reducir la complejidad y obtener una visión centralizada de todos los dispositivos, tanto IT como OT. Las organizaciones pueden reducir su riesgo y mejorar su seguridad y eficiencia operativa utilizando soluciones de seguridad integradas.
¿Cuáles son los puntos importantes relacionados con OT?
Inteligencia de amenazas dedicada
Los entornos OT tienen necesidades diferentes a las de la red IT estándar. Dado que las amenazas y los ataques van a ser específicos de los protocolos y puertos utilizados, la inteligencia para prevenirlos también debe serlo.
Seguridad cerca del borde
En un entorno OT hay miles de dispositivos IoT que se comunican entre sí y que son vulnerables a ataques. Acercar la seguridad lo máximo posible a dichos dispositivos es fundamental para prevenir la expansión de amenazas.
IA en producción… y en seguridad
Recientemente, los modelos de machine learning e IA han encontrado su camino hacia los entornos industriales a medida que avanza la cuarta revolución industrial. En la seguridad OT, estas técnicas nos permiten responder a ataques de día cero.
Integración y adaptabilidad
Los entornos OT son resistentes al cambio, y por buenas razones. Cualquier solución de seguridad que se implemente debe ser lo más adaptable posible y requerir el menor número de cambios. La nube es viable, pero generalmente se prefieren los enfoques en local.
Comprender la seguridad de la Tecnología Operacional
Cuando hablamos de seguridad OT, no solo estamos hablando de amenazas diferentes, sino de un cambio completo de paradigma en cuanto a la criticidad de los sistemas, cómo se despliegan, se actualizan y se operan, cuáles son los peores escenarios en caso de fallo… Las necesidades y requisitos de este tipo de tecnología no solo exigen un conjunto específico de firmas, sino un replanteamiento completo de cómo implementar una solución de seguridad.
El descubrimiento de activos, por ejemplo, no es un problema trivial de resolver. Los sistemas OT suelen ser complejos, se han construido a lo largo de varias décadas y utilizan una amplia variedad de dispositivos que ninguna persona en la organización conoce por completo. Para empeorar las cosas, los recursos OT pueden estar distribuidos en múltiples ubicaciones geográficas, lo que complica aún más el problema.
La segmentación de red también se está difuminando cada día. Las redes IT y OT están más interconectadas que nunca, y esto trae consigo un nuevo conjunto de problemas. Cualquier solución de seguridad centralizada debe ser capaz de gestionar tanto las amenazas IT como las OT para cubrir adecuadamente todos los escenarios que puedan afectar a esta nueva arquitectura.
be.OT ha sido construido desde cero teniendo en cuenta estas dificultades. Aprovechando las capacidades avanzadas de red de Teldat y con nuestras nuevas soluciones de seguridad, somos capaces de proporcionar visibilidad completa a nuestros usuarios a través de nuestro NTA (Network Traffic Analysis) de última generación, al tiempo que ofrecemos una solución de seguridad centralizada y unificada que gestiona tanto las amenazas OT como IT dentro de un único sistema, proporcionando a nuestros usuarios una pantalla simplificada y centralizada en la que se pueden abordar todos los problemas de seguridad y visibilidad.
Solución y productos OT de Teldat
El contexto
Como hemos visto, la seguridad de Tecnología Operacional no solo requiere un conjunto diferente de firmas para un conjunto diferente de protocolos, sino un enfoque completamente nuevo de la seguridad. Nos enfrentamos a problemas de descubrimiento de activos, a sistemas antiguos o muy difíciles de actualizar, geográficamente distribuidos…
Cualquier solución que quiera operar dentro de estos parámetros necesita ser lo suficientemente diversa y adaptable para responder adecuadamente a estos desafíos, así como integrarse con los sistemas particulares que cualquier cliente pueda tener.
Gestión centralizada y seguridad distribuida
Cuanto más cerca se pueda enviar la seguridad a cada nodo individual de la red, mejor. Lamentablemente, con los sistemas industriales, instalar cualquier parche de seguridad en los dispositivos finales es imposible o prohibitivamente caro. Por eso, el motor de be.OT ofrece un sistema de seguridad combinado, aportando capacidades IDS/IPS al equipamiento de red, así como funciones de seguridad centralizadas si se desea.
Esto permite a nuestros clientes asegurar tanto el tráfico centralizado como acercar el máximo control y segmentación a los diferentes dispositivos, manteniendo un único punto de control a través de nuestra consola de mando central.
Visibilidad de nivel 7
Saber qué ocurre dentro de una red con cientos o incluso miles de dispositivos no es tarea fácil en ninguna red. Dispositivos obsoletos, infraestructura que cambia constantemente debido a fallos o sustitución de dispositivos. Monitorizar estos dispositivos, controlar su conexión y flujos de datos puede ser determinante no solo para la seguridad, sino también para la gestión de una organización.
Es por eso que, dentro del ecosistema de soluciones ofrecido en be.OT, incluimos be.Safe XDR, nuestro NTA de última generación. Proporcionando una integración nativa con nuestro motor de seguridad, be.Safe XDR otorga a nuestros usuarios visibilidad completa y trazabilidad de su red. Con un simple clic, los usuarios pueden visualizar paneles de monitorización, respaldados por un potente motor analítico que permite a nuestros clientes cruzar referencias de cualquier dimensión de red que fluya a través de su red y más allá.
Prevención de ataques «Zero Day»
La seguridad basada en firmas es siempre la base sobre la que se construye cualquier sistema de seguridad. Pero, por potente que sea, tiene sus vulnerabilidades. Los ataques «Zero Day» son imposibles de detectar por estos sistemas, e incluso un sistema de firmas mal actualizado puede significar una brecha que los atacantes podrían explotar.
Es por eso que be.OT ofrece modelos de IA adicionales para detectar actividad anormal dentro de una red OT. Mientras que estos modelos han tenido resultados dudosos en redes IT debido a su heterogeneidad, este no es un problema que tengan los sistemas industriales, ya que suelen ser mucho más estables y predecibles.
Es precisamente esta previsibilidad la que permite que nuestros modelos de IA funcionen con niveles tan altos de precisión y bajo recall. Combinado con be.Safe XDR, be.OT tiene así la capacidad de detectar con gran precisión actividad sospechosa y generar una alarma para que los equipos de seguridad puedan reaccionar rápida y preventivamente ante cualquier amenaza imprevista.
Casos de Uso OT
Detección de actividad sospechosa y tráfico en una red OT
Uso de plataformas de detección de amenazas con técnicas de IA y monitorización para bloquear ataques OT.
Control de acceso a Internet para dispositivos y usuarios OT
Monitorización del tráfico generado por dispositivos OT hacia redes externas y control del acceso interno desde equipos externos.
Monitorización de redes y dispositivos OT
Gestión de activos y dispositivos OT con generación de informes personalizados y alertas.
Detección de actividad sospechosa y tráfico en una red OT
Uso de plataformas de detección de amenazas con técnicas de IA y monitorización para bloquear ataques OT.
Desafío
Los atacantes pueden causar brechas de seguridad infectando dispositivos para propagar malware por la red o actuar como bots para atacar masivamente a la propia organización o a otras empresas. También pueden robar credenciales u obtener acceso no autorizado para entrar en la red e intentar obtener la mayor cantidad de información posible desde el interior. Esto es lo que se conoce como un ataque de movimiento lateral.
Solución
Las plataformas de visualización de tráfico y análisis de logs permiten monitorizar todo lo que ocurre en la red sin generar una carga mayor en los equipos ni causar retrasos en las comunicaciones. Al disponer de información sobre cómo se comporta habitualmente la red, se generan patrones de tráfico que permiten detectar comportamientos anómalos, como múltiples IPs accediendo al mismo destino para un ataque de denegación de servicio o intentos de acceso a redes no permitidas para un dispositivo específico.
De esta forma, se pueden generar respuestas automáticas, deshabilitando aquellos dispositivos sospechosos de haber sido infectados o revocando accesos o credenciales si se detecta que intentan acceder a información sensible cuando no deberían, evitando así que logren su objetivo.
¿Por qué Teldat?
La solución be.OT de Teldat analiza todo el comportamiento de la red, aplica técnicas de Machine Learning e Inteligencia Artificial para detectar comportamientos sospechosos y detecta y bloquea cualquier ataque utilizando firmas específicas para entornos OT.
Control de acceso a Internet para dispositivos y usuarios OT
Monitorización del tráfico generado por dispositivos OT hacia redes externas y control del acceso interno desde equipos externos.
Desafío
Con el gran aumento del número de dispositivos en redes OT, la gestión de la información se vuelve cada vez más compleja, ya que no siempre se dispone de redes privadas, lo que hace necesario proporcionar acceso a nubes públicas para almacenamiento o gestión y procesamiento de logs. Por otro lado, los empleados pueden necesitar acceso desde redes externas, con permisos de acceso controlados para asegurar que nadie obtenga control de toda la red desde fuera. Un ataque DDoS externo o un intento de acceso usando credenciales obsoletas puede suponer una grave amenaza de seguridad.
Solución
Todo el tráfico que sale de la red puede ser controlado mediante plataformas de seguridad, no solo comprobando puertos o direcciones IP, o incluso hosts, sino también utilizando firmas de protocolos OT específicos que permiten el paso solo al tráfico que debe ser enviado al exterior.
De manera similar, se puede proporcionar acceso seguro a la red interna a través de conexiones VPN para usuarios remotos, controlando los privilegios de acceso para permitir, por ejemplo, solo acceso SSH a dispositivos para monitorización o permitir solo la recepción de ciertos protocolos específicos para evitar fugas de información.
¿Por qué Teldat?
La solución be.OT de Teldat soporta más de 1000 controles de aplicaciones y firmas IPS para ICS OT. La inteligencia proporcionada a través de las soluciones de seguridad industrial proviene del equipo de desarrollo del laboratorio de Teldat, que lleva más de 30 años proporcionando inteligencia para aplicaciones de seguridad corporativa con la mejor efectividad y reconocimiento en la industria.
Monitorización de redes y dispositivos OT
Gestión de activos y dispositivos OT con generación de informes personalizados y alertas.
Desafío
Las redes OT pueden estar compuestas por miles o decenas de miles de dispositivos que envían tráfico a diversas fuentes y con múltiples niveles jerárquicos que complican la gestión de accesos, inventario y uso de la red por parte de los dispositivos. Los requisitos de disponibilidad también son críticos; a diferencia de los entornos IT donde los retrasos pueden ser permisibles, cualquier alerta debe ser reportada y corregida en el menor tiempo posible.
Solución
Las plataformas de gestión de redes OT deben permitir la auditoría del comportamiento de la red, detectar comportamientos inapropiados y asignar umbrales adecuados para alertas que puedan enviarse por correo electrónico. Identificar los dispositivos más activos es muy útil para optimizar la infraestructura desplegada y evitar posibles cuellos de botella que puedan ralentizar los procesos.
Una gestión sencilla requiere visibilidad gráfica de los dispositivos conectados para permitir la optimización y validación de las conexiones. Todo esto debe ir acompañado de la generación de informes periódicos que agrupen y sinteticen la información para un análisis rápido y sencillo.
¿Por qué Teldat?
La solución be.OT de Teldat parametriza las alarmas para evitar falsos positivos, genera informes de uso de la red, permite la visibilidad tanto del tráfico de aplicaciones como del tráfico de origen/destino, y proporciona un análisis detallado de los patrones de tráfico y las tendencias de uso.
Lee nuestros últimos Blog Post
La importancia de mantener una buena calidad del aire
La pandemia de la COVID-19 nos ha hecho percatarnos de la importancia que tiene mantener una alta calidad del aire, con buena ventilación, para mitigar el riesgo de infección. Aunque ya se habían publicado estudios al respecto antes de que azotara la pandemia, los...
Escasez global de chips
La provisión de chips se encuentra en una situación crítica a nivel internacional. La pandemia ha causado estragos en las cadenas de suministro, altamente globalizadas, y ha desbaratado los pronósticos económicos de las empresas, provocando una escasez de estos componentes de todo tipo que afectan a los procesos de fabricación de gran cantidad de productos, especialmente a los tecnológicos.
Mantenimiento predictivo en ascensores con tecnología IoT
Durante el 2021, el crecimiento del mercado IoT ha estimulado la creación de nuevas fórmulas de aplicación de esta tecnología. Y por si fuera poco, las proyecciones, según varios analistas, sugieren . Para hacernos una idea de esa cifra es parecida a toda la...
