Los riesgos de la convergencia de TI y OT

By Giovanni Prinetti

Los mundos de la Tecnología de la Información (TI) y la Tecnología de la Operación (OT) han estado separados por muchos años. Las redes de TI se utilizan exclusivamente para la interconexión de computadoras, centros de datos y redes públicas, mientras que las redes de TO típicamente interconectan la maquinaria de producción industrial.

Esta separación "aérea" ha mantenido a las redes OT aisladas y alejadas de los problemas causados por los ciberataques que plagan las redes de TI, pero a costa de prevenir las sinergias entre los dos mundos.

En los últimos años, sin embargo, ha habido un movimiento hacia la convergencia de las redes de TI y TO en una sola infraestructura física basada en el protocolo IP. Esta tendencia ha permitido que los sistemas de producción colaboren con otras funciones empresariales (marketing de ventas, compras, etc.). Aunque esto conduce a menores costos y oportunidades para una mayor agilidad empresarial, la convergencia ha expuesto las redes OT a ciberataques con mayores riesgos económicos empresariales.

Un ataque que afecta un área de oficina puede causar daños significativos, pero las copias de seguridad y los sistemas de recuperación de desastres pueden ser mitigaciones efectivas. Sin embargo, los ataques que afectan a las líneas de producción o la infraestructura crítica causan daños inmediatos, pueden expandirse rápidamente y no pueden recuperarse fácilmente.

Las fuentes de los ciberataques

El primer aspecto a considerar al construir un sistema defensivo es la fuente de los ataques. Sabemos que la mayoría de los ciberataques se originan en Internet. Dado que cada red empresarial se conecta a la red pública, esto abre la puerta a innumerables intentos de ataque.

Los sistemas de defensa basados en TI convencionales protegen la frontera entre las redes privadas y públicas. Por lo tanto, el enfoque habitual es insertar un firewall, preferiblemente con capacidades UTM (Unified Threat Management), para evitar que las amenazas crucen el límite e infecten el interior de la red.

Diagrama 1: El firewall en la frontera WAN no puede proteger contra infecciones locales y amenazas laterales.

Sin embargo, otros límites de la red también pueden ser superficies de ataque. Estos límites a menudo están menos protegidos y pueden exponer la red a riesgos innecesarios. Por ejemplo, las redes inalámbricas pueden ser vulnerables, y si un actor malicioso tiene acceso físico a una red, cada puerto de cada switch de red representa un punto de ataque potencial.

En una red OT, cualquier dispositivo conectado, como un sensor IoT o una cámara IP, puede convertirse en un caballo de Troya capaz de atacar la red desde el interior. Por ejemplo, reemplazar un sensor remoto o una cámara con una computadora suplantando la dirección MAC del sensor es una forma obvia de intentar acceder a la red de producción.

El principal problema con los ciberataques desde el interior de la red es que se mueven lateralmente (de dispositivo a dispositivo), solo se encuentran con el firewall cuando se comunican con su servidor de comando y control a través de Internet. Esto hace que los ataques internos sean mucho más peligrosos, ya que existe el riesgo de que se propague por la red local durante horas o incluso días sin que el firewall pueda detectarlo o interceptarlo.

Arquitecturas que minimizan el riesgo

Existen arquitecturas de seguridad que superan las capacidades de un único firewall de límites de Internet para aumentar la protección de la red, incluso de ataques internos. Dos arquitecturas posibles pueden mejorar la protección, pero generalmente son poco prácticas por razones de costo o rendimiento:

  1. Utilice un firewall único y muy potente a través del cual se redirige todo el tráfico de red.
  2. Divida la red en subredes y coloque un firewall dedicado para proteger cada subred.
Cyber attack on an added in-line firewalls, IT-based network

Diagrama 2: Los firewalls en línea con los switches pueden escanear todo el tráfico pero agregar latencia y son caros.

El tiempo de respuesta es crítico

Hasta ahora, hemos discutido las formas de prevenir un ataque, pero también debemos considerar la mejor respuesta en caso de que un ataque infecte con éxito un dispositivo conectado.

Dependiendo de la arquitectura de seguridad implementada, puede pasar algún tiempo antes de que el firewall detecte el ataque. Esto se debe a que los cortafuegos impiden que los ataques crucen una frontera, pero no pueden hacer nada para evitar que una amenaza se propague lateralmente.

En el escenario típico, una vez que se detecta un ataque, el firewall informa al administrador de TI, y luego el equipo de TI necesita actuar rápidamente para evitar más daños, pero eso no siempre es lo que sucede.

Las acciones necesarias para identificar la fuente, remediar el problema y restaurar los dispositivos a un estado seguro están en manos del grupo de TI y, por lo tanto, están relacionadas con los tiempos de respuesta de la reacción humana. Además, siempre que los seres humanos deben responder bajo presión a una situación que evoluciona rápidamente, hay potencial para el error humano. A menudo, estos errores pueden causar retrasos y más daños o dejar vulnerabilidades no detectadas que exponen a la empresa a más riesgos en el futuro.

Sin embargo, el tiempo de respuesta puede variar según una multitud de factores: la complejidad de la red, la experiencia del grupo de TI, la presencia o disponibilidad de personal en la oficina en el momento de la detección, la capacidad de detectar el ataque, y el tiempo necesario para impedir el ataque y evitar más daños. Los ataques cibernéticos a menudo se lanzan por la tarde o el fin de semana cuando el equipo de TI no está presente o es más lento para responder.

El daño sufrido por la empresa es directamente proporcional al tiempo necesario para restaurar la red a un estado seguro. Por lo tanto, cuanto más tiempo pase, más se sentirán los impactos y mayor será el daño económico para la empresa.

Puede llevar días o incluso semanas identificar la fuente de un ataque y remediar la situación, que puede ser el efecto más perjudicial de cualquier ataque cibernético. Aparte del impacto económico, el daño a la reputación, las relaciones comerciales y, en el caso de la infraestructura crítica, el riesgo para la vida humana puede ser grave.

Automatización para una respuesta inmediata

La solución es reducir el tiempo de detección de ataques a una operación segura tanto como sea posible. Eso significa confiar en respuestas automatizadas que permitan a la red defenderse y evitar los retrasos típicos de la intervención humana. En otras palabras, creamos una "red de defensa personal".

Para que una red de autodefensa pueda reaccionar de forma autónoma, todos los elementos involucrados deben trabajar juntos. Por lo tanto, los principales requisitos para tal sistema son:

  • Un sistema de detección eficiente basado en un enfoque multidisciplinario en el que los firewalls con herramientas integradas basadas en IA pueden detectar todas las amenazas, incluidos los ataques "día cero" no reconocidos.
  • Un adaptador inteligente capaz de interpretar alertas del sistema de detección y decidir cómo reaccionar. AMF-Sec de Allied Telesis se integra con la mayoría de los firewalls y puede bloquear el puerto cableado o inalámbrico al que está conectado el dispositivo, redirigir el tráfico a una VLAN segura o alertar al administrador.
  • Una red programable que recibe instrucciones del adaptador y las implementa inmediatamente. Las instrucciones pueden usar protocolos estándar como OpenFlow, que requieren desarrollo personalizado, o una solución de automatización de red estándar, como el Autonomous Management Framework (AMF) que funciona a la perfección con AMF-Sec.

El siguiente diagrama muestra cómo estos componentes se combinan para detectar y aislar dispositivos comprometidos de inmediato, minimizando el impacto en el resto de la red y el negocio.

Cyber attack solution using AMF-Sec in an IT-based network

Diagrama 3: Un firewall de un solo brazo escanea una copia del tráfico del switch y alerta a AMF-Sec si se detecta una amenaza.

Esta solución es efectiva porque los conmutadores de red envían una copia de su tráfico al firewall para inspeccionar, resolviendo varios problemas con otros diseños:

  1. Dado que el firewall inspecciona todo el tráfico de los interruptores, puede detectar amenazas que se mueven lateralmente de un dispositivo a otro.
  2. El firewall no introduce latencia ya que inspecciona una copia del tráfico, por lo que el rendimiento de la red no se ve afectado.
  3. Incluso cuando las subredes de red se utilizan para la seguridad, un solo cortafuegos se puede utilizar para una solución más práctica y rentable.

Mantente preparado y respond rápidamente

Cuando se trata de ciberseguridad, la prevención es necesaria, pero siempre es posible que un ataque pueda eludir nuestras defensas. Así que es crucial estar preparado para reaccionar rápidamente a cualquier situación con sistemas automatizados que no introducen retrasos. Y, así, evitar la intervención manual tanto como sea posible ya que los retrasos y errores pueden conducir a más daños y costos.

Un sistema automatizado inteligente que coordina reacciones e intervenciones es la única solución para crear una red de defensa propia que pueda protegerse a sí misma de forma inmediata e independiente de la intervención humana.

También te puede interesar…

Micro-segmentación basada en SDN para redes OT

Explicamos cómo nuestros switches de grado industrial pueden implementar la micro-segmentación para...

La importancia de la seguridad para el edge computing

Este artículo describe la necesidad de seguridad en las aplicaciones de edge computing y propone la...

Relacionados

Automated Cybersecurity Solution Protects School Network

AMF-Sec cybersecurity provides cutting-edge endpoint security and protection from insider threats for large vocational high school in Taiwan.

Video: Self-Defending Network

La Self-Defending Network protege su red cableada e inalámbrica de las amenazas internas, poniendo automáticamente en cuarentena los dispositivos sospechosos.

A Scalable Automation System for Large Steel Manufacturer

Allied Telesis delivers a network automation solution to help steelmaker manage its large-scale operational network without increasing costs.