Característica patrocinada La conectividad a Internet lo ha cambiado todo, incluidos los entornos industriales de la vieja escuela. A medida que las empresas modernizan sus operaciones, conectan más maquinaria a la web. Es una situación que genera preocupaciones de seguridad claras y presentes, y la industria necesita nuevos enfoques para abordarlas.
La adopción del Internet industrial de las cosas (IIoT) avanza rápidamente. Investigación de Inmarsat encontró que el 77 por ciento de las organizaciones encuestadas han implementado completamente al menos un proyecto IIoT, y el 41 por ciento de ellas lo han hecho entre los segundos trimestres de 2020 y 2021.
La misma investigación también advirtió que la seguridad era una preocupación principal para las empresas que se embarcaban en implementaciones de IIoT, con el 54 por ciento de los encuestados quejándose de que les impedía usar sus datos de manera efectiva. La mitad también citó el riesgo de ciberataques externos como un problema.
Las soluciones IIoT son fundamentales para la convergencia de TI y OT (tecnología operativa). Las plataformas OT, a menudo sistemas de control industrial (ICS), ayudan a las empresas a administrar sus dispositivos físicos, como prensas y cintas transportadoras que alimentan la producción manufacturera o las válvulas y bombas que mantienen el flujo de agua municipal.
Al hacerlo, generan enormes cantidades de datos que son útiles para fines analíticos. Pero obtener esa información en las herramientas empresariales adecuadas significa cerrar la brecha entre TI y OT.
Los operadores también quieren que esos sistemas OT sean accesibles de forma remota. Dar a las aplicaciones de TI convencionales la capacidad de controlar esos dispositivos significa que se pueden vincular con los mismos procesos de back-end definidos en los sistemas de TI. Y habilitar el acceso remoto para los técnicos que no pueden o no quieren hacer un viaje de ida y vuelta de varios kilómetros solo para hacer un cambio operativo también puede ahorrar tiempo y dinero.
Esta necesidad de acceso remoto se agudizó durante la crisis de COVID-19 cuando el distanciamiento social y las restricciones de viaje impidieron que los técnicos hicieran visitas in situ. Inmarsat descubrió que la pandemia fue una causa fundamental de la adopción acelerada de IIoT, por ejemplo, y el 84 % informó que han acelerado o acelerarán sus proyectos como respuesta directa a la pandemia.
Entonces, para muchos, la convergencia de TI y OT es más que conveniente; es esencial. Pero también ha creado una tormenta perfecta para los equipos de seguridad. Un sistema ICS accesible desde el exterior aumenta la superficie de ataque para los piratas informáticos.
Ataques ICS en acción
A veces, esa convergencia de TI/OT puede ser tan simple como que alguien instale un software de acceso remoto en una PC en una instalación. Esa es la configuración que permitido piratas informáticos para acceder a los sistemas de control a través de la instalación de una herramienta de acceso remoto en la planta de agua municipal en Oldsmar, Florida en 2021 antes de intentar envenenar a los residentes locales con hidróxido de sodio. La PC que el atacante comprometió tenía acceso al equipo OT en la planta. El alguacil de la ciudad informó que el intruso invisible había arrastrado el cursor del mouse frente a uno de sus trabajadores.
No está claro qué causó que los hackers intentaran envenenar a floridanos inocentes, pero algunos ataques tienen motivos financieros. Un ejemplo es el ataque de ransomware EKANS que golpear honda en junio de 2020, cerrando las operaciones de fabricación en el Reino Unido, los EE. UU. y Turquía.
Los atacantes utilizaron el ransomware EKANS para apuntar a los servidores internos de la empresa, lo que provocó una gran interrupción en sus plantas. en un análisis del ataque, la empresa de ciberseguridad Darktrace explicó que EKANS era un nuevo tipo de ransomware. Los sistemas de ransomware que se dirigen a las redes OT normalmente lo hacen golpeando primero el equipo de TI y luego girando. EKANS es relativamente raro porque se dirige directamente a la infraestructura de ICS. Puede apuntar hasta a 64 sistemas ICS específicos en su cadena de destrucción.
Los expertos creen que otros ataques del ICS son patrocinados por el estado. El malware Triton, dirigido por primera vez a plantas petroquímicas en 2017, es sigue siendo una amenaza según el FBI, que atribuye los ataques a grupos rusos respaldados por el Estado. Este malware es especialmente desagradable, según la Oficina, porque permitió daños físicos, impacto ambiental y pérdida de vidas.
Las soluciones de seguridad estándar no funcionarán aquí
Los enfoques tradicionales de seguridad cibernética no son efectivos para resolver estas vulnerabilidades de OT. Las empresas podrían usar herramientas de seguridad de punto final, incluido el antimalware, para proteger sus PC. Pero, ¿y si el punto final fuera un controlador lógico programable, una cámara de video habilitada para IA o una bombilla? Estos dispositivos a menudo no tienen la capacidad de ejecutar agentes de software que puedan verificar sus procesos internos. Algunos pueden no tener CPU o instalaciones de almacenamiento de datos.
Incluso si un dispositivo IIoT tuviera el ancho de banda de procesamiento y las capacidades de potencia para admitir un agente de seguridad integrado, es poco probable que los sistemas operativos personalizados que utilizan admitan soluciones genéricas. Los entornos de IIoT a menudo usan múltiples tipos de dispositivos de diferentes proveedores, lo que crea una cartera diversa de sistemas no estándar.
Luego está la cuestión de la escala y la distribución. Los administradores y profesionales de seguridad acostumbrados a tratar con miles de PC estándar en una red encontrarán un entorno IIoT, donde los sensores pueden ser cientos de miles, muy diferentes. También pueden extenderse en un área amplia, especialmente a medida que los entornos informáticos de borde ganan terreno. Es posible que limiten sus conexiones a la red en algunos entornos más remotos para ahorrar energía.
Evaluación de los marcos tradicionales de protección de ICS
Si las configuraciones de seguridad de TI convencionales no pueden manejar estos desafíos, ¿quizás las alternativas centradas en OT sí puedan? El modelo estándar de referencia es el modelo de ciberseguridad de Purdue. Creado en la Universidad de Purdue y adoptado por la Sociedad Internacional de Automatización como parte de su estándar ISA 99, define varios niveles que describen el entorno de TI e ICS.
El nivel cero se ocupa de las máquinas físicas: los tornos, las prensas industriales, las válvulas y las bombas que hacen las cosas. El siguiente nivel involucra los dispositivos inteligentes que manipulan esas máquinas. Estos son los sensores que transmiten información de las máquinas físicas y los actuadores que las impulsan. Luego encontramos los sistemas de supervisión, control y adquisición de datos (SCADA) que supervisan esas máquinas, como los controladores lógicos programables.
Estos dispositivos se conectan a los sistemas de gestión de operaciones de fabricación del siguiente nivel, que ejecutan flujos de trabajo industriales. Estas máquinas aseguran que la planta siga funcionando de manera óptima y registran sus datos de operaciones.
En los niveles superiores del modelo de Purdue se encuentran los sistemas empresariales que descansan directamente en el ámbito de TI. El primer nivel aquí contiene las aplicaciones específicas de producción, como la planificación de recursos empresariales que maneja la logística de producción. Luego, en el nivel más alto está la red de TI, que recopila datos de los sistemas ICS para impulsar los informes comerciales y la toma de decisiones.
En los viejos tiempos, cuando nada se comunicaba con nada fuera de la red, era más fácil administrar los entornos ICS con este enfoque porque los administradores podían segmentar la red a lo largo de sus límites.
Se agregó deliberadamente una capa de zona desmilitarizada (DMZ) para admitir este tipo de segmentación, ubicada entre las dos capas empresariales y las capas ICS más abajo en la pila. Actúa como un espacio de aire entre la empresa y los dominios ICS, utilizando equipos de seguridad como firewalls para controlar el tráfico que pasa entre ellos.
No todos los entornos de TI/OT tendrán esta capa, dado que ISA la introdujo recientemente. Incluso aquellos que enfrentan desafíos.
Los entornos operativos actuales son diferentes a los de la década de 1990, cuando el modelo de Purdue evolucionó por primera vez y la nube tal como la conocemos no existía. Los ingenieros desean iniciar sesión directamente en las operaciones de administración locales o en los sistemas SCADA. Los proveedores pueden querer monitorear sus dispositivos inteligentes en los sitios de los clientes directamente desde Internet. Algunas empresas anhelan trasladar toda su capa SCADA a la nube, como Severn Trent Water. decidido hacer en 2020.
La evolución de ICS como servicio (ICSaaS), administrado por terceros, ha enturbiado aún más las aguas para los equipos de seguridad que se enfrentan a la convergencia de TI/TO. Todos estos factores corren el riesgo de abrir múltiples agujeros en el entorno y eludir cualquier esfuerzo de segmentación anterior.
Cortando a través de todo el lío enredado
En cambio, algunas empresas están adoptando nuevos enfoques que van más allá de la segmentación. En lugar de depender de límites de red que desaparecen rápidamente, examinan el tráfico a nivel de dispositivo en tiempo real. Esto no está muy lejos de las propuestas originales de desperimetrización presentadas por el Foro Jericho de Open Group a principios de los años XNUMX, pero analizar el tráfico en tantos puntos diferentes de la red en ese momento era difícil. Hoy en día, los defensores pueden vigilar mejor gracias a la llegada de la IA.
Darktrace es aplicando algunos de estos conceptos dentro de su Sistema Inmune Industrial. En lugar de buscar firmas maliciosas conocidas en los bordes de los segmentos de la red, comienza aprendiendo lo que es normal en todas partes del entorno de TI y OT, incluidas las partes de ese entorno alojadas en la nube.
Al establecer una línea de base evolutiva de normalidad, el servicio luego analiza todo el tráfico en busca de actividad que se encuentre fuera de él. Puede alertar a los administradores y analistas de seguridad sobre estos problemas, ya que sí logró para un cliente de fabricación europeo.
El servicio también es autónomo. Cuando un cliente confía lo suficiente en sus decisiones como para accionar el interruptor, el sistema inmunitario puede pasar de simplemente alertar a tomar medidas proporcionales. Esto podría significar bloquear ciertas formas de tráfico, hacer cumplir el comportamiento normal de un dispositivo o, en casos graves, poner en cuarentena los sistemas por completo, incluidos los equipos en las capas OT/ICS.
Los ejecutivos de Darktrace esperan que este paso a un modelo más granular de análisis de tráfico constante y ubicuo, combinado con una evaluación en tiempo real contra el comportamiento normal conocido, ayude a frustrar la creciente ola de ciberataques de ICS. Con suerte, también permitirá a las empresas ser más ágiles, respaldando el acceso remoto y las iniciativas de ICS basadas en la nube. En el futuro, no tendrás que arriesgarte a que alguien apague las luces en tu búsqueda para mantener las luces encendidas.
Patrocinado por Darktrace
- AI
- arte ai
- generador de arte ai
- robot ai
- inteligencia artificial
- certificación de inteligencia artificial
- inteligencia artificial en banca
- robots de inteligencia artificial
- robots de inteligencia artificial
- software de inteligencia artificial
- blockchain
- conferencia blockchain ai
- Coingenius
- inteligencia artificial conversacional
- criptoconferencia ai
- de dall
- deep learning
- google ai
- máquina de aprendizaje
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- escala ia
- sintaxis
- El registro
- zephyrnet
