Con el avance de la Industria 4.0 y la ola de fabricación inteligente, la profunda integración de la tecnología operativa, es decir, OT, y la tecnología de la información, es decir, TI, se ha convertido en una tendencia irreversible. Si bien esta integración mejora la eficiencia y la flexibilidad de la producción, también plantea desafíos de seguridad sin precedentes. El método de aislamiento tradicional de la seguridad OT y la seguridad de TI no ha podido hacer frente a amenazas de red cada vez más complejas. La creación de un marco de seguridad integrado unificado de OT/TI se ha convertido en una necesidad urgente para garantizar el funcionamiento estable de la infraestructura crítica y las industrias manufactureras modernas. No se trata solo de la integración de tecnología, sino también de la colaboración integral de los procesos de gestión, la cultura organizacional y la gobernanza de riesgos.
Por qué la seguridad de OT y TI debe converger
Érase una vez, las redes OT generalmente se encontraban en un estado de aislamiento físico y sus políticas de seguridad se centraban en garantizar la disponibilidad y seguridad de los procesos físicos, mientras que la seguridad de TI se centraba más en la confidencialidad y la integridad de los datos. Con la introducción de la Internet industrial de las cosas, o IIoT, las redes OT Las conexiones entre redes, las redes de TI empresariales e incluso Internet se están acercando cada vez más, y la "brecha de aire" original se ha roto. La protección aislada hace que los sistemas OT se conviertan fácilmente en trampolines para ataques desde redes de TI. El ataque a la red eléctrica de Ucrania en 2015 es una lección muy dolorosa. Por lo tanto, el objetivo de la integración es crear un sistema de defensa unificado y coordinado que pueda lograr una visibilidad total y una respuesta coordinada a las amenazas en los entornos de TI y OT.
No se trata sólo de implementar un producto de seguridad unificado que cuente como integración. Más importante aún, el equipo de seguridad debe llegar a un consenso sobre el concepto. Entre ellos, el personal de OT debe comprender el contenido relacionado con la inteligencia de amenazas y la gestión de vulnerabilidades en el entorno de TI, y el personal de TI debe respetar los requisitos extremos del entorno de OT para la disponibilidad del sistema y el rendimiento en tiempo real. Además, ambas partes deben trabajar juntas para planificar y desarrollar una estrategia de seguridad que sea capaz de hacer frente a amenazas persistentes avanzadas (APT) y al mismo tiempo garantizar que la línea de producción no se detenga. Por lo general, esto comienza con una evaluación de riesgos, identificando activos clave y flujos de datos a través de la frontera OT/TI, y diseñando medidas de protección basadas en ellos.
Cómo evaluar los riesgos de seguridad de la convergencia OT/TI
Para evaluar los riesgos de un entorno convergente, no se pueden utilizar simplemente métodos tradicionales de evaluación de riesgos de TI. En primer lugar, identifique todos los activos OT conectados, incluidos los sistemas de control industrial (ICS) heredados y difíciles de parchear y los sistemas de control de supervisión y adquisición de datos (SCADA). Estos sistemas suelen ser el objetivo principal de los ataques y sus vulnerabilidades pueden causar directamente daños al equipo físico o interrumpir la producción. El modelo de evaluación de riesgos debe incluir la dimensión de los impactos en la seguridad física. Por ejemplo, si se piratea un PLC que controla una válvula, las consecuencias van más allá de la pérdida de datos y también pueden causar desastres ambientales o incidentes de seguridad personal.
Los puntos de interacción de datos entre OT y TI deben analizarse cuidadosamente. Estas interfaces, como la conexión entre el sistema de ejecución de fabricación (MES) y la planificación de recursos empresariales (sistema ERP), son donde se concentran los riesgos. Al evaluar, se debe prestar atención a si los mecanismos de autenticación, autorización y cifrado para la transmisión de datos están completos. Al mismo tiempo, también se deben considerar los riesgos para terceros que conlleva la cadena de suministro. Por ejemplo, el canal de mantenimiento remoto del proveedor de equipos puede convertirse en una entrada de ataque incontrolado. Una evaluación de riesgos integral debe generar una lista dinámica de amenazas y priorizar aquellos riesgos híbridos que tienen el potencial de impactar tanto la producción como las operaciones comerciales.
¿Cuáles son los componentes principales de Fusion Framework?
Un marco de seguridad integrado de OT/TI sólido y saludable generalmente se basa en el principio de confianza cero como piedra angular. Su esencia es "nunca confiar, siempre verificar". Bajo tal principio, la tecnología de microaislamiento es muy importante y crítica. Puede subdividir áreas de seguridad dentro de la red OT. Incluso si se traspasa una determinada zona, también puede impedir eficazmente el movimiento lateral. Esto requiere que el firewall de próxima generación no sólo tenga la capacidad de realizar una inspección profunda de paquetes, sino que también comprenda los protocolos industriales, como TCP y OPC. La semántica de UA, controlando así con precisión la legalidad de las instrucciones.
Otro componente clave es la gestión unificada de identidad y acceso (IAM), que otorga derechos de acceso diferenciados a operadores, ingenieros y contratistas externos y aplica la autenticación multifactor (MFA), especialmente cuando se accede a sistemas de control críticos. Al mismo tiempo, el marco debe incluir un sistema centralizado de gestión de eventos e información de seguridad (SIEM) para recopilar y correlacionar registros de seguridad que se originan en las redes de TI y OT. A través del análisis de correlación, SIEM puede detectar patrones anormales a tiempo, como un comportamiento de inicio de sesión anormal iniciado desde la red corporativa que intenta acceder al PLC, y luego activar una alarma.
¿Cuáles son los desafíos en la implementación de un marco de convergencia?
Durante el proceso de implementación, los desafíos más destacados a menudo surgen de barreras culturales y estructurales dentro de la organización. El equipo de OT y el equipo de TI han estado durante mucho tiempo en departamentos diferentes, con diferentes prioridades de trabajo y conocimientos. Al equipo de OT le puede preocupar que la introducción de herramientas de seguridad de TI afecte el sistema de producción. El tiempo real y la estabilidad tienen un impacto y es posible que el equipo de TI no comprenda la singularidad de los protocolos industriales y los requisitos de los procesos operativos. Para romper este "muro cultural" se requiere una fuerte promoción desde arriba y una capacitación continua entre equipos. La construcción de un centro conjunto de operaciones de seguridad (SOC) es una actividad práctica eficaz.
Los desafíos técnicos también son pendientes. Muchos entornos OT tienen una gran cantidad de dispositivos heredados que carecen de recursos informáticos, no admiten agentes de seguridad modernos y ni siquiera pueden instalar parches. En esta situación, sólo se pueden utilizar medidas de protección periférica, como la supervisión pasiva y la segmentación de la red. Además, los parches de vulnerabilidades o las actualizaciones de sistemas en entornos OT a menudo requieren un tiempo de inactividad programado, lo que entra en conflicto con el proceso de gestión de parches que busca una respuesta rápida en entornos de TI. Por lo tanto, el proceso de implementación debe planificarse cuidadosamente, realizarse por etapas y verificarse completamente en un entorno de prueba.
¿Cuáles son las mejores prácticas en casos de éxito?
Después de ver ejemplos de implementación exitosa, la primera mejor práctica es crear un equipo de seguridad convergente compuesto por expertos en OT y TI. Este equipo participa en la formulación de estrategias, selección de tecnología y planificación de procesos operativos desde el inicio del proyecto. Por ejemplo, un gran fabricante de automóviles implementó con éxito un sistema unificado de gestión de vulnerabilidades y descubrimiento de activos mediante la creación de un grupo multifuncional, logrando un control centralizado y visual de los activos de OT/TI en toda la fábrica.
Otra práctica clave es utilizar un enfoque de gestión "de arriba hacia abajo", lo que significa que la dirección puede aclarar los objetivos de seguridad y formular políticas y normas unificadas, al tiempo que permite cierta flexibilidad en el nivel de implementación específico para adaptarse a las particularidades de las diferentes unidades de producción, como en la red de implementación. Al segmentar una red, puede comenzar con el aislamiento lógico y pasar gradualmente al aislamiento físico para garantizar que cada paso del cambio se pruebe completamente y tenga un plan de reversión. La capacitación continua en concientización sobre la seguridad y los simulacros regulares de ataque y defensa entre dominios también son medidas importantes para consolidar los resultados de la integración y mejorar el nivel de seguridad general.
¿Cuáles son las tendencias de desarrollo futuras de la seguridad OT/TI?
En la seguridad de OT/TI, la inteligencia artificial, también conocida como IA, y el aprendizaje automático, también conocido como ML, desempeñarán un papel cada vez más crítico. Tienen la capacidad de procesar grandes cantidades de tráfico de red y datos de registro del sistema, detectando así con mayor precisión amenazas avanzadas latentes y comportamientos operativos anormales. Por ejemplo, al analizar patrones pasados en los datos de los sensores, la IA puede identificar desviaciones sutiles que podrían indicar manipulación del dispositivo, lo cual es un complemento eficaz más allá del alcance de las bases de reglas tradicionales.
Otra tendencia clave es que la seguridad se está moviendo hacia la izquierda, lo que significa que las consideraciones de seguridad se colocan en las etapas iniciales de los sistemas industriales y el diseño de productos, y luego los principios de "seguridad por diseño" y "privacidad por diseño" se integran más profundamente en el proceso de desarrollo relacionado con los dispositivos industriales de IoT. Al mismo tiempo, a medida que cambien las regulaciones, con la mejora continua, se promulgarán estándares de seguridad obligatorios para la infraestructura crítica, lo que alentará a las empresas a invertir más activamente en una arquitectura de seguridad integrada. A partir de ahora, las operaciones de seguridad serán más automatizadas, logrando un bucle operativo cerrado desde la detección de amenazas hasta la resolución de la respuesta, reduciendo en gran medida el tiempo medio de respuesta.
En su organización, ¿el mayor obstáculo que se encuentra al promover la integración de la seguridad de OT y TI se debe a la complejidad de la integración de la tecnología, o se debe a los obstáculos a la colaboración entre departamentos? Le invitamos a compartir sus opiniones y conocimientos en el área de comentarios. Si cree que este artículo le ha ayudado, no dude en darle me gusta y reenviarlo.
Deja una respuesta