Desarrollo de una estrategia de ciberseguridad de infraestructura crítica

Las conclusiones incluyen lo siguiente:

• La protección de la infraestructura crítica es una prioridad desde hace mucho tiempo, pero muchas organizaciones se quedan atrás en su respuesta a las ciberamenazas.
• COVID-19 ha ampliado la definición de infraestructura crítica al mismo tiempo que proporciona un recordatorio para que las empresas se pregunten qué sistemas son esenciales para las operaciones. Este artículo se basa en los consejos del capítulo uno de esta serie en "Cómo abordar los desafíos de seguridad de IoT desde la nube hasta el borde".
• Las organizaciones que administran infraestructura crítica deben desarrollar una postura proactiva de ciberseguridad, pero las interrupciones provocadas por el coronavirus aumentan el desafío.

A estas alturas, la necesidad de una ciberseguridad integral para la infraestructura crítica es clara. Las cuentas públicas están muy extendidas en lo que respecta al riesgo de que los actores malintencionados se dirijan a la red eléctrica, las presas, los sistemas de votación y otra infraestructura crítica designada por el gobierno federal. Pero la mayoría de las organizaciones que brindan servicios esenciales solo han tomado pasos graduales para abordar el riesgo cibernético. “Muchas organizaciones [de tecnología operativa] tienen programas de ciberseguridad bastante incipientes”, dijo Sean Peasley, socio de Deloitte.

El término "infraestructura crítica" se refería inicialmente a obras públicas como la infraestructura de transporte y los servicios públicos, pero, desde la década de 1990, la definición se ha expandido constantemente. Los sectores bajo la rúbrica ahora incluyen, entre otras cosas, atención médica, energía y servicios públicos, y varios fabricantes. "Y en términos prácticos, estamos descubriendo en la era de COVID, que la infraestructura crítica es incluso más amplia de lo que pensamos", dijo Kieran Norton, director de Deloitte. Los fabricantes de equipos de protección personal, por ejemplo, desempeñan un papel en la mitigación de la crisis. "También hemos aprendido que la interrupción de la cadena de suministro durante una pandemia, por ejemplo, podría ser potencialmente catastrófica", dijo Norton. No es sorprendente que las empresas de logística hayan consolidado su papel como esencial. El gobierno de los Estados Unidos ha declarado que las industrias de pulpa y papel y empacadoras de carne también son esenciales. Por lo tanto, la superposición entre la infraestructura crítica y la seguridad de la tecnología operativa (OT) continúa difuminándose. Independientemente del nombre, pocas de las industrias en este dominio han alcanzado un alto grado de eficacia cibernética, según una investigación sobre seguridad industrial del Ponemon Institute suscrita por TÜV Rheinland.

[IoT World, el evento de IoT más grande de América del Norte, se volverá virtual del 11 al 13 de agosto con una experiencia virtual de tres días que pone en acción IoT, AI, 5G y la ventaja en todas las verticales de la industria. Regístrese hoy]

Las entidades tradicionales de infraestructura crítica pueden tener décadas de experiencia con iniciativas tradicionales de seguridad y gestión de riesgos, pero para muchas, la ciberseguridad es una prioridad relativamente nueva. Y, en términos generales, las organizaciones que administran infraestructura crítica tienden a ser lentas. “Mi experiencia general es que la seguridad de OT está entre 10 y 15 años por detrás del espacio de seguridad de TI”, dijo Andrew Howard, director ejecutivo de Kudelski Security.

Mientras tanto, el panorama de amenazas para las organizaciones de infraestructura crítica continúa volviéndose más precario. La cantidad de atacantes que se dirigen a dicha infraestructura está aumentando, al igual que la cantidad de dispositivos conectados en muchos entornos de infraestructura crítica. Según el X-Force Threat Intelligence Index 2020 de IBM, el volumen de ataques a los sistemas de control industrial en 2019 fue más alto que los tres años anteriores combinados.

Dichos ataques han aparecido en los titulares en 2020. Los atacantes de ransomware atacaron con éxito a Honda y la empresa de energía de Taiwán y una instalación de gas natural de EE. UU. Según los informes, el suministro de agua de Israel fue atacado. La empresa japonesa de telecomunicaciones NTT sufrió una violación de su red interna.

R isk Evaluar continuamente

Si no puede medir algo, no puede mejorarlo. Pero ese consejo se aplica doblemente a la ciberseguridad de la infraestructura crítica, donde el riesgo y la reducción del riesgo pueden ser difíciles de cuantificar. Muchas organizaciones luchan por mantener un inventario de activos preciso, dada la diversidad y complejidad de sus entornos. Mientras tanto, los expertos especializados en ciberseguridad OT son escasos. Para agravar este riesgo está la naturaleza complicada de la gestión de riesgos de terceros, incluida la evaluación de las posibles vulnerabilidades introducidas a través del hardware, software o contratistas adquiridos.

Si bien la evaluación de riesgos debe ser un proceso continuo, las organizaciones de infraestructura crítica deben comenzar con evaluaciones periódicas de riesgos en profundidad diseñadas para cuantificar las amenazas, las vulnerabilidades y las posibles consecuencias de los ciberataques y otras causas de interrupciones operativas. Las posibles vulnerabilidades incluyen contraseñas compartidas, sistemas sin parches, software y hardware de procedencia desconocida y cortafuegos demasiado permisivos.

Pero estas evaluaciones de seguridad pueden ser complicadas de realizar. Existe una variedad de tipos de dispositivos para rastrear, que van desde bombas y válvulas, controladores heredados y una miríada de dispositivos informáticos. Además, comprender las ramificaciones de una infracción del sistema industrial requiere un conocimiento operativo profundo. En un entorno con decenas de sistemas diferentes, el problema se agrava.

Las técnicas tradicionales de escaneo en red requieren cuidado. Las técnicas activas de escaneo de redes y vulnerabilidades de los sistemas de control industrial pueden bloquear los sistemas de control. El uso de escaneo activo de manera segura en un entorno de infraestructura crítica generalmente se puede hacer de manera segura, según Dale Peterson, consultor especializado en seguridad de sistemas de control industrial. Pero requiere trabajar en estrecha colaboración con las operaciones para abordar el riesgo. Si bien las técnicas pasivas para el monitoreo de redes son menos intrusivas, también son menos precisas. “Este debate es a menudo donde la visión de seguridad de TI choca con la visión de TO. La persona de seguridad de TI se inclina por el escaneo activo, pero la persona a cargo de monitorear un sistema de infraestructura crítica a menudo prefiere un enfoque pasivo porque no quiere ponerlo en riesgo ".

Especialmente con evaluaciones en profundidad, es probable que las organizaciones descubran una larga lista de problemas y cuestionen la solución a priorizar. Para agravar el problema, muchos profesionales de la seguridad cibernética generalmente no tienen experiencia directa con todos los equipos sometidos a auditoría y, por lo tanto, deben confiar en entrevistas con propietarios y operadores de activos experimentados para medir su riesgo cibernético.

Las organizaciones deben sopesar tanto la gravedad como la facilidad de corrección. El control de acceso es a menudo un tema aquí, dijo Miklovic. “Las interfaces de límites siempre son la parte más débil de cualquier problema de ciberseguridad, ya sea un límite de protocolo o un límite físico”, dijo. "Incluso en el mundo de la ciberseguridad industrial, uno de los mayores puntos de incumplimiento son las unidades USB".

Si bien es rápido y económico para un miembro del personal usar superpegamento o soldadura para enchufar unidades USB no utilizadas, algunas organizaciones se enfocan demasiado en abordar las "cosas fáciles" en su remediación, dijo Howard. “Sí, hay mitigaciones de umbral que debe eliminar de inmediato. Pero después de eso, debe priorizar en función del riesgo ".

Es posible cuantificar ese riesgo utilizando una matriz de dos por dos que sopesa la probabilidad del impacto y la gravedad potencial de una vulnerabilidad, según Joe Saunders, director ejecutivo de RunSafe.

La creación de un perfil de riesgo para cada sistema rara vez es sencilla. Las entrevistas con los propietarios y operadores de activos son clave para comprender el impacto si un sistema dado fallara. "Puede tener una máquina que parece ser vulnerable y de alto riesgo", dijo Miklovic. Pero si se cae, es posible que solo cause problemas aislados en lugar de hacer que todo "se detenga por completo".

Otro factor que puede complicar la evaluación de riesgos es la tendencia de las organizaciones a priorizar las prioridades cibernéticas basándose únicamente en el tiempo o el dinero invertido. “Lo que una organización cree que es valioso puede ser bastante diferente de lo que un ciberdelincuente cree que es valioso”, dijo Bill Malik, vicepresidente de estrategias de infraestructura de Trend Micro.

Cuando se trata de equipos heredados, las organizaciones pueden verse limitadas en su capacidad para reducir el riesgo. Es probable que un dispositivo que ejecute un sistema operativo de décadas de antigüedad no se pueda actualizar. “La estrategia que normalmente se adopta en estos sistemas es aislar y monitorear”, dijo Howard. "Mi experiencia es que el aislamiento suele ser bastante poroso".

Nuevos riesgos en la nueva normalidad

La gestión de riesgos en la infraestructura crítica se ha vuelto cada vez más desafiante con las crecientes preocupaciones de ciberseguridad. La necesidad de que esas organizaciones desarrollen planes de respuesta COVID-19 mientras amplían el trabajo remoto para algunos trabajadores agrega mayor complejidad. "Creo que el principal tipo de cambio que vemos en los entornos de infraestructura crítica es el escenario del trabajo desde casa", dijo Jamil Jaffer, vicepresidente senior de estrategia, asociaciones y desarrollo corporativo de IronNet Cybersecurity.

El paradigma del trabajo desde casa ha complicado la protección de los sistemas vulnerables, dijo Howard. "Ahora, tiene empleados que utilizan VPN para conectarse a los sistemas de producción desde casa para realizar cambios", dijo. "Probablemente no lo habrían hecho antes".

De manera similar, algunas organizaciones podrían verse tentadas a otorgar a terceros, como proveedores y técnicos, acceso remoto a sistemas sensibles. "Probablemente hay menos enfoque en la seguridad cibernética cuando muchas personas se concentran en hacer su trabajo y mantener su trabajo", dijo Norton.

La disponibilidad de la red es otra consideración para las organizaciones que buscan ampliar las capacidades de trabajo remoto en contextos de infraestructura crítica. “En el pasado, había organizaciones con entre el 10% y el 20% de sus trabajadores utilizando la infraestructura de acceso remoto tradicional”, dijo Norton. A medida que las organizaciones han aumentado las capacidades de trabajo remoto, "muchas han tenido problemas con el ancho de banda, la escala y la implementación de activos", dijo Norton.

Si bien expandir la conectividad para activos industriales puede potencialmente crear más vulnerabilidades, COVID-19 también subrayó el riesgo de planes de contingencia anticuados que dependen de la presencia física de los trabajadores, los procesos manuales y el papeleo.

Aunque tradicionalmente cambian con lentitud, las organizaciones de infraestructura crítica no deben evitar realizar cambios masivos en su arquitectura tecnológica mientras reconsideran los procesos centrales y los flujos de trabajo. “Si esta es la nueva normalidad, probablemente necesite rediseñar su infraestructura”, dijo Norton.

Hacia una ciberseguridad proactiva

En última instancia, las organizaciones de infraestructura crítica buscan hacer la transición de procesos manuales arraigados que ofrecen una reducción del riesgo incremental hacia una postura de ciberseguridad más proactiva. “Los entornos industriales tienden a ser complejos y en constante evolución”, dijo Natali Tshuva, directora ejecutiva de Sternum. "Los controles de seguridad son necesarios no solo para evaluar el estado actual, sino también para ofrecer protección sostenible y tranquilidad en los próximos años".

Tradicionalmente, la seguridad de la infraestructura crítica e industrial significaba seguridad física, que abarcaba la seguridad y el control de acceso dentro de un perímetro físico. Muchos protocolos industriales tradicionales son fundamentalmente inseguros porque sus diseñadores asumieron que solo el personal autorizado tendría acceso a ellos. Pero el auge del trabajo remoto, la computación en la nube y el IIoT han socavado el modelo de seguridad de castillo y foso. Sin embargo, la influencia de ese modelo heredado es una de las razones por las que muchas organizaciones de infraestructura crítica, así como empresas empresariales, tienen un enfoque de seguridad reactiva.

El énfasis de tal rediseño debería estar en la creación de flujos de trabajo robustos y eficientes basados ​​en políticas de seguridad universales. “Mueva los controles de seguridad lo más cerca posible de los activos”, aconsejó Norton.

El proceso incluye la creación de una política de seguridad integral y en evolución para los siguientes activos:

• Equipos y dispositivos :Dicho hardware podría abarcar desde equipos industriales heredados hasta dispositivos de IoT y computadoras portátiles emitidas por empresas. "Comprender esos dispositivos en contexto en relación con los usuarios es muy importante", dijo Norton. Las organizaciones deben asegurar los controladores industriales, advirtió Joe Saunders, director ejecutivo de RunSafe Security. Asegurar sensores y puertas de enlace, por el contrario, es relativamente sencillo. "Pero los controladores son sensibles al rendimiento y están profundamente en la infraestructura".
• Redes y usuarios :En cuanto a los usuarios, el personal de seguridad debe restringir el acceso tanto como sea posible basándose en los controles descritos en una política de seguridad organizacional. "Puede tener un motor de políticas que se comunique con esos controles de seguridad y que le permita aplicar dinámicamente, a través del contexto del usuario y la aplicación, la lógica", dijo Norton. Las organizaciones también deben invertir en capacidades de detección de brechas en la red.
• Datos . La clasificación y el descubrimiento de datos son herramientas valiosas para evaluar el nivel de control necesario para proteger un tipo de datos determinado.
• Flujo de trabajo, cargas de trabajo y procesos. El grado de protección requerido tiene en cuenta el valor intrínseco de estos procesos para su organización y la probabilidad de que los adversarios interfieran con ellos. Esta tarea también incluye fortalecer la cadena de suministro y garantizar que los contratistas y proveedores cumplan con un nivel de controles de seguridad específico.
• Procesos de desarrollo de software. Las organizaciones de infraestructura crítica “deberían incorporar la seguridad en el desarrollo de software, de modo que el software que implemente sea resistente”, dijo Saunders.

Si bien la higiene cibernética es vital, un error común en la seguridad es no priorizar la detección, respuesta y recuperación de amenazas. “Una regla general rápida es dedicar el 50% de su esfuerzo a la prevención y detección y el 50% de su esfuerzo a la recuperación de la respuesta”, dijo Matt Selheimer, ejecutivo de PAS Global. “Tradicionalmente, el enfoque que han adoptado muchas organizaciones es poner los controles preventivos en su lugar primero”, dijo Norton. Pero dada la complejidad de examinar el riesgo en entornos de infraestructura crítica, la respuesta y la recuperación a veces pasan a un segundo plano. "Si algo sale mal, desea poder identificarlo rápidamente y apagarlo", dijo Norton. "Eso es tan importante como prevenir algo porque sabes que algo eventualmente saldrá mal".

Las organizaciones que aspiran a la transición a una postura proactiva de ciberseguridad pueden inspirarse en varios marcos, que van desde la completa ISO 27002 y estándares específicos para sistemas de control industrial como ISA / IEC 62443. Un recién llegado relativamente es la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) de la Departamento de Defensa:diseñado para especificar el nivel de seguridad requerido para que las organizaciones liciten en varios programas gubernamentales. Divididos en cinco niveles, los tres primeros especifican higiene cibernética básica, intermedia y buena. Los dos niveles superiores requieren una gestión de ciberseguridad más sofisticada. El cuarto estipula que “todas las actividades cibernéticas se revisan y miden para determinar su efectividad” y los resultados de la revisión se comparten con la administración. El nivel superior agrega documentación estandarizada y completa relacionada con todas las unidades relevantes.

CMMC Nivel 1	Higiene cibernética básica (realizada)	Las prácticas seleccionadas se documentan cuando es necesario
CMMC Nivel 2	Higiene cibernética intermedia (documentada)	Cada práctica está documentada y existe una política para todas las actividades
CMMC Nivel 3	Buena higiene cibernética (gestionada)	Además de las prácticas anteriores, existe un plan cibernético y está operativo para incluir todas las actividades.
CMMC Nivel 4	Proactivo (revisado)	Todas las actividades cibernéticas se revisan y miden para determinar su efectividad. Los resultados se comparten con la dirección.
CMMC Nivel 5	Avanzado progresivo (optimización)	Además de las prácticas anteriores, esta etapa agrega una documentación estandarizada en toda la organización.

"Es el primer marco que hemos visto con un modelo de madurez específico para integradores y sus subcontratistas que licitan en programas gubernamentales sensibles", dijo Tony Cole, director de tecnología de Attivo Networks. El marco podría alentar a las organizaciones de infraestructura crítica a desarrollar una comprensión más sofisticada del riesgo cibernético interno, así como la debida diligencia requerida de terceros. Hay un nivel de objetividad en el marco que podría ser útil, dijo Cole. “Según el modelo, un auditor externo tiene que entrar y confirmar el nivel de ciberseguridad de un contratista. No hay encuestas autoinformadas ”, dijo. "Alguien tiene que auditarlo".

La automatización también es un elemento a considerar al diseñar una estrategia de seguridad proactiva. Técnicas como el aprendizaje automático pueden ayudar a las organizaciones a automatizar las tareas rutinarias de monitoreo de seguridad, como la detección de brechas en la red, e implementar controles para detener la propagación de ataques.

Las protecciones de seguridad integradas, que están cada vez más disponibles en diversos dispositivos con recursos limitados, brindan protección intrínseca contra amenazas. La protección en el dispositivo también debería "incluir capacidades integrales de gestión de activos", dijo Tshuva. Dichos controles respaldan la visibilidad de la red y pueden proporcionar alertas automáticas de ataques.

Las organizaciones que se apresuran a encontrar formas de automatizar la supervisión de la seguridad sin una política de seguridad sólida y contextual a menudo se enfrentan a una explosión de falsas alarmas, advirtió Selheimer. Pero al final, todas las organizaciones deberían planear invertir tiempo en ajustar los controles de seguridad. “No es diferente en OT que en TI. La gente del [centro de operaciones de seguridad] pasa mucho tiempo ajustando las reglas del firewall y la información de seguridad, las reglas de correlación de gestión de eventos para reducir el ruido ”, dijo Selheimer.

Lo que complica aún más las cosas es el panorama único y variado de la infraestructura crítica, que puede complicar la implementación de herramientas de inteligencia artificial y automatización de seguridad listas para usar. “Ciertamente existen algunas limitaciones. Pero también hay formas de abordar eso ”, dijo Norton. Las organizaciones pueden, por ejemplo, aislar sistemas operativos sensibles y utilizar herramientas de automatización y orquestación para proteger el enclave resultante. “A través de la automatización y la orquestación, automatice todo lo que pueda y luego orqueste donde no pueda automatizar para asegurarse de que tiene capacidades efectivas y está respondiendo y ajustándose a las amenazas”, dijo Norton.

Al final, es probable que las amenazas a la seguridad de la infraestructura crítica cambien rápidamente. "Ser proactivo significa que está ajustando constantemente su postura cibernética para abordar lo que está sucediendo, tanto en términos de impactos directos contra la organización como de lo que está viendo suceder desde una perspectiva de la industria", dijo Norton.