Protección de la infraestructura crítica mediante la supervisión del rendimiento de las aplicaciones

Dados los recientes ataques a la infraestructura existente, la ciberseguridad de los sistemas integrados La infraestructura crítica es quizás incluso más crucial que su seguridad física.

A medida que la administración del presidente Biden comienza a presionar por $ 2.9 billones de inversión en infraestructura crítica (como la red de energía, redes de comunicaciones nacionales y redes de transporte) y con la noticia reciente del devastador ataque de ransomware DarkSide que paraliza el Oleoducto Colonial en la Costa Este, el La vulnerabilidad de los sistemas existentes y propuestos a los actores malintencionados es una vez más un tema candente. De hecho, dados los recientes ataques a la infraestructura existente, la ciberseguridad de los sistemas integrados integrados en la infraestructura crítica es quizás incluso más crucial que su seguridad física.

La defensa contra las vulnerabilidades de estas redes de dispositivos interconectados masivamente presenta un desafío sustancial para los desarrolladores de dispositivos, desarrolladores de código y expertos en ciberseguridad. Los operadores deben monitorear los sistemas integrados no solo para garantizar el funcionamiento adecuado del dispositivo y verificar continuamente si hay actividad maliciosa. Las fallas no identificadas que provocan fallas en los dispositivos, ya sea debido a fallas de hardware o ataques criminales, tienen potencialmente efectos devastadores a gran escala.

La construcción de la infraestructura más sólida y defendible requiere la implementación de sistemas que evalúen la confiabilidad de los dispositivos integrados en todos los niveles:hardware, firmware y software. En este artículo, analizamos los avances en los esfuerzos de ciberseguridad para las aplicaciones que controlan los dispositivos de la infraestructura de IoT y cómo las tendencias en el monitoreo del rendimiento de las aplicaciones afectan el diseño de los sistemas integrados.

Infraestructura crítica frente a infraestructura de TI

Las preocupaciones de seguridad sobre el IoT en la infraestructura crítica son de gran alcance, ya que las nuevas inversiones en infraestructura agregarán millones de dispositivos conectados integrados que deben monitorearse y protegerse. Cada nuevo sistema integrado y cada conexión que realiza representan una oportunidad para un ataque.

Figura 1. A medida que se crean millones de dispositivos conectados integrados, las preocupaciones de seguridad se harán más pronunciadas ya que ahora hay muchos más dispositivos que deben ser monitoreados. (Fuente:freepik)

Lamentablemente, infraestructura crítica es un término vago. Para evitar confusiones, definamos nuestras definiciones. OT, o tecnología operativa, se refiere al hardware físico que se utiliza para ayudar a monitorear dispositivos y controlar cualquier proceso físico. La TI, o tecnología de la información, se refiere al software utilizado para procesar información dentro de esos dispositivos. Pero las líneas entre la TO y la TI se han vuelto cada vez más borrosas a medida que el mundo físico se pone en línea. El término IoT se ha utilizado para referirse a este fenómeno.

La infraestructura de TI también es, sin duda, fundamental para el ecosistema de IoT y puede ser un subconjunto del término general. Para nuestros propósitos, la infraestructura crítica se refiere a la infraestructura del Plan de Empleos Americano de Biden.

Utilizando la definición de la Ley Patriota de los EE. UU. De 2001, esto incluye sistemas cuyo deterioro "tendría un impacto debilitante en la seguridad, la seguridad económica nacional, la salud o seguridad pública nacional o cualquier combinación de esos asuntos".

IoT y los sistemas integrados serán los componentes principales de la nueva infraestructura y mejorarán las capacidades de la infraestructura existente.

Si bien la infraestructura crítica y la infraestructura de TI son distintas, la seguridad de ambas es primordial. Los ataques a la infraestructura de TI son mucho más fáciles de perpetrar, pero pueden tener efectos igualmente desastrosos, como se ha visto en los ataques a los sistemas de suministro de agua en los últimos años.

Ciberseguridad de sistemas integrados de infraestructura crítica

Los ciberataques prominentes a la infraestructura, junto con el aumento general de los delitos cibernéticos, han llevado a los gobiernos de todo el mundo a centrar una gran atención en los dispositivos de IoT y la seguridad de los sistemas integrados.

A fines del año pasado, el Congreso de los EE. UU. Aprobó la Ley de ciberseguridad de IoT de 2020, que fortalece los estándares de seguridad para el despliegue de dispositivos de IoT por parte de organizaciones gubernamentales. Si bien la Ley no se aplica ampliamente a todas las implementaciones de IoT en infraestructura crítica, es probable que tenga efectos dominó que impregnarán la industria.

Mientras el Congreso debatía la Ley de Ciberseguridad de IoT, el Instituto Nacional de Estándares y Tecnología (NIST) publicó dos documentos que guiarán los futuros estándares de seguridad de IoT. La línea de base básica de la capacidad de ciberseguridad de dispositivos de IoT define estándares mínimos de seguridad para proteger los dispositivos de IoT y sus datos.

Las actividades fundamentales de ciberseguridad para los fabricantes de dispositivos de IoT describen los pasos que los fabricantes de dispositivos de IoT deben seguir para evaluar qué controles de ciberseguridad deben integrarse en un dispositivo. El monitoreo continuo del sistema es un área de interés específica.

La Unión Europea también está fortaleciendo sus regulaciones de ciberseguridad para abordar las amenazas a la infraestructura. A fines del año pasado, la UE comenzó a considerar enmiendas a su Directiva sobre seguridad de redes y sistemas de información.

Los desarrolladores de sistemas integrados siguen estos desarrollos legales a medida que ocurren. Si bien actualmente son más aspiracionales que operativos, eventualmente conducirán a requisitos específicos de diseño de dispositivos.

Tendencias en la supervisión del rendimiento de las aplicaciones

Para obtener ideas específicas sobre el diseño de ciberseguridad de los sistemas integrados en el futuro, los desarrolladores pueden buscar tendencias en otras áreas de seguridad y desempeño de TI, como en el monitoreo del desempeño de las aplicaciones de red (APM).

Sin embargo, las aplicaciones que monitorean y controlan los sistemas integrados en la infraestructura crítica son un objetivo para los piratas informáticos dedicados. APM será un aspecto esencial para mantener la seguridad de la infraestructura crítica. Los desarrolladores de sistemas integrados deben saber cómo las herramientas APM interactuarán con sus dispositivos y cómo las tendencias en APM afectarán los requisitos de diseño de los sistemas integrados.

Optimización de la recopilación y transmisión de datos

Las redes existentes ya experimentan problemas de ancho de banda relacionados con los dispositivos conectados. Imagínese cuánto empeorará el problema cuando la cantidad de dispositivos conectados aumente en un orden de magnitud o más. Y si los problemas de red interrumpen la conexión entre un dispositivo integrado y su sistema de monitoreo remoto, el dispositivo es más vulnerable a los ataques.

Invertir en los servicios de un administrador de red experimentado y bien formado puede ser una solución. Se espera que la administración de redes crezca como carrera en más de 42.000 puestos de trabajo para el próximo año, y es fácil ver por qué. Los administradores de red son responsables de supervisar la instalación de los sistemas de seguridad de la red, implementar mejoras en las redes según sea necesario e instalar o reparar hardware y software.

La IA local, como se mencionó anteriormente, puede ser otra solución. Los desarrolladores de APM también están buscando métodos mejorados de compresión sin pérdidas para garantizar la transmisión de datos de calidad con requisitos de ancho de banda limitados. Los desarrolladores de sistemas integrados deben continuar investigando algoritmos de compresión de datos integrados más eficientes.

Uso de inteligencia artificial y aprendizaje automático

En los últimos años, se ha observado una mayor dependencia de la inteligencia artificial y el aprendizaje automático para mejorar la APM. Tanto es así que Gartner definió el campo de las AIOps. AIOps tiene como objetivo cambiar el enfoque de APM de identificar y corregir problemas de manera reactiva a identificar problemas de manera proactiva antes de que ocurran.

Figura 2. Uno de los mayores avances en los últimos años ha sido la creciente dependencia de APM en la inteligencia artificial. (Fuente:pixabay)

Además, AIOps aplica IA para automatizar las actividades de remediación luego de la identificación de un problema. De manera similar, los desarrolladores de sistemas integrados pueden considerar la IA como una herramienta principal para crear una funcionalidad de identificación proactiva de ciberataques a nivel de la aplicación.

Si bien la inteligencia artificial se utiliza actualmente para entrenar sistemas integrados, gran parte del entrenamiento se lleva a cabo fuera de los dispositivos integrados. El entrenamiento remoto proporciona mayores cantidades de capacidad de procesamiento de mayor potencia para lidiar rápidamente con las grandes cantidades de datos que impulsan el desarrollo del modelo de IA.

Sin embargo, existe un uso creciente de la inteligencia artificial en el borde, y los desarrolladores de sistemas integrados deben considerar la viabilidad de la inteligencia artificial integrada para realizar tareas de monitoreo de seguridad localmente. Sin embargo, debido a que los requisitos computacionales de los modelos de IA son altos, los desarrolladores de sistemas integrados deben continuar concentrando sus esfuerzos en reducir la sobrecarga de los métodos de IA tradicionales para poder aplicarlos mejor en un entorno local.

Supervisión convergente de aplicaciones e infraestructura

Todos los aspectos del funcionamiento de un sistema integrado deben protegerse, ya sea el hardware subyacente de las aplicaciones que se ejecutan en él. La dependencia de la supervisión de componentes individuales está dando paso a una visión más holística del funcionamiento del sistema.

La aplicación de los principios de observabilidad (preferiblemente junto con una supervisión sólida) puede proporcionar una mejor comprensión general del rendimiento del sistema integrado en tiempo real, lo que permite una mejor identificación de anomalías y posibles ataques.

Automatización

Es casi imposible para los administradores de red y otros profesionales de TI mantenerse al día manualmente con todos los datos y análisis necesarios para un programa moderno de ciberseguridad. La automatización es, por lo tanto, un componente esencial de los esfuerzos futuros de ciberseguridad. Por ejemplo, si bien APM es eficaz para evaluar la existencia de un ataque, es más eficaz junto con sistemas que identifican vulnerabilidades de forma automática y proactiva.

Según la experta en ciberseguridad Barbara Ericson de Cloud Defense, “Puede emplear escáneres de vulnerabilidades tradicionales y lineales o utilizar escáneres de vulnerabilidades adaptables para buscar cosas específicas basadas en la experiencia previa. Afortunadamente, los escáneres de vulnerabilidades pueden automatizarse si utiliza un buen software de gestión de vulnerabilidades. Al automatizar sus escaneos, se asegurará de que su organización sea evaluada constantemente en busca de nuevas amenazas y no tendrá que desperdiciar demasiada mano de obra en escaneos programados regularmente ".

Los desarrolladores de dispositivos integrados también deben continuar mejorando la automatización para monitorear posibles ataques a dispositivos o sus aplicaciones asociadas, así como implementar esfuerzos correctivos automáticos para los problemas identificados.

Conclusión

A medida que EE. UU. Persiga mejoras sustanciales de la infraestructura, la cantidad de IoT en la infraestructura crítica aumentará exponencialmente. Y ese aumento necesariamente viene con un aumento en la amenaza de ataques cibernéticos. Los desarrolladores de dispositivos integrados deben aplicar un enfoque renovado en la implementación de nuevos controles de ciberseguridad a bordo para garantizar la confiabilidad y seguridad de la infraestructura crítica.