Asegurar el Internet de las cosas industrial

Si bien las organizaciones diseñan e implementan esfuerzos de Internet de las cosas industrial, el término no tiene sentido para los profesionales de la seguridad porque la Internet industrial de las cosas (IIoT) es un concepto. Es difícil para los líderes de seguridad proteger los conceptos.

Eso es según Katell Thielemann, analista vicepresidente de Gartner Inc.

"[Los profesionales de la seguridad] deben abordar el problema con detalles, entendiendo que están lidiando con sistemas ciberfísicos que tienen características muy específicas y comprender esas características es clave para definir cómo diseñar un enfoque de seguridad", dijo.

Con demasiada frecuencia, la velocidad de la implementación inicial tiene prioridad sobre una estrategia de seguridad que debería abarcar todo el ciclo de vida de los sistemas, dijo Thielemann. Demasiadas organizaciones aportan una visión centrada en las TI de la seguridad a los entornos industriales cuando se trata de esfuerzos de IIoT.

Si bien la tecnología operativa de seguridad (OT) está ganando atención y visibilidad a nivel ejecutivo para las autoridades reguladoras, la capacidad de ponerlas bajo total cibervisibilidad y protección, así como garantizar la vigilancia continua, es un desafío en múltiples niveles, dijo Santha Subramoni, directora global de ciberseguridad. servicios en Tata Consultancy Services.

En el nivel básico, la superficie de la amenaza (o el área que puede ser atacada) en sí misma es compleja y variada, lo que hace que el descubrimiento y la integración de activos sea un desafío de arquitectura de seguridad empresarial, dijo Subramoni. Los sensores, los dispositivos periféricos, la conectividad junto con los datos relacionados, las aplicaciones y los ecosistemas de alojamiento son el núcleo del ecosistema IIoT distribuido.

Existe una prevalencia significativa de tecnologías heredadas y la proliferación de redes autónomas, fuera de los perímetros de la red empresarial, dijo Subramoni. Y la falta de visibilidad de los terminales limita la capacidad de tomar medidas preventivas.

“Las organizaciones necesitan detectar y mantener un catálogo de vulnerabilidades en múltiples niveles y mantener el conocimiento y la tecnología requeridos para las mismas dentro del ecosistema industrial, que por lo general aún tiene que madurar a una escala y confiabilidad manejables”, dijo Subramoni.

Cómo un fabricante de materiales de construcción está asegurando el IIoT

El fabricante de materiales de construcción HIL Ltd. dio el primer paso en su viaje de digitalización e implementó IIoT cuando lanzó la tecnología de taller digital en cuatro de sus plantas de fabricación en India, dijo Murali Raj, director de información de HIL. El taller digital conecta todas las máquinas a una red, optimizando la eficiencia y la calidad.

"Ahora estamos pasando a la siguiente fase de mantenimiento predictivo", dijo Raj. “Así que estamos haciendo POC [pruebas de conceptos] sobre mantenimiento predictivo y también estamos haciendo POC sobre calidad predictiva. Por eso, también debemos ocuparnos de las medidas de seguridad ”.

En el taller, los parámetros de la máquina en tiempo real se capturan a través de sensores, controladores lógicos programables (PLC) y sistemas de control de supervisión y adquisición de datos (SCADA). Luego, los datos se transfieren a la nube a través de la red de TI de HIL, donde se analizan en tiempo real, dijo Raj. Además, el sistema genera alertas instantáneas que el equipo de operaciones puede utilizar para tomar medidas correctivas.

“Anteriormente, los sistemas SCADA existían como una isla, no conectados a Internet”, dijo Raj. “Entonces, cuando tiene sus máquinas de fabricación y sus PLC además de eso, actúan juntos en la sala de control donde el supervisor controla todo el [proceso] de fabricación. Ahora, estos datos deben salir de la red ".

En consecuencia, HIL tuvo que implementar firewalls en el lado de TI para conectarse de manera segura a Internet. Para conectar sus dispositivos y sensores de borde a Internet para transferir datos, la compañía se aseguró de que estos dispositivos se adhirieran a los estándares de seguridad adecuados, dijo Raj. Y HIL también tenía que asegurarse de que su software y firmware fueran parcheados y actualizados con regularidad.

Después de lidiar con la tecnología, HIL también miró a las personas y los procesos.

“Anteriormente, los ingenieros de mantenimiento, los ingenieros eléctricos que controlan el SCADA y el PLC y la planta ni siquiera interactuaban con ninguno de nuestros ingenieros de TI, ingenieros de redes o el líder que buscaba la seguridad para la organización”, dijo Raj.

Ahora estos equipos tienen que unirse y entenderse entre sí y poner en marcha un proceso para mantenerse actualizado sobre lo que está sucediendo en sus áreas, dijo. HIL también capacitó a algunos de sus ingenieros de TI en seguridad OT y OT y pidió al equipo de la planta que al menos conociera la ciberseguridad.

“También aportamos una perspectiva externa en la que EY y Deloitte nos ayudaron a crear un marco para comprender la TI y la TO juntos”, dijo Raj. “Dado que esta capacidad no existía internamente dentro de la organización, a veces es útil incorporar una perspectiva externa”.

En el frente del proceso, HIL se aseguró de que las medidas de seguridad de TI, como permisos de función, restablecimiento de contraseñas, acceso de usuarios, también se siguieran en el lado de OT.

"Por lo tanto, el equipo de la planta, que no estaba acostumbrado a ese tipo de procedimientos estrictos, tenía que aceptarlos", dijo.

Asegúrese de que los dispositivos / activos críticos estén estrictamente protegidos

Aunque los ataques a IIoT son menos comunes que los ataques de TI, sus consecuencias aún pueden ser tremendas, incluida la pérdida de producción, el impacto en los ingresos, el robo de datos, daños significativos a los equipos, espionaje industrial e incluso daños corporales, dijo Asaf Karas, cofundador y jefe de tecnología. oficial de Vdoo, un proveedor de ciberseguridad automatizada para dispositivos conectados y IIoT.

Por lo tanto, no es suficiente reducir estadísticamente la cantidad de ataques, sino garantizar que los dispositivos y activos críticos estén bien protegidos tan pronto como entren en producción, dijo.

Karas ofreció algunos enfoques para ayudar a las organizaciones a mejorar su seguridad IIoT:

• Adopte procesos de gestión de riesgos y amenazas específicos para sus entornos industriales.
• Antes de implementar nuevos dispositivos, asegúrese de que estén protegidos por diseño y de que no se encuentren debilidades explotables propias o de terceros en el código o la configuración del dispositivo.
• Después de la implementación, utilice herramientas de gestión de activos para descubrir e identificar activos industriales relevantes
• Implemente agentes de aplicaciones de tiempo de ejecución de punto final diseñados exclusivamente para estos dispositivos a fin de garantizar la supervisión y la protección continuas.

Gestionar la hiperconectividad

El mayor desafío de muchos de los dispositivos en la actualidad es que no se construyeron teniendo en cuenta la ciberseguridad, dijo Kyle Miller, director / director de Booz Allen Hamilton. Con frecuencia funcionan con sistemas operativos heredados simplificados en tiempo real que no admiten el mismo nivel de protección de seguridad que los sistemas de TI tradicionales. Como resultado, tienen el potencial de aumentar considerablemente la superficie de ataque de una organización, dijo.

Ahora se les pide a estos dispositivos que se conecten directamente desde las redes industriales a la red empresarial a Internet y la nube, en muchos casos, dijo Miller.

“[Es importante] gestionar realmente esa hiperconectividad, los flujos de datos y la construcción. . . un entorno de confianza cero en el que realmente se gestiona con qué puede hablar ese dispositivo, con qué no puede hablar y, en caso de compromiso, poder limitar realmente su radio de explosión ”, dijo.

Antes de implementar sistemas IIoT, las organizaciones también deben tener una buena comprensión de los tipos de riesgos que están asumiendo, dijo David Forbes, director / director de Booz Allen Hamilton.

Para comprender esto, una empresa debe conocer la posición de seguridad actual de sus proveedores, las soluciones y la implementación del software, así como los dispositivos que está implementando en su red IIoT, dijo Forbes.

Por ejemplo, cuando una organización implementa tecnologías de proveedores externos, necesita hacerles preguntas a los proveedores como:

• ¿Han creado su propio software en una plataforma segura?
• ¿Están usando comunicaciones cifradas cuando es necesario?
• ¿Existen funciones de control de acceso?

"Eso es muy importante para comprender el riesgo y cómo está cambiando voluntariamente el panorama de amenazas de su red al asumir estos sistemas IIoT", dijo Forbes.

Las empresas deben asegurarse de que estos dispositivos y sistemas IIoT estén segmentados, cuando corresponda, de otras redes de TI y OT, dijo. Estos dispositivos deben controlarse estrictamente para garantizar que puedan permanecer protegidos, pero también para que un vector de ataque no pueda crear acceso a otro.

Ciber-higiene organizacional

"Esas son cosas organizativas", dijo Forbes. “Creo que realmente lo que estamos viendo y cuando observas los hallazgos en algunas de estas brechas y ataques, muchos de ellos se remontan a la ciber-higiene organizacional y la disciplina y los protocolos que pueden o no haber sido implementados para empezar ”.

Los entornos industriales son una nueva frontera para los malos actores y todo indica que se dirigen cada vez más a estos entornos.

En 2020, hubo un aumento significativo de vulnerabilidades y amenazas dirigidas a entornos industriales, según Thielemann. Y no es sorprendente si se considera que las empresas crean valor a través de las operaciones.

“Ya sea para espionaje industrial o para intentar ransomware, estos entornos son las joyas de la corona para la mayoría de las empresas”, dijo. “[E] ste no se trata de cumplimiento de la seguridad; se trata de resiliencia empresarial ".

Para abordar estos desafíos, las organizaciones deben comprender las características clave de los esfuerzos de IIoT que se están considerando, dijo Thielemann. Por ejemplo:

• ¿Cuáles son los resultados comerciales que buscan los esfuerzos?
• ¿Dónde se implementarán los sistemas IIoT?
  • ¿Quién tendrá acceso a ellos, tanto en el mundo físico como en el cibernético?
  • ¿Cómo se diseñarán?
• ¿Qué soluciones de seguridad vendrán integradas en lugar de las que deberán colocarse en capas?
• ¿Los proveedores necesitarán conectarse remotamente para mantenimiento o actualizaciones?
• ¿Pasarán los flujos de datos a través de las redes existentes? ¿De forma inalámbrica?

“Las organizaciones deben tener una visión del ciclo de vida de los esfuerzos de IIoT”, dijo. "Desde el diseño de requisitos hasta la compra, implementación, mantenimiento y retiro, las consideraciones de seguridad deben considerarse en cada paso".

Los líderes de seguridad deben darse cuenta de que los entornos industriales son muy diferentes de los entornos de TI centrados en la empresa, dijo Thielemann. Por ejemplo, las consideraciones de las limitaciones de la ubicación física, la resistencia operativa o incluso la seguridad deben formar parte de la estrategia de seguridad. Las empresas deben modificar sus enfoques de seguridad centrados en TI para tener en cuenta estos entornos, así como sus enfoques para la aplicación de parches, la supervisión y la autenticación.

Por lo general, IIoT está bajo el control de los departamentos de ingeniería y producción en lugar de TI, dijo Subramoni.

“Sin embargo, es necesario que haya organización y supervisión de la transformación junto con la modernización de la tecnología”, dijo. “La mayoría de las empresas necesitarán socios de integración de sistemas y tecnología de confianza para escalar según la demanda y administrar los costos de protección de los sistemas industriales. Esta es una necesidad en rápida evolución y la comunidad tecnológica se está preparando para el desafío ".