Detección de comportamiento cibernético anormal antes de un ciberataque

La promesa de las tecnologías de fabricación avanzadas, también conocidas como fábricas inteligentes o Industria 4.0, es que al conectar en red nuestras máquinas, computadoras, sensores y sistemas, habilitaremos (entre otras cosas) la automatización, mejoraremos la seguridad y, en última instancia, seremos más productivos y eficientes. Y no hay duda de que la fabricación ya se ha beneficiado de esa transformación.

La conexión de todos estos sensores y dispositivos a nuestros sistemas de control industrial (ICS), y el aumento del trabajo y la supervisión remotos, da como resultado redes de fabricación con mayores vulnerabilidades al ciberataque. Esta es una dinámica cada vez más desafiante a medida que los fabricantes deciden cómo adoptar estándares comerciales de tecnología de la información (TI) que sean compatibles con sus estándares de tecnología operativa (OT).

Las nuevas capacidades basadas en estándares ayudarán a los fabricantes

El Centro Nacional de Excelencia en Ciberseguridad del NIST (NCCoE), junto con el Laboratorio de Ingeniería del NIST, publicó recientemente un informe que demostró un conjunto de capacidades de detección de anomalías de comportamiento (BAD) para respaldar la ciberseguridad en las organizaciones de fabricación. El uso de estas capacidades permite a los fabricantes detectar condiciones anómalas en sus entornos operativos para mitigar los ataques de malware y otras amenazas a la integridad de los datos operativos críticos.

En otras palabras, los fabricantes podrán monitorear continuamente los sistemas en tiempo real o casi en tiempo real en busca de evidencia de compromiso. El desarrollo de controles cibernéticos basados ​​en estándares es un aspecto importante de los requisitos de seguridad de los fabricantes.

Cómo se traduce el monitoreo BAD en la detección temprana de amenazas cibernéticas

La detección de anomalías de comportamiento implica el monitoreo continuo de los sistemas para detectar eventos o tendencias inusuales. El monitor busca en tiempo real evidencia de compromiso, en lugar del ciberataque en sí. La detección temprana de posibles incidentes de ciberseguridad es clave para ayudar a reducir el impacto de estos incidentes para los fabricantes. Las infracciones cibernéticas generalmente se detectan después del ataque.

Las herramientas BAD se implementan en entornos ICS y OT y podrían ser monitoreadas por una interfaz de control humano, que muchos fabricantes usan para monitorear sus operaciones. El operador podrá ver el tráfico de la red y recibir una alerta sobre la adición de cualquier dispositivo o conexión autorizados o no autorizados.

Por ejemplo, el sistema sabría qué comunicaciones están autorizadas con un controlador lógico programable (PLC), por lo que cualquier nuevo contacto generaría una alerta. Del mismo modo, se observaría cualquier conversación anormal entre máquinas conectadas, modificaciones en la lógica de la interfaz hombre-máquina (HMI) u otras anomalías.

La solución BAD es un enfoque modular relativamente económico y una forma eficiente de detectar anomalías; sin embargo, las alertas BAD son de naturaleza pasiva y no necesariamente tomarían acciones correctivas como detener el proceso de producción.

Los fabricantes siguen siendo un objetivo de ciberataques

Según el Departamento de Seguridad Nacional de EE. UU., La fabricación fue la industria más atacada por ataques de infraestructura en 2015, y los pequeños y medianos fabricantes (SMM) continúan siendo los principales objetivos cibernéticos.

Existe una mayor demanda de ciberseguridad debido a la creciente dependencia de los fabricantes de la tecnología y los datos como impulsores de la productividad y la eficiencia. Tradicionalmente, los SMM se han enfrentado al desafío de cómo gestionar los problemas de ciberseguridad por diversas razones:

• La combinación de tecnologías de fabricación incluye TI (redes y software empresarial, como correo electrónico, finanzas y ERP) y OT (tecnología operativa, como máquinas y sistemas de control).
• Cyber ​​compite con muchas otras áreas en términos de financiación, concienciación y educación.
• Es difícil dedicar recursos especializados al personal interno.
• La ciberseguridad no ha sido una prioridad en la construcción de OT, lo que significa que a medida que TI y OT están conectados, las vulnerabilidades de los sistemas heredados se convierten en posibles responsabilidades para toda la red.

Qué sigue de NIST Labs y NCCoE for Cybersecurity

El trabajo para desarrollar la capacidad BAD utilizó 16 casos de prueba o clasificaciones. Algunas eran simples alertas de un evento, como contraseñas y fallas de autenticación, y otras involucraban algún nivel de análisis, como notificación de instalaciones de software no autorizadas y una alerta de denegación de servicio.

El próximo proyecto conjunto del Laboratorio de Ingeniería y NCCoE del NIST, Protección de la integridad de la información y del sistema en entornos de sistemas de control industrial, adopta un enfoque más completo para la protección contra los ataques a la integridad de los datos. Estas capacidades incluyen:

• Monitoreo de incidentes y eventos de seguridad;
• Listado de permisos de la aplicación;
• Detección y mitigación de malware;
• Gestión del control de cambios;
• Autenticación y autorización del usuario;
• Control de acceso privilegio mínimo; y
• Mecanismos de verificación de la integridad de los archivos

Nueve proveedores e integradores de fabricación han firmado acuerdos cooperativos de investigación y desarrollo (CRADA) con NCCoE para ayudar a desarrollar la capacidad.

Póngase en contacto con su centro MEP local para obtener asesoramiento experto en ciberseguridad

Los expertos en ciberseguridad que trabajan en el sector manufacturero ven la educación como una clave para la adopción de SMM. Más SMM están considerando las consultas cibernéticas de manera similar a cómo podrían buscar experiencia para finanzas o seguros.

Si no está seguro de por dónde empezar con la ciberseguridad para su empresa de fabricación, consulte esta herramienta de evaluación y el marco de ciberseguridad del NIST. También puede explorar la colección NIST MEP de recursos de ciberseguridad para fabricantes.

Para necesidades particulares, la ruta más conveniente para encontrar la orientación adecuada es conectarse con un experto en ciberseguridad en su Centro MEP local.