Martiniano Mallavibarrena, Global Head of Incident Response de Telefónica Tech, y Javier Lasierra, Industrial Cybersecurity Operations Coordinator de Telefónica Tech, detallan cuáles son los principales desafíos de seguridad para el mundo IT en su relación con el OT y qué avances pueden esperarse para los próximos años.
En el mundo de la ciberseguridad, desde finales de 2020, hay un término que ha escalado rápidamente a los puestos de mayor interés: ransomware (secuestro de datos). Este término alude a aquellos incidentes de ciberseguridad donde se utiliza un malware específico que cifra los datos de sus víctimas con intención de exigir el pago de un rescate (ransom) para poder recibir un software y claves que permitan recuperar los datos. Esta extorsión suele ser reforzada en ocasiones con el cifrado o daño a los sistemas de backup, de cabinas de almacenamiento, entre otros, así como mediante el contacto directo de los actores con sus víctimas (por email, teléfono o incluso por cuentas legítimas de LinkedIn comprometidas).
Este tipo de amenazas se intentan neutralizar con diversos niveles de seguridad (perimetral, SIEM, WAF, etc.) así como con una sólida capa de DR (Detección y Respuesta) utilizando sobre todo plataformas EDR/XDR. Sin embargo, en caso de que la amenaza se materialice en un incidente de seguridad, los servicios DFIR (Análisis Forense Digital y Respuesta a incidentes) serán finalmente necesarios.
Avance desigual
En el sector industrial, la convergencia entre los mundos IT (Tecnologías de la información) y OT (Tecnologías de la operación) sigue siendo la tendencia, pero existe un avance desigual en el estado de la seguridad de cada entorno, lo que genera riesgos de ciberseguridad, como el ransomware.
Así, en los sistemas OT existen ciertos requisitos para asegurar que las funciones para las que han sido diseñados se cumplan y se respeten sus especificaciones técnicas (por ejemplo, no se pueden introducir latencias o cambios que amenacen la estabilidad del sistema), lo que ha hecho que la mayoría de las empresas del sector sigan trabajando de forma paralela en “securizar” ambos mundos de forma independiente.
Los principales desafíos de la seguridad diseñada para el mundo IT de cara a su extensión al mundo OT son:
- Versiones Legacy o EOL de plataformas o incluso versiones específicas de Windows o Linux para usos industriales.
- Sistemas con recursos limitados o solamente dimensionados para que el software del fabricante del equipo realice la función para la que fue diseñado. Ello implica que cualquier cambio en el sistema (un nuevo agente de EDR/XDR, por ejemplo) puede alterar su rendimiento y su respuesta hacia el proceso industrial asociado.
- Protocolos de comunicaciones industriales específicos o variantes de los estándares de facto de TCP/IP v4 desconocidos para las soluciones IT.
- Limitaciones en la conectividad entre redes. Las buenas prácticas de seguridad en sistemas OT implican que los sistemas estén aislados de internet, de la red empresarial o incluso de cualquier red (los agentes en los sistemas deben conectar con las consolas centrales, muchas veces alojadas en nubes públicas).
Por otra parte, los fabricantes y proveedores de soluciones de ciberseguridad para entornos OT enfocan su estrategia de forma poco o nada intrusiva (evitando instalar software en los sistemas, y en su lugar, monitorizando el tráfico de red con apoyo de modelos de inteligencia artificial) y tratan de ayudar a sus clientes con otras medidas y buenas prácticas (como la adecuada segmentación de redes).
Para los próximos se esperan avances claros en ciertos aspectos.
- Uso más intenso de modelos de aprendizaje de AI (Inteligencia artificial) tanto en los entornos OT (robots, elementos industriales con visión artificial, etc.)
- Renovación paulatina del parque de elementos OT a plataformas más actuales con mayor concentración de estándares. La mayor concentración de estándares deberá facilitar la mejor “cobertura” por parte de las soluciones de seguridad IT a estos elementos.
- Plataformas de seguridad IT que se adaptan cada vez más a los entornos OT manteniendo un conocimiento profundo (las plataformas EDR/XDR utilizan inteligencia artificial luego “aprenden” del comportamiento del sistema o dispositivo).
El resto de los enfoques generales de la ciberseguridad (tener un plan director, generar playbooks de respuesta a incidentes, practicar y ensayar protocolos de respuesta, etc.) siguen vigentes y la situación actual a nivel global solo subrayan su vital importancia.
Contar con proveedores de seguridad multidisciplinarios y con capacidades globales, como Movistar Empresas, que en alianza con Telefónica Tech proporciona servicios para garantizar la seguridad de la información, es otra decisión estratégica que se debe considerar. Los incidentes de seguridad de esta década requieren de servicios profesionales y equipos de personas muy cualificados, para poder ser “resilientes”.