Protección de los entornos de TI-TO: por qué los profesionales de seguridad de TI tienen problemas
Al proporcionar ciberseguridad en entornos convergentes de TI y tecnología operativa, es fundamental que los profesionales de infosec comprendan las diferencias entre ambos y utilicen un conjunto de herramientas que ofrezca una visión completa de los dos en una sola vista.
Si su organización tiene entornos de TI y tecnología operativa (OT), es casi seguro que sean convergentes, incluso si usted no lo nota. Lejanos están los días en que la OT estaba protegida y aislada. En cambio, la conectividad se entrega a través de la infraestructura de TI, dejando así la puerta abierta para que los adversarios lleguen a la infraestructura de OT crítica. Y, con base a nuestra experiencia trabajando con organizaciones de todo el mundo, creemos que los dispositivos de TI representan aproximadamente la mitad de lo que se encuentra en un entorno de OT actualmente, lo que hace casi imposible trazar una frontera bien definida entre los dos entornos.
Como resultado, un número cada vez mayor de profesionales de seguridad de TI de repente se encuentran administrando el programa de seguridad para ambos entornos, y muchos no saben ni siquiera por dónde empezar. Esto se debe a que los entornos de TI y de OT se construyeron de forma diferente desde su creación. Considere esta comparación:
Comparación de entornos de TI y OT
| Atributos | TI | OT |
|---|---|---|
| Control | Centralizada | Basada en áreas |
| Conectividad | Cualquiera a cualquiera | Basada en contexto (jerárquica) |
| Enfoque | De arriba hacia abajo: operaciones y sistemas que se necesitan para operar un negocio | De abajo hacia arriba: plantas, procesos y equipo que se necesitan para operar y dar soporte al negocio |
| Alcance | Red global de área amplia (WAN) | Red de área local (LAN) |
| Postura de red | CID: confidencialidad, integridad y disponibilidad | DIC: disponibilidad, integridad y confidencialidad |
| Respuesta a los ataques | Colocar en cuarentena/cerrar para mitigar | Operaciones sin parar/de misión crítica (nunca detener, incluso si hay filtración de datos |
| Mayor temor | Intrusión en la red | Reducción de seguridad; pérdida de visión/control |
| Nivel de madurez de ciberseguridad | Alta | Baja |
| Debilidades | Controles de seguridad estrictos | Comportamientos inseguros |
Fuente: Tenable, diciembre de 2021
Así que, ¿por dónde empezar? Un muy buen primer paso es comprender las diferencias destacadas en la tabla anterior y considerar cómo esas diferencias podrían afectar las actitudes, creencias y, en última instancia, decisiones de seguridad.
¿Qué significa este nombre?
La palabra “seguridad” tiene un significado diferente en un entorno de OT. Estaré por siempre agradecido a una amiga y ex colega mía que me salvó de hacer el ridículo delante de 100 profesionales de OT cuando recién estaba comenzando en seguridad de TI/OT. Estaba revisando mi presentación con ella antes de una charla que impartiría a esa audiencia. Mi plan era decirles que los profesionales de OT necesitaban comenzar a prestar atención y priorizar realmente la seguridad. Ella me explicó que la audiencia de OT reaccionaría negativamente a este mensaje. Ya que consideran que la seguridad está en el corazón de todo lo que hacen. Así que, ¿cuál es el problema? Estaba definiendo la “seguridad” bajo el contexto de mi experiencia en TI, o sea ciberseguridad. En el mundo de la OT, “seguridad” significa protección y seguridad físicas. De modo que es una palabra con significados muy diferentes.
¿Por qué los profesionales de TI y de OT ven a la “seguridad” de maneras tan diferentes?
Un adversario que obtiene acceso a la red puede dañar la integridad de los datos, exfiltrarlos o incluso bloquearlos para que la organización no pueda acceder a ellos. Por el contrario, los entornos de OT son inherentemente más peligrosos físicamente, por lo que el mayor temor es que pueda haber un accidente que interrumpa las operaciones críticas y posiblemente ponga en peligro la seguridad de los empleados o de la comunidad. Como resultado, los profesionales de OT están muy motivados para gestionar una operación "siempre activa", así como para mantener un alto grado de seguridad y, por ende, los controles de seguridad física del entorno.
Estructuras muy diferentes
Con esos antecedentes en mente, el panorama comienza a tener mucho más sentido. Los profesionales de seguridad de TI optan por el control centralizado, proporcionando una infraestructura que puede ser utilizada para permitir que cualquier activo o persona acceda a cualquier otro activo, o cualquier dato, en cualquier lugar de la red. Estas son redes de área amplia (WAN), que hospedan los sistemas y procesos necesarios para dirigir el negocio.
Por el contrario, los entornos de OT están diseñados con mucha más privacidad y control limitado. Estos entornos altamente segmentados hacen imposible que las personas y los activos no autorizados accedan a otros activos que están fuera de su alcance. Estas son redes de área local (LAN), que hospedan sistemas y procesos que dan soporte al negocio. La mayoría de estos dispositivos están destinados a comunicarse solo con otros dispositivos dentro de su área y no con el mundo exterior.
Diferentes puntos de vista
Dadas sus topologías y definiciones de red dispares de lo que significa estar seguro, no debería sorprender que las prioridades de los grupos de seguridad de OT y de TI, y sus reacciones a los ataques, sean diametralmente opuestas, incluso dentro de la misma organización. Si bien los profesionales de seguridad de TI priorizan su mundo de acuerdo a C-I-D (confidencialidad, integridad y disponibilidad), los profesionales de OT toman la perspectiva contraria, priorizando su mundo como D-I-C. Como se mencionó anteriormente, para la seguridad de TI, los datos son absolutamente lo más importante, por lo que garantizar su confidencialidad e integridad siempre prevalecerá sobre su disponibilidad. Pero para un profesional de OT consciente de la seguridad, las operaciones siempre deben estar disponibles para garantizar que el entorno funcione sin problemas y sin fallas que tengan el potencial de provocar catástrofes.
¿Cómo son estas diferentes prioridades cuando se ponen en acción? En caso de un ataque, los profesionales de seguridad de TI pondrán en cuarentena y apagarán los sistemas afectados lo antes posible, en un intento de contener el problema y minimizar cualquier fuga de datos. Sin embargo, OT emprendería un abordaje opuesto al mantener la infraestructura crítica en funcionamiento en todo momento. Por supuesto que la única desviación de esta estrategia, sería si el ataque hace que los dispositivos de OT funcionen mal y potencialmente presenten un peligro para la empresa, sus empleados o la comunidad circundante.
Diversas herramientas
Podría decirse que el mayor desafío al que se enfrentan los profesionales de seguridad de TI cuando intentan hacerse cargo de la seguridad de OT, es el hecho de que muchas de sus herramientas de seguridad de TI tradicionales no funcionan en un entorno de OT. De hecho, la herramienta de seguridad de TI más básica de todas, el escáner, en realidad podría bloquear una red de OT. Por lo tanto, debe asegurarse de elegir un escáner que esté probado en un entorno de OT. Pero entonces corre el riesgo de tener dos conjuntos de herramientas de seguridad, una para cada entorno. Si bien esto definitivamente ayudaría a garantizar que tenga las herramientas adecuadas para cada trabajo, en el mejor de los casos puede convertirse en un desafío cuando se trata de administrarlas y asegurarse de que su personal esté capacitado para usarlas correctamente.
Luego viene la verdadera complicación: averiguar cómo fusionar todos los datos dispares de dos entornos completamente diferentes en un tablero de control, para que pueda ver todos los activos y priorizar todos los problemas de seguridad en toda su superficie de ataque. Sin esta capacidad para ver y evaluar de forma integral todos los entornos a lo largo de la superficie de ataque extendida en una única solución totalmente integrada, su equipo dedicará exponencialmente más tiempo en comprender el panorama de seguridad completo. Además, corre el riesgo de pasar por alto los principales problemas de seguridad.
El resultado
Si usted es responsable de administrar el programa de seguridad para una red convergente de TI/OT, es imprescindible que comprenda las diferencias y los desafíos únicos de un entorno de OT. Y lo que es igualmente importante, asegúrese de utilizar las herramientas de seguridad adecuadas para el trabajo, aquellas que darán soporte a un entorno de OT y que se integrarán completamente con las herramientas de seguridad de TI complementarias, para ofrecer una visión completa del panorama de seguridad de la organización. Luego, desde una perspectiva de personas y procesos:
- Asegúrese de que sus profesionales de seguridad de TI se reúnan con los líderes de OT para comprender realmente las diferencias inherentes que son exclusivas de los entornos de OT.
- Tómese el tiempo para comprender verdaderamente las necesidades y prioridades de OT, y por qué son importantes, en lugar de impulsar las filosofías de seguridad de TI.
- Comprenda que los entornos de OT solo han accedido a conectividad externa durante un período de tiempo relativamente corto, por lo que los líderes de OT todavía están en las fases iniciales de la madurez de seguridad.
- Convencer y obtener apoyo es fundamental, así que esté abierto a los cambios graduales, en lugar de presionar por una solución de seguridad "ideal" de la noche a la mañana.
Más información
- Vea el seminario web, Un abordaje de ecosistema para proteger mejor los entornos de TI/OT convergentes
- Descargue el informe, Forrester Wave: Soluciones de Seguridad de Sistemas de Control Industrial (ICS)
- Lea la guía de Gartner: Guía del mercado para evaluación de vulnerabilidades 2021
Artículos relacionados
CISA Directive 22-01: How Tenable Can Help You Find and Fix Known Exploited Vulnerabilities
November 10, 2021While U.S. federal agencies are required to remediate the vulnerabilities outlined in the U.S. Cybersecurity and Infrastructure Security Agency's Binding Operational Directive 22-01, any organization would do well to consider prioritizing these flaws as part of their risk-based vulnerability management program.
How to Choose an OT Cybersecurity Solution Vendor
November 4, 2021Hint: choose a leader in ICS security.
As a Busy 2021 Draws to a Close, What is Capitol Hill Focusing on Next?
October 14, 2021Cybersecurity priorities like zero trust, infrastructure security and more must remain top of mind for Congress in 2022 2021 has proven to be a big year for cybersecurity. Zero trust, a concept...
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Energy Industry
- Executive Management
- OT Security
- SCADA
- Threat Management
- Vulnerability Scanning