Los 5 controles críticos de ciberseguridad ICS

Techpapers

Cada vez más los entornos industriales se ven amenazados por la creciente incidencia en cuestiones de ciberseguridad. La convergencia entre las redes OT e IT y su creciente interconexión con activos conectados a Internet han incrementado la superficie de ataque. Este cuadro obliga a soluciones de seguridad específicas para entornos industriales, en donde la continuidad operativa y la seguridad física tienen la misma importancia que la digital.

A continuación, en este artículo redactado por Samuel Pampillón, desarrollador de software en InprOTech, se expondrán los “Cinco Controles Críticos de Ciberseguridad ICS” desarrollados por la SANS Institute, una reconocida organización en materia de ciberseguridad, y se explicará como InprOTech Guardian se ajusta a la seguridad y el cumplimiento de las disposiciones de los mismos.

Controles críticos de ciberseguridad ICS

Estos controles se publicaron el 7 de noviembre de 2022 por Robert M. Lee y Tim Conway. La motivación detrás de la creación de estos controles es abordar los desafíos específicos de seguridad en entornos industriales, con un enfoque en la prevención del Marco de Ciberseguridad NIST.

Los cinco controles críticos son los siguientes:

  • Plan de respuesta a incidentes ICS
  • Arquitectura defendible
  • Visibilidad y monitorización
  • Acceso remoto seguro
  • Gestión de vulnerabilidades

Estos controles representan el mínimo necesario para defenderse de ataques reales y las organizaciones deben tomar medidas adicionales para reducir el riesgo.

Control Crítico Nº1: Plan de respuesta ante incidentes

Es vital que las organizaciones cuenten con un plan de respuesta a incidentes específicamente diseñado para ICS. De hecho, este plan se debe considerar como la base del programa de seguridad de la organización, pues un error muy común es pensar en la respuesta de incidentes como el paso final del programa, lo cual puede provocar que los controles de seguridad implementados previamente no estén alineados con las necesidades que pueda exigir la respuesta ante incidentes.

Los planes de respuesta a incidentes de OT priorizan las acciones según el potencial impacto operativo y buscan posicionar el sistema para continuar operando durante un ataque, reduciendo tanto el efecto del ataque como el impacto en el proceso controlado. 

Un plan específico para ICS se puede dividir en tres fases:

  • Determinar qué escenarios representan el mayor riesgo.

En primer lugar, se deben de tener en cuenta los incidentes del mundo real, pues aportan una base práctica y realista de los posibles riesgos que afecten a la industria. Estos escenarios deber tener prioridad, pues al ser ataques que ya han ocurrido, es más probable que vuelve a suceder.

  • Considerar escenarios basados en consecuencias

Tras analizar algunos escenarios reales, se deben desarrollar uno o varios escenarios basados en las consecuencias. Es decir, identificar, independientemente de si ha ocurrido o no un ataque previo, un impacto que preocupe a la organización y determinar si podría lograrse mediante un ciberataque, trazando las posibles acciones del atacante. Es aconsejable aprovechar la experiencia y el conocimiento del equipo interno, que puede tener información que el adversario no conoce.

  • Poner los escenarios sobre la mesa

Una vez que los escenarios están identificados, el plan de respuesta específico de ICS incluye un ejercicio de mesa. Esto consiste en aplicar cada escenario a los entornos y sitios de la organización (dirección, operaciones, seguridad, etc), trabajando en conjunto para determinar los requisitos que tendría cada incidente y definir la respuesta adecuada.

Los servicios de InprOTech, junto con su producto InprOTech Guardian, respaldan la creación de un plan de respuesta alineado con las necesidades de la empresa. Además, Guardian facilita la generación de reportes detallados que apoyan la investigación y el análisis de incidentes, permitiendo tomar decisiones basadas en datos precisos.

Control Crítico Nº2: Arquitectura defendible

Una arquitectura defendible es aquella que, mediante su diseño e implementación, minimiza los riesgos y facilita el trabajo de los responsables de su seguridad.

Si bien existen diferentes marcos, desde el enfoque Purdue hasta las arquitecturas basadas en ISA/IEC 62443, lo esencial es su correcta implementación, la cual permita reforzar la seguridad de la organización. 

Los atributos de una arquitectura defendible son:

  • Identificación de inventario de activos
  • Segmentación de entornos para limitar puntos de entrada y salida
  • Determinar cuándo se necesita acceso bidireccional
  • Capacidad para recopilar tráfico de red y comunicaciones
  • Registro y análisis de eventos críticos
  • Capacidad para establecer una postura de seguridad robusta que restrinja conexiones innecesarias y elimine dispositivos no esenciales

InprOTech Guardian ofrece un conjunto de capacidades que facilitan la implementación de una arquitectura defendible. Su funcionalidad de bloqueo de tráfico sirve como mecanismo que permite minimizar la superficie de ataque. Además, gracias a la funcionalidad de AirWatcher, cuenta con la capacidad de detectar dispositivos inalámbricos, lo que permite controlar y prevenir accesos no deseados que pudieran comprometer la seguridad de la infraestructura.

Control Crítico Nº3: Visibilidad y monitorización de la red

Es necesario tener una monitorización de la red para comprender las interacciones entre los sistemas ICS. Tener visibilidad de lo que ocurre en la red es vital, ya que permite recopilar datos y detectar escenarios de riesgo asociados al control crítico Nº1, validar de forma continua la arquitectura descrita en el control crítico Nº2 y la mejora y aplicación de los controles Nº4 y Nº5 que se detallan más adelante.

Además, los entornos industriales son cada vez más complejos, por lo que tener una amplia visibilidad y monitorización de la red, facilitará el análisis de la causa raíz de un posible incidente, ahorrando costes de investigación.

InprOTech Guardian se integra de manera excepcional con el control crítico Nº3 ofreciendo una amplia capacidad de monitorización y visibilidad de la red. Sus capacidades permiten:

  • Inventario y visualización completa: Identifica todos los activos y sus comunicaciones, además de generar un mapa de red que ilustra la arquitectura y la conexión entre componentes.
  • Detección de anomalías: Monitoriza el tráfico de la red, alertando ante patrones sospechosos y detectando comportamientos anómalos, tanto externos como internos.
  • Prevención proactiva: Emplea tecnologías como honeypots para identificar y analizar ataques dirigidos antes de que afecten a las operaciones.
  • Bloqueo de tráfico: Restringe flujos de comunicación no autorizados, reduciendo la superficie de ataque.
  • Correlación de eventos y análisis en ICS: Integra soluciones que permiten un análisis exhaustivo de eventos de seguridad, fortaleciendo la infraestructura crítica.

Estas características hacen de InprOTech Guardian una solución integral que potencia la visibilidad y el control de la red, pilares esenciales en cualquier estrategia de seguridad industrial.

 

Control Crítico Nº4: Acceso remoto seguro

La digitalización de los sistemas ICS y las demandas del negocio han impulsado un mayor uso de la conectividad remota. En algunos casos, esta conectividad podría no ser necesaria y es posible limitarla o eliminarla. Sin embargo, en la mayoría de las organizaciones industriales es inevitable. La conectividad remota aporta beneficios comerciales y operativos importantes, pero también implica riesgos significativos.

Para mitigar esos riesgos y asegurar un acceso remoto, se recomienda implementar la autenticación multifactor (MFA), que es aplicable de forma segura en la mayoría de los entornos ICS. Es fundamental centrarse en aplicar MFA en aquellas conexiones que son accesibles externamente. Y en situaciones donde la MFA no sea factible, las organizaciones deben establecer controles compensatorios adecuados.

Control Crítico Nº5: Gestión de vulnerabilidades

Por último, es necesario contar con un programa de gestión de vulnerabilidades en los sistemas ICS. 

En el ámbito de OT, los sistemas tienen un ciclo de vida considerablemente más largo en comparación con los entornos de IT. Esto implica que las vulnerabilidades detectadas pueden persistir durante largos periodos de tiempo. 

Las vulnerabilidades que representan un riesgo en los ICS son aquellas que permiten a un atacante, obtener acceso al ICS o introducir funcionalidades que afecten al correcto funcionamiento de este.

Se debe tener en cuenta que el enfoque de la gestión de vulnerabilidades en ICS no debe limitarse a la aplicación de parches, ya que muchas veces esta opción no es viable sin interrumpir procesos críticos. En su lugar, el objetivo debe ser más amplio: identificar vulnerabilidades relevantes, priorizar su tratamiento en función del impacto operativo, aplicar medidas de mitigación cuando no es posible aplicar un parche y establecer una vigilancia continua sobre su posible explotación.

Este enfoque permite mantener un equilibrio entre la seguridad y la continuidad operativa, que es esencial en entornos industriales.

InprOTech Guardian, también ofrece una solución para este control crítico, pues cuenta con la capacidad de realizar escáneres de vulnerabilidades en servicios de los activos de la red. Esto proporciona la información necesaria para identificar, localizar y abordar las diferentes vulnerabilidades de la infraestructura.

InprOTech Guardian

InprOTech Guardian es una herramienta de ciberseguridad específicamente diseñada y desarrollada para proteger redes industriales. Su objetivo principal es monitorizar el tráfico generado en los entornos de producción y analizarlo basándose en una combinación de reglas estáticas, un IDS e inteligencia artificial y honeypots, lo que permite aprender del comportamiento de la red y detectar anomalías. Este enfoque permite identificar amenazas de manera efectiva y emitir alertas en tiempo real, notificando directamente a los responsables de planta y/u operarios sobre posibles ataques o fallos operativos, pudiendo anticiparse y reducir su impacto.

Todas estas capacidades convierten a InprOTech Guardian en la herramienta ideal para abordar los controles críticos mencionados. 

Resumen

Los cinco Controles Críticos de Ciberseguridad de ICS ofrecen una hoja de ruta esencial para que las organizaciones de infraestructura crítica orienten sus inversiones y operaciones de ciberseguridad. Implementados de forma coordinada y prioritaria, estos controles permiten construir un programa de seguridad robusto que se adapte a los riesgos reales del entorno industrial. 

En este marco, InprOTech Guardian potencia la estrategia al proporcionar visibilidad integral, detección proactiva y escáner de vulnerabilidades, facilitando la toma de decisiones basada en información sobre amenazas. De este modo, las organizaciones pueden optimizar sus recursos, garantizando una respuesta adecuada a las amenazas identificadas.

Fiel a nuestros principios, en InprOTech seguimos comprometidos por mejorar y democratizar el acceso a la ciberseguridad en entornos industriales.

Recursos

[1] Guardian – InprOTech

[2] SANS_5_Critical_Controls.pdf

[3] Cybersecurity critical controls

[4] Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

keyboard_arrow_up