El pasado día 18 de junio, tuvimos el placer de realizar un Webinar conjunto con One Identity, en el que exploramos la integración de nuestra solución de ciberseguridad InprOTech Guardian con SafeGuard, la solución de gestión de accesos privilegiados (PAM) de One Identity.
A continuación, un resumen de los puntos más destacados de la sesión.
Comenzamos el webinar con una presentación de alto nivel en la que explicamos las funcionalidades principales de nuestras soluciones. InprOTech Guardian se especializa en el inventario de activos, monitorización y detección de anomalías en entornos industriales, mientras que SafeGuard de One Identity ofrece una robusta gestión de accesos privilegiados. Ambas soluciones, al integrarse, proporcionan una plataforma sinérgica que contribuye al cumplimiento normativo de estándares como NIS2 y el Esquema Nacional de Seguridad.
InprOTech Guardian está diseñado para ofrecer una visibilidad completa y en tiempo real de los activos industriales, permitiendo a las organizaciones identificar y responder rápidamente a cualquier anomalía. Por su parte, SafeGuard asegura que solo el personal autorizado tenga acceso a los sistemas críticos, registrando y auditando todas las actividades para mantener la seguridad y el cumplimiento.
Si lo tuviésemos que definir de forma concisa, InprOTech Guardian es un servicio de ciberseguridad orientado a entornos industriales que permite, en el actual entorno de industria digital 4.0, llevar a cabo fundamentalmente el control de la planta desde el punto de vista de la seguridad de la información:
- Inventariado de los activos industriales,
- Monitorización y detección de anomalías en comunicaciones, redes y procesos de fábrica, haciendo uso de diferentes técnicas de detección de eventos que pudieran ser constitutivo de incidentes de seguridad.
Hablamos de generación de alertas mediante heurísticos o reglas estáticas, un sistema de detección de intrusiones, algoritmos de IA/ML que estudian las variaciones del comportamiento del tráfico, sus sesiones, y las variables de proceso (UEBA y Process Mining) sobre un baseline de comportamiento de normal pre entrenado. La ventaja de combinar estas técnicas es que permiten detectar amenazas basadas en patrones conocidos, o comportamientos desconocidos, no vistos ni recopilados previamente en una base de datos de ciber inteligencia.
El objetivo es conocer qué sucede, y ser un vigilante que permita asegurar la producción de la planta y que sus responsables puedan dormir tranquilos por las noches teniendo visibilidad de lo que está ocurriendo, ofreciendo para ello opciones de servicio flexibles y adaptadas a las necesidades del cliente.
Así, Guardian contribuye al cumplimiento de diversos controles de la norma ISA/IEC 62443, Esquema Nacional de Seguridad o directiva NIS2, que tiene como objetivo garantizar la ciberseguridad de infraestructuras críticas y servicios esenciales.
Algunos de los aspectos que ayuda a cubrir en este ámbito (desde la perspectiva del framework de Ciberseguridad del NIST), serían:
- El facilitar la identificación de vulnerabilidades en los activos industriales.
- La detección de anomalías a nivel de comunicaciones, proceso y variables. Tenemos también en roadmap incorporar un sistema señuelo.
- La protección de infraestructuras críticas mediante analítica, mapas de red, reportes, etc., que permiten optimizar los controles de seguridad de la infraestructura.
- La respuesta temprana, alertando al operador en cuanto se detecte cualquier tipo de evento anómalo en base a diferentes estrategias e integrándonos con el SIEM del cliente, o permitiendo establecer una pantalla con refresco automático en un centro de operaciones de seguridad (SOC).
- La recuperación ágil al minimizar el impacto de la amenaza por su rápida detección o incluso mediante el desarrollo de capacidades de respuesta activa, algo que tenemos en roadmap e incorporaremos este verano, bloqueando conexiones ilegítimas.
Esta solución integrada está orientada a empresas industriales con producción continua, ya sean o no infraestructuras críticas. Estos sectores son especialmente vulnerables a ataques y requieren de soluciones avanzadas para proteger sus operaciones y cumplir con las normativas de seguridad.
En InprOTech, la tecnología que empleamos es totalmente aplicable tanto en pequeñas, medianas como grandes empresas. Sabemos que hay otros players en el mercado con soluciones muy completas, pero que en no pocas ocasiones son demasiado complejas, caras, y que presentan mucha funcionalidad que realmente es superflua.
Nosotros buscamos la sencillez y optimizar el value for money. Hemos tratado de seleccionar lo mejor de cada casa y a la vez desarrollar capacidades innovadoras propias, para diseñar un concepto de servicio suficientemente completo, fiable, a un coste razonable, y lo que es más importante, teniendo cercanía y flexibilidad con cualquier PyME de cara al despliegue, la operación e incluso la customización del servicio, cosa que por supuesto los grandes del sector no realizan. Y además mediante producto desarrollado 100% en nuestro territorio, que en este mundo multipolar en el que nos vemos inmersos, creemos que va a ser un factor que tendrá cada vez más peso específico.
Durante la sesión, realizamos una demostración en vivo de cómo InprOTech Guardian y SafeGuard funcionan conjuntamente. Mostramos cómo InprOTech Guardian detecta y clasifica los activos, monitoriza su estado y detecta anomalías en tiempo real. Luego, demostramos cómo SafeGuard gestiona los accesos privilegiados, garantizando que solo el personal autorizado pueda realizar cambios críticos y cómo se auditan estas acciones para asegurar la trazabilidad y el cumplimiento normativo.
Al integrar su solución PAM (Privileged Access Management) con la nuestra, automáticamente sucede esto:
- Safeguard se beneficia de nuestra capacidad de descubrimiento de dispositivos OT, para incluirlos en su gestión de accesos.
- Nosotros enriquecemos nuestra capacidad de detección de anomalías, con aquellas relativas al acceso a las máquinas que nos proporciona Safeguard de One Identity.
Explicamos nuestro modelo de despliegue, que es flexible y puede adaptarse a las necesidades específicas de cada cliente, ya sea on-premise, en la nube o en un entorno híbrido. Además, compartimos nuestro roadmap, destacando las próximas mejoras y funcionalidades que estamos desarrollando para fortalecer aún más nuestra oferta individual.
La versión más básica del servicio es meramente pasiva. Se basa en la ubicación de sondas conectadas a un puerto espejo de switches en las subredes a monitorizar de la o las sedes, dentro del alcance. Estas sondas son no intrusivas a priori, por lo que no interaccionan con los activos de la planta y por tanto son inocuas. Ingieren el tráfico, analizan casi cualquier protocolo industrial, procesan la información, y generan eventos de seguridad, indicadores, mapas de red, etc.
La arquitectura de despliegue también es flexible. Se puede ubicar tanto las sondas como el servidor con la lógica de procesamiento en local en las instalaciones del cliente, con lo que sería completamente on-premise, y esto se puede hacer de forma centralizada o distribuida (sonda + servidores acoplados, o varias sondas con un único servidor on-premise). Esto para aquellos muy recelosos de que el tráfico de red pueda salir del recinto. Por otro lado, tenemos la modalidad de despliegue híbrida, en la que tenemos las sondas on-premise, y el tráfico se envía cifrado a nuestro servidor en un cloud ubicado en territorio nacional, para realizar el procesamiento ahí. Obviamente en el caso de procesar la información en remoto, los requerimientos hardware de las sondas se aligeran bastante, y éstas pueden ser rugerizadas o no en función de si el ambiente de trabajo en planta es hostil, y proporcionarlas el cliente o Inprotech. Lógicamente todas estas variables otorgan flexibilidad y a su vez influirán en el precio del servicio.
Por último, hay que mencionar que, lógicamente, el usuario final utilizará el producto a través de una aplicación web, intuitiva, sencilla y responsiva, que le oculta toda la complejidad arquitectónica que acabamos de describir.
En cuanto a roadmap estamos continuamente trabajando en mejoras. Actualmente nos centramos en customizaciones para un SOC del sector aguas bajo el paraguas de INCIBE, detección de vulnerabilidades en dispositivos OT, trabajando en la respuesta activa mediante bloqueo de conexiones maliciosas desde el exterior (las dos anteriores estarán disponibles a lo largo del verano), combinación con servicios de ciber inteligencia externos, o la integración de un sistema señuelo para alerta temprana o enriquecimiento las propiedades de los activos en el inventario, por poner algunos ejemplos.
Invitamos a todas las empresas interesadas a ponerse en contacto con nosotros para obtener una demostración personalizada y discutir cómo nuestra solución, ya de forma individual o integrada en su SOC o combinada con PAM, puede ayudarles a mejorar su ciberseguridad y cumplir con las normativas vigentes.
Finalmente, tuvimos una sesión de preguntas y respuestas en la que abordamos las inquietudes y dudas de los participantes, proporcionando detalles adicionales sobre la integración de nuestras soluciones y sus beneficios.