Cuatro soluciones para limitar la materialización del riesgo
#1 Configurar un firewall entre TI e IoT
TI y IoT no están suficientemente compartimentados. Para proteger a ambos, deben separarse estableciendo una barrera entre los dos: una «zona desmilitarizada» o DMZ.
DMZ
Una zona desmilitarizada (DMZ) es una subred que está separada de la red de TI y la red OT, sirve como una zona de amortiguación entre estas dos redes.
#2 Elija una BDU de acuerdo con sus especificidades de OT
Un EDR (Endpoint Detection Response) es un antivirus de detección y respuesta a incidentes de próxima generación que combina el análisis de malware y la comparación con una extensa base de datos de virus. EDR monitorea todos los procesos en ejecución en estaciones de trabajo y servidores en tiempo real para detectar patrones de comportamiento malicioso.
EDR cubre una amplia gama de sistemas operativos (SO) para compensar la obsolescencia de los sistemas operativos OT (¡a veces todavía bajo Windows 7 o incluso XP!).
Existen dos modelos de implementación de una BDU para limitar parcialmente o cortar completamente las capacidades de comunicación entre los activos de OT e Internet:
- Una solución de búfer con el uso de un proxy en la DMZ, que permite hacer una ruptura de protocolo entre el equipo o el activo OT e Internet (es decir, la plataforma EDR Cloud);
- Un despliegue completo de la solución EDR, incluida la plataforma de análisis, desplegada en las instalaciones de infraestructuras locales.
#3 Tener una sonda de negocios de detección de red industrial (NDR)
La supervisión de la red es esencial para comprender un entorno OT y, en particular, los intercambios entre diferentes dispositivos. No es posible remitirse a los archivos de registro, ya que no todos los equipos industriales generan registros.
La sonda de detección es una tecnología no intrusiva que escucha y analiza lo que está sucediendo en una red, mapea elementos y detecta eventos anómalos como un ataque, sin interrumpir el funcionamiento del equipo y, por lo tanto, sin afectar a la producción.
Puede funcionar 100% localmente o recuperando información de Cyber Threat Intelligence, para integrar los últimos escenarios de ataque e identificar vulnerabilidades.
#4 Instalar honeypots
Un «honeypot» es un señuelo. Es un sistema deliberadamente vulnerable para atraer a los atacantes, observar y recuperar sus técnicas. Son sistemas ficticios que no tienen contacto con el entorno real de OT o TI: las acciones de los atacantes no tienen impacto.
Instalar un honeypot y conectarlo al SOC permite reconocer los inicios del ataque, para una detección más rápida o incluso instantánea.
Seguridad por diseño: prevención para limitar la superficie de ataque
Para un fabricante, la seguridad desde el diseño consiste en incluir la noción de riesgo en su proyecto desde la fase de diseño. El proveedor realiza pruebas de intrusión en sus equipos antes de entregarlos.
La seguridad por diseño también permite implantar soluciones de prevención de acuerdo con las regulaciones específicas de IoT (detalladas en nuestro artículo sobre riesgos cibernétivos en entornos OT), como la homologación o la certificación. Por ejemplo, un producto certificado según NF EN IEC 62443 garantiza que el equipo es más robusto y cumple con los criterios definidos por la seguridad por diseño.
Por ejemplo, Fives CortX le pidió recientemente a Advens que lo ayudara en la certificación de su solución CortX Alchemy Edge.
Las herramientas y soluciones de detección ahora permiten limitar la materialización de un riesgo en la arquitectura de un sistema industrial. Las certificaciones de seguridad por diseño, por otro lado, permiten prevenir riesgos. Advens ofrece un soporte de auditoría y consultoría en la aprobación de sus productos para reducir al máximo la superficie de ataque. Obtenga más información sobre nuestras ofertas de seguridad del entorno OT.
