La Agencia de Seguridad de Infraestructura y Ciberseguridad, en colaboración con el Centro Nacional de Ciberseguridad del Reino Unido, o NCSC-UK, el FBI y socios internacionales lanzaron recientemente un nuevo conjunto de pautas llamado Principios de Conectividad Segura para la Tecnología Operacional.

Esta nueva guía describe nuevos principios de conectividad segura para la tecnología operacional. Estos principios pueden aplicarse para ayudar a los operadores de OT a diseñar, revisar y asegurar la conectividad dentro y hacia los sistemas de OT para transformar la comprensión de la seguridad de la conectividad en una acción de ciberseguridad definida.

Esta guía marca un cambio definitivo en muchos aspectos. En primer lugar, reconoce que la conectividad, en cualquier forma, ya sea para mantenimiento remoto, análisis y soporte OEM, es un requisito comercial importante y no puede ser comprometida. La guía pide que los riesgos asociados con la conectividad se gestionen de manera diligente que no comprometa los resultados comerciales ni esfuerce los recursos. Notablemente, también menciona que la conectividad no puede considerarse como un estado de operación predeterminado que no está limitado por ninguna barrera.   

Esta guía también se aleja de la "comprobación de casillas" y el cumplimiento superficial hacia un marco orientado a metas que comprende el riesgo y señala formas de abordar el riesgo. La guía también pide que la seguridad de OT se trate como un requisito fundamental para la seguridad física y el tiempo de actividad operacional.

Ahora echemos un vistazo detallado a esta guía y sus implicaciones para las empresas en todo el mundo.

Antes de hacerlo, no olvides revisar nuestra publicación anterior del blog sobre “El informe de violación de Eurail B.V,” aquí.

Priorizar acciones según las limitaciones de recursos
En la parte inicial del documento de guía, hay una referencia a las limitaciones de recursos que enfrentan las empresas. La guía reconoce este desafío y recomienda que las empresas concentren sus esfuerzos de mitigación de manera escalonada mientras priorizan los riesgos. Algunos temas que deben considerarse según la guía son:

•  Significado del activo/subyacente: el papel y el impacto del dispositivo o proceso en tus operaciones, incluida la capacidad de controlar y/o monitorear funciones clave.

•  Copias de seguridad: la presencia de sistemas a prueba de fallos o sistemas redundantes que mantienen la disponibilidad y reducen el riesgo de condiciones de operación inseguras o interrupciones del servicio.

•  Tiempo para implementar: El tiempo que tomaría implementar el cambio, considerando los fondos actualmente disponibles y la complejidad. Debe entenderse que la opción más económica puede no ser la opción más impactante para asegurar la conectividad.

•  Actividad de amenaza activa de atacantes que varían en sofisticación, incluyendo la consideración de eventos geopolíticos actuales, amenazas específicas y la posible significación para la seguridad nacional de una empresa y/o los clientes de las organizaciones.

Los principios centrales de conectividad segura de OT

El NCSC condensa la conectividad segura en ocho pilares estratégicos. Debemos verlos no como tareas independientes, sino como una estrategia de defensa en profundidad en capas.

•       Segmentar redes: Dondequiera que haya productos obsoletos presentes, se debe desplegar la segmentación y controles de red. Estos pueden ayudar a gestionar los riesgos asociados. Sin embargo, las organizaciones deben considerar estas medidas como intervenciones a corto plazo y evaluar si estas medidas son suficientes mientras establecen un cronograma para el reemplazo de activos.

•  Equilibrar riesgos y oportunidades: Cada conexión debe tener un caso de negocio documentado para existir. Si no puedes definir el "por qué" y el "quién" (dueño de riesgo joven), simplemente la conexión no debería existir. En cada etapa del proceso de diseño, la empresa debe evaluar si la conectividad puede cumplir con los umbrales de riesgo definidos en el caso de negocio y aprender si se alinea con tu contexto de amenazas organizacionales o no.

• Comprender y abordar riesgos de la cadena de suministro: Es esencial gestionar el riesgo de la cadena de suministro asociado con la adquisición de nuevos productos (especialmente cuando el producto se origina en o tiene componentes que provienen de geografías de alto riesgo o donde la fuente de origen del producto o el componente en sí es desconocida o poco clara). Las empresas deben garantizar que los dispositivos sean seguros por diseño y desarrollados siguiendo un ciclo de vida de desarrollo de productos seguros. Esto ayuda a reducir el riesgo de introducir vulnerabilidades a través de componentes de terceros o prácticas de diseño inseguras.

• Limitar la exposición: La gestión de la exposición se trata de reducir la superficie de ataque y el riesgo asociado. Esto significa eliminar la exposición de puertos entrantes y asegurar conexiones que sólo se inicien desde dentro del entorno OT. En situaciones donde los sistemas fuera del entorno OT necesitan acceso a activos OT (como por ejemplo para soporte remoto de OEM), se recomienda el uso de conexiones intermediadas a través de una puerta de enlace segura que se encuentra en un segmento separado, controlado por seguridad, como una zona desmilitarizada (DMZ). Una conexión intermediada es esencialmente un método donde la parte externa se conecta a un sistema intermediario (el intermediario). Este sistema luego transmite de forma segura la conexión al activo OT. Esto asegura que el sistema OT nunca esté directamente expuesto a Internet o redes externas, y que todo acceso sea mediado, monitoreado y controlado.

• Gestionar tu visibilidad pública: utilizando herramientas de gestión de superficie de ataque externa (EASM) u otras herramientas de descubrimiento de activos visibles en Internet, las empresas deben trabajar para identificar exposiciones accidentales o no gestionadas antes de que los atacantes lo hagan. Estas herramientas de descubrimiento indexan activos y protocolos conectados a Internet, permitiendo a cualquiera encontrar servidores web expuestos, portales de acceso remoto o dispositivos industriales. Las herramientas EASM pueden usarse para reducir tu superficie de ataque y la probabilidad de ser objetivo. Si los sistemas de la empresa son visibles para estos servicios de escaneo, entonces es muy probable que sean encontrados y objetivos de actores maliciosos, aumentando significativamente el riesgo para estos sistemas.

• Centralizar y estandarizar: las conexiones "shadow OT" ad hoc yacen en el corazón del problema. Consolidar los puntos de acceso permite controles de seguridad uniformes y monitoreo más fácil.

• Protocolos seguros: alejarse de los protocolos heredados de texto claro donde sea posible y, en cambio, utilizar rutas estándar, encriptadas y autenticadas.

• Fortalecer la frontera: tu frontera (como firewalls, DMZs, puertas de enlace) es tu defensa principal. Debe ser moderna, modular, y capaz de inspección de paquetes profunda para detener amenazas de entrada.

• Limitar el impacto del compromiso: Siempre asume que ocurrirá una violación. Usa la segmentación para prevenir el movimiento lateral y la "contaminación" del proceso más amplio.

• Registrar y monitorear: Si no puedes verlo, no puedes defenderlo. El monitoreo es tu "última línea de defensa" para detectar comportamientos anómalos antes de que impacten el proceso físico.

• Establecer un plan de aislamiento: La conectividad debe ser "desmontable". Necesitas un plan de "botón rojo grande" para aislar física o lógicamente OT de IT/Internet durante un incidente activo sin colapsar la planta.

El mandato de "solo push"

Una de las recomendaciones técnicas más críticas en la guía NCSC es el movimiento hacia arquitecturas de "Solo Push". Esto requiere una inmersión profunda.

En un ambiente de TI tradicional, las empresas están acostumbradas a solicitudes bidireccionales sin desafío. En OT de alta seguridad, el NCSC aconseja que no se deben abrir puertos de escucha en el lado de OT de la DMZ. Todos los datos, ya sean telemetría para un gemelo en la nube o registros para un SOC, deben ser "empujados" desde la zona OT de mayor confianza a la zona corporativa de menor confianza.

Tal simple elección arquitectónica contribuye en gran medida a eliminar una clase masiva de vulnerabilidades de explotación remota.

Lista de verificación de conectividad segura para empresas

Basado en el marco del NCSC, los operadores de OT pueden usar la siguiente lista de verificación para auditar su postura actual de conectividad de OT y ajustar las brechas según esta guía del NCSC.

Fase 1: Gobernanza y riesgo

• [ ] Auditoría del caso de negocio: ¿Cada conexión externa (OEM, Acceso Remoto, Nube) tiene un caso de negocio firmado y un Dueño de Riesgo Joven nombrado? ¿Está el caso de negocio justificado y validado con documentación?

• [ ] Inventario de activos: ¿Tienes una "Vista de Arquitectura Definitiva" que incluye todos los puntos finales de terceros y módems celulares "shadow"? ¿Tienes?

• [ ] Mapeo de dependencia: ¿Has identificado si alguna función OT depende de servicios en la nube externos para operar? (¿Puede la planta funcionar si Internet está caído?)

Fase 2: Fortalecimiento arquitectónico

• [ ] Exposición de entrada: ¿Han sido cerrados todos los puertos de entrada (puertos de escucha) en el límite de OT?

• [ ] Flujos de datos solo push: ¿Los datos de OT se están "empujando" hacia la DMZ en lugar de ser "extraídos" por sistemas externos?

• [ ] Estandarización de protocolo: ¿Estás utilizando protocolos modernos y encriptados (por ejemplo, OPC-UA con seguridad, HTTPS, MQTT con TLS) para todo el tráfico que cruza límites?

• [ ] DMZ gestionada: ¿Hay una DMZ funcional entre IT y OT donde todo el tráfico termina y se re-autentica?

Fase 3: Operaciones defensivas

• [ ] Acceso remoto de cero confianza: ¿Está el acceso remoto restringido a activos específicos, limitado en tiempo y reforzado mediante autenticación multifactor (MFA)?

• [ ] Registro segmentado: ¿Los registros de dispositivos límite (firewalls, IDS) se envían a un repositorio central y seguro para análisis en tiempo real?

• [ ] Inspección de protocolo: ¿Tus firewalls límite realizan "Inspección Profunda de Paquetes" (DPI) para asegurar que los protocolos OT solo transporten comandos industriales válidos?

Fase 4: Resiliencia y recuperación

• [ ] Manual de aislamiento: ¿Tienes un procedimiento de "Botón de emergencia" probado para aislar la red OT en menos de 15 minutos durante una sospecha de violación?

• [ ] Retroceso manual: ¿Tus operadores pueden apagar o ejecutar el proceso manualmente de forma segura si se pierde la conectividad de red?

• [ ] Preparación para arranque en negro: ¿Tus controles de seguridad (firewalls/IDS) obstaculizan una recuperación de "arranque en negro" de la planta después de una pérdida total de energía?

Puedes leer el documento completo sobre esta guía aquí.

Reserva una consulta gratuita sobre conectividad segura con Shieldworkz

Prueba nuestra solución NDR para seguridad de OT, aquí.