Prayukth KV
Gestionando el riesgo de terceros y proveedores dentro de su ecosistema OT
Los días del "air gap" han quedado atrás. El ecosistema de Tecnología Operativa (OT) y la compleja red de hardware y software que monitorea y controla los procesos físicos en su planta, utilidad o instalación, ya no es una fortaleza aislada. De hecho, con la llegada del IIoT, todas las formas de barreras tradicionales han desaparecido y la brecha entre un actor de amenaza o un infiltrado y sus joyas de la corona es historia.
Ahora el entorno OT está bien conectado con proveedores terceros, contratistas de mantenimiento, integradores de sistemas y fabricantes de equipos (OEMs). Si bien algunas de estas conexiones son esenciales para diagnósticos remotos, mantenimiento y eficiencia, representan uno de los vectores de ataque más significativos y a menudo pasados por alto.
Gestionar el riesgo de terceros y proveedores (y la exposición al riesgo) no es solo un ejercicio de cumplimiento de TI. En su lugar, es un requisito esencial para asegurar la resiliencia operativa, el tiempo de actividad y la seguridad física. Hay muchos operadores de OT hoy en día que han otorgado privilegios adicionales a terceros en su red. Es esencial que tales operadores comprendan los riesgos que emergen de tal situación y tomen medidas para contrarrestar y mitigar dichos riesgos.
Antes de continuar, no olvide leer nuestra publicación de evaluación de incidentes sobre el ciberataque a la Cervecería Asahi aquí.
Por qué el riesgo de proveedores OT es algo para reflexionar
Tratar el riesgo de proveedores OT de la misma manera que el riesgo de proveedores TI es un error crítico. Las apuestas son fundamentalmente diferentes, al igual que el contexto.
Las relaciones con los proveedores pueden introducir nuevos riesgos a través de la adopción de prácticas especificadas por ellos. Esto podría diluir la eficacia de las medidas de seguridad existentes o brindar oportunidades a un infiltrado.
Impacto: Una brecha de TI puede causar pérdida de datos. Por otro lado, una brecha OT puede llevar a tiempo de inactividad en la producción, daño ambiental catastrófico o incidentes de seguridad severos. También puede atraer la atención de los reguladores en forma de multas.
Nivel de acceso: Un proveedor que inicia sesión para actualizar un PLC (Controlador Lógico Programable) o HMI (Interfaz Hombre-Máquina) tiene "las llaves del reino"- acceso directo al proceso de control industrial en sí mismo.
Sistemas heredados: Muchos activos OT funcionan con ciclos de vida de 20 años y nunca fueron diseñados para conectividad remota. A menudo operan con sistemas operativos heredados y sin parches, lo que los hace increíblemente frágiles.
La Conexión "Confiable": La conexión de acceso remoto (VPN, RDP) establecida por un proveedor "confiable" es el camuflaje perfecto para un atacante. Si la computadora portátil del proveedor está comprometida, el atacante puede sortear sus defensas perimetrales e ingresar directamente a su red de control.
Un marco para la Gestión de Riesgo de Proveedores OT (VRM)
Un programa robusto de VRM OT se basa en un modelo de "confianza, pero verificación". Se comparte a continuación un marco práctico para comenzar.
Identifique y clasifique a todos los proveedores y privilegios
No se puede proteger lo que no se conoce. El primer paso es un inventario completo.
¿Quién: Liste todas las terceras partes que interactúan con su entorno OT. Esto incluye OEMs, integradores de sistemas, contratistas de mantenimiento e incluso proveedores de servicios gestionados (como, por ejemplo, un historiador basado en la nube).
¿Qué: ¿Qué activos específicos necesita acceder cada proveedor y cuán crítico es ese acceso? (por ejemplo, el proveedor A accede al PLC de control de la turbina para diagnósticos)
¿Cómo: ¿Cómo se conectan? (como un VPN compartido, un módem de acceso telefónico dedicado, un contratista presente en el lugar con una laptop)
Categorización: Clasifique a los proveedores según su criticidad y riesgo. Un proveedor con acceso remoto 24/7 a su sistema de seguridad instrumentado (SIS) es Crítico. Un proveedor que solo suministra repuestos sin acceso a la red es Bajo. Enfoque sus recursos en los niveles críticos y de alto riesgo.
Conozca su historial: ¿Algún proveedor ha incumplido normas de seguridad o gobierno en el pasado?
Tenga un punto de contacto de gobernanza con todos los proveedores
Asegúrese de tener un punto de contacto calendarizado con todos los proveedores para revisar el estado de la seguridad y gobernanza, el estado de supresión de riesgos y discutir cualquier tema pendiente de reuniones anteriores.
Integrar la seguridad OT en la adquisición y contratos
La seguridad debe comenzar antes de que un proveedor sea incorporado. Esperar hasta después de que el contrato esté firmado es demasiado tarde.
Haga algunas preguntas esenciales: Vaya más allá de los cuestionarios estándar de TI. Haga preguntas específicas sobre seguridad OT:
"¿Cómo asegura sus herramientas de acceso remoto y las laptops de sus técnicos?"
"¿Sigue ciclos de vida de desarrollo de software seguro (como IEC 62443-4-1) para sus productos?"
"¿Puede proporcionar un Inventario de Materiales de Software (SBOM) para su HMI/software?"
¿Cómo cumple con nuestras normas y mandatos de seguridad?
¿Se realizó una evaluación basada en IEC 62443 en sus sitios?
Documente todo: Sus contratos son su mayor herramienta de aplicación. Exija requisitos de seguridad específicos, incluyendo:
El derecho a auditar las prácticas de seguridad del proveedor.
Requisitos estrictos para la notificación de incidentes (Notificarnos dentro de las 4 horas posteriores a una sospecha de compromiso).
Cumplimiento con la autenticación multifactorial (MFA) para todo acceso remoto.
Aplicar un control de acceso granular, de "Confianza Cero"
El modelo antiguo de otorgar a un proveedor un VPN permanente que les otorga acceso completo y "plano" a la red ya no es aceptable. Adopte una mentalidad de Confianza Cero, que asume que ningún usuario o conexión es confiable por defecto.
No más VPN compartidos: Cada proveedor, y cada técnico, debe tener un inicio de sesión único y auditable.
Menor Privilegio: Un proveedor solo debe poder acceder al activo específico para el que está aprobado, y nada más. Si están allí para dar servicio al HMI-1, no deben poder siquiera ver el PLC-5.
Acceso Justo a Tiempo (JIT): El acceso no debe ser 24/7. Conceda acceso para una ventana de mantenimiento específica y pre-aprobada (martes de 2 PM a 4 PM) y revóquelo automáticamente después de dicho periodo.
Aplique MFA: Esta es una base no negociable. Todo acceso remoto al entorno OT debe requerir MFA.
Monitorear, registrar y auditar toda la actividad de terceros
"Confía, pero verifica" es el mantra. Debe tener la capacidad de ver exactamente lo que sus proveedores están haciendo cuando están conectados a su red.
Visibilidad de red: Despliegue una solución de monitoreo de red consciente de OT como Shieldworkz. Esto le permite establecer una línea de base de comportamiento "normal" e alertar instantáneamente sobre anomalías, como un proveedor accediendo a un activo no autorizado o usando un protocolo peligroso (como una actualización de firmware).
Grabación de sesiones: Para accesos de alto riesgo, use herramientas que proporcionen grabación de video o monitoreo "sobre el hombro" de la sesión del proveedor. Esto crea una innegable evidencia de auditoría.
Revisión de Registros: Revise regularmente los registros de acceso. Busque intentos de inicio de sesión fallidos, acceso fuera de las horas aprobadas o intentos de escanear la red.
¿Utilizan una solución de escaneo de medios? Las prácticas básicas de seguridad importan mucho y reflejan el nivel de madurez de seguridad del proveedor.
Planifique para un incidente causado por un proveedor
Sus defensas pueden fallar. Un proveedor eventualmente puede ser comprometido. Su plan de respuesta a incidentes (IR) debe tener en cuenta este escenario.
Crear un manual de incidentes del proveedor: Tenga un manual específico de IR titulado "Compromiso de Terceros". ¿Cuáles son los pasos inmediatos? El primer paso debe ser revocar inmediatamente todo acceso para el proveedor comprometido.
Pruebe esto: Incluya a sus proveedores críticos en sus ejercicios anuales de simulación sobre mesa. Plantee el escenario: "El proveedor A acaba de llamar para decir que su herramienta de acceso remoto ha sido comprometida por ransomware. ¿Qué hacemos ahora mismo?"
Gestionar el riesgo de los proveedores no se trata solo de listas de verificación y contratos; se trata de construir un ecosistema seguro. Trate a sus proveedores como socios en su defensa, no como adversarios. Puede comenzar haciendo una simple pregunta a su equipo: "¿Quién tiene acceso remoto a nuestra red de control ahora mismo y qué están haciendo?"
Tener un modelo conjunto de cumplimiento/gobernanza
Esfuércese por lograr que el proveedor adopte un código común de principios y prácticas de seguridad con formas de medir lo mismo.
Finalmente, comunique claramente sus expectativas de seguridad y colabore con los proveedores para lograr su objetivo compartido: asegurar la seguridad, fiabilidad y resiliencia de sus operaciones críticas.
Aprenda más sobre cómo mantener los niveles de riesgo de seguridad OT dentro de límites aceptables en 5 semanas. Presentamos Shieldworkz Launchpad, el único programa de seguridad OT que necesita.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Decodificando el silencio estratégico de los grupos cibernéticos iraníes
Equipo Shieldworkz
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
