No hace mucho tiempo, había una clara separación entre la tecnología operativa (TO) que impulsa las funciones físicas de una empresa (en la planta de producción, por ejemplo) y la tecnología de la información (TI) que gestiona los datos de una empresa para permitir la gestión y planificación.
A medida que los activos de TI se conectaron cada vez más con el mundo exterior a través de Internet, OT permaneció aislado de TI y del resto del mundo.
Sin embargo, la expansión de Industrial IoT (IIoT), así como la necesidad de monitoreo constante y seguimiento de la información de las líneas de fabricación y ensamblaje, significa que la conexión entre los sistemas de TI y OT se ha expandido enormemente. OT ya no está aislado. OT ahora está tan expuesto al mundo exterior como lo está TI.
¿Qué significa esto para la seguridad de OT, donde los dispositivos de difícil acceso necesarios para la producción 24/7 son difíciles de parchear? Vamos a ver.
El espacio de aire se ha ido
No hace mucho tiempo, cualquier intercambio de datos entre TI y OT operaba a través de una «red de zapatillas». Un operador iría físicamente a una terminal conectada al dispositivo OT, descargaría datos que cubren un período reciente y llevaría los datos descargados a su estación de trabajo, donde luego los cargaría en el sistema de TI de la organización.
Era una forma engorrosa y lenta de transferir datos, pero implicaba una valiosa separación física (brecha de aire) entre las infraestructuras de OT y TI, protegiendo los dispositivos críticos de OT de los riesgos típicos de ciberseguridad de TI. Pero, como dice la canción, los tiempos están cambiando. De hecho, lo han sido durante bastante tiempo.
Hoy, vemos a OT a la vanguardia del riesgo de ciberseguridad. Los crecientes incidentes de ransomware que paralizan empresas enteras y detienen la producción durante largos períodos de tiempo tienen un impacto devastador en la sostenibilidad de las empresas afectadas y se filtran a lo largo de toda la cadena de valor.
Caso en cuestión: anteriormente valorada en $ 100 millones, United Structures of American Inc. se declaró en bancarrota a principios de 2022, debido en gran parte al hecho de que la empresa de fabricación de acero fue víctima de un ataque de ransomware en el que perdió la mayoría de sus datos. Y todos recordarán el ataque del año pasado al Oleoducto Colonial.
Debe adaptar y asegurar su OT – rápido
La naturaleza acelerada del entorno tecnológico actual significa que no podemos volver a las viejas formas de hacer las cosas y tenemos que asumir que OT permanecerá expuesto al mundo exterior. Esto implica la necesidad de un enfoque diferente para asegurar la infraestructura OT.
Hay muchas soluciones propuestas para este desafío, pero estas soluciones a menudo implican arquitecturas completamente diferentes, ya que algunos modelos ya no son relevantes. Reemplazar los dispositivos existentes o cambiar los procesos existentes para adaptarse a las nuevas «mejores prácticas» del día siempre conlleva un alto costo en tiempo, recursos y capacitación.
Afecta el resultado final, por lo que las empresas retrasan la transición el mayor tiempo posible. Como vemos repetidamente, algunas empresas solo encontrarán la motivación adecuada para un gasto significativo en ciberseguridad después de que ocurra un incidente.
Cuando ocurre el peor de los casos, las empresas encontrarán de inmediato los fondos necesarios para solucionar el problema, pero puede ser demasiado poco y demasiado tarde, como descubrió United Structures.
Considere tomar, al menos, algunos pasos
Si aún no ha asegurado su OT, debe comenzar de inmediato. Un proceso paso a paso puede ayudar si los cambios generales necesarios para proteger completamente su OT son simplemente poco prácticos e inasequibles.
Por ejemplo, si es práctico, considere segmentar las redes utilizadas por OT y aplique la lista blanca de aplicaciones para garantizar que solo las aplicaciones OT autorizadas puedan enviar y recibir datos a través de esa red. Vigile de cerca el tráfico de la red y analice los registros para poder atrapar a los atacantes en el acto, antes de que sea demasiado tarde.
Cuando su OT se construya usando dispositivos Linux, considere aplicar parches en vivo. La aplicación de parches en vivo actualiza continuamente su OT de difícil acceso y no entra en conflicto con los objetivos de tiempo de actividad, lo que generalmente ocurre cuando necesita reiniciar para aplicar el parche.
Sea cual sea tu estrategia, no hay excusa para dejar tu OT desprotegido. Eso se aplica a pasos como aislar redes OT, pero también a otras opciones, como aplicar parches en vivo a dispositivos sin parches previamente.
No habrá un «buen momento» para dar los primeros pasos. El mejor momento para comenzar con la mitigación de riesgos de OT es ahora mismo.
Este artículo está escrito y patrocinado por TuxCare , el líder de la industria en automatización de Linux de nivel empresarial . TuxCare ofrece niveles inigualables de eficiencia para desarrolladores, gerentes de seguridad de TI y administradores de servidores Linux que buscan mejorar y simplificar sus operaciones de ciberseguridad de manera asequible. Los parches de seguridad en vivo del kernel de Linux de TuxCare y los servicios de soporte estándar y mejorado ayudan a proteger y brindar soporte a más de un millón de cargas de trabajo de producción.
Fuente:
