También en la tecnología de explotación (OT) se digitalizan cada vez más procesos críticos. En las redes actuales, cada vez más sistemas son gestionados por fabricantes y proveedores de servicios externos. Esto hace que los operadores de OT pierdan cada vez más el control sobre su propia red. Con las redes de confianza cero, los operadores de OT pueden recuperar la confianza en sus sistemas. Ocho preguntas al investigador de seguridad informática Steffen Ullrich.
Entrevista: Martina Hafner
La OT y la TI están cada vez más unidas. El problema es que, mientras que las redes de producción solían estar aisladas, la conexión en red con las TI está facilitando el acceso desde el exterior. ¿Qué significa esto en concreto para la seguridad de los sistemas informáticos?
Los entornos OT son más críticos que los entornos IT. Las interrupciones de la producción o los fallos de funcionamiento suelen tener un impacto más drástico que en TI. En consecuencia, las operaciones se gestionan con precaución. Una consecuencia de esto es que, en comparación con TI, el ritmo de cambio en OT es significativamente menor y, por tanto, la antigüedad de los dispositivos y el software utilizados también es significativamente mayor que en TI. Las tecnologías y los diseños a menudo se remontan a una época en la que la ciberseguridad no era una prioridad en el desarrollo. En consecuencia, la superficie de ataque es más amplia.
También hay que partir de la base de que los entornos de TI no son suficientemente seguros. Esto se aplica no solo a la TI de oficina con los vectores de ataque típicos de phishing, malware y ransomware. Los servicios en la nube o el mantenimiento remoto gestionado por un proveedor de servicios también significan que los operadores tienen cada vez menos control sobre sus propias redes.
Por lo tanto, la conexión en red directa de OT e IT expone la amplia superficie de ataque de OT a una IT potencialmente insegura. Esto no sólo pone en peligro la fiabilidad de la producción. En áreas peligrosas como el sector químico, por ejemplo, también puede poner en peligro la seguridad y, por tanto, vidas humanas.
¿Cómo pueden las empresas manufactureras hacer frente a estas incertidumbres?
En primer lugar, es importante minimizar al máximo la superficie potencial de ataque. Basándose en un principio de minimización, según el cual sólo debe ser posible lo realmente necesario, los conceptos de confianza cero, como la microsegmentación o los perímetros definidos por software, restringen proactivamente los posibles canales de comunicación y reducen así al mínimo la superficie de ataque. El primer paso es especificar qué acceso y qué comunicación deben autorizarse para quién. Sólo éstas se autorizan de forma coherente tanto a nivel de aplicación como de red. También es importante reducir la complejidad. Cuantas menos funciones tenga un programa informático y más claras sean sus interfaces, más fácil, sencillo y eficaz será protegerlo.
Sin embargo, ningún componente de seguridad es fiable al cien por cien. Por eso es importante construir arquitecturas de seguridad multicapa, lo que se conoce como defensa en profundidad. En la práctica, esto significa aplicar restricciones de acceso a varios niveles, por ejemplo restringiendo el acceso a la red, restringiendo la comunicación en la red y controlando el acceso al servicio o dispositivo. Si un atacante intenta penetrar en la red, no llegará muy lejos.
Además de las medidas proactivas, también deben aplicarse medidas reactivas. Una supervisión exhaustiva es un requisito previo para la detección temprana de un ataque y una respuesta rápida en caso de ataque. También es importante sensibilizar a los empleados y disponer de planes de emergencia que funcionen.
¿Qué significa el paradigma de confianza cero?
El enfoque tradicional de la seguridad de los procesos empresariales y de producción se basaba en el supuesto de que todos los dispositivos, aplicaciones y la comunicación entre ellos estaban bajo control propio. Por lo tanto, la atención se centraba en asegurar la red en el perímetro. Dentro de la propia red, era posible una comunicación prácticamente sin restricciones. Este planteamiento ya no se ajusta a la realidad. Las infraestructuras actuales son mucho más complejas y a menudo se extienden por varias redes. Además, cada vez hay más sistemas gestionados externamente, como entornos en la nube o máquinas mantenidas a distancia. Al mismo tiempo, los procesos empresariales cada vez más críticos se digitalizan y se conectan en red. Esto aumenta los requisitos de disponibilidad, fiabilidad y protección de datos. El enfoque simple de la seguridad centrada en la red cada vez tiene menos cabida en el mundo actual. Por ello, el paradigma de la confianza cero se centra en proteger los procesos individuales en lugar de proteger toda la red.
El paradigma de confianza cero se aleja de la idea de que el control en el perímetro de la red es suficientemente posible. En lugar de asegurar toda la red, se centra en asegurar los dispositivos, usuarios y servicios finales que intervienen en un proceso empresarial o de producción, así como las vías de comunicación entre ellos.
¿Qué enfoques existen para implantar las redes de confianza cero en el mundo de la producción?
Existen tres enfoques principales, que se diferencian principalmente en el lugar donde se aplican las normas de seguridad. Zero Trust Networking Access (ZTNA) según Forrester significa microsegmentación. Esto significa que los controles de acceso y los análisis se implementan en puntos estratégicamente sensibles de una red existente, que restringen y supervisan la comunicación dentro de la red. Para ello se puede utilizar, por ejemplo, un cortafuegos de nueva generación o nuestro cognitix Threat Defender. Este último permite segmentar toda la red interna en pequeñas secciones, separar los dispositivos individuales entre sí y regular y supervisar las vías de comunicación según el principio de minimización. Los algoritmos de aprendizaje automático ayudan a analizar la comunicación de la red durante un determinado periodo de tiempo durante el funcionamiento y, de este modo, crear las reglas adecuadas.
El segundo enfoque de ZTNA es el perímetro definido por software. En este caso, lo que se protege no es una red existente, sino el acceso externo a servicios individuales. Conceptualmente, esto es similar a una red privada virtual clásica, aunque un perímetro definido por software sólo permite el acceso a servicios específicos y no a toda la red. Esto es importante para el mantenimiento remoto, por ejemplo, que sólo debe permitir el acceso a servicios o sistemas individuales, pero no a toda la red de producción.
El tercer concepto de ZTNA, probablemente menos relevante en el entorno industrial, se conoce como BeyondCorp o BeyondProd y fue difundido por Google. El objetivo es garantizar el acceso a un único servicio. BeyondCorp está pensado principalmente para aplicaciones web. Es menos adecuado para todo lo demás. En un contexto industrial, por ejemplo, puede utilizarse para conectar un dispositivo IIoT a un servicio basado en la nube.
¿Cómo se pueden definir los microsegmentos según Forrester?
Hay varias formas de hacerlo, dependiendo de cuánto se quiera invertir y de dónde se encuentren las superficies de ataque y los problemas de seguridad. Por ejemplo, se podrían aislar entre sí los clientes, los dispositivos IoT y los servidores. En OT, podría tratarse de máquinas controladas externamente; en el caso de los servidores, podrían ser entornos críticos. Los clientes son los menos vulnerables. Si se separan estas categorías, ya se ha conseguido mucho. Pero también se puede llegar a separar cada dispositivo de los demás. En general, el objetivo es minimizar las superficies de ataque y controlar la comunicación. Esto significa que cuanto más vulnerable sea el software de un dispositivo y más crítico el entorno, más estricto y granular debe ser el microperímetro alrededor de estos dispositivos y servicios.
¿Cómo encuentran los usuarios el enfoque de confianza cero adecuado para ellos?
Depende del caso de uso específico. Si se desea proteger mejor los dispositivos potencialmente vulnerables de una red existente, la microsegmentación es el método de elección. Si, por ejemplo, se desea que los servicios individuales en la red local o en la nube sean accesibles desde el exterior, como para el mantenimiento remoto, entonces el perímetro definido por software es el adecuado. Sin embargo, si el objetivo es proteger la conexión a aplicaciones individuales basadas en web de forma escalable, por ejemplo en el sector del IoT industrial, entonces conceptos como BeyondCorp son muy adecuados. Lo que todos los enfoques de ZTNA tienen en común es que utilizan políticas de seguridad basadas en identidades. Esto se refiere a las identidades de dispositivos, usuarios y servicios. El rendimiento de una solución ZTNA depende en gran medida de la flexibilidad de la denominada gestión de acceso a la identidad.
También se pueden aplicar varios enfoques en paralelo; por ejemplo, para asegurar un servicio en la red interna utilizando la microsegmentación y también hacerlo accesible desde el exterior para el mantenimiento remoto a través de un perímetro definido por software. Varios de estos conceptos también pueden anidarse unos dentro de otros para aplicar una estrategia de defensa en profundidad.
Una aplicación típica de OT de TI es el mantenimiento remoto. ¿Cómo se aplica aquí el procedimiento de confianza cero?
Nuestra solución de telemantenimiento genubox, que aplica un perímetro definido por software, es un buen ejemplo de ello. Esto significa que uno o varios servicios internos sólo deben ser accesibles desde el exterior tras la correspondiente autenticación fuerte. En el caso del telemantenimiento genubox, lo hemos implementado de tal manera que el cifrado y la autenticación de alta seguridad tienen lugar inicialmente utilizando un túnel SSH. Este enfoque sólo permite el acceso exclusivo a los servicios definidos explícitamente. Esto significa que, a diferencia de las soluciones VPN más utilizadas, aquí no se produce ningún acoplamiento de red. Además del control de acceso, las actividades en el escritorio remoto y la sesión de terminal (conexión SSH) se graban en vídeo y los archivos transferidos se comprueban en busca de virus. Y el empleado en la planta de producción tiene la opción de autorizar o interrumpir físicamente la sesión correspondiente en cualquier momento accionando el interruptor de llave correspondiente. Por tanto, conservan el control sobre su sistema en todo momento.
¿Hasta qué punto son sostenibles los conceptos de confianza cero en vista de la constante evolución de las amenazas a la ciberseguridad?
La limitación selectiva de los procesos empresariales y de producción por medio de la confianza cero permite una granularidad y especificidad de la protección significativamente mayores que si se asegura toda la red en una sola pieza. El uso de identidades organizativas como base de las normas de seguridad en lugar de direcciones IP y puertos conduce a una mejor alineación de los requisitos operativos y de seguridad, es decir, las normas son más precisas y, por tanto, ofrecen una mayor protección. La restricción granular proactiva de la comunicación también aumenta la comprensión del tráfico de datos esperado y facilita así la detección de anomalías y ataques. La contabilidad de accesos dentro de Zero Trust también permite la detección temprana de accesos comprometidos y permite localizar rápidamente los daños.
Por tanto, ZTNA ofrece tanto una mayor seguridad proactiva, porque sólo se permiten determinadas conexiones, como una seguridad reactiva significativamente mejor, porque los daños pueden evaluarse y localizarse mucho más fácil y rápidamente. Y si surge una nueva situación de amenaza o vulnerabilidad de seguridad en un dispositivo, la superficie de ataque se puede minimizar rápidamente gracias a un microperímetro estrecho, aunque todavía no exista ningún parche. Por ejemplo, se puede garantizar que sólo determinados clientes puedan acceder a este dispositivo en determinados momentos o sólo en determinadas condiciones o a determinadas horas del día. Zero Trust ofrece aquí un alto grado de flexibilidad.
Implementación ejemplar de un perímetro definido por software para el mantenimiento remoto seguro, realizado con la solución de mantenimiento remoto de genua. El mantenedor a distancia se autentica a través de un servidor de punto de encuentro y sólo puede acceder al servicio requerido en la red del operador previa autorización. A diferencia de los enfoques basados en VPN, aquí no se produce ningún acoplamiento de red.
