Con el advenimiento de la Industria 4.0, las redes industriales se están digitalizando cada vez más.

Pero si bien esto trae muchas ganancias en productividad, calidad y eficiencia, introduce nuevas vulnerabilidades de ciberseguridad, y nunca antes consideradas.

Debido a su naturaleza crítica, las redes de tecnología operativa (OT) (redes digitales en la planta de producción) requieren herramientas de seguridad específicas más allá de las utilizadas en las propias redes de TI. Los sistemas de detección de intrusos (IDS) se consideran una de las herramientas más efectivas, ya que monitorean pasivamente el tráfico de red y no representan riesgos para los procesos operativos en curso.

Para ayudar a contrarrestar las crecientes amenazas y ataques, la compañía de ciberseguridad Radiflow anunció hoy una asociación tecnológica con Cisco para proporcionar IDS en las instalaciones de OT administradas por Cisco.

«La escasez de recursos con experiencia en seguridad ot es bastante alta y sigue creciendo», dijo Ilan Barda, cofundador y CEO de Radiflow. «Como tal, es importante utilizar tales integraciones para reducir la necesidad de trabajo manual».

Las instalaciones de OT como la de Cisco son una superficie de ataque creciente

Barda describió un aumento «alarmante» en los ataques de ciberseguridad contra las instalaciones de OT.

Hasta este punto, una encuesta de Trend Micro sobre ciberseguridad industrial en empresas manufactureras, eléctricas y de petróleo y gas reveló que nueve de cada 10 organizaciones tenían suministros de producción o energía afectados por ciberataques en los últimos 12 meses. El costo promedio de tales ataques fue de $ 2.8 millones, y más de la mitad (56%) de los encuestados dijeron que las interrupciones duraron cuatro o más días.

Tales interrupciones han dado lugar a herramientas de seguridad nuevas y evolucionadas: según un informe reciente de MarketsandMarkets, el tamaño del mercado de seguridad OT crecerá de un valor estimado de $ 15.5 mil millones en 2022 a $ 32.4 mil millones en 2027, registrando una tasa de crecimiento anual compuesta (CAGR) de casi el 16%.

El informe cita un mayor uso de tecnologías digitales en sistemas industriales, estrictas regulaciones gubernamentales relacionadas con el protocolo industrial común (CIP) para impulsar la adopción de soluciones de seguridad OT y la convergencia de sistemas de TI y OT como los principales factores que impulsan el crecimiento del mercado.

Operaciones simples y fluidas

El control de acceso a la red (NAC) de Cisco es una herramienta ampliamente utilizada para proteger las redes de TI. Es compatible con la visibilidad de la red y la gestión del acceso a través de la aplicación de políticas en dispositivos y usuarios de redes corporativas.

Aunque muchas empresas confían en él para asegurar sus sistemas de control de acceso a la red, los sistemas de gestión de edificios (BMS) a menudo no tienen forma de tener en cuenta las necesidades específicas de la industria o protegerse contra mayores riesgos de ciberseguridad, dijo Barda. En la configuración de BMS, los sistemas de seguridad OT tienen que tener en cuenta las necesidades específicas y las criticidades de diferentes subsistemas: HVAC u operación de ascensores, por ejemplo, que a menudo son supervisados por diferentes personales y departamentos.

Para implementar herramientas orientadas a TI en redes OT y detectar anomalías, se necesitan herramientas IDS maduras como la plataforma de Radiflow, dijo Barda. Se integra directamente en el popular BMS de Cisco, protegiendo los dispositivos conectados que no tienen control de acceso integrado, y agrega una capa de protección a una variedad de redes OT, manteniendo las operaciones de seguridad «simples y fluidas».

Esta nueva incorporación «ayuda a aliviar un problema inherente en las redes industriales, ya que muchos de estos dispositivos nunca fueron diseñados con control de acceso integrado, lo que introduce una gran cantidad de vulnerabilidades cibernéticas», dijo Barda.

Conexión controlada y restringida

Como explicó Barda, el problema de ciberseguridad más común en las redes OT son los cambios no autorizados en la topología de la red, por ejemplo, la computadora portátil de un técnico que está conectada a la red y no tiene limitaciones sobre lo que puede hacer en la red. Otro problema de alto riesgo, dijo Barda, es que los cambios en el software del dispositivo, incluso sin ningún tipo de intención maliciosa, también pueden cambiar los patrones de comunicación del dispositivo, causando daños a otros dispositivos.

La solución IDS de Radiflow descubre activos de red y patrones de comunicación, mapea detalles de inventario y vulnerabilidades, y detecta anomalías de red. Los usuarios de las instalaciones de Cisco pueden discernir el comportamiento de los activos de referencia y cualquier desviación en los patrones de comportamiento.

«Con el control de acceso integrado, tales amenazas se mitigan ya que cada dispositivo está conectado de manera controlada y restringida», dijo Barda.

Mayor automatización

Barda explicó que la plataforma monitorea pasivamente el tráfico de red OT utilizando un puerto span de los principales switches de la red.

Para maximizar la cobertura de la red OT, Radiflow también proporciona colectores inteligentes que pueden conectarse a los puertos de span de las subredes remotas y enviar los datos relevantes al servidor de una manera optimizada, dijo.

El motor DPI de Radiflow analiza el tráfico de red y crea una base de datos de activos de red, sus detalles de inventario y sus patrones de comportamiento de referencia normales, dijo Barda. La base de datos de activos se mejora con datos de sus vulnerabilidades y exposiciones comunes conocidas (CVE) y se puede presentar gráficamente o exportar a otras herramientas de gestión de activos.

Una vez que la línea de base del comportamiento normal es estable, la plataforma cambia al «modo de detección» y utiliza su motor DPI para detectar anomalías en los flujos de tráfico, dijo Barda. Tales anomalías podrían incluir:

• Cambios en la topología de red.
• Cambios en los patrones de comunicación.
• Cambios en el firmware y la lógica de los activos industriales.
• Firmas de características conocidas de ciber exploits.
• Desviaciones en los comandos industriales o en los rangos del proceso.

Estas anomalías generan eventos en la plataforma y se informan a otras herramientas del centro de control de seguridad utilizando syslog.

Fuente: venturebeat