Opinión de un Fied CISO sobre las amenazas a los entornos OT
Julio de 2024, Múnich
En un mundo cada vez más interconectado, las empresas enfrentan el gran desafío de proteger no solo sus sistemas de IT, sino también su Tecnología Operacional (OT) contra ciberataques cada vez más sofisticados. El hardware y el software utilizados para monitorear y controlar procesos físicos, dispositivos e infraestructuras están expuestos a ataques dirigidos tanto internos como externos.
La OT se aplica, por ejemplo, para controlar robots en una planta de producción o para supervisar ventiladores en hospitales. Si estos dispositivos no están suficientemente protegidos, las vulnerabilidades pueden ser explotadas y el malware puede ser introducido. El malware también puede infiltrarse en la tecnología operativa a través de hardware externo, dispositivos de almacenamiento extraíbles o la intranet.
En nuestra entrevista, Guido Kraft, Field CISO en WALLIX, analiza los últimos desarrollos, estrategias y mejores prácticas para fortalecer la seguridad OT.
¿Cómo ha evolucionado el panorama de amenazas para la OT (Tecnología Operacional) recientemente?
Guido Kraft: El panorama de amenazas para la OT ha cambiado significativamente, con un notable aumento de amenazas. Observamos un incremento significativo en los ataques, especialmente en el área de infraestructuras críticas (KRITIS), que a menudo están motivados políticamente.
Por ejemplo, grupos de hackers dirigidos por estados, como los “Five Bears” rusos, apuntan continuamente a infraestructuras críticas, así como a gobiernos, autoridades, partidos y otras áreas sistémicamente relevantes. El hackeo del Bundestag en 2015 es un ejemplo prominente.
Registramos varios miles de ataques al mes. La situación geopolítica y los cambios en las relaciones de poder globales juegan un papel crucial. La ciberguerra es una realidad y se lleva a cabo en paralelo a los conflictos convencionales, afectando gravemente nuestras infraestructuras técnicas de suministro, como la energía, el transporte y la atención médica.
¿Existen campos o tecnologías específicas que son particularmente atacadas?
Guido Kraft: Sí, la fabricación industrial y la producción química son objetivos frecuentes. El robo de propiedad intelectual y secretos empresariales también representa una amenaza creciente. Las máquinas más antiguas, que aún funcionan con sistemas obsoletos –a veces incluso anteriores a Windows 2000–, están especialmente en riesgo, ya que a menudo no están suficientemente protegidas. Con el aumento de la interconexión e integración de nuevas máquinas en redes OT, también aumenta el número de puntos potenciales de ataque.
¿Qué papel juegan, en tu opinión, tecnologías como el aprendizaje automático y la IA –inteligencia artificial– en la seguridad OT?
Guido Kraft: La IA y el aprendizaje automático son armas de doble filo. Por un lado, pueden ayudar a detectar anomalías en el comportamiento del usuario y monitorear redes de manera eficiente. Por otro lado, representan una amenaza si los atacantes utilizan estas tecnologías para explotar vulnerabilidades en los sistemas OT. La IA de los programas utilizados internamente, por ejemplo, para controlar instalaciones de producción, también debe ser estrictamente monitoreada por el departamento de ciberseguridad: ¿qué accesos y permisos tienen estos sistemas?
Los estudios muestran que la mayoría de los encuestados perciben los ataques de IA como una amenaza para su infraestructura OT. La clave está en seleccionar cuidadosamente los casos de uso y desarrollar mecanismos de control para minimizar los riesgos.
¿Y cómo afecta la proliferación de tecnologías Cloud y SaaS a la seguridad OT?
Guido Kraft: La integración de tecnologías Cloud y SaaS en entornos OT presenta tanto oportunidades como riesgos. Mientras que estas tecnologías están muy extendidas en TI, su aplicación en entornos OT a menudo es problemática debido a los requisitos específicos y las preocupaciones de seguridad. Para implementar estas tecnologías de manera segura sin afectar las operaciones, se necesita una estrategia integral.
Para enfrentar estos nuevos desafíos: ¿Qué medidas pueden tomar las empresas?
Guido Kraft: Es crucial establecer sistemas de acceso privilegiado que solo permitan el acceso a personas autorizadas, a menudo asegurados mediante MFA, es decir, autenticación multifactor. Un proceso de aprobación en varias etapas y la auditabilidad completa también son elementos importantes. Estándares como IEC 62443 proporcionan una base sólida. Se trata de controlar estrictamente los accesos y asegurarse de que solo se otorguen los permisos necesarios.
¿Cuáles son las mejores prácticas para las empresas que desean mejorar su seguridad OT?
Guido Kraft: Las empresas deben integrar los principios de Zero Trust en su estrategia de seguridad. Las soluciones de gestión de acceso privilegiado y de gobernanza de identidad y acceso son esenciales para controlar estrictamente los accesos. La tendencia es claramente hacia la seguridad preventiva. Un modelo de clasificación de riesgos puede ayudar a clasificar diferentes sistemas según su riesgo y asegurar en consecuencia. También es importante considerar las normativas y estándares específicos del sector, como IEC 62443 y NIS2.
Los estándares de cumplimiento deben fomentar la seguridad, pero a menudo presentan desafíos para las empresas en su cumplimiento. ¿Cómo puede ayudar la gestión de acceso privilegiado o “PAM” en este aspecto?
Guido Kraft: Primero es esencial obtener una visión general de qué regulaciones son relevantes para una organización o para los diferentes sistemas dentro de ella. Nuestro modelo de clasificación de riesgos es una herramienta para categorizar sistemas y sus necesidades de protección, desde sistemas de alto riesgo como servidores de datos hasta componentes menos críticos. Este modelo permite implementar medidas de seguridad específicas de manera dirigida. Por ejemplo, en sistemas de alto riesgo, el acceso puede estar estrictamente regulado y asegurado con autenticación multifactor, mientras que los sistemas menos críticos pueden usar protocolos de seguridad más flexibles. Junto con soluciones PAM, se pueden cumplir las regulaciones de protección de datos específicas del sector y generales, desde NIS2 hasta ISO 27001.
¿Qué obstáculos ves más a menudo en los clientes al implementar PAM o la gobernanza de identidad y acceso (IAG)?
Guido Kraft: El mayor obstáculo es a menudo la complejidad. Muchos clientes se muestran reticentes a implementar estas soluciones porque las perciben como demasiado complejas y de alto mantenimiento. Sin embargo, nuestra experiencia muestra que las soluciones bien diseñadas son relativamente fáciles de implementar y permiten una integración sin problemas en las infraestructuras de seguridad existentes. Aun así, siempre hay desafíos, especialmente en la adaptación a los requisitos específicos de la empresa y la integración con los sistemas existentes, por ejemplo, al usar soluciones SaaS.
¿Se puede medir y evaluar la efectividad de las soluciones PAM e IAG?
Guido Kraft: Es difícil cuantificar la efectividad, ya que el ROI de las medidas de seguridad a menudo no es directamente medible. Sin embargo, algunas métricas importantes son el número de accesos no autorizados prevenidos y el tiempo necesario para responder a incidentes de seguridad. Un indicador de la efectividad también es la facilidad de uso y la aceptación de las medidas de seguridad en la empresa.
Para finalizar, ¿qué tendencias deberían observar las empresas en los próximos años?
Guido Kraft: Las empresas deben prepararse para la creciente interconexión y la integración de la IA en los sistemas OT. Los modelos de seguridad Zero Trust serán cada vez más importantes, así como el cumplimiento de nuevas normativas y estándares. También será crucial implementar soluciones de seguridad flexibles y escalables que puedan cubrir tanto sistemas antiguos como nuevos. La capacitación continua y la concienciación de los empleados siguen siendo aspectos centrales de la seguridad OT.
Guido, ¡muchas gracias por la entrevista!
Guido Kraft, Field CISO en WALLIX