Cómo Illumino ayuda a proteger las redes OT del ransomware y otros ataques de seguridad

Las redes de tecnología operativa (OT) conectan dispositivos de propósito especial, incluidos sensores, motores, sistemas de control distribuido (DCs), controladores lógicos programables (PLC), unidades terminales remotas (RTUs), sistemas de control de supervisión y adquisición de datos (SCADA), aplicaciones y bases de datos de historiadores, quioscos de ingeniería y otros tipos de servidores, para impulsar operaciones en fábricas, plantas de energía, redes de servicios públicos, instalaciones mineras, instalaciones médicas, fabricantes de alimentos y otros sitios que requieren automatización confiable y en tiempo real.

Estos dispositivos proporcionan servicios de misión crítica. Eso los convierte en objetivos valiosos para los ciberdelincuentes y otros atacantes.

Las amenazas, por supuesto, pueden provenir de cualquier lugar: ataques de phishing, ataques de fuerza bruta, expertos maliciosos; la lista continúa. También pueden provenir de dispositivos OT que han sido atacados por malware diseñado específicamente para atacar modelos específicos de dispositivos OT.

En ocasiones, los dispositivos OT se ejecutan en redes que están “desconectadas” de las redes de TI; es decir, operan sin ninguna conexión física a las redes de TI con el fin de evitar que los ataques de seguridad en las redes de TI lleguen a las operaciones de OT. Pero incluso dentro de una sola instalación, algunos dispositivos y redes de OT podrían tener un espacio de aire y otros podrían no serlo. E incluso los gerentes de planta no necesariamente tienen la visibilidad para decir qué redes tienen espacio aéreo y cuáles no.

Cada vez más, las empresas están encontrando razones para no ventipar los dispositivos en absoluto. Un fabricante de alimentos, por ejemplo, podría querer permitir que las aplicaciones web y la elección del consumidor impulsen directamente la fabricación de ingredientes específicos en una fábrica. Debido a casos de uso de negocios como este, el airgap se está volviendo menos efectivo cada día como defensa contra los ciberataques.

Cuando no hay una brecha de aire física, los entornos de OT tienen conectividad a las redes donde se ejecutan dispositivos de TI. Esta conectividad introduce riesgos. De repente, los ataques transmitidos por Internet pueden llegar a los dispositivos OT.

Una de las metodologías para categorizar cargas de trabajo en un entorno de OT se basa en el modelo de referencia de Purdue, un modelo confiable para separar y distribuir cargas de trabajo en redes de OT y TI. El gobierno de los Estados Unidos Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA) recomienda que las empresas con entornos OT segmenten sus redes en base a la categorización lógica en los diferentes niveles del Modelo Purdue.

Pero este tipo de segmentación no es tarea fácil. Las redes OT son redes planas: todos los dispositivos se ejecutan en el mismo plano de control y espacio de direcciones. Segmentarlos requeriría cerrar los servicios y dispositivos en un entorno generador de ingresos para reconfigurar la red para implementar la segmentación. Este es un trabajo costoso y que requiere mucho tiempo. En muchas empresas, la idea de cerrar los dispositivos de OT críticos para el negocio se rechaza por completo o se postergue sin cesar mientras los equipos de TI esperan una oportunidad para cerrar los servicios de OT sin interrumpir las actividades generadoras de ingresos.

‍

Para proporcionar alguna medida de separación entre los dispositivos de TI y OT, algunas instalaciones configuran VLAN dedicadas (LAN virtuales) para sus dispositivos OT. Pero también hay deficiencias en este enfoque. En primer lugar, es difícil administrar las VLAN a escala. En segundo lugar, poner dispositivos en las VLAN no impide que los atacantes se muevan de un dispositivo a otro en la misma VLAN, aprovechando los puertos y protocolos sin cambios por la configuración de la VLAN. La conclusión: si un atacante obtiene acceso a un dispositivo, los controles de VLAN no necesariamente van a impedir que alcancen otros objetivos.

Si los líderes de negocios y TI quieren evitar que los atacantes se muevan libremente entre los dispositivos de OT y TI, necesitan tres cosas importantes:

• Visibilidad: Los líderes necesitan visibilidad de las actividades y los detalles de configuración de los dispositivos de TI y OT, para que puedan descubrir qué vías de comunicación están abiertas, creando posibles vías para movimiento lateral por atacantes.
  
• Definición de la política: Los líderes necesitan un motor de políticas de microsegmentación para definir políticas de configuración para segmentar redes y separar todos los dispositivos que deben separarse, ya sea TI u OT. Estas políticas de segmentación operan a un nivel superior al de las reglas de firewall. Permiten a los líderes definir las mejores prácticas sin empantanarse en las reglas específicas de firewall del producto en particular que aplican una política.
  
• Aplicación de políticas: Los líderes también necesitan hacer cumplir estas políticas sin tener que cerrar las redes de TI y OT críticas para el negocio para reconfigurar y luego reiniciar los dispositivos de TI y OT. Además, necesitan una forma de hacer cumplir estas políticas sin tener que reemplazar los dispositivos de OT que de otro modo funcionan como se esperaba. Tampoco deberían tener que instalar aplicaciones de software de propósito especial que puedan degradar el performance de los dispositivos de TI u OT.

Para proteger tanto los dispositivos OT como los de TI del malware y otros tipos de ciberataques, los líderes empresariales y de TI necesitan una mejor visibilidad de las redes y una manera rápida y fácil de microsegmentar las redes para evitar que los ataques en cualquier tipo de dispositivo se propaguen por la red.

Esta necesidad de esta visibilidad y control es cada vez más urgente a medida que más y más empresas están encontrando buenas razones comerciales para unir los mundos de TI y OT, haciendo obsoletos dispositivos antiguos como el airgapping.

Cuando las redes de TI y las redes OT convergen

¿Por qué conectar estos diferentes tipos de redes y dispositivos? En mercados de rápido movimiento que requieren respuestas ágiles para clientes y asociados de negocios, tiene sentido conectar los sistemas del negocio con las redes de OT que potencian las operaciones diarias.

Si los procesos de ventas, marketing y cumplimiento son administrados por redes de TI, entonces esos procesos pueden beneficiarse de la información actualizada de los sistemas de fabricación y logística controlados por redes de OT. Y si los procesos del negocio impulsan la demanda, los pedidos pueden enviarse directamente a las redes OT para su finalización, como en el ejemplo de fabricación de alimentos que cité anteriormente.

Además, existen beneficios en eficiencia y ahorro de costos al aprovechar las aplicaciones en la nube y el almacenamiento en la nube, a los que se accede únicamente a través de redes de TI. Además, a medida que las fuerzas de trabajo remotas se vuelven más comunes, algunas empresas quieren asegurarse de que los empleados remotos puedan usar redes de TI y aplicaciones en la nube para monitorear, controlar y proteger los dispositivos OT.

Como la NSA (Agencia de Seguridad Nacional) y la CISA señalaron en un alerta de seguridad emitido en 2020, “los activos OT accesibles a Internet son cada vez más frecuentes en los 16 sectores de CI de Estados Unidos a medida que las empresas aumentan las operaciones y el monitoreo remotos, acomodan a una fuerza laboral descentralizada y amplían la externalización de áreas clave de habilidades como instrumentación y control, administración/mantenimiento de activos de OT y, en algunos casos, operaciones de procesos y mantenimiento”.

Nuevos riesgos derivados de la convergencia TI/OT

Conectar estas redes es útil para el negocio, pero riesgoso para la seguridad. La NSA y CISA han observado tácticas de ciberdelincuentes como:

• Spear-phishing para obtener acceso a las redes de TI para luego llegar a las redes OT.
• Implementación de ransomware básico para cifrar datos en ambas redes.
• Uso de puertos y protocolos conocidos para descargar lógica de control modificada a dispositivos OT.

Desafortunadamente, es fácil para los atacantes descubrir información útil sobre redes y dispositivos OT. Y pueden usar marcos de explotación comunes, tales como Impacto central para sondear redes y dispositivos, ejecutando penetraciones contra vulnerabilidades conocidas.

En algunos casos, como el Ataque de 2016 a la red eléctrica de Ucrania, los atacantes incluso utilizarán malware diseñado explícitamente para controlar los sistemas SCADA. Los investigadores de seguridad señalaron que el malware personalizado en ese ataque parecía destinado a ser reutilizado con otros objetivos.

Cómo ayuda Illumio a proteger las redes de TI y OT

Illumio proporciona la visibilidad de que los equipos de seguridad han estado faltando en las redes de TI y OT y ayuda a proteger las redes contra ransomware y otros ataques de seguridad. Sin requerir dispositivos especiales ni proyectos de reconfiguración que requieren mucho tiempo, Illumio descubre e informa rápidamente patrones de tráfico activos y revela conectividad que fácilmente podría haberse pasado por alto antes. Esta visibilidad transforma los entornos de OT de “cajas negras” a redes que se pueden entender, monitorear y proteger.

Para ayudar a proteger estas redes, Illumio aplica la microsegmentación, utilizando los firewalls ya integrados en los dispositivos para hacer cumplir las políticas de tráfico que minimizan las posibilidades de movimiento lateral a través de las redes. El movimiento lateral es la migración de malware o usuarios no autorizados a través de una red para descubrir activos de alto valor o para instalar malware como ransomware en preparación para un ataque disruptivo. Al cerrar puertos y direcciones innecesarios en dispositivos de TI y OT, los equipos de seguridad pueden evitar que se produzcan movimientos laterales. Incluso si un solo dispositivo o un pequeño grupo de dispositivos se ve comprometido, los atacantes se quedarán atascados y no podrán moverse más lejos a través de la red.

Si los equipos de seguridad intentaran configurar manualmente estos firewalls a mano, probablemente encontrarían un trabajo lento. Además, es probable que tengan que cerrar las redes OT críticas para el negocio, y el cierre de esas redes podría incluso crear más trabajo si las direcciones IP y las configuraciones de enrutamiento de red tienen que cambiarse como parte del proceso de cierre y reinicio de las redes.

Illumio optimiza y automatiza este trabajo al proporcionar herramientas que los equipos de seguridad y los líderes de TI pueden usar para definir políticas para las comunicaciones de red de dispositivos OT y TI. Una vez definidas las políticas, pueden distribuirse rápidamente a los dispositivos y aplicarse. En un día, incluso una red empresarial grande y compleja puede ser mucho más fácil de monitorear y mucho más segura. Y este trabajo se puede realizar sin tener que apagar redes o reconfigurar firewalls de red o tablas de enrutamiento.

En términos del Modelo Purdue, Illumio proporciona microsegmentación y seguridad para los Niveles 3, 4, DMZ y superiores para el entorno OT. Illumio impide el movimiento lateral dentro de cada uno de estos niveles. También evita que los atacantes muevan estos niveles hacia el entorno de OT.

Illumio ayuda a las empresas que ejecutan entornos OT de las siguientes maneras:

Visibilidad instantánea de las redes de TI y OT

Illumio hace que sea fácil descubrir cómo los dispositivos se comunican entre ellos. ¿Qué usuarios están accediendo a qué aplicaciones y servicios? ¿Qué puertos están abiertos? ¿Qué protocolos están en uso? La recopilación de estos detalles es el primer paso para comprender los riesgos del posible movimiento lateral y para elaborar políticas para evitar que se produzca ese movimiento.

Microsegmentación para redes de TI y OT

Illumio proporciona visibilidad basada en el riesgo en las redes, de modo que las empresas pueden definir, crear, distribuir y hacer cumplir políticas que permitan que sólo el tráfico legítimo requerido para el negocio pueda atravesar la red. Al facilitar a los equipos de seguridad el uso de firewalls basados en host para bloquear los puertos y protocolos de los que depende el ransomware, Illumio ayuda evitar que el ransomware se propague. Además, Illumio puede contener infecciones de ransomware segmentando rápidamente los dispositivos infectados del resto de la red. La contención automatizada permite a las empresas evitar que el ransomware se propague incluso cuando los dispositivos afectados se encuentran en ubicaciones remotas.

Microsegmentación para redes OT

Illumio proporciona esta misma visibilidad y segmentación basadas en el riesgo para las redes OT. Por ejemplo, el equipo de OT puede usar Illumio para particionar VLAN de OT según lo recomendado por el modelo Purdue, estableciendo una DMZ lógica entre las capas de red de TI y OT y permitiendo que ciertos dispositivos OT se comuniquen únicamente con otros dispositivos OT de confianza. Esto proporciona una segmentación más granular que está disponible solo con las VLAN. También permite que las políticas de microsegmentación aprovechen la inteligencia de amenazas y las evaluaciones de vulnerabilidades continuamente actualizadas disponibles a través de Illumio.

Si Illumio detecta un nuevo tipo de amenaza dirigida a dispositivos OT, las empresas pueden ajustar sus políticas y actualizar sus dispositivos rápida y fácilmente, evitando que ese tipo de ataque llegue a sus redes. Además, la capacidad de Illumio para contener automáticamente los ataques cuando se detectan evita a las organizaciones la molestia de enviar técnicos a sitios remotos para desconectar manualmente los dispositivos afectados. En lugar de respuestas de “camión en rollo” que le dan al ransomware suficiente tiempo para propagarse, la contención automatizada de Illumio puede “encajar” rápidamente los ataques en cuestión de minutos, minimizando el daño del ransomware u otros tipos de malware y manteniendo los dispositivos OT funcionando normalmente.

Asegurar el puente entre las redes de TI y OT

Al proteger las redes de TI, Illumio evita que los ciberataques utilicen redes de TI para llegar a las redes OT. Illumio detiene los ataques que han sido diseñados para atravesar redes de TI para encontrar objetivos de OT. Illumio también puede evitar que el tráfico sospechoso de las redes OT llegue a los dispositivos de TI.

Para obtener más información:

• Echa un vistazo a este Illumio Core vídeo.
• Ver Illumio visibilidad en acción.