Fri. Sep 30th, 2022

En las últimas décadas, hemos visto cómo las ciberamenazas han evolucionado de herramientas a armas inteligentes, ampliando su alcance como botnets que se convierten en amenazas persistentes avanzadas y cadenas letales. A medida que IoT madura, el enfoque en la guerra cibernética se ha centrado en proteger los dispositivos. La TI tradicional y la tecnología operativa (OT) están convergiendo, y los profesionales de la ciberseguridad deben explorar mejores formas de proteger ambos dominios.

Un panorama de amenazas en evolución

El panorama de las amenazas ha cambiado drásticamente y los ataques son cada vez más sofisticados. Los malos actores pueden lanzar ataques coordinados que atacan la infraestructura clave. Los atacantes del estado-nación lanzan ataques de ransomware que utilizan criptografía armada. El malware se propaga desde los actores de amenazas hasta los sensores, controladores y actuadores. A medida que los ataques se vuelven más complejos, los entornos industriales son cada vez más vulnerables. La mayoría de los dispositivos brownfield y greenfield en estas implementaciones carecen de resiliencia cibernética por diseño, lo que deja a las organizaciones sin preparación. ¿Qué distingue a las amenazas en 2022 de los ataques anteriores? Fundamentalmente, la diferencia es que los piratas informáticos de hoy tienen una mejor comprensión de cómo eludir los controles de detección y prevención. La seguridad de TI tradicional se creó centrándose en examinar el tráfico de la red y utilizar firewalls basados ​​en reglas, inteligencia de amenazas y detección de anomalías e intrusiones basadas en políticas. Es un desafío adaptar estas estrategias de seguridad de TI para OT, ya que los dispositivos y los humanos tienen vulnerabilidades dramáticamente diferentes. A diferencia del comportamiento predecible de los dispositivos, la psicología humana es más difícil de abordar de manera proactiva.

Alinear la seguridad con las tendencias de la industria

La protección de dispositivos requiere un enfoque basado en una plataforma horizontal de confianza transitiva, junto con un pilar vertical de confianza integrada. Para una estrategia efectiva, las organizaciones deben alinear la seguridad con varias tendencias de la industria. 1. Transformación digital La transformación digital para dispositivos IoT aplica IA y aprendizaje automático (ML) para mejorar la eficiencia operativa y la privacidad digital, además de permitir el intercambio de datos. La IA requiere inteligencia tanto en la red como en los dispositivos para respaldar la continuidad y la integridad del tiempo de ejecución de los servicios en aplicaciones industriales impulsadas por la automatización. ML ofrece eficiencias operativas, ya que genera observaciones para modelos de razonamiento abductivo basados ​​en evidencia, mantenimiento basado en condiciones para una vida útil más larga y telemetría para mejoras de calidad e innovaciones de diseño. 2. Seguridad de confianza cero Un modelo de confianza cero para la seguridad aplica un desafío de volumen, velocidad y variedad para aplicaciones de línea de negocio de baja latencia y en tiempo real. El volumen se refiere a dispositivos, claves criptográficas y certificados para la identificación y autenticación de dispositivos. Velocity se refiere a la automatización para respaldar las medidas de protección para la transferencia de propiedad, así como la gestión del ciclo de vida de claves y certificados. Los modelos de confianza cero también admiten una variedad de algoritmos criptográficos globales, utilizando una capa de abstracción y un uso restringido de claves. 3. Confianza en la cadena de suministro Crear confianza en la cadena de suministro es la tercera tendencia clave. La superficie de ataque de la cadena de suministro es muy elástica, con muchas brechas de visibilidad. Los puntos ciegos pueden variar desde instalaciones de fabricación de silicio hasta OEM, propietarios y operadores de dispositivos y dispositivos conectados. La protección requiere una cadena de confianza horizontal que comience en la raíz de la confianza, con identificadores emitidos por el propietario del dispositivo y el fabricante, así como el uso de claves criptográficas basadas en el principio de privilegio mínimo. La seguridad de la cadena de suministro también requiere una oferta de software configurable y una autoridad certificadora (CA). Estas ofertas no deberían requerir una plataforma en la nube o bloqueo de CA para facilitar la migración y optimizar la gestión de costos. 4. Las iniciativas de inteligencia artificial de gemelos digitales también admiten gemelos digitales para mejoras de calidad e innovación de diseño que se basan en la telemetría y la sincronización de estado. Las organizaciones deben cerrar las brechas de seguridad entre los sistemas virtuales y físicos. También deben tomar medidas para evitar que los piratas informáticos pongan en peligro el gemelo digital virtual, lo que podría permitirles exponer el sistema físico real. Las organizaciones también deben habilitar la sincronización basada en eventos, con transferencia regular de datos precisos y resistentes a la manipulación con baja latencia. Los equipos de TI sincronizan el estado de configuración para garantizar la confiabilidad con la certificación de la plataforma y coordinan las actualizaciones de software con la procedencia de la cadena de suministro. 5. Seguridad de aplicaciones por diseño Las aplicaciones de línea de negocio deben integrar medidas de seguridad desde el principio. Su diseño debe cumplir con los requisitos de cumplimiento y los objetivos de gestión de riesgos, desde sensores y actuadores con recursos limitados hasta controladores y puertas de enlace perimetrales que se extienden al ciberespacio. Como parte de esta seguridad por diseño, las aplicaciones deben incluir controles de protección para la privacidad y protección de datos, autenticación de dispositivos, recuperación remota y monitoreo de integridad.

Un enfoque ecosistémico

En entornos OT, el modelo de riesgo se basa en consideraciones de cumplimiento, seguridad y protección. A diferencia de las amenazas, cada riesgo tiene un costo y un beneficio medibles. Por ejemplo, una clave de fábrica comprometida podría resultar en un retiro del mercado del dispositivo o en un camión para remediar el problema. Los piratas informáticos están familiarizados con la mayoría de las herramientas y métodos de detección y prevención. Dado el volumen de eventos con una baja relación señal-ruido y el costo del análisis forense posterior a la filtración para generar inteligencia de amenazas, las estrategias de ciberseguridad tradicionales simplemente no son sostenibles. A medida que maduran los casos de uso de IoT, los ecosistemas de TI y OT requieren una estrecha alineación. La seguridad OT reúne centros de operaciones de red, centros de operaciones de seguridad (SOC), sistemas de gestión de dispositivos (DMS) y sistemas de gestión de aplicaciones. Las organizaciones deben tratar de brindar a los operadores de SOC resistencia a la manipulación de la cadena de suministro, inteligencia de dispositivos e indicadores de riesgo para el mantenimiento remoto y la recuperación de dispositivos OT. Para los operadores de DMS, las capacidades como los identificadores de dispositivos autenticados para la incorporación segura, la protección en el dispositivo de artefactos criptográficos, la secuencia de arranque segura y las opciones de monitoreo de integridad ofrecen una protección completa. El ecosistema de IoT, los flujos de trabajo y las tecnologías en su base requieren una mentalidad de colaboración que se extienda desde el proveedor de silicio hasta los fabricantes, operadores y proveedores de servicios para prevenir y difundir los ataques cibernéticos.
Sobre el Autor
Srinivas Kumar es vicepresidente de soluciones IoT en DigiCert, líder en seguridad digital. En este rol, Kumar diseña soluciones para acelerar la convergencia de TI y OT en los mercados emergentes. Kumar publica con frecuencia artículos sobre transformación digital, contribuye a los estándares de seguridad cibernética y habla en conferencias de la industria sobre la seguridad de las aplicaciones por diseño para proteger los dispositivos brownfield y greenfield conectados.