Los procesos de fabricación actuales, en su mayor parte, involucran sistemas estandarizados en capas con reglas de producción detalladas, pautas y supervisión regulatoria. 

Si bien la conexión de procesos, redes y aplicaciones de la planta promete generar importantes beneficios económicos para los fabricantes, esta interconexión también crea nuevas superficies de ataque de amenazas cibernéticas, incluida la posibilidad de problemas de seguridad, interrupciones operativas y tiempo de inactividad, y daños físicos costosos a equipos y productos.

La mayoría de los sistemas operativos no pueden respaldar las mejores prácticas de seguridad de IT. No se pueden parchear de forma rutinaria, ejecutan versiones obsoletas de los sistemas operativos y sus redes de host permiten un movimiento sin restricciones para el malware y los atacantes humanos. 

En algunos casos, las conexiones a la red corporativa proporcionan un camino hacia OT a través del movimiento lateral. Los diferentes protocolos y sistemas utilizan redes empresariales y la tecnología operativa de la planta, lo que dificulta su seguridad.

Es un hecho aterrador que el 86% de los ataques en la fabricación sean dirigidos y planificados.

A lo largo de los últimos años las instalaciones industriales han sido víctimas de ataques sofisticados en la fabricación. 

Surgen los piratas informáticos de élite: bien financiados y altamente capacitados, lo que hace casi imposible que todas las empresas de fabricación se protejan.

Esperar que no sea un objetivo no es una medida de seguridad proactiva. Los atacantes también están recurriendo a la inteligencia artificial (IA) y al aprendizaje automático (ML, de sus siglas en inglés, Machine Learning) para hacer parte del trabajo analítico pesado por ellos.

Los estudios muestran que el 60% de los ataques cibernéticos todavía provienen del interior de la empresa. Las mayores amenazas para la industria manufacturera son, sin lugar a duda, los ataques dirigidos a los entornos ICS ( de sus siglas en inglés, Incident Command System). 

Los atacantes se apoderan de los sistemas críticos en estos entornos y exigen un rescate por las claves de desbloqueo para que las cosas vuelvan a la normalidad. Las víctimas, generalmente pagan las “tarifas” porque son menos costosas que una interrupción prolongada. 

El siguiente conjunto de objetivos incluirá servicios de infraestructura social vitales que aún no han sido realmente el objetivo de ataques de ransomware (secuestro de datos) generalizados. 

Los ciberdelincuentes saben que cualquier ataque que pueda causar tiempo de inactividad en estos entornos recibirá una atención rápida, y el secuestro de datos es probablemente el menor esfuerzo en términos de apuntar a una entidad específica.

¿Qué podemos hacer para proteger mejor la fabricación en una industria?

Hay que ser conscientes que a medida que pase el tiempo los ataques serán inminentes. También reconocer que nuestra industria es enorme. Una comprensión clara de los problemas es primordial. 

En el caso de que exista una actividad sospechosa, se necesitará apoyo de expertos y profesionales involucrados, para proporcionar información invaluable sobre los detalles de la actividad sospechosa. 

Los detalles también, por supuesto, se incorporarán a la decisión final de si alguna actividad sospechosa califica o no como una infracción o ataque exitoso. 

A lo largo de los años, esta experiencia ha demostrado estar más allá de las capacidades normales del personal de IT típico, por lo que es una inversión que vale la pena.

Más allá de la ciencia forense (Ciencia que ayuda a identificar las vulnerabilidades de la red y luego desarrollan formas de mitigarla), una empresa también debe tener ojos externos en su postura de seguridad. Esto también demostrará con el paso del tiempo, que será una inversión amortizada.

Protección OT activa

Agregar seguridad a un entorno de producción, sin violar las restricciones de latencia limitadas que el entorno debe cumplir, no es fácil. 

Las redes Ethernet de hoy en día operan dentro de límites donde el flujo de tráfico de datos es indeterminado. Esto significa que los dispositivos de seguridad que intervienen pueden retrasar la transmisión de datos y, en general, los retrasos son aceptables. 

Las redes IIoT / OT no tienen tal lujo, pero necesitan funcionalidad de seguridad para proteger adecuadamente sus recursos y productividad. Es un gran y único desafío encontrar ese término medio.

El impacto de la acción protectora activa, o la falta de ella, está creciendo rápidamente. La visibilidad sigue siendo valiosa, pero en algún momento será necesario que se aplique una aplicación activa para asegurar realmente los recursos en la fabricación (y la mayoría de los demás entornos de IIoT para el caso). 

Cuando la utilidad de la visibilidad disminuya y la aplicación real de las reglas de bloqueo se lleve a cabo en una red, veremos un impacto positivo. El desafío es; ¿Cuánto impacto puede tolerar una organización, de modo que exista una protección real, sin interrumpir la productividad? Es un desafío serio y una respuesta no sería capaz de adaptarse a todos los modelos.

A medida que avanzamos, aplique la paranoia saludable. Verifique en cada paso. “NO” puede confiar en que sus socios mantengan sus datos seguros. Esto no pretende ser una excavación negativa para ningún socio, pero no hay forma de que sepa realmente si sus socios llegarán tan lejos como usted quiera, para asegurar sus propios recursos. 

Vale la pena invertir en evaluaciones objetivas de terceros realizadas por expertos calificados. Asegúrese de que sus socios tengan el mismo nivel de responsabilidad con respecto al resultado de dicha evaluación. La protección de la infraestructura crítica requiere seguridad OT activa.

Opertek, por ejemplo, ofrece seguridad OT industrial, basada en un motor de políticas común que proporciona inspección de contenido profundo bidireccional, reensamblaje de contenido inteligente, detección de anomalías de comportamiento basada en el contexto y la aplicación de inteligencia de amenazas de terceros externa, apoyados en Bayshore.

Bayshore es la única solución de seguridad de OT que puede colocarse en línea junto a cualquier activo de OT y proporcionar protección y aplicación de políticas automatizadas.

Adicionalmente,  puede capturar y reconstruir sesiones en vivo para identificar transferencias de archivos, detalles completos sobre el contenido / carga útil del mensaje, señales contextuales para el intento de ofuscación, para una amplia variedad de protocolos nativos de redes OT, incluyendo -en ciertos casos- soporte para transportes encriptados.

Estos dispositivos, funcionan lo más cerca posible de la velocidad del cable, proporcionando un filtrado en tiempo real de cargas útiles de protocolo OT, conocidas y aceptables, lo que permite que las instrucciones en el rango continúen, a la vez que aísla los mensajes anómalos y alerta a los operadores para que investiguen las causas raíz.

Para obtener más información sobre productos que puedan salvar de un ciberataque tu industria, contacte con nosotros por aquí.