Incorporar la intuición a la supervisión de la seguridad OT/IoT en entornos industriales

La evolución de las tecnologías que nos preocupan en OT/ICS comenzó con la conectividad en las instalaciones entre los sistemas, a menudo utilizando ethernet para conectar múltiples equipos y, frecuentemente en ubicaciones remotas, y la expansión de las arquitecturas SCADA. Y, siguiendo la evolución natural, están adoptando cada vez más las tecnologías en la nube.

Algunos sectores están experimentando auténticas revoluciones tecnológicas, cambiando los principios de las operaciones e introduciendo dispositivos cada vez más inteligentes y conectados. Otros, sin embargo, están volviendo a centrar su atención en los sistemas industriales, que suelen ser heredados, complejos, difíciles de sustituir (y costosos, no lo obviemos), reforzando sus enfoques de seguridad en un renacimiento de enfoques ilustrados para dar solución a un conjunto de problemas difíciles.

Esta evolución ha traído consigo oleadas de complejidad para la comunicación a través de los niveles y zonas del modelo Purdue y nuevas capas de gestión centralizada sobre muchos nodos y sistemas descentralizados con características limitadas de seguridad integradas o habilitadas. En la práctica, esto implica miles de sistemas, zonas de seguridad, redes segmentadas, interfaces, tipos de datos y conductos.

El informe de tendencias del Consejo de Tecnología de Forbes de marzo de 2022 indica que los consejos de administración y los inversores ejercen más presión sobre los CISO para que aborden y mitiguen adecuadamente los problemas de ciberseguridad industrial y que muchos líderes de TI son cada vez, también, más responsables de la seguridad de OT. Además, Gartner y la Security and Exchange Commission de Estados Unidos han sugerido que los futuros requisitos de ciberseguridad deberían escalar a nivel de los consejos de administración y de los inversores para más empresas.

Desde el punto de vista gubernamental, los documentos de orientación para los entornos OT/ICS se están actualizando y varias agencias están considerando nuevas formas de permitir el intercambio de información y producir advertencias en y entre los sectores cuando puedan ser objeto de ataques o tienen nuevas vulnerabilidades descubiertas en sus sistemas.

Mientras tanto, se ha producido un aumento de los incidentes cibernéticos, tanto por motivos financieros como para causar interrupciones físicas, utilizando vectores y malware específicos de TI y OT. Sólo en una semana de mayo de 2022, la Cybersecurity and Infrastructure Security Agency de Estados Unidos publicó 27 avisos sobre sistemas de control industrial. El creciente número de vulnerabilidades explotables y el gran número de patrones de potenciales ataques ha revelado tres escollos:

1. Las empresas y los individuos están reaccionando en su mayoría a los incidentes de seguridad, en lugar de prevenir su severidad
2. La amenaza inminente de ataques altamente sofisticados, a menudo a nivel de Estado-nación, reduce la atención a la caza de amenazas a expensas de otros indicadores que vale la pena investigar
3. La ciencia de datos, en teoría, es útile para la seguridad, pero en la práctica no resuelven por falta de experiencia en entornos OT/ICS

Las tecnologías OT/ICS abarcan una amplia gama de máquinas y configuraciones, entre las que se incluyen bombas, compresores, válvulas, turbinas y equipos similares, HMIs y estaciones de trabajo, controladores lógicos programables y muchos sistemas de diagnóstico, seguridad, medición y supervisión y control que permiten o informan del estado de las variables, los procesos y las operaciones.

Como otros han detallado, diferentes sistemas se encargan de realizar, controlar, supervisar y analizar las funciones. Las posibles configuraciones de estos sistemas tienen un número potencialmente exponencial de permutaciones, aunque probablemente no tantas como los 43 quintillones de permutaciones posibles de un cubo de Rubik.

Estos sistemas, tradicionalmente diseñados teniendo en cuenta las necesidades de proceso y con un fin de continuidad, corren el riesgo de que su funcionalidad nativa sea objeto de ataques y secuestros en escenarios cibernéticos. La simplicidad de la funcionalidad nativa y de las comunicaciones se complica con los despliegues de sistemas y las variaciones programables o de configuración. Un solo controlador lógico programable puede ser diseñado y fabricado por varios proveedores diferentes, configurarse utilizando muchos tipos de lenguajes de programación y permitir comunicaciones de cientos de protocolos diferentes.

Simplificando, cualquier PLC de una media de 10 grandes proveedores, que utilice cualquiera de los 5 lenguajes de programación más habituales y uno o varios de los 12 protocolos de comunicación más comunes, tiene al menos 600 configuraciones operativas posibles. Si se utiliza una sola tecnología en todos los sectores de infraestructuras críticas, se obtienen al menos 9.600 permutaciones o configuraciones para un tipo de subsistema, de entre las muchas tecnologías en juego. Este ejemplo demuestra la rapidez con la que la normalización de las tecnologías y los productos y sus posibles escenarios de ataque se convierte en una tarea enorme.

Esta explicación es la base de la naturaleza determinista de los sistemas ‘construidos a propósito’ en OT/ICS, personalizados para todas y cada una de las operaciones. Esta naturaleza determinista también asegura que no hay dos ataques contra OT/ICS que sean exactamente iguales. Los puntos comunes más relevantes hasta la fecha son:

1. El uso frecuente de herramientas, comandos y otros elementos incorporados (contenedores, bibliotecas de código, etc.)
2. Potencial riesgo de los sistemas capaces de comunicarse con los dispositivos de campo o con otros sistemas de control para impactar en el proceso
3. Ejecución de ataques mediante el abuso de protocolos legítimos desde un equipo comprometido

Irónicamente, la mayoría de las tecnologías 'inteligentes' son relativamente limitadas en sus intentos de emular la inteligencia humana. Sin embargo, seguimos incorporando creencias sobre la inteligencia y el aprendizaje a las formas en que los humanos utilizan la tecnología para analizar la información. Mientras que la inteligencia se define como la capacidad de adquirir y aplicar conocimientos y habilidades, la intuición es la capacidad de entender algo, casi inmediatamente, sin comprender plenamente el razonamiento y se considera la forma más elevada de inteligencia.

Históricamente, la inteligencia humana se ha desarrollado con el auge y la caída de las civilizaciones. Por ejemplo, los humanos, en su mayoría, ya no cazan y recogen alimentos. En la sociedad, probablemente sabemos de dónde vendrá nuestra próxima comida, aunque necesitemos cierta ayuda para conseguirla. Tampoco somos ya cazados. También hemos adaptado nuestra intuición en el sentido más básico para aplicar el contexto y la conciencia de la situación para entender que un ruido procedente de los arbustos puede ser un depredador, pero es más probable que sea el viento.

Este elemento de intuición es el siguiente paso en la construcción de sofisticados sistemas de seguridad para entornos OT/ICS. Como humanos, construimos la intuición basándonos en el conocimiento tácito, adquirido a través de las experiencias vividas y el desarrollo personal y profesional. La naturaleza de los sistemas OT/ICS y sus subsistemas requiere traducir lo que sabemos en intuición para la seguridad.

En materia de seguridad seguimos acumulando conocimientos en forma de indicadores de compromiso (IOC). Los IOC “pueden ser tan simples como una dirección IP o un hash de archivo que alguien dice que es malicioso o indicativo de actividad maliciosa. Los IOCs representan comportamientos pasados ahora identificados con algún contexto”. Estos IOCs y las cadenas de código reconocible de malware conocidas incorporadas a la inteligencia de amenazas y a las herramientas de detección de seguridad son la base de muchos productos de detección de intrusiones.

Lamentablemente, estamos aprendiendo que muchos ataques e incidentes OT/ICS no proporcionan el tipo y el volumen de datos de telemetría para identificar los ataques nuevos con la suficiente antelación.Estos IOCs a menudo no capturan indicadores de configuraciones erróneas, mal funcionamiento o cambios accidentales que pasan desapercibidos. Estas salvedades en los resultados del mundo real solo se captan mediante la supervisión de los procesos y operaciones reales, además de las entradas y salidas de datos y comandos.

En los entornos y operaciones OT/ICS, el impulso de la industria 4.0 para la inteligencia y proceso de más datos ha llevado al desarrollo de soluciones como el mantenimiento predictivo y los gemelos digitales. Estas tecnologías suelen requerir cantidades masivas de inteligencia y datos de activos que pocos dedican los recursos necesarios para proporcionar, comprender y mantener. Los recursos limitados, la falta de competencia técnica, las lagunas de talento y experiencia y las comunicaciones aisladas son obstáculos notables para la adopción holística de estas capacidades. Sin embargo, las principales empresas de seguridad están captando la inteligencia de activos necesaria y utilizándola para crear productos intuitivos y de detección de anomalías.

La mayoría de las empresas de seguridad que se dedican a la detección de intrusos en este espacio se centran en la captura del tráfico de la red y la supervisión de la seguridad que evalúa y explora la actividad de las amenazas conocidas. Muchas incluyen herramientas de análisis para generar las tendencias presenciadas a través de la inteligencia de amenazas basada en reglas, para construir detecciones y alertas creíbles para los usuarios finales de las capacidades de detección de intrusiones. Se parte de la base de que estas detecciones basadas en reglas “tienen que hacer atribuciones en las que haya suficientes firmas y señales que permitan a los equipos de ciberseguridad señalar de dónde proceden los ataques”. *

Como han señalado los expertos, este tipo de recopilación, aplicación de reglas y análisis para OT/ICS tiene limitaciones. Dado que no hay tácticas, técnicas y procedimientos (TTP) “cortados y pegados” de los incidentes OT/ICS, la única manera de asegurar las operaciones es incluir comprobaciones de plausibilidad de los sistemas en juego. Esto implica la categorización y el análisis de las variables del proceso para las detecciones basadas en reglas que producen alertas sobre las anomalías del proceso en el mundo real, además de los datos basados en reglas, las comunicaciones y las posibles anomalías de seguridad.

En cambio, la seguridad es relativa al funcionamiento de todo el proceso u operación crítica que merece ser protegida. Los marcos a nivel de todo el sistema para entender los escenarios de riesgo y amenaza son una necesidad para este campo. Un marco sistémico “examina la dinámica a mayor escala, el riesgo sistémico inherente a Internet [donde se conectan los sistemas empresariales, el acceso remoto y muchos dispositivos inteligentes]. Este marco incluye tanto los efectos descendentes (como las normas técnicas inseguras) como los efectos emergentes y ascendentes del sistema (como la proliferación de dispositivos del ”Internet de las cosas")". Este enfoque es necesario para asegurar la OT/ICS y explorar toda la gama de posibles intrusiones, espionaje, ataques, interrupciones y accidentes.

El futuro de esta tecnología depende de dos realidades interdependientes: la dificultad de estandarizar los patrones de ataque en OT/ICS, y el conocimiento tácito caso por caso necesario para asegurar suficientemente cada operación en función de lo que se trata, produce, fabrica, bombea, ensambla, etc.

La siguiente ola de construcción de la intuición en la monitorización de la seguridad OT/ICS es el análisis de comportamiento que cubre el tráfico de comunicaciones y las variables del proceso simultáneamente:

• Para buscar amenazas maliciosas conocidas en las redes de comunicaciones
• Para interrogar a activos específicos para un análisis más profundo, con la debida precaución y control de calidad
• Construir cada vez más alertas personalizadas basadas en variables de proceso, además de alertas de inteligencia de amenazas, basadas en los procesos determinados por cada operación/entorno

Con una ‘mentalidad de asunción de infracciones’, los productos de seguridad deben centrarse en reducir la gravedad de los posibles impactos, no en responder a los peores escenarios después de que se produzcan. En lugar de proporcionar servicios de respuesta que busquen a los malos actores, las actividades maliciosas y las detecciones de amenazas conocidas basadas en una inteligencia limitada, la construcción de la intuición en la seguridad para las operaciones creadas requiere la personalización de las detecciones y los métodos de prevención para la operación o el usuario final.

Cuanto más eficientes seamos en la inteligencia de activos y en las detecciones de variables de proceso personalizables y en las comprobaciones de plausibilidad para los resultados del mundo real, más capaces seremos de aumentar la inteligencia de amenazas y las posturas de seguridad generales. Es más eficiente gastar recursos en esta personalización escalable que en las capacidades de respuesta a incidentes para los escenarios cibernéticos donde los impactos pueden ser limitados mediante la construcción de la intuición y el refuerzo de la conciencia de contexto. En Nozomi Networks hemos creado una amplia biblioteca de variables de proceso para aprender, alertar y crear líneas de base normales. Entendemos que la ciberseguridad OT/ICS no es un viaje ni un destino, sino una carrera de relevos constante.

* https://www-forbes-com.cdn.ampproject.org/c/s/www.forbes.com/sites/forbestechcouncil/2022/03/30/2022-trends-to-look-out-for-in-the-industrial-cybersecurity-industry/amp/