La importancia de una zona desmilitarizada industrial en un mundo sin perímetros

Durante la última década, en algún momento, todos los fabricantes tuvieron dificultades para encontrar la mejor forma de proteger su sistema de control industrial (ICS) y los datos, la ingeniería, las tecnologías y los productos que este constituye. Un ICS se debe comunicar con los sistemas empresariales, pero con la evolución del paradigma de la seguridad de red, ¿cómo pueden los fabricantes mantener el ritmo?

La cadena de suministro, la gestión energética, las pruebas de laboratorio, el mantenimiento, la recolección de datos de normativas y los sistemas empresariales de gestión de la productividad necesitan datos de los sistemas de fabricación. Las tecnologías y los protocolos subyacentes que estos sistemas utilizan para recuperar los datos involucran varios tipos de bases de datos, servidores web, acceso remoto y transferencias de archivos. Por lo tanto, el mejor método para proteger un ICS de los riesgos de seguridad de los sistemas empresariales es la creación de un límite de seguridad que separe los sistemas empresariales del ICS, que se conoce como la zona desmilitarizada industrial (IDMZ).

¿Qué es una zona desmilitarizada industrial?

Una IDMZ es un límite que existe para la creación de un búfer dentro de una instalación de fabricación o procesos entre los sistemas empresariales y los sistemas de control industrial, los cuales tienen distintos requisitos de seguridad y no se tienen confianza inherente entre sí. Este límite utiliza controles de seguridad de red y de aplicaciones para gestionar el flujo de datos entre las zonas sin confianza.

Hace años, la ciberseguridad existía en un entorno completamente “amurallado”, desde el punto de vista físico. Luego, en 2006, sin previo aviso en ese momento, se creó una nueva forma de almacenar datos. Desde ese entonces, la nube pública, una infraestructura de red y servidores proporcionada por terceros que se ofrecía a través de Internet (AWS, Microsoft Azure, Google Cloud e IBM Cloud), fue cambiando la manera en que las organizaciones de Tecnología de la Información (TI) almacenaban los datos y gestionaban sus cargas de trabajo de procesamiento. Ahora, muchas organizaciones de TI utilizan una nube híbrida que combina los servicios de la nube pública con la infraestructura del servidor local. A medida que la infraestructura de red pública y la nube pública se vuelven más confiables, se subcontratan cada vez más almacenamiento y procesamiento a proveedores de servicios de nubes públicas de terceros.

En retrospectiva, era inevitable que la nube pública se convirtiera en el método de almacenamiento de preferencia de las organizaciones de TI. Durante un tiempo, las salas grandes de servidores se reservaban para racks de servidores físicos de gran tamaño. Las paredes de esas salas conformaban casi la totalidad de la seguridad de la TI: el cortafuego del perímetro. La nube híbrida no solo redujo la necesidad de espacio de almacenamiento para servidores físicos, sino que también superó en tamaño a esas salas mediante la virtualización. El cortafuego aún existe; sin embargo, si gran parte o la totalidad de las cargas de trabajo de procesamiento y almacenamiento de datos se encuentra por fuera del cortafuego, ese perímetro ya no es suficiente. Para poder adaptarse a los límites cambiantes del perímetro y a las amenazas de seguridad nuevas debido a la exposición a Internet cuando se accede a la nube pública, se diseñó un paradigma de seguridad nuevo: el modelo de confianza cero.  

¿Qué es un modelo de confianza cero?

El modelo de confianza cero maximiza el principio de privilegio mínimo, según el cual solo se otorga la cantidad mínima de derechos necesarios para realizar una tarea a un usuario o un sistema. Este principio adopta una postura de desconfianza y solo permite el intercambio de datos o la comunicación entre dispositivos si el usuario, los datos, la computadora y el lugar cuentan con permiso. Esto se diferencia del modelo antiguo de “confiar en todo lo que se encuentre en mi zona” y adopta un modelo que consiste en desconfiar de todo a menos que se pueda verificar de varias maneras.

El panorama de amenazas del ICS está evolucionando. Los ataques de ransomware a gran escala, como WannaCry, NotPetya de identidad falsa y los ataques dirigidos a las infraestructuras críticas que utilizan malware como Crash Override, Triton o LookBack se están volviendo cada vez más comunes. Los ambientes de ICS y sus administradores, de forma consciente o no, siempre dependieron en gran medida de la seguridad del perímetro de TI. Incluso para quienes cuentan con una IDMZ, la seguridad del perímetro de TI era la primera línea de defensa frente al mundo. La IDMZ era la última línea de defensa.  A medida que desaparezca el perímetro de TI, puede que se convierta en la única línea de defensa.

¿Puede un ambiente de ICS adoptar el modelo de confianza cero?

No es tan sencillo. Un ambiente típico de TI puede ser complejo, pero compartirá algunos aspectos en común:

• Hardware estándar de computadora con un plan de ciclo de vida
• Un sistema operativo estándar al que se le aplican revisiones de forma rutinaria
• Herramientas estándar de software empresarial de oficina
• Una solución compatible de gestión de identidades y accesos para los usuarios y los activos
• Métodos compatibles y actualizados para que los activos se identifiquen y se defiendan frente a un ataque

Un ambiente de ICS consta de cientos de tipos de productos diferentes de varias generaciones fabricados por una gran variedad de proveedores que se comunican mediante distintos protocolos. Todos ellos son plataformas únicas de hardware que utilizan sus propios firmware y software personalizados. Incluso las soluciones de solo software son compatibles únicamente con sistemas operativos muy obsoletos y, en muchos casos, con sistemas operativos que ya no se admiten. Incluso si un sistema utiliza un sistema operativo que aún recibe revisiones, el personal del ICS siempre se mostrará reticente a hacerlo por miedo a que la implementación de una revisión genere tiempo improductivo; estas preocupaciones tienen fundamentos.

Por lo tanto, para que un ICS exista “de forma segura” en un modelo de confianza cero, los activos del ICS deberán lograr la autopreservación de la misma manera que los activos comunes de TI. Examinemos todos los cambios a las plataformas y las tecnologías de sistemas de control que se necesitan para lograr esto:

• El modelo de confianza cero cambia inmediatamente el bit de 1 a 0.
• En este momento, los dispositivos de ICS confían en todo lo que se pueda comunicar con ellos. No tienen forma de verificar el usuario, el dispositivo, el lugar, la razón por la que un activo se comunica con ellos ni a qué objetos se está accediendo. Desde su extremo, no tienen forma de verificar cuándo inician una conexión.
• La mayoría de los dispositivos de ICS no cuentan con mecanismos de autentificación, ni con reglas, registros ni gestión cuando lo hacen.
• No tienen forma de detectar que están siendo atacados o si algo se intenta comunicar con ellos de forma inusual.
• No existen tecnologías de comportamiento que puedan identificar un comportamiento nunca antes visto ni analizar las consecuencias de múltiples acciones.
• Sin mencionar que se necesita un cambio cultural.

Por ejemplo, incluso si un dispositivo de ICS requiere una autentificación mediante el modelo común de nombre de usuario y contraseña, el dispositivo se configurará con las credenciales más simples posibles, se compartirá entre todos y la sesión quedará abierta de forma permanente. Todos los aspectos del ICS deberán cambiar, desde las tecnologías y las destrezas que se requieren del personal de la planta hasta la cultura de la seguridad, el monitoreo y la gestión. Además, se debe realizar este cambio sin generar ningún impacto en la producción.

Los desafíos de las IDMZ

No todas las compañías están preparadas para invertir en una IDMZ: puede resultar difícil de diseñar y de integrar en los sistemas existentes de OT y TI. A fin de diseñar e implementar una IDMZ, se necesita una compresión de nivel experto en las siguientes áreas:

• Seguridad de red
• Plataformas de cortafuegos y listas de control de acceso
• Tecnologías de servidor virtual
• Reforzamiento del sistema
• Seguridad de las aplicaciones
• Protección y funcionalidad del dominio
• Métodos seguros de transferencias de datos y archivos
• Métodos seguros de acceso remoto
• Y la lista continúa…

La IDMZ debe estar controlada por un equipo en el que todos cuenten con los mismos conocimientos expertos de estos aspectos para poder mantener la infraestructura, aprobar los cambios en la red y responder a las amenazas de seguridad, lo cual aumenta la dificultad.

Si bien el recorrido hacia una IDMZ no es simple ni poco costoso, vale la pena realizar el cálculo para determinar si es la solución adecuada para usted. ¿Los costos relacionados con la IDMZ son menores al costo de lo que protege? Si la IDMZ protege todo su ICS, sería una muy buena inversión. Si se tienen en cuenta las crecientes amenazas a los ambientes de ICS extremadamente vulnerables, en realidad es la única protección completa que está disponible en este momento para su ICS.

Los sistemas de control industrial aún no son lo suficientemente maduros como para existir con una tolerancia razonable a los riesgos de seguridad en un mundo sin perímetros. Se recomienda la defensa en profundidad. Sin embargo, hasta que estos dispositivos puedan protegerse a sí mismos e interactuar con sistemas de protección externos, la mejor opción de defensa para los sistemas de control industrial sigue siendo una IDMZ. Por ahora, la “muralla interna” que refuerza una IDMZ debe conservarse.

Obtenga más información sobre cómo Rockwell Automation puede ayudarlo a crear y mantener una IDMZ como parte de un enfoque de defensa en profundidad para la seguridad de la red.