En una columna de marzo de 2021 en Revista Gerencia abarcamos las diferencias de enfoque de seguridad de red tradicional v/s el enfoque Zero Trust, donde analizamos la importancia de evaluar y aplicar cambios que nos permitan reforzar las infraestructuras por medio de la consideración del riesgo y los impactos que se asocian al negocio.
También consideramos las brechas de seguridad asociadas a la interacción de los usuarios con los procesos y tecnologías, la explotación de vulnerabilidades, y los beneficios que ofrece el enfoque Zero Trust, en los cuales se identifican principios basados en el uso exclusivo de los recursos por usuarios puntuales para propósitos específicos.
Listamos algunas consideraciones básicas para su implementación, teniendo en cuenta la variedad de soluciones tecnológicas existentes y las necesidades de protección que las compañías requieren, donde se establece un contexto singular a la hora de diseñar e implementar un ambiente que proporcione seguridad a los procesos de negocios, tecnologías y personas.
Desde nuestra experiencia en el campo, tenemos la certeza que mientras más tiempo dedicamos al análisis de redes donde no existan controles de seguridad robustos, habrá más posibilidades de descubrimiento y explotación de vulnerabilidades, generando un ambiente favorable a un atacante para profundizar su visibilidad, escalamiento y control de la red, lo que puede derivar en sustracción de información, ejecución de código malicioso y denegaciones de servicios, entre otros.
Para los ambientes TI, los riesgos ya son conocidos y hay bastante trabajo avanzado en la protección de sus recursos, abarcando desde la definición de políticas y procedimientos, y mejorando las capacidades de los equipos especializados. Sin embargo, en los casos de ambientes con Tecnologías Operacionales y el proceso de convergencia a redes TI, se está abriendo el camino a nuevos objetivos de ataque con una diversidad de factores que podrían favorecer actividades de ciberdelincuentes. Para comprender las razones, a continuación, se describen algunos de los puntos relevantes a considerar:
• Obsolescencia de Tecnologías Operacionales, ya que son tecnologías relativamente caras y difíciles de reemplazar.
• Carencias de diseño basado en seguridad, ya que habitualmente se da prioridad a implementar tecnologías para facilitar la operación y la seguridad; se confía en la segmentación de la red y en la delimitación de accesos.
• Proveedores o terceros que dan soporte a tecnologías y servicios y que interactúan con redes de tecnología operativa.
• Incrementos de ataques a sistemas de control industriales.
• Sofisticación de los ataques, por medio de técnicas y herramientas nuevas.
Si hiciéramos un contraste de nuestras observaciones de acuerdo con la encuesta de seguridad TO para Infraestructura crítica de SANS, realizada en 2022, sobre cuáles son los mayores desafíos de seguridad para tecnologías y procesos ICS / TO. Estos se clasifican como:
• La tecnología TO heredada y antigua debe integrarse técnicamente con los sistemas de TI modernos.
• Las tecnologías tradicionales de seguridad de TI no están diseñadas para sistemas de control y causan interrupciones en entornos TO.
• El personal de TI no entiende los requisitos operativos de TO.
• No hay recursos laborales suficientes para implementar los planes de seguridad existentes.
Como dato adicional y no menos importante, aproximadamente un 35% declaró al menos un incidente de seguridad en los últimos 12 meses.
Necesidades de negocio y de aplicar el enfoque Zero Trust
Es importante reconocer la complejidad que se tiene en los ambientes con Tecnologías Operacionales, los riesgos e impactos asociados hacen necesario contar con una postura de seguridad y visibilidad de las actividades realizadas en sus redes y poder identificar y responder a comportamientos anómalos de manera oportuna.
Si quisiéramos implementar el enfoque Zero Trust en plataformas TO, se debería tener en cuenta un modelo que se base en pilares que permitan identificar:
• Usuarios y dispositivos: Activos físicos, sistemas, sus identidades y privilegios mínimos necesarios, gestión de cifrado, mecanismos de monitoreo e identificación de dispositivos comprometidos.
• Aplicaciones: Identificación de aplicaciones críticas y privilegios disponibles, configuraciones de seguridad, puertos y servicios disponibles y no utilizados.
• Redes e infraestructuras: Sistemas accesibles y su ubicación, versiones de sistemas, segmentación de la red, elementos de seguridad y protección que permitan la identificación de anomalías, y soluciones con tecnologías de microsegmentación que permitan visualización en tiempo real de las actividades, monitoreo y análisis de actividades en red.
• Datos: Flujos de datos y canales de comunicación utilizados, y sistemas de protección de los datos en movimiento, reposo y en procesamiento.
Posteriormente, de acuerdo con los elementos identificados, se requiere establecer un gobierno que fortalezca las capacidades y procesos por medio de políticas y estándares, que faciliten la gestión de identidades, el control de los accesos, los segmentos y, que a su vez, permitan el monitoreo de las actividades que se realizan en red.
Como parte del enfoque se puede considerar la utilización de soluciones que permitan brindar análisis de la información como el caso de sistemas de correlación de eventos (SIEM), sistemas de protección de amenazas avanzados, mecanismos de análisis de comportamientos de usuarios (UEBA) y mecanismos de protección de fuga de datos (DLP).
Finalmente, tan importante como la identificación de comportamientos anómalos, es la contención y respuesta de estos por medio de la utilización de procesos y herramientas que permitan automatizar y orquestar la seguridad de la infraestructura, a través de la respuesta a la identificación de vulnerabilidades y amenazas, la gestión de incidentes de seguridad, mecanismos de automatización y orquestación de seguridad (SOAR) y soluciones de auto remediación.
