Loading

Blog

Recent ActivityRecent Activity

Proteja sus operaciones con la detección proactiva de amenazas

Main Image

Ya dispone de un sólido programa de seguridad industrial. También ha saneado sus sistemas aplicando las medidas apropiadas de ciberhigiene y ha implementado sistemas de detección de intrusos para evitar futuros incidentes. Sin embargo, en el complejo mundo de la ciberseguridad, eso no es suficiente.

Y no lo es porque, a pesar de todos sus esfuerzos, las amenazas avanzadas persistentes (APT, por sus siglas en inglés) latentes, deberían seguir preocupándole. Se trata de amenazas que, muy lentamente, continúan su labor en busca de grietas en su protección para extraer datos y atascar sus operaciones. Y, por desgracia, la detección de intrusiones no es suficiente para acabar con esta actividad.

Está listo para la detección de amenazas

La detección de amenazas es uno de los pasos siguientes que, en buena lógica, debe dar su programa de ciberseguridad. En su forma más simple, se trata de buscar amenazas externas o intrusiones en la red que los sistemas de seguridad automatizados no hayan sido capaces de detectar. Se trata de un ejercicio escalable que puede realizarse con varios grados de automatización. De hecho, también se puede realizar de forma completamente manual.

Y no solo puede proteger mejor sus recetas y su información, sino que también ofrece un gran potencial para mejorar la eficiencia de sus operaciones. Se trata de una práctica conocida en el mundo de IT que también se está abriendo camino en los entornos de OT. Entornos a los que la fabricación de alimentos y bebidas puede sacar partido especialmente.

La detección de amenazas es proactiva y se sitúa un paso atrás respecto a las herramientas de análisis y la infraestructura ya instalada, aunque esta sea de última generación y disponga de mecanismos para atrapar a los intrusos. En una era tecnológica como la nuestra, esta técnica utiliza la inteligencia para descubrir actividad maliciosa e infiltraciones que pueden haberse ocultado en su red durante meses, tal vez años. Y, no solo eso, también puede encontrar correlaciones entre la actividad de red y las ineficiencias en la fabricación imposibles de detectar de ninguna otra manera.

Infiltraciones que causan problemas de forma inesperada

¿Problemas con la mezcladora? ¿Los HMI se bloquean? ¿Las impresoras de etiquetas producen errores?

Todos estos incidentes pueden tener su origen en algo tan común como un operador cargando su teléfono sin protección en un puerto USB abierto de la red. Algo que pasa inadvertido y que, sin embargo, provoca que meses después, el horno funcione de forma irregular o no sea capaz de mantener los parámetros establecidos, aunque no tenga ningún problema mecánico.

No obstante, si se revisan los registros de red con cuidado se podría descubrir que cuando el horno funciona mal, se envían datos a una dirección IP ajena a la red. Se trata de una correlación que no se puede detectar sin dicha revisión, de ahí el factor humano sea básico en la detección de amenazas y esta técnica resulte tan valiosa.

Por ejemplo, una vez visité una planta de producción que sufría ralentización en su red en un turno determinado. Y, gracias a la detección proactiva de amenazas, descubrimos que la estación de trabajo de uno de los empleados ejecutaba un Bit Torrent sin detectar. Ese era el motivo por el que, todos los días, cuando este se conectaba al comienzo de su turno, el rendimiento de toda la red se veía afectado.

¿Por qué los sistemas de detección de intrusiones no identifican todo este malware oculto?

La mayoría de los problemas que desvela la detección de amenazas parecen datos normales que, sin contexto ni correlación, son capaces de superar los sistemas de detección. Cualquier malware puede comunicarse con una dirección IP desconocida, pero esa conexión parece similar al tráfico de internet habitual.

También podría escanear los puertos de los periféricos, más allá de los límites en los que su software de seguridad suele buscar. Normalmente, son programas que se instalan sin hacerse notar y que buscan lentamente un agujero en la red. Como sus conexiones no se rechazan (el escaneo de puertos no lo hace) ni tampoco conectan con sistemas externos, siguen siendo indetectables.

En un ejercicio de detección de amenazas, podría descubrir que, en un proceso que no debería salir a internet, se está produciendo una conexión externa. O encontrar un sistema que, cuando genera la comunicación, no se está utilizando, lo que indicaría que el origen de dicha comunicación está infectado.

La cuestión es que estas APT probablemente ya estuvieran en su red cuando implementó su sistema de ciberseguridad. Como la mayoría de los programas de prevención y detección de intrusiones dependen de que el estado de la red sea conocido y correcto, cuando la red ya contiene tráficos maliciosos o actividad de malware, estos se incorporan como parte de los patrones habituales. La mayoría de las brechas de seguridad más conocidas se ajustan a esta categoría. Son amenazas que solo se detectan años después de que se haya producido la brecha, cuando los daños ya son una realidad.

Cómo comenzar

La buena noticia es que es probable que ya disponga de lo que necesita para empezar con la detección de amenazas. Esta técnica es fácil de implementar con el socio adecuado. Además puede tratarse de un trabajo puntual o formar parte de un programa de seguridad en marcha. Sus HMI y sus servidores ya generan registros de actividad que puede recopilar y analizar offline para no sobrecargar la red o interrumpir la fabricación.

Así que deje de depender únicamente de la protección de terminales o de los antivirus para saber si su red es vulnerable y empiece a detectar las posibles infiltraciones antes de que tengan impacto sobre su planta.


Pascal Ackerman
Pascal Ackerman
Senior Consultant of Industrial Cyber Security, Rockwell Automation
Pascal Ackerman
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recomendado para usted