OPSWAT las infraestructuras críticas; sin embargo, esto no se limita a lo que los gobiernos definen como «infraestructuras críticas», sino a lo que usted considere crítico.
En el centro de esa infraestructura se encuentran los datos críticos, aquellos que garantizan un funcionamiento seguro, estable y continuo.
En los entornos de sistemasIndustrial (ICS) y de tecnología operativa (OT), estos datos reflejan las funciones y los procesos fundamentales de la empresa. Sin embargo, cuando se produce un ciberincidente, una de las principales prioridades pasa a ser la contención.
El dilema de la contención
El primer paso para contener el ataque consiste en aislar los sistemas afectados y cortar las vías de conectividad que podrían propagar el ataque. Las directrices de la CISA (Agencia de Ciberseguridad y Seguridad de las Infraestructuras) sobre la respuesta ante el ransomware, por ejemplo, recomiendan explícitamente aislar de inmediato los sistemas afectados y desconectar los dispositivos siempre que sea posible(1). Se trata de un consejo acertado, pero en entornos industriales puede plantear un dilema operativo:
| La seguridad requiere separación | Las operaciones necesitan transparencia |
|---|---|
| Detener el movimiento lateral | ¿Siguen funcionando los sistemas de forma segura? |
| Acabar con el modelo de mando y control | ¿Los sistemas son estables o se están desviando de los límites de tolerancia? |
| Evitar la propagación | ¿Cerramos o podemos seguir operando sin que se produzcan incidentes? |
Los diodos ópticos eliminan cualquier lugar a la duda
Un diodo de datos óptico permite a las organizaciones bloquear las vías bidireccionales, como cortafuegos, VPN, acceso remoto y relaciones de confianza, sin impedir que los datos de telemetría críticos salgan de la red. Este método ofrece un mecanismo para el seguimiento de los procesos, una mayor seguridad y una mejor toma de decisiones basada en datos en tiempo real.
Core
Aunque «cierres la puerta» entre la TI y la TO durante la contención, puedes dejar una «ranura» para que los datos de proceso de solo lectura salgan del entorno de la TO, todo ello sin proporcionar una vía de red para que vuelvan a entrar.
La contención, como parte de la respuesta ante incidentes (IR), se ajusta a las directrices de seguridad de la tecnología operativa (OT) establecidas desde hace tiempo por el NIST. El NIST señala que una alternativa al cortafuegos es una pasarela unidireccional o un diodo de datos que solo permita la comunicación autorizada y configurada en una dirección(2).
¿Qué pasa cuando todo se queda a oscuras?
¿Cómo se puede llevar a cabo la producción sin automatización ni infraestructura? Un ejemplo muy citado de «contención mediante desconexión» es el incidente de ransomware que sufrió Norsk Hydro en 2019, en el que la empresa cortó el acceso a la red para evitar la propagación y recurrió a procesos manuales durante un tiempo. El ransomware LockerGoga afectó sobre todo a algunas de sus plantas de procesamiento de aluminio, y el impacto financiero ascendería a más de 71 millones de dólares. El personal jubilado de las plantas, que conocía el antiguo sistema en papel, se ofreció voluntario para volver a las plantas y mantener la producción en marcha(3).
Es importante comprender este caso porque ilustra los costes operativos y financieros que conlleva la pérdida de conectividad digital y de visibilidad centralizada de los procesos automatizados durante la respuesta a incidentes. Fue la decisión acertada.
Visibilidad de nivel de decisión con contención
En muchas empresas industriales, la visibilidad de los procesos depende del flujo de datos procedentes de fuentes de tecnología operativa (OT), tales como:
- Servidores OPC UA (valores en tiempo real, alarmas, datos contextualizados)
- A los historiadores les gusta AVEVA PI (series temporales + eventos + contexto del Asset Framework)
Durante la contención, es habitual desactivar los cortafuegos y las reglas o bloquear el acceso remoto para evitar que los datos de telemetría de la tecnología operativa (OT) se conecten a las herramientas de la empresa. Una arquitectura de diodos modifica ese modo de fallo:
- Puedes desactivar las rutas del cortafuegos o del servidor para evitar riesgos de entrada.
- Aún así, es posible obtener datos de telemetría unidireccionales para mantener el conocimiento de la situación y agilizar la clasificación de incidentes en tiempo real.
- Si utilizas otras herramientas de visibilidad que se basan en la visibilidad del tráfico de red para la detección de amenazas, puedes mantener el flujo de esos datos a través de un diodo
Ejemplo de situación
Incidente
El ransomware se activa en la red corporativa. El equipo de respuesta a incidentes aísla y desactiva el tráfico entre las redes de TI y de tecnología operativa (OT) para evitar que se contamine la infraestructura de OT.
Problema
Los equipos centrales pierden el acceso a los paneles de control de OT y a las vistas del historial que ofrecen visibilidad del entorno y permiten determinar si «¿es seguro? ¿es estable?».
Mediante un diodo, el entorno OT sigue transmitiendo datos de telemetría de solo lectura a una red de receptores, donde los responsables de SOC y operaciones pueden consultar las tendencias clave, las alarmas y los datos de seguridad, sin que se establezca ninguna comunicación de control hacia el entorno OT.
Aunque un diodo no «resuelve el problema del ransomware» (consulte las tecnologías preventivas de MetaDefender Core), reduce el alcance del impacto al impedir el acceso a la red desde zonas de mayor riesgo, al tiempo que mantiene un nivel mínimo de visibilidad operativa.
Datos prácticos que hay que enviar
Para mantener la eficacia operativa, define un conjunto de datos de visibilidad de crisis en la fase de planificación de tu plan de respuesta a incidentes. Incluye datos como:
- Valores de proceso críticos para la seguridad (presión, temperatura, niveles, enclavamientos)
- Indicadores de modo/estado (automático/manual, modo permisivo, desconexiones)
- Resúmenes de alarmas (recuento + alarmas más frecuentes)
- Telemetría del estado de la red (conmutadores y routers críticos, estado de dispositivos y puertos [activos/inactivos], datos históricos de estado)
- Contexto mínimo (nombres de activos/unidades para que los equipos puedan interpretarlos rápidamente)
Referencias
1. CISA. https://www.cisa.gov/ransomware-response-checklist; CISA. [En línea]
2. NIST. SP800-82r3. NIST. [En línea] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. Briggs, Bill. Unos hackers atacaron a Norsk Hydro con un ransomware. La empresa respondió con transparencia. Microsoft.com. [En línea] 16 de diciembre de 2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
