La ciberseguridad nunca ha sido un reto fácil de resolver, pero en los sectores de infraestructuras críticas, los responsables de la seguridad se mueven en una liga propia.
Todo empieza por los adversarios, que no son delincuentes oportunistas en busca de un beneficio rápido.
Nos referimos a grupos patrocinados por el Estado que operan con recursos gubernamentales, o a redes organizadas de ciberdelincuencia cuyos objetivos van desde el ransomware hasta el espionaje a largo plazo.
Decir que hay mucho en juego sería quedarse corto; el Informe sobre Delitos en Internet de 2024 del FBI registró más de 4.800 denuncias procedentes de organizaciones de infraestructuras críticas. Puede que no parezca una cifra elevada, hasta que se analiza en el contexto de un año; estadísticamente hablando, esa cifra puede suponer 13 ataques diarios, uno cada dos horas. En el caso concreto de las organizaciones de defensa, un ataque que tenga éxito puede socavar directamente la soberanía nacional.
No es de extrañar que un entorno de amenazas tan intenso se rija por marcos de cumplimiento estrictos e innegociables, como el del NCSC (Centro Nacional de Ciberseguridad) del Reino Unido.
Al mismo tiempo, las soluciones de seguridad que se ajustan al NCSC deben poder replicarse en todo el sistema. Las organizaciones de defensa tienen una estructura multicapa, por lo que su protección debe ser modular y aplicable a toda la organización, no solo a aquellas que identificaron la necesidad en primer lugar.
En este contexto, una importante fuerza naval de la OTAN se asoció con OPSWAT un mandato claro: una solución multidominio (CDS) certificada y conforme con el NCSC que pudiera ampliarse más allá de una sola división y sirviera de base para su adopción generalizada.
Diseño de una arquitectura CDS escalable para múltiples tipos de archivos y ramas, sin ninguna flexibilidad normativa
Nuestro cliente se enfrentaba a un reto que, en un principio, parecía imposible de resolver.
Desarrollo de una solución CDS para los flujos de datos de IMPEX (importación/exportación) entre distintos niveles de clasificación, que cumpliera con los estrictos requisitos de separación de redes del NCSC. La solución debía ser escalable y replicable en múltiples ramas de la defensa, admitir una amplia variedad de tipos de archivos y mantener el mayor nivel posible de resiliencia frente a las ciberamenazas.
Analicemos cada capa por separado.
No existía ninguna pasarela entre dominios IMPEX autorizada
Las redes clasificadas de las instituciones gubernamentales y de defensa necesitan normas aprobadas oficialmente para los flujos de datos IMPEX, cuya aplicación se lleva a cabo a través de una pasarela IMPEX entre dominios. Inicialmente, esta no existía en los sistemas de nuestro cliente.
En la práctica, esto significa que no existía ningún proceso digital homologado para las operaciones de IMPEX. Sin él, el cliente no podía transferir datos entre distintos niveles de clasificación de forma trazable y apta para una auditoría.
Capacidades de inspección necesarias para admitir múltiples tipos de archivo
Por redes clasificadas de distintos niveles circulaban múltiples tipos de datos: archivos de usuario, parches de seguridad, actualizaciones de firmware de hardware, aplicaciones en contenedores y software militar a medida, todos ellos tenían que atravesar la misma barrera. Era necesario inspeccionar minuciosamente los datos para garantizar que ningún elemento malicioso pudiera penetrar en entornos altamente clasificados.
Sin embargo, cuanto más voluminosos y complejos son los datos, más difícil resulta verificar que estén limpios. Algunos tipos de archivos no podían tratarse como documentos ordinarios. Los parches, los instaladores, el firmware, los scripts y el software militar personalizado requerían una inspección de comportamiento, ya que el análisis estático por sí solo no podía demostrar cómo actuarían una vez introducidos en un entorno clasificado. Al mismo tiempo, cualquier laguna en la cobertura podría haber comprometido la propia barrera de seguridad.
Las estrictas normas exigían una separación absoluta de las redes
El marco NCSC establece normas estrictas sobre cómo deben transferirse los datos entre los distintos niveles de clasificación. Un elemento fundamental en este sentido son las SEF (funciones de aplicación de seguridad): controles de seguridad que abarcan desde la detección de malware hasta la validación de formatos.
Al operar bajo el marco del NCSC, el cliente tuvo que establecer normas estrictas para la separación de redes (clasificación SECRET/OPEN). Los entornos clasificados y no clasificados no deben comunicarse en ningún caso, y la pasarela CDS actúa como una barrera incondicional.
Si no se supera el análisis de los SEF, podría producirse que un archivo malicioso llegara a una red clasificada o que se extrajera información confidencial.
Crear una solución adecuada para una adopción más amplia
El objetivo nunca fue simplemente resolver un único problema.
El departamento gubernamental abarca múltiples ramas, organismos, sedes y mandos, y la solución «Cross Domain» implantada por el cliente tenía que funcionar en todos ellos.
Algo que solo funcionara en un contexto dejaría a otra parte del departamento enfrentándose a una carencia idéntica. El cliente necesitaba crear un sistema que pudiera convertirse en un estándar coherente y que se pudiera extender a toda la organización.
Cuando no hay margen de error: una arquitectura multidominio por capas certificada por el NCSC
El reto que planteaba el cliente no se iba a resolver con un solo producto.
En cambio, OPSWAT una arquitectura multifacética, respaldada por múltiples productos y tecnologías, en la que cada capa contribuye al objetivo general: garantizar que nada traspase los límites de clasificación sin ser comprobado.
Separación física de la red mediante el MetaDefender Optical DiodeDiode™
La base de esta arquitectura se apoyaba en diodos de datos de hardware, que garantizan un flujo de datos unidireccional a nivel de red. A diferencia de los controles basados en software, que pueden configurarse incorrectamente o eludirse, un diodo de hardware hace que el flujo inverso sea físicamente imposible.
Las restricciones físicas garantizan la separación absoluta entre las redes SECRET y OPEN exigida por el NCSC.
Optical Diode MetaDefender Optical Diode diseñado para permitir una transferencia de datos unidireccional, segura y controlada por hardware, entre las redes de TI y de OT, lo que hace físicamente imposible que el tráfico pase de niveles de clasificación inferiores a entornos protegidos.
Gestión de archivos en múltiples niveles a través de la plataforma MetaDefender Core™
MetaDefender Core intercepta e inspecciona todos los archivos que cruzan la frontera, con un nivel de inspección adaptado al entorno de destino.
Los archivos que entran en la red SECRET pasan por toda la pila: un escaneo múltiple con varios motores para ampliar las tasas de detección y la tecnología Deep CDR™ para eliminar cualquier amenaza oculta. ElSandbox Adaptive Sandbox Adaptive Sandbox un análisis dinámico basado en la emulación a los archivos sospechosos, lo que obliga al malware evasivo a revelar un comportamiento que podría pasar desapercibido en una inspección estática o en un entorno de pruebas tradicional basado en máquinas virtuales.
Los archivos que se transfieren a entornos de clasificación inferior solo se analizan con varios motores antimalware, lo que garantiza una protección constante en todos los flujos.
MetaDefender Core la plataforma avanzada de detección y prevención de amenazas OPSWAT, que combina la tecnología Deep CDR™, Multiscanning Metascan™ ySandbox Adaptive Sandbox proteger los flujos de trabajo de archivos en toda la infraestructura crítica.
Transferencia automatizada de archivos con la tecnología MetaDefender Managed File TransferTransfer™
Managed File Transfer MetaDefender automatiza la importación y exportación de todos los tipos de datos que maneja el cliente, creando un proceso regulado y auditable.
Nada se mueve manualmente, nada se mueve sin ser registrado y nada elude las capas de inspección.
MetaDefender Managed File Transfer controles basados en políticas y medidas integradas de prevención de amenazas para transferir de forma segura archivos confidenciales entre organizaciones, sistemas o zonas de seguridad.
Arquitectura certificada por el NCSC
La arquitectura basada en los productos OPSWATse ajusta a los patrones de seguridad del NCSC para los flujos de datos entre dominios. Se ha convertido en la primera solución IMPEX certificada por el Gobierno, lo que significa que puede adoptarse como norma uniforme en otras ramas de la organización sin necesidad de rediseñarla desde cero.
Crearlo una vez, hacerlo bien y adaptarlo a más de un millón de archivos diarios
En esencia, el CDS es un problema que consiste en reunir los elementos adecuados para crear un sistema que cumpla con las normativas más estrictas, para todo tipo de archivos y a la escala que exigen las operaciones de defensa en la vida real.
El entorno es implacable: adversarios sofisticados y muy motivados, tolerancia cero ante las deficiencias en el cumplimiento normativo y sin margen de error.
Para nuestro cliente, el CDS a gran escala es un problema ya resuelto. Juntos, hemos creado una arquitectura modular y certificada, capaz de procesar más de un millón de archivos al día.
Si parece sencillo, es solo porque OPSWAT más de veinte años dedicándose a la seguridad de los archivos en los entornos más exigentes que pueden encontrarse en las infraestructuras críticas.
Tanto si su empresa se enfrenta a un reto similar entre dominios como a un problema más general relacionado con la seguridad de los archivos de infraestructuras críticas, OPSWAT la experiencia necesaria para ayudarle; hablemos.
