En el sector existe la idea de que las soluciones tradicionales de ciberseguridad son ineficaces en los entornos actuales. Como ocurre con cualquier idea que se ha popularizado, esta también tiene algo de cierto. La realidad es que las soluciones tradicionales de ciberseguridad solo dejan de ser eficaces cuando los entornos que deben proteger cambian de forma radical.
Pensemos en las redes industriales modernas. Estas combinan los sistemas de TI de las empresas con la tecnología operativa (OT), que controla directamente los equipos de producción, creando así un ecosistema complejo. Entonces, ¿cómo puede una herramienta de seguridad diseñada para TI o para OT proteger realmente un entorno que es ambas cosas?
La mayoría de las soluciones están diseñadas para destacar en aquello para lo que se crearon: identificar amenazas, bloquearlas y eliminarlas. Y lo hacen bien. Pero en entornos de fabricación, el verdadero reto no siempre es una amenaza visible que afecte activamente a los sistemas. A veces, el peligro se esconde (y se mueve) a plena vista.
Cuando las redes de TI y de tecnología operativa (OT) operan en la misma red, la comunicación entre los sistemas internos (máquinas, controladores, servidores) puede quedar sin supervisar. Si no se produce una brecha de seguridad evidente ni una anomalía inmediata, los equipos del SOC no tienen forma de saber si algo va mal.
Y es precisamente en esa zona gris donde los atacantes se aprovechan.
Imagina que un atacante consigue acceder a tu red mediante un ataque de phishing. El movimiento lateral resultante, que le permite acceder a los distintos sistemas de producción interconectados, puede pasar prácticamente desapercibido hasta que sea demasiado tarde. Para cuando los equipos del SOC se den cuenta, es posible que los atacantes ya hayan penetrado en todos los sistemas importantes.
Esta es la brecha de visibilidad que nuestro cliente se propuso subsanar, con MetaDefender NDR eje central de su estrategia.
La supervisión de seguridad tradicional pasaba por alto actividades críticas de la red
El principal problema de nuestro cliente era la falta de visibilidad.
Aunque contaban con soluciones para detectar intrusiones iniciales o anomalías en fases avanzadas, sus equipos del SOC no disponían de las herramientas necesarias para supervisar los movimientos laterales en una red interconectada de TI y TO. Esto dio lugar a una serie de problemas que podrían haber tenido graves consecuencias en caso de que se hubiera producido una violación de la seguridad.
El movimiento lateral pasó desapercibido
Los atacantes podrían camuflar el movimiento lateral como tráfico de red legítimo y desplazarse entre sistemas interconectados sin activar los mecanismos de detección tradicionales.
Menor eficacia de la supervisión
La integración de las tecnologías de la información (TI) y de la tecnología operativa (TO) dio lugar a patrones de comunicación complejos, en los que los movimientos laterales podían confundirse fácilmente con el tráfico generado por las operaciones de la fábrica, los dispositivos industriales y las aplicaciones empresariales. En consecuencia, si se producía una brecha de seguridad en la red, los atacantes podían pasar desapercibidos mientras intentaban obtener un mayor acceso a las redes de producción, a la propiedad intelectual o a datos operativos confidenciales.
Detección tardía de amenazas
Para cuando los equipos del SOC detectaban comportamientos sospechosos, los atacantes ya podían haber accedido a sistemas de producción críticos, lo que suponía una exposición a riesgos operativos.
Implementación de OPSWAT MetaDefender NDR reforzar la resiliencia cibernética
Para subsanar estas carencias en materia de visibilidad, la organización implementó MetaDefender NDR segmentos estratégicos de sus redes de fabricación y corporativas.
MetaDefender NDR las comunicaciones de mando y control relacionadas con los ciberataques. Para ello, analiza la telemetría de la red con el fin de identificar patrones de tráfico anómalos y detectar movimientos laterales entre sistemas.
Gracias a sus modelos de detección asistidos por IA, analiza continuamente el comportamiento de la red para identificar anomalías sutiles que puedan indicar la actividad de los atacantes en una fase más temprana del ciclo de vida del ataque. La implementación se centró en resolver tres problemas fundamentales.
Ampliación de la visibilidad de la red
Los sensores instalados en los puntos de agregación de la red permitieron a los equipos del SOC supervisar las comunicaciones entre los sistemas de producción, las aplicaciones empresariales y las conexiones externas.
Por primera vez, los analistas obtuvieron una visión global de la actividad de la red en toda la infraestructura de fabricación de la organización.
Detección más temprana del comportamiento de los atacantes
El análisis del comportamiento, combinado con la inteligencia sobre amenazas integrada y la detección de anomalías basada en la inteligencia artificial, permitió al equipo del SOC identificar actividades sospechosas relacionadas con los movimientos de los atacantes dentro de la red.
Los patrones de comunicación que antes pasaban desapercibidos ahora se detectaban en una fase más temprana del ciclo de vida del ataque.
Investigaciones de seguridad más rápidas
MetaDefender NDR datos detallados de telemetría de red e inteligencia contextual sobre amenazas, lo que permitió a los analistas del SOC investigar rápidamente cualquier actividad sospechosa.
En lugar de tener que relacionar alertas dispersas en distintos sistemas, los analistas podrían investigar los incidentes utilizando una visión global a nivel de red de las posibles amenazas.
Impacto cuantificable en la visibilidad del SOC y la seguridad operativa
Gracias a MetaDefender NDR, nuestro cliente mejoró considerablemente su capacidad para detectar e investigar actividades sospechosas en la red en una fase más temprana del ciclo de vida del ataque.
| Área de impacto | Resultado cuantificable |
|---|---|
| Visibilidad de la red | Visibilidad detallada de las comunicaciones en las redes de fabricación y corporativas. |
| Velocidad de detección de amenazas | Detección más temprana del tráfico sospechoso y los movimientos laterales. |
| Eficacia de la investigación | Análisis más rápido de las causas fundamentales para los analistas del SOC. |
| Protección operativa | Mejora de la protección de los sistemas de producción y la infraestructura industrial. |
| Respuesta ante incidentes | Una mejor coordinación entre los equipos de operaciones de seguridad. |
| Preparación para el cumplimiento normativo | Supervisión mejorada acorde con las normas de ciberseguridad industrial. |
Impulsar una ciberdefensa proactiva para las empresas manufactureras modernas
Las ciberamenazas dirigidas a las empresas manufactureras no se detienen. Los ciberdelincuentes buscan constantemente formas de acceder a la valiosa propiedad intelectual y a los sistemas de producción críticos.
Las empresas del sector manufacturero no solo deben detener a los atacantes en el punto de entrada. Necesitan una visibilidad continua de lo que ocurre dentro de la red, tanto en el ámbito de las tecnologías de la información (TI) como en el de las tecnologías operativas (TO).
ConNDR MetaDefender NDR , nuestro cliente ha dado un paso decisivo hacia una ciberseguridad proactiva. Sus equipos del SOC pueden ahora acceder a la información necesaria para detectar amenazas ocultas, investigar actividades inusuales con mayor rapidez y responder antes de que los problemas se conviertan en interrupciones reales.
Para los fabricantes que buscan proteger su producción y su propiedad intelectual, es fundamental contar con ese nivel de visibilidad y detección de amenazas basadas en el comportamiento.
Si tú también te dedicas al sector manufacturero y has detectado problemas de visibilidad en tus entornos, hablemos para ver si MetaDefender NDR tambiénNDR serte de ayuda.
