Normalmente en ciberseguridad industrial se habla de incidente asociando cualquier evento, casual o dirigido, que hace saltar alertas en los sistemas de detección de seguridad.
La gestión de los incidentes de ciberseguridad requiere de un enfoque específico con un personal con una formación y herramientas determinadas.
Dicho personal se estructura en equipos que permiten gestionar una gran base instalada de activos a monitorizar y proteger. Estas organizaciones se denominan SOC (Security Operations Center).
Estos centros cuentan con herramientas de monitorización de eventos de seguridad, de detección de intrusiones, detección de anomalías, de evaluación de la seguridad del perímetro y en los últimos años, incorporando también capacidades de vigilancia digital para buscar información de sus clientes en la dark web. Las casuísticas pueden ser muy variadas como que haya sido exfiltrada o porque se derive de acciones de preparación de ataques y, por tanto, de compra-venta de información de las futuras víctimas. Este escenario requiere además de herramientas para automatizar acciones así como de operativizar guiones de actuación de los especialistas que componen estos equipos.
De esta manera, las herramientas citadas irán incorporando más reglas que permitan detectar actividad maliciosa. Unas reglas que se generarán a partir de la inteligencia de amenazas (Threat Intel) así como de las información de vulnerabilidades explotables en los activos de los usuarios a proteger. Además, los guiones (playbooks) ayudarán a los analistas a saber cómo proceder cuando estas alertas se produzcan.
Desde los SOC también se llegan a automatizar diferentes acciones. Algunas tan sencillas como mandar un correo a un usuario al que se le ha detectado un correo malicioso ya eliminado a otras más complejas como aislar un equipo infectado o incluir reglas en un firewall para bloquear el origen de un ataque.
Cuando hablamos de un SOC industrial se añaden varias complejidades. Por un lado, entender el impacto de las alertas va a depender mucho de qué activos sufran dicho ataque y dichos activos y sus impactos en los procesos suelen ser conceptos muy alejados de los entornos de Tecnologías de la Información (IT). Además, la comunicación con los responsables de dichos activos es compleja porque tampoco suelen manejar las mismas jergas o formas de trabajar que en IT. Igualmente, el entendimiento adecuado de cómo tratar una alerta requiere de comprender el contexto industrial. Contexto que habitualmente no se tiene si no se está involucrado en la operación o mantenimiento de la instalación monitoreada.
Y es que en un entorno industrial, ya sea por cuestión del propio proceso y su operación o por mantenimiento, las máquinas fallan o dan alertas. Estas alertas tradicionalmente eran relacionadas con la instrumentación, o con cuestiones eléctricas o mecánicas.
Desde que la ciberseguridad entra en esta ecuación, el enfoque no puede ser exclusivo de la propia tecnología de ciberseguridad sino teniendo en cuenta todo el contexto industrial.
Y cuando no hablamos de averías pero simples accesos para configurar un controlador, ¿Cómo sabemos si es una acción legítima o maliciosa?
————————————————–
Diferenciando entre una avería de campo y un evento de ciberseguridad
¿Una avería de campo puede estar relacionada con un evento de ciberseguridad previo?
¿Las alertas que se originan en el SCADA son por el propio proceso o por un evento de ciberseguridad que los pudiera estar provocando?
¿Un evento de ciberseguridad puede tener impacto en la operación o en la seguridad de la planta?
¿Es posible que se tenga cierto sesgo a asociar alertas del proceso industrial con ciberataques que requieran de un adiestramiento adicional que, necesariamente, requiera de mayor comunicación con los responsables de procesos para hacer un cribado adecuado?
Si hubiera que tomar acciones de respuesta y contención ¿Estamos teniendo en cuenta las preguntas anteriores?
Yendo más allá: si las decisiones de ciberseguridad impactaran en la operación o la seguridad, ¿quién tiene la autoridad para tomarlas? ¿Decide un SOC o toma liderazgo un comité de crisis?
Si tenemos que planificar y priorizar las acciones de recuperación, ¿es posible que las prioridades puedan cambiar según lo que necesite la planta y tengamos que coordinarnos?
Mientras tenemos a equipos de protección, detección, respuesta y recuperación ocupados en frenar un ataque y recuperar la disponibilidad de mis activos industriales, ¿qué repercusión puede estar teniendo en el resto de la empresa y hasta en los medios de comunicación el saber de la evolución y hasta las posibles consecuencias de un ciberataque a una infraestructura crítica? ¿Cómo trabajaremos las actuaciones de comunicación para poder dar una información adecuada de lo que esté pasando?
Todas estas cuestiones se abordan de manera práctica y en profundidad en la próxima edición de la formación más detallada y amplia de nuestra escuela, el Máster Profesional Online de Ciberseguridad Industrial. ¡Ya tenemos abierto el periodo de matriculación para la próxima convocatoria! Además, esta edición viene con extras y bonus totalmente exclusivos (con los que podrás sumarte al ecosistema CCI de una forma única). ¡Plazas limitadas!
Súmate a la formación clave para tu carrera en ciberseguridad industrial.
————————————————–
- M01_Máster Profesional Online de Ciberseguridad Industrial (https://www.cci-es.org/master-ciberseguridad-industrial/)
- Link a la Publicación de CCI en la que se basa este Taller : Guía para la Construcción de un Centro de Operaciones y Respuesta de Ciberseguridad Industrial https://www.cci-es.org/
activities/guia-para-la- construccion-de-un-centro-de- operaciones-y-respuesta-de- ciberseguridad-industrial/
Autor:
Agustín Valencia
Profesor CCI