La automatización de acciones de respuesta se ha vuelto imprescindible a la hora de gestionar la ingente cantidad de alertas que un sistema de detección de incidencias puede arrojar. Si a esto le unimos la escasez de profesionales con experiencia en el análisis e investigación de incidentes de ciberseguridad, nos encontramos con la necesidad de utilizar además la tecnología más actual basada en Inteligencia Artificial para reducir la fatiga de alertas de los equipos humanos y que estos puedan centrar sus esfuerzos allá donde son imprescindibles, mientras que la automatización se encarga de dar respuesta a la mayoría de los incidentes repetitivos y susceptibles de respuesta automatizada.
Esta automatización de acciones no solo es necesaria en la última milla: el SOC Industrial, donde herramientas de tipo SOAR – Security Orchestation Automation and Response están diseñadas para esto. Se espera que la automatización de la respuesta se realice también en las estaciones de trabajo (soluciones de tipo EDR – Endpoint Detection and response) y en los elementos de la protección de la red (soluciones de tipo NDR – Network Detection and Response), es decir, lo más cerca posible de donde se produce la incidencia, de modo que evitemos que esta se propague al resto de la red.
Diseño de políticas de control de acceso avanzadas
A medida que se hace más necesario el acceso de terceros a las redes industriales y que proliferan los dispositivos IIoT, es necesario realizar una verificación continua de los usuarios y los dispositivos que acceden a los diferentes sistemas alojados en dichas redes. Para proteger las redes de una forma más eficaz, los administradores de red deben aplicar un enfoque de acceso de confianza cero.
La aplicación de este modelo de seguridad permite a las organizaciones mejorar su postura de seguridad en comparación con el uso de túneles VPN tradicionales, que proporcionan acceso ilimitado a la red, mientras que las soluciones de acceso a la red de confianza cero (ZTNA) otorgan acceso a aplicaciones individuales tras verificar los dispositivos y usuarios de forma constante en cada sesión que estos intentan establecer. Esta política se debe aplicar tanto a usuarios y dispositivos que se conectan a la red local, como a los que lo hacen de forma remota.
Otro aspecto a considerar para aumentar la protección en el acceso es la implementación de sistemas de autenticación multifactor (MFA), ya que las contraseñas son el sistema más antiguo de autenticación y menos seguro hoy en día debido a diferentes circunstancias, como son los malos hábitos de los usuarios al reutilizar contraseñas o anotarlas al alcance de cualquiera, pero también al ser víctimas de campañas de phishing cada vez más frecuentes y sofisticadas.
Implementación de privilegios mínimos y gestión de identidades
La implementación del acceso de confianza cero incluye la necesidad de proporcionar los privilegios de acceso mínimos necesarios para que un usuario o un dispositivo pueda realizar su tarea sin afectar a la producción, así como contar con sólidas capacidades de autenticación, como las que proporcionan las soluciones de Gestión de Identidad y Acceso (IAM). Proteger la identidad del usuario es uno de los elementos principales del principio de confianza cero.
Esta capa adicional de seguridad reduce en gran medida la posibilidad de incidencias de seguridad mientras ayuda a cumplir con los requisitos de auditoría asociados con las diferentes regulaciones de obligado cumplimiento (según la subindustria, el país y otros aspectos); que a su vez se van endureciendo y siendo más específicas y exigentes en cuanto a las medidas de protección a implementar.
Estrategias de monitorización continua y auditoría
La monitorización continua es la mejor manera de poder cumplir con los requisitos de estas regulaciones, directivas y leyes que establecen plazos cada vez más reducidos para notificar a las autoridades, como es el caso de la NIS2. Pero no debemos pensar que el objetivo es únicamente cumplir con la ley, estas leyes se han elaborado para proteger los entornos y la información, por lo que cumplirlas es sinónimo de protegernos.
Evaluación de la seguridad en el desarrollo de software industrial
En octubre de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y 17 socios estadounidenses e internacionales anunciaron la segunda versión de su documento técnico sobre seguridad por diseño, “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software.”
Este documento técnico tiene como objetivo alentar a los fabricantes de software a incorporar seguridad en sus productos, de modo que esta pase a ser proactiva en lugar de reactiva.
Las recomendaciones de seguridad por diseño se centran en hacer de la seguridad una prioridad empresarial central y un núcleo del proceso de desarrollo de software, y cubren dos conceptos relacionados:
- Los productos “seguros por diseño ” están diseñados para proteger contra ciberataques maliciosos para que no puedan acceder a dispositivos, datos o infraestructura conectada. Los fabricantes deben incluir protecciones para tener en cuenta el panorama cambiante de las ciberamenazas e invertir recursos en cada capa de diseño y desarrollo de productos.
- Los productos “seguros por defecto” están configurados para proteger contra las amenazas y vulnerabilidades más frecuentes “listas para usar” sin que los usuarios finales tomen medidas adicionales para protegerlos. La seguridad está incluida en el producto base sin costo adicional, al igual que los cinturones de seguridad están incluidos en todos los coches nuevos.
La industria del software necesita desarrollar productos más seguros, no más productos de seguridad.
Una connotación negativa de la evolución en la tecnología – de cualquier tipo – es que esta se puede utilizar tanto para hacer el bien como para hacer el mal. Esto es lo que ocurre con la Inteligencia Artificial y el Machine Learning, que los ciberatacantes también pueden aprovecharse de ellas para sofisticar sus ataques, aumentar sus capacidades de mutación y tratar de evadir las técnicas de detección de estos. Es por este motivo que para proteger los sistemas también se necesita hacer uso de las últimas tecnologías o estaremos en clara desventaja.
Autor:
Jose Luis Laguna
Director, EMEA OT SE Solution Architects