Parecerá una obviedad, pero plantear un proyecto de monitorización de activos, ya sea en entornos OT o en el ámbito IT, requiere necesariamente conocer el alcance, es decir, se deberán identificar todos los elementos que componen la infraestructura a monitorizar.
Para ello, es necesario elaborar un inventario. En los entornos IT están muy extendidas las herramientas que permiten alimentar la CMDB (Configuration Management Data Base) en la que se almacenan los datos relevantes de cada activo e incluso las relaciones existentes entre ellos. En entornos OT la presencia de estos inventarios también es habitual, si bien se centran en el hardware y no tanto en el software, más allá de las configuraciones que se puedan almacenar en el sistema SCADA.
La extensión de las CMDB de IT al entorno OT es una buena práctica que muchas empresas están adoptando, si bien hay que tener en cuenta que estas bases de datos no suelen disponer de los mismos modelos de datos que las específicas para entornos OT ni los activos a gestionar tienen las mismas características.
La identificación de activos OT se puede abordar mediante la realización de escaneos de dos tipos: activos y pasivos. Para ello, se podrán utilizar herramientas tanto comerciales como basadas en fuentes abiertas. No obstante, hay que tener presente que los equipos y dispositivos OT poseen características distintas frente a los IT y que ante el envío de paquetes y tramas distintos a los del propio proceso pueden presentar comportamientos impredecibles, pudiendo provocar, incluso, el fallo del sistema. Elementos como los PLCs o los RTUs, por ejemplo, poseen recursos de hardware limitados que si se sobrepasan pueden provocar una denegación de servicio. El escaneo pasivo es menos invasivo, no tiene impacto en las comunicaciones y permite una rápida detección, si bien el nivel de detalle de inventario no alcanza el que se consigue con el escaneo activo. Por todo ello, es aconsejable abordar la tarea de inventario con herramientas específicas compatibles con este tipo de dispositivos.
Este inventario resulta fundamental para alimentar la plataforma SIEM con la que se gestionarán los eventos asociados a cada activo.
La gestión de vulnerabilidades en entornos IT forma parte de la estrategia que las organizaciones adoptan dentro del ámbito de la ciberseguridad. Está plenamente consolidada y existen numerosas herramientas que ayudan a su implantación. Sin embargo, en entornos OT todavía queda mucho camino por recorrer. Mientras tanto, se observa cómo aumenta el número de incidentes que las industrias están sufriendo como consecuencia de la explotación de vulnerabilidades conocidas y no parcheadas.
Las nuevas soluciones de análisis de vulnerabilidades específicas para estos entornos o las diseñadas para el ámbito IT que ha sido adaptadas al mundo OT se demuestran cómo un instrumento muy eficaz para verificar la salud de las infraestructuras y detectar las anomalías que puedan poner en riesgo los activos.
El tercer elemento clave de la monitorización de activos OT es el análisis de los logs y eventos de seguridad generados por el sistema. Todo elemento que forma parte de un sistema informático o industrial tiene la capacidad de generar algún tipo de log. En el ámbito OT, los sistemas de control SCADA se apoyan en tecnología Windows o Linux, lo cual favorece el acceso a sus respectivos registros de eventos. Los dispositivos de campo como los PLCs y los RTUs también han evolucionado, de tal manera, que ahora también tiene capacidad de generar algún tipo de log.
Todos los logs generados deben ser almacenados y gestionados de manera centralizada con el fin de que puedan ser tratados. Siguiendo los modelos implementados en entornos IT, se presenta como una herramienta fundamental el SIEM (Security Information and Events Management) con la que se podrá correlar toda la información enviada por las diferentes fuentes. El SIEM tiene la capacidad de parsear e indexar esa información y favorecer la realización de búsquedas de manera ágil. Así mismo, incorpora la función de definición de reglas específicas para el entorno gestionado con el fin de determinar de forma precisa la información que se considera relevante. A su vez, el Centro de Operaciones de Seguridad (SOC) será el encargado de operar esta plataforma y alertará de las anomalías que se detecten.
Adicionalmente, otra de las tareas que desarrollará el SOC será la implementación de casos de uso, a través de los cuales se podrán identificar los ataques o incidentes que más impacto puedan tener en la organización. Para la definición de estos casos se deberá tener en cuenta el análisis de riesgos que la organización haya realizado previamente, así como documentación validada por organizaciones de referencia como, por ejemplo, la matriz MITRE ATT&CK.
Global Technology dispone de herramientas específicas para la realización de una adecuada monitorización de activos en entornos OT, con capacidad de integrarla con la monitorización IT, apoyándose en el equipo de expertos del SOC.
Responsable de SOC en Global Technology