Borja Pérez, country manager de Stormshield Iberia.
Borja Pérez, country manager de Stormshield Iberia.

Los ciberataques contra las infraestructuras operativas son cada vez más sofisticados. Secuenciados en diferentes etapas, se tornan agresivos y difíciles de detectar para los diferentes sistemas de protección. Así, y aunque la mayoría de las organizaciones afirman ser conscientes de los riesgos cibernéticos y de sus consecuencias (pérdida o robo de datos, interrupciones de la producción, etc.), a menudo corren un peligro mayor del que sospechan.

Con la aparición en los últimos años del Internet industrial de las Cosas (IIoT), los ciberataques se dirigen ahora contra empresas de sectores vitales para la sociedad (aeronáutica, energía nuclear, electricidad o salud), y aunque, en algunos casos, estos actores conocen dónde radican las debilidades de sus sistemas, no tienen los medios para reemplazar las aplicaciones y/o el equipo en cuestión. Esto es común en las redes operativas (TO) y de misión crítica, como en el sector salud o industrial, que utilizan aplicaciones soportadas únicamente por sistemas operativos obsoletos, lo que las convierte en un objetivo para los ciberdelincuentes, que llevan años explotando estas vulnerabilidades.

“El sector industrial debe avanzar a fin de dar una respuesta real a los retos asociados a la seguridad de red”

A la vista de esta realidad, y a tenor de la cada vez mayor hiperconectividad de las redes industriales, marcada por la convergencia TI/TO o el uso de Edge/Cloud Computing, no hay duda de que el sector industrial debe avanzar a fin de dar una respuesta real a los retos asociados a la seguridad de red y garantizar la disponibilidad e integridad de sus sistemas

Una respuesta proactiva: DPI

Ante el incremento de los ciberataques dirigidos contra infraestructuras de TO, algunas organizaciones industriales y expertos en la materia han publicado guías de buenas prácticas para la gestión adecuada de los sistemas de control. Entre otras, mencionan la necesidad de segmentar la red, controlar el acceso, adquirir sistemas reforzados, implantar antivirus y motores de prevención de intrusiones de tipo IPS.

Un sistema de Prevención de Intrusiones (IPS) es una herramienta de protección activa que permite identificar y bloquear posibles flujos maliciosos en la red. Su función principal es supervisar los paquetes de red y su contenido en tiempo real para aplicar reglas predefinidas en función del ataque detectado y del objetivo previsto.

“Los sistemas IPS identifican y bloquean posibles flujos maliciosos en la red”

Los sistemas IPS se instalan en línea en la red que protegen, y analizan los paquetes de red, inicialmente para comprobar el cumplimiento del protocolo y monitorizar comandos. A continuación, buscan paquetes de red que contengan un conjunto de datos que coincidan con la firma de malwares conocidos para bloquear los intentos de ataque. Algunos sistemas IPS son incluso capaces de identificar comportamientos anormales, además de analizar la información con gran detalle, de ahí el término frecuentemente utilizado de “Deep Packet Inspection (DPI)”, que permite reforzar el nivel de seguridad de la infraestructura operativa para reducir el compromiso de los activos de red.

¿Qué solución IPS utilizar?

Dado que algunos programas maliciosos pueden evolucionar, como se ha venido demostrando en los últimos años, es recomendable utilizar una solución IPS que sea capaz de:

•Proteger y controlar los protocolos de TO propietarios con la personalización de las firmas

•Vigilar activamente la red y garantizar la integridad y disponibilidad de los datos

•Reducir los falsos positivos, a través del análisis de protocolos específicos

•Proteger frente a ataques desconocidos gracias a la detección de nuevos comportamientos anormales y/o variantes de ataques

•Priorizar el Stateful DPI, para realizar análisis contextuales para identificar mejor el contexto en cuestión

•Garantizar la continuidad operativa en caso de fallo de funcionamiento: función de seguridad a bordo (modo bypass)

•Maximizar la productividad de los equipos. Una solución IPS todo en uno, fácil de implantar y de usar, no aumentará la latencia de la red. Del mismo modo, una interfaz gráfica clara mejorará la integración y la gestión del IPS al proporcionar más visibilidad sobre los sistemas que se deben proteger.