Las estrategias de defensa en profundidad propone aplicar diferentes mecanismos de protección a diferentes niveles dentro de una instalación ICS OT.

En posts anteriores se ha hablado de como proteger los perímetros de la red y cómo incrementar el nivel de protección de la red interna. Sin embargo, existen amenazas que utilizan otros vectores de acceso para sus ataques de ciberseguridad (por ejemplo, el uso de medios extraíbles o sistemas de comunicación -email, páginas web, etc.-).

Por tanto, hace falta implementar sistemas de protección para los propios equipos conectados en el conjunto de nuestras redes. Estos mecanismos deben contemplar las siguientes líneas de fortificación:

  • Capacidad de detectar y bloquear las acciones de los malware conocidos.
  • Capacidad de proteger las comunicaciones entrantes y salientes del equipo, detectando y bloqueando ataques conocidos.
  • Disponer de capacidades de heurística que, en función del comportamiento normal del equipo, pueda detectar ataques 0-day.
  • Capacidad de detener la ejecución de aplicaciones no permitidas o White-Listing de aplicaciones.
  • Capacidad de alerta y reporting.
  • Opcionalmente, dispongan de consolas centrales de administración para permitir la gestión de multitud de equipos de forma ágil y simultánea.

Y, de esta manera, conseguir un parque de equipos protegidos y vigilados de manera sencilla para evitar los principales vectores de ataque como son: el malware y/o la explotación de vulnerabilidades no parcheadas.

Es importante remarcar la necesidad de proteger a los activos de vulnerabilidades no parcheadas, o  “virtual patching”. La instalación de parches en los sistemas bases de los equipos en el mundo OT suele ser uno de los principales quebraderos de cabeza de los responsables de ciberseguridad. La instalación de parches tiene riesgos inherentes:

  • Los parches pueden cambiar el comportamiento del sistema base y, a su vez, puede comprometer el correcto funcionamiento de las aplicaciones industriales que se ejecutan sobre éste. Por tanto, antes de instalar cualquier parche, se debe asegurar que está soportado por el software industrial.
  • La instalación de los parches suelen requerir de reinicios de los equipos. Este hecho obliga, en muchos casos, que el parcheo se realice durante paradas programadas de mantenimiento, que no suelen ser muy a menudo, por lo que el equipo queda expuesto durante semanas/meses/¿años? a esa vulnerabilidad.
  • No aplicar el parche = incrementar la superficie de exposición del equipo a eventuales ataques informáticos.

protección ciberseguridad industrial de equipos

La protección de los equipos basados en “virtual patching” permite reducir drásticamente el factor de exposición del equipo así como el tiempo en que éste se encuentra en riesgo por la falta de instalación de parches, sin los inconvenientes de instalar dichos parches.

En entornos industriales, los equipos existen porque tienen una función explícita y ésta suele estar implementada en un conjunto reducido y limitado de aplicaciones. En estos casos, la protección de los equipos informáticos en OT puede incrementarse aún más utilizando sistemas que restrinjan qué aplicaciones están permitidas de ejecutarse.

Generar una lista de las aplicaciones que el equipo puede poner en memoria para ser ejecutadas (whitelist) y evitar que cualquier otro código se ejecute, malicioso o no, evita la infección y propagación de malware de forma fácil y eficaz, además de evitar que ciertos equipos se utilicen para fines no diseñados.

El uso de listas blancas es muy útil en entornos OT ya estas soluciones no suelen requerir ni el reinicio ni la actualización de ningún tipo para funcionar correctamente, por lo que nos permite proteger el equipo sin introducir paradas de actualización o de mantenimiento.

En Logitek disponemos de tecnologías que ofrecen estas capacidades de protección ofreciendo a los equipos finales:

  • Detección y eliminación de diferentes tipos de malware (virus, troyanos, gusanos, amenazas web, etc.).
  • Reducción del factor de exposición a la red detectando amenazas, ataques de denegación de servicios o escaneos de reconocimiento.
  • Detección de cambios no autorizados de archivos, de registro, directorios, etc.
  • Control sobre las aplicaciones que pueden o no ejecutarse en el equipo.
  • Detección y bloqueo de ataques a vulnerabilidades 0-day (virtual patching).

Para más información, no dudes contactar con nosotros.