Nozomi Networks: La seguridad OT requiere primero visibilidad completa

En términos de ciberseguridad, la incorporación de nuevos dispositivos inteligentes conectados a las redes y el incremento del uso de sensores de internet de las cosas en la vida diaria y, especialmente, en la parte operacional ha puesto sobre la mesa la importancia de contar con programas sólidos de protección para la infraestructura crítica.

“Estos dispositivos IoT son sensores ligeros de un uso específico, con capacidad/procesamiento muy ligero porque sólo miden una o dos variables y, por lo mismo, a veces no tienen todas las funciones de ciberseguridad intrínsecas (falta de encriptación, ocupan password hardcoded –dentro del mismo dispositivo–, sus protocolos de comunicación son de lo más sencillo). Son dispositivos que asumen muy bajo costo porque se tienen que replicar y escalar en cientos o miles, y eso incrementa notablemente la superficie amenazada. Es un dispositivo que nace débil y la ciberseguridad se ve como un tema de ‘después lo vemos’”, detalló Alexei Pinal, director de Ventas Regionales de Ciberseguridad de Nozomi Networks.

Alexei Pinal

En entrevista con ComputerWeekly en Español, el ejecutivo explicó que para enfrentar este panorama desde el lado operacional, Nozomi, por ejemplo, se encarga primero de hacer un inventario de todo lo que existe en las redes industriales y en los sistemas para saber cuáles dispositivos están conectados a ellas y dónde están.

Luego, vuelven al tema de ver qué tan débiles/vulnerables son al investigar su sistema operativo, su versión de firware, su versión de software, y conocer con quién y con qué protocolo se comunican para analizar su comportamiento. Con esa información realizan una detección de amenazas para saber si están sufriendo ataques de DoS, si están incomunicados por algún tema operacional, o si han sido vulnerados y están siendo usados para poder escalar a otros niveles dentro de la red IoT. Y usan sensores de guardia en la red para manejar la escala del inventario de forma automática cuando aumenta el número de dispositivos.

La plataforma de Nozomi Networks, llamada Vantage, presenta la información de los hallazgos en tableros, de manera que tenga sentido para el usuario final, priorizando las vulnerabilidades más críticas a través de paquetes de identificación para emitir las alertas correspondientes. “La plataforma te va mostrando dónde hubo el acceso inicial, dónde hubo actividades de reconocimiento, dónde hubo actividades de movimiento lateral, actividades de control and command. Podemos mostrarlo como si fuera la escala de Mitre, que son nueve bloques, podemos decir ‘en este momento está en este bloque, en este estado’. Las listamos, las priorizamos, hacemos un score card de riesgo, les presentamos toda esta información a los usuarios y con ello se trabaja para poder saber cuál es lo relevante para ellos”, reveló Pinal.

Toda esa información se puede exportar a otras herramientas de ciberseguridad complementarias, y cuando se parcha la vulnerabilidad o se hace la remediación, se informa también.

En el caso de las anomalías, los datos se exportan al Security Incident Event Manager (SIEM), que registra no solo las anomalías del tráfico, sino también accesos no autorizados, actividades sospechosas en endpoints y otras herramientas de detección de malware. “Nosotros le pasamos toda esa información a estos SIEM, a estos SOAR, de tal manera que ellos hacen el análisis correlacional y sus equipos deciden qué respuesta ayudan a tomar al usuario final, qué medida, cómo aislar ciertas zonas, bloquear nodos, matar enlaces o simplemente aceptar la situación, pero por lo menos ya sabes” lo que pasa, dijo el ejecutivo.

Alexei Pinal indica que la llegada de herramientas de inteligencia artificial al mercado ha facilitado el acceso de mucha gente a herramientas de alta complejidad. “Quizá la operación con [altos] niveles de ataque todavía requiere gente sofisticada en sus organizaciones. Sin embargo, grupos con menor nivel técnico, con menor capacidad y menores recursos ya encuentran en la red acceso a estas herramientas: pueden rentarlas por suscripción, pueden rentar un cibercriminal, pueden comprar un kit para ejecutar”, afirma.

“ChatGPT pone filtros para que no puedas decir ‘oye, yo quiero una función que permita bloquear los puertos PLC de tal marca’; no lo permite. Pero la gente puede cambiar el contexto de la petición, diciendo ‘deseo una función que escanee un puerto de un PLC así’, y entonces ChatGPT dará algunas visiones. Eso es lo que ha permitido el uso de la inteligencia artificial y su acceso al público en general: que sea más accesible a cualquier persona cuando lo usan, en positivo y negativo”, subrayó el experto de Ventas Regionales de Ciberseguridad de Nozomi Networks.

En una empresa mediana, ¿cuántas herramientas necesitas, cuántas capas debería tener tu sistema para considerar que estás bien en ciberseguridad?

Alexei Pinal: Antes se comentaba que existían dos tipos de empresa: las que van a ser atacadas y las que ya han sido atacadas. Realmente, el día de hoy todas han sido atacadas, de alguna u otra forma; simplemente existen compañías que lo saben y han implementado programas y compañías que han decidido ignorarlo por algún motivo. El tema es cómo lograr mayor ciberresiliencia. Cómo lograr ser preventivo y predictivo para minimizar u obstaculizar; que el atacante vea que es muy alto el costo de atacar y, por tanto, desista. Ahí viene el tema de selección de herramientas, mejorar procesos y capacitar personas para lograr mayor ciberseguridad y para recuperarte más rápido si ya sufriste el ataque.

Existe un conjunto de buenas prácticas en el ambiente operacional o de IoT, si bien no hay estándares tan uniformes como en el ambiente TI, que ya llevan más de 30 años de madurez. Lo primero que tiene que hacer una empresa es nominar a alguien directo, conciso y con responsabilidad en ambiente OT o de manufactura, con responsabilidad para proteger sus sistemas.

Luego, hay que definir qué estándar o framework desean seguir –puede ser el estándar NIST de Estados Unidos, el IEC 62443, el ISA/IEC 62443 o los locales–, de tal manera que tengan un marco de referencia [para definir] qué herramientas, qué procesos y cómo capacitar bien a su gente. Esos son los tres pilares.

Después ya viene la parte de empezar a hacer procesos, qué es lo que quiero proteger primero. Ahí viene dónde ayuda Nozomi [porque] para proteger, hay que ver. Con el inventario descubierto, tienes que definir qué vas a hacer y cómo te vas a proteger. Ahí vienen varias medidas, normalmente: segmentación de red, acceso remoto seguro, un sistema de intrusión y detección de anomalías, detección de malware y protección de endpoints. Son las cuatro o cinco herramientas técnicas.

Sin embargo, ninguna de ellas te sirve si no tienes los procesos bien definidos, el framework dedicado, la gente dedicada, capacitación y concientización. No es posible invertir todo de un solo golpe, sin programa. Por eso vuelvo al tema: hay que definir un equipo, hay que definir procesos, hay que empezar a evaluar tecnologías y empezar a hacer un programa. Y esto no acaba; cuando crees que has terminado, regresas, porque los criminales evolucionan.

¿Cómo ves el uso de herramientas o de tecnología IA en los sistemas de seguridad?

Alexei Pinal: En este momento, lo que se tiene en el mercado es que la gente está pidiendo acceso, el público normal, pero nosotros ya desde hace diez años estamos ocupando inteligencia artificial y machine learning. Simplemente que tengamos ahora herramientas más poderosas hace que nosotros también vayamos a la par. Nos seguimos movilizando, maximizamos el camino que ya llevábamos, y nos presenta mayores riesgos porque, por supuesto, los criminales se han multiplicado porque ahora es más fácil para ellos hacer este tipo de herramientas.

Somos miembros de una iniciativa global que se llama ETHOS (Emerging THreat Open Sharing), somos uno de los miembros fundadores. Compartimos información de inteligencia en amenazas y mejores prácticas, y se suman cada día fabricantes más fuertes a la iniciativa. Aunque el tema no solamente es utilizar la herramienta, sino compartirla; cómo hacer que las nociones aprendidas mías ayuden a mejorar a todos. Al fin y al cabo, todos tenemos una sola misión en nuestro negocio: proteger a la industria. Al momento de proteger a la industria estamos protegiendo las máquinas, sí, pero sobre todo las actividades de las personas que trabajan con ellas y a las personas que recibimos sus servicios.

¿Pero no crees que esto puede hacer más democrática la inteligencia artificial y su uso puede hacer más fácil la capacitación para enfrentar la brecha de talento en ciberseguridad?

Alexei Pinal: Sí, es muy positivo. De cualquier forma, el tema es cómo maximizar la parte positiva, la parte benéfica, que va a facilitar en cierta medida muchas tareas de testing, muchas tareas rutinarias de programación y de análisis, sobre todo. Va a permitir que sean más automáticas, más rápidas y más precisas, de forma general. Pero el mismo beneficio lo van a tener los malitos. Y volvemos a la carrera: ambos recibimos un nuevo juguete, tenemos que maximizar su uso; nosotros para lo positivo, y otros para lo negativo.

¿Con quién trabajan actualmente en México?

Alexei Pinal: Hablando de clientes finales, tenemos todos los parques eólicos y solares de una empresa italiana que se llama Enel; fue nuestro primer cliente a nivel global. Con ellos somos el estándar en temas de detección de amenazas, incluso a nivel global. Tenemos clientes mineros (tenemos uno de los clientes mineros más grandes e importantes del país, productor de plata), somos preferidos por las empresas canadienses para ayudarlos a proteger sus dispositivos. Tenemos algunas empresas productoras de motos en México.

La industria automotriz es de [las que tienen] mayor nivel estándar de ciberseguridad, las armadoras, y México es un hub de producción armador con elementos Tier 1, Tier 2, Tier 3 que les suplen a ellos. Estas armadoras han cascadeado sus requerimientos de seguridad hacia Tier 1 y Tier 2.

Porque los proveedores pueden ser las puertas de entrada de ataques…

Alexei Pinal: Las puertas de entrada y, en su caso, como es parte de la cadena productiva, si no tienen el asiento, si no tienen el muelle, si no tienen el volante, los arneses, no terminan de armar el carro, básicamente. Nos ha ido bien en la industria automotriz en México debido a estos requerimientos globales.

También estamos viendo crecimiento en las aseguradoras, que están pidiendo a los clientes, para volver a autorizar sus pólizas, que cubran incidentes cibernéticos con herramientas –como las de Nozomi– de inventario de activos, vulnerabilidades y anomalías como requisito mínimo para poder revalidar la póliza. Es como decir: “queremos ver que tomaste acciones para obstaculizar/mitigar un ataque”.

Con las aseguradoras, los temas jurídicos [sobre ataques de estados-nación, por ejemplo] y el impulso de regulaciones nacionales está llevando a que la industria cada vez tenga necesidades mayores de ciberseguridad, y con ello [requiera] herramientas como las que hace Nozomi.