Defensa de infraestructuras críticas en coyunturas de alto riesgo

Antes de nada, y acotando el alcance, conviene definir qué se considera una infraestructura crítica. De manera genérica y simplista, se puede definir como el conjunto de sistemas, servicios y funciones clave cuya disrupción, destrucción, alteración o uso malintencionado podrían suponer un impacto negativo en la salud y bienestar de las personas, la seguridad nacional, e incluyendo aspectos como energía, comercio y comunicaciones; y cuya combinación sería nefasta en la sociedad actual.

Con motivo de preparar a las diferentes industrias, y compañías claves del sector público y privado, frente a amenazas cada vez más plausibles y sofisticadas, en los últimos años, y particularmente en los últimos meses, un importante número de entidades, agencias e iniciativas promovidas desde niveles gubernamentales y estatales han ido incrementando el número de mensajes e inversión en materiales de soporte que definan, orienten y ayuden a las empresas a mejorar sus niveles de madurez. Hemos visto de manera generalizada cómo se han orientado los esfuerzos a facilitar la realización de assessments (entendimiento del nivel de madurez e identificación de gaps frente a marcos de trabajo basados en estándares y buenas prácticas), así como de concienciar a los usuarios en la importancia de la seguridad y de cómo protegerse frente a ataques comunes (p.ej. phishing), y en algunos casos de mayor sofisticación (p.ej. malware embebidos). No obstante, este tipo de campañas y acciones no son suficientes cuando hablamos de enfrentarse a capacidades consolidadas de ataque de grupos organizados, y donde no solo hay que centrarse en la protección y/o prevención.

En relación con los assessments, ya son un elevado número de entidades orientadas a sectores críticos las que de alguna manera los han completado, y se encuentran en diferentes etapas de implementación de los planes de acción derivados de los mismos (a nivel estratégico, táctico operativo); aunque pocas pueden considerarse como posicionadas en el último eslabón de madurez; o con unos niveles de cumplimiento elevados en relación con regulaciones o normativas específicas del sector (p.ej. energético con NERC-CIP, EU for Energy Sector, OFGEM, IAEA TR, ISO 27019, NISTIR,…). Como siempre, no hay que confundir cumplimiento con seguridad, pero gracias a él se han establecido unas bases que han permitido al menos conocer el momento en que se encuentran, y definir puntos evolutivos partiendo de un nivel de seguridad mínimo homogéneo que igualmente ha tratado de cubrir los puntos considerados de alto riesgo a través del cumplimiento de controles de seguridad críticos. Organismos como INCIBE (ES), ENISA (EU), y también CISA (EE.UU.), ponen a disposición de los interesados una base de datos de información y empresas capacitadas para llevar a cabo este tipo de servicios; así como de materiales para orientar a todo tipo de negocios e incluso entidades locales a tomar decisiones sobre dónde enfocar los esfuerzos para maximizar las inversiones de seguridad y mejorar las capacidades de defensa, incluyendo la recuperación tras sufrir un incidente. Porque de nuevo, se ha puesto foco en el cumplimiento normativo y regulatorio, pero en coyunturas de alto riesgo como pueden ser guerras, escenarios económicos complejos, polarización política, e intereses y motivaciones extremistas, es donde los ataques a diferentes sectores, y particularmente organizaciones objetivo, pueden convertirse en una pesadilla para la sociedad. ¿Cortes de suministro? ¿Disrupción de comunicaciones? ¿fuentes oficiales caídas? ¿exfiltración de datos sensibles a nivel geopolítico y estratégico?… son una realidad (me gustaría no decir que constante), y hay que estar preparados para defenderse. El debate sobre capacidades orientadas al contraataque vamos a obviarlo en este artículo, puesto que puede dar mucho de sí, y depende del sector que pueda verse afectado en el ataque inicial el plantearse posibles represalias.

Continuando con lo anterior, se ha visto una tendencia ascendente a poner foco en la capa estratégica; y, en el contexto actual de polarización global y teniendo muy presente la guerra de Ucrania, se han incrementado los mensajes orientados a fomentar los lazos y contactos con gobiernos, agencias, y partners de la industria; compartiendo prácticas, y en algunos casos incluso capacidades, como inteligencia o expertos, para evaluar requerimientos, actualizar marcos de riesgo y control, estándares, e incluso compartir experiencias relativas a tecnologías y productos específicos de múltiples fabricantes.
En línea con el acceso a recursos y mejora de las capacidades, existen una diversidad de fuentes gratuitas a través de las cuales conseguir guías de assessment (control, riesgos, y/o técnicos), arquitecturas de referencia IT/OT/ICS/SCADA, y orientaciones sobre controles, programas
de desarrollo de capacidades, y ciberejercicios, entre otros. Además de los organismos mencionados anteriormente, existen específicos por industria, y por supuesto las propias visiones de fabricantes conocidos (p.ej. Microsoft CriticalInfrastructure Protection, Fortinet CIP, GE Digital, Cisco CNI, Honeywell, …). En este sentido, las últimas cobran especial importancia cuando hablamos del concepto top-down, al buscar la protección, monitorización y respuesta a nivel táctico y operativo, sin olvidarse por supuesto que cualquier implementación o modificación a nivel de configuración debe hacerse bajo supervisión experta y desde la experiencia.

Protección y defensa

Igual de importante es diferenciar asimismo entre protección y defensa, puesto que la defensa incluye la detección y respuesta como procesos clave, y parte de la premisa de que toda protección es susceptible de ser evadida o vulnerada. En este sentido, una mayor capacidad defensiva se centra en minimizar el tiempo de detección de incidentes de seguridad, y la puesta en marcha de las diferentes capacidades reactivas, buscando la automatización en la medida de lo posible; para frenar la propagación del ataque y minimizar asimismo el impacto del incidente para recuperar el estado mínimo operable definido en los planes de respuesta. Adicionalmente, cuando se habla de monitorización y respuesta, y considerando el ámbito del alcance, deben haberse establecido previamente los mecanismos de comunicación que garanticen la notificación de indicios de incidentes o la exposición a riesgos críticos inmediatos, y se movilicen los equipos internos o externos correspondientes para hacer frente a posibles amenazas inmediatas. Por ello, hay que resaltar la importancia de apoyarse en grupos de trabajo y establecer contacto con  empresas del sector y SME especializados en los mismos para acelerar el despliegue de contramedidas. La defensa de infraestructuras críticas se sustenta en la base de relaciones y alianzas que faciliten la interacción con organismos públicos y empresas especializadas, de cada uno de
los sectores críticos identificados. Por ello, considerando la situación actual de alto riesgo derivada mayormente del contexto geopolítico, deben consolidarse las alianzas existentes a nivel público y privado para garantizar acciones efectivas a la hora de reducir los riesgos y poder responder de manera ágil a posibles disrupciones a las infraestructuras críticas. Igual de importante es aumentar los esfuerzos destinados a la defensa de los entornos industriales (OT/ICS/SCADA/DCS) que suponen buena parte del conjunto de infraestructuras críticas. El aumento
de conectividad de los mundos IT/OT está acelerando un cambio de paradigma al crear nuevas complejidades a la hora de proteger y defender este tipo de entornos de amenazas externas e internas, dadas sus particularidades; y todo ello, sin olvidar escenarios más avanzados que consideren entornos híbridos y multi-nube.

En este sentido, es vital tener un conocimiento claro de todos los niveles tecnológicos en entornos críticos IT&OT (Ref. Purdue), su interconectividad, y dónde establecer las zonas de defensa. Por eso, se debe lograr una correcta segmentación de red para crear una diferenciación de zonas y protegerlas de diferentes amenazas y riesgos entre sí, considerando la microsegmentación, y con visión en el zero-trust en la medida de lo posible. Una efectiva ‘securización’ de las diferentes zonas requiere aspectos como la protección perimetral de los diferentes niveles, con  foco en la separación de la zona OT respecto de la IT, estableciendo DMZ y delimitaciones para proteger los elementos core de la infraestructura crítica; y por supuesto reforzar las medidas de protección a través del despliegue de un sistema adecuado de identidades y gestión de accesos, y garantías para las conexiones remotas; considerando primeramente para estas últimas que exista la necesidad real de las mismas. Si no es necesario, evitemos el riesgo derivado.
Entre los aspectos comentados para dotar a las organizaciones de capacidades defensivas, cabe destacar la necesidad de contar con una visión completa y control de la totalidad de activos y sus correspondientes vulnerabilidades, así como de controles de detección y su adecuado modelado según los principales escenarios de riesgo, en alineamiento con el contexto de la propia infraestructura crítica. Lo presente es de aplicación tanto en entornos IT como OT, con sus diferentes particularidades, y teniendo en cuenta que existen igualmente procesos de IT críticos que pueden paralizar las operaciones. Existen ya casos de éxito vinculados a monitorización y respuesta IT&OT.

El desplegar tecnologías adaptadas, innovadoras, específicas y/o adicionales, en alineamiento con el modelo defense-in-depth permitirá asimismo mitigar y responder a amenazas de ciberseguridad de manera ágil. Todo ello considerando siempre un punto de vista de soluciones efectivas a nivel de costes, y mayormente basadas en experiencias y casos de éxito y de uso positivos; y teniendo en mente que parte del presupuesto debe destinarse a capacidades basadas en recursos y apoyo de terceros en momentos de necesidad, puesto que la defensa activa supone un mayor coste. Y por supuesto, sin olvidar complementar ciertos procesos críticos en la parte de definición y protección, como son el bastionado de sistemas y la seguridad de producto, que permitirán tanto anticiparse, como agilizar las acciones de respuesta y remediación.

Como conclusión, las iniciativas a nivel público y privado que han tenido lugar en los últimos tiempos han supuesto un gran avance en relación con la seguridad, pero aún queda mucho camino por recorrer.
Hay que ir más allá. La seguridad de las infraestructuras críticas no es opcional, pues en los tiempos actuales debemos valorar la posibilidad real de encontrarnos con escenarios fatales. Por ello, debe asegurarse una mayor formación y dedicación profesional de especialistas para
garantizar un correcto despliegue de arquitecturas seguras y mejora de las actuales, y con el conocimiento y manejo de las correspondientes medidas de protección y defensa; teniendo presente que “sabemos cómo”, ahora hay que pensar en “cuando y quién”.

Artículo publicado en la revista SIC en su edición de septiembre.

Autor

Guillermo Hernández Oliván

CyberSec Operations Lead