La convergencia de las TI y las OT implica un número creciente de conexiones, equipos y servicios a las organizaciones industriales, que requerirán una nueva generación de soluciones de ciberseguridad específicas para mantener el control, la disponibilidad, la seguridad y el cumplimiento de las normas. Según IDC Worldwide IT/OT Convergence 2022 Predictions, para 2024, el 30% de las empresas industriales incorporarán herramientas de gestión de seguridad centralizadas para salvar la brecha entre TI y OT. Kaspersky se ha sumado a esta tendencia agregando la nueva funcionalidad EDR a su renovada plataforma de Ciberseguridad Industrial.
EDR para OT permite obtener información rápida sobre los incidentes
Con la nueva funcionalidad EDR en Kaspersky Industrial CyberSecurity for Nodes, los equipos de ciberseguridad pueden rastrear la actividad maliciosa, analizar la raíz mediante la visualización de la ruta de propagación del ataque y ejecutar acciones de respuesta en los ordenadores SCADA y en las estaciones de trabajo de los operadores. El producto proporciona una amplia gama de acciones de respuesta que no afectan al proceso industrial a menos que haya una intervención explícita del operador, incluyendo la puesta en cuarentena o la eliminación de un objeto malicioso, la prohibición de ejecutar un proceso malicioso en el futuro, etc. Para garantizar que la amenaza no se extienda a otras máquinas, los especialistas en seguridad pueden crear indicadores de compromiso (IoC) o artefactos que indiquen que un sistema ha sido vulnerado y ejecutar una respuesta entre puntos finales basada en estos IoC.
La herramienta EDR se ofrece como parte de KICS for Nodes sin necesidad de instalar hardware adicional. Funciona en cualquier sistema operativo, incluido Windows XP, y es ideal para las redes industriales, ya que no las sobrecarga de tráfico y no tiene impacto en los hosts ICS. Además, no requiere conocimientos específicos de los administradores de seguridad de TI o de OT.
Evaluación del riesgo y del cumplimiento de la normativa para hacer frente a las amenazas ocultas
Kaspersky Industrial CyberSecurity for Networks permite a los clientes implementar un enfoque de ciberseguridad orientado al riesgo. El producto ahora puede detectar las debilidades que pueden poner en riesgo la integridad de la OT o causar la interrupción del proceso tecnológico. Las áreas cubiertas incluyen una arquitectura de red vulnerable (acceso a redes externas, falta de segmentación, dispositivos multi-homing); configuraciones de seguridad débiles en el host (puertos abiertos, falta de autorización, cortafuegos desactivados); protocolos obsoletos, vulnerables, no deseados, no encriptados y anomalías en los protocolos de red; sistemas operativos obsoletos; dispositivos no autorizados; y vulnerabilidades en los PLC. Todos los riesgos se puntúan en función de su gravedad en la consola de gestión, para que los equipos de seguridad puedan priorizar los más críticos.
La actualización de Kaspersky Industrial CyberSecurity for Nodes también es capaz de auditar automáticamente los hosts de OT o un grupo de hosts en busca de vulnerabilidades en el software, configuraciones erróneas y el cumplimiento de las regulaciones locales o internacionales y las políticas corporativas. El producto utiliza un lenguaje abierto de evaluación de vulnerabilidades (OVAL) para evaluar los hosts y, por defecto, proporciona una base de datos de vulnerabilidades SCADA de Kaspersky ICS-CERT en formato OVAL. Así, se puede utilizar cualquier base de datos OVAL, ya sea la del NIST, CIS u otras normativas o muestras personalizadas
Visibilidad de red y escaneo de máquinas para mantener el control y reaccionar ante los incidentes
Kaspersky Industrial CyberSecurity for Networks cuenta con sondeo activo y mapa de topología física de la red industrial, lo que contribuye a mejorar la visibilidad de la red y los dispositivos. Por un lado, el sondeo activo ayuda a identificar los activos en los sistemas de OT y su configuración y, por otro, un mapa de topología visualiza la arquitectura de la red: cómo los activos están conectados físicamente y se comunican entre sí. Con estos datos, los operadores de OT o los equipos de seguridad pueden entender rápidamente elementos como en qué parte de la red se produce un problema y a qué objeto físico del área de producción se refiere, lo que les permite solucionarlo más rápidamente
Por otra parte, Kaspersky Industrial CyberSecurity for Nodes también ofrece a los expertos en seguridad OT un escáner USB portátil para utilizar en máquinas cuyas políticas restringen la instalación de cualquier software, incluidos los productos de ciberseguridad. Puede tratarse de endpoints antiguos con software obsoleto o de aquellos que son demasiado críticos para instalar algo en ellos. Otro ejemplo es el de los equipos de los subcontratistas, que pueden utilizar dentro de la red de OT del cliente. Los especialistas en seguridad OT pueden utilizar una simple unidad flash USB para descargar el escáner de KICS for Nodes y luego utilizarlo para escanear la máquina aislada. El escáner no instala nada en el dispositivo, pero proporciona información sobre cualquier amenaza que se encuentre en él, para que los equipos de seguridad puedan planificar las acciones necesarias.
Además, como plataforma, Kaspersky Industrial CiberSecurity asegura la integración nativa de todos sus componentes, incluyendo KICS for Nodes para Windows y Linux, KICS for Networks, y la orquestación a través de una única plataforma de gestión. La integración más profunda de KICS for Nodes y KICS for Networks permite alertas de red enriquecidas con datos sobre un host, sus procesos y bajo qué usuario fue lanzado. Los equipos de seguridad de TI/OT, los analistas de SOC y los operadores de SCADA tienen ahora más visibilidad sobre las acciones sospechosas y pueden tomar decisiones informativas sobre las acciones de respuesta.
En palabras de Andrey Strelkov, Senior Product Manager de Kaspersky: "Con esta actualización, estamos dotando a nuestros clientes con una plataforma de gestión de seguridad OT orientada al riesgo y al mantenimiento. Kaspersky Industrial CyberSecurity señala los incidentes y las vulnerabilidades ocultas, las desconfiguraciones y otras debilidades para minimizar el riesgo de interrupción de los procesos industriales críticos. Junto con los productos de ciberseguridad corporativos, Kaspersky Industrial Cybersecurity es un elemento crucial del ecosistema para que las organizaciones industriales protejan sus activos de cualquier vector de amenaza, explote TI u OT. Y a través de la integración nativa de todos los componentes del ecosistema, y con una única plataforma de gestión, estamos implementando gradualmente el concepto de detección y respuesta extendida (XDR) para la ciberseguridad industrial en nuestra cartera".