Encontrar el OT en el modelo Zero Trust

Lo más probable es que este no sea el primer artículo que lees que habla de Zero Trust. Es probable, también, que los artículos que hayas visto varíen mucho en lo que significa y qué hace. El modelo Zero Trust no es un estándar IEEE claramente definido, ni se ha escrito nunca una RFC al respecto. Cada proveedor parecer tomarse libertades artísticas para que se ajusten a su enfoque. Esto hace muy fluida la conversación. Solo búscalo en Google y verás lo que quiero decir.

¿Qué se debería hacer? ¿Qué problemas deberíamos resolver? La mayoría de la gente está de acuerdo en que, por su nombre, la solución Zero Trust cambia de alguna manera la mentalidad de la red, que pasa de permitir el acceso por defecto a bloquear el acceso por defecto a menos que se requiera explícitamente. Un objetivo elevado, pero… ¿qué implica realmente?

El contexto es importante para las políticas Zero Trust

La arquitectura Zero Trust, antes de permitir que una máquina o un usuario se conecte a una red, debería siempre verificar si esa conexión puede hacerse de forma segura. Además, esa conexión debería ser establecida con el mínimo número de recursos que necesite. Estas comprobaciones deberían realizarse por sesiones en lugar de una sola vez al principio.

Incorporar contexto a las decisiones de Zero Trust contrasta fuertemente con el enfoque habitual del “allowlist” de las implementaciones de Zero Trust. El proceso inicial de verificación de usuario no debería ser solo de credenciales, incluso si existen los controles más avanzados como 2FA. No obstante, la identidad es muy importante a verificar, esto sigue sin ayudar a evaluar si la conexión puede hacerse de forma segura y debe permitirse, especialmente si el dispositivo ha sido comprometido.¿Desde donde se está conectando? ¿Hay algún indicio de que la máquina usada para conectarse está comprometida? ¿Hay alguna vulnerabilidad que introduzca riesgos para el resto de la red? ¿Cuál es el historial de comunicaciones entre esos sistemas o es una conexión nueva? Basado en esto y en otras muchas métricas, se toman mejores decisiones y de mayor calidad, todas dinámicamente y en tiempo real.

En esencia, la arquitectura Zero Trust es solo un marco que no permite la conectividad al asumir que existe riesgo a menos que se pruebe lo contrario. En lugar de simplemente definir una política de acceso minimalista, una postura de seguridad y el contexto pueden jugar un rol en la mejora de la seguridad Zero Trust. Esto ayuda significativamente a reducir los riesgos tomando decisiones más informadas sobre conectividad.

Particularmente en la infraestructura IT hay un movimiento sustancial hacia la adopción de este marco. Las redes ahora están siendo “Micro-Segmentadas”. Los accesos remotos VPN están evolucionando hacia algo más avanzado y más granular. Los agentes están desplegados en puestos de trabajo para obtener más información sobre su postura de seguridad y así sucesivamente.

Todos estos desarrollos son excelentes y traen valor para la infraestructura de TI, pero ¿cómo se hace esto en la infraestructura de OT/IoT?  ¿Como podemos adoptar los mismos beneficios para los sistemas de control industrial, dispositivos físicos digitales e infraestructuras críticas?

Zero Trust para OT/IoT y sistemas de Control Industrial

¿Tiene sentido la micro-segmentación para OT? Aparte de las dificultades técnicas de aplicación, ¿qué ocurre si se bloquea el tráfico? ¿Qué impacto tendrá en el proceso? Es bastante normal e incluso deseable en IT bloquear el tráfico cuando se sospecha que pueda ser malicioso, pero en OT esto supone riesgo que puede afectar a la producción tanto o más que permitir ese tráfico.

¿Y qué pasa con los Agentes de Usuario? Muchos dispositivos OT e IoT como sensores, controladores, robots y otros son “headless” o sin cabeza. Es decir, que no hay opción de poner software en ellos, especialmente si son procesadores de propósito único que no ejecutan un sistema operativo completo. Muy a menudo, la seguridad no era una consideración cuando estos productos fueron desarrollados. Si acoplamos todo esto a la transformación digital en el sector de OT y IoT tenemos una tormenta perfecta en nuestras manos.

Entonces, ¿qué se puede hacer por OT y por dónde empezar?

Contexto para las políticas Zero Trust

Para tomar mejores decisiones sobre conectividad, se necesita mejor información. El punto de partida es comprender qué es lo que se quiere proteger. Esto es idéntico para IT, pero los métodos para conseguirlo son diferentes.

El punto de partida no es solo una dirección MAC, una Dirección IP o Puertos. Se trata de conocer el tipo de dispositivo, qué hardware y software utiliza y cuál es el comportamiento esperado de ese dispositivo. Se trata de saber cómo todo el ecosistema OT se comporta, ¿qué máquina habla con otra(s) máquina(s), qué protocolos utiliza para comunicarse, que información se intercambian y con qué frecuencia.

Si entiendes esto en el tiempo real, estás en el camino hacia un modelo Zero Trust óptimo para los entornos OT/IoT.

Tiempo de decisión para maximizar la seguridad

La recopilación de información debe llevar a alguna parte. Sin ella, el esfuerzo es inútil por lo que debe convertirse en inteligencia procesable y, en última instancia, en acciones. Conocer las versiones del hardware y del software ayudará a conocer qué vulnerabilidades se aplican a esos dispositivos conectados, incluso si esos dispositivos siguen siendo soportados por sus proveedores y cómo deberían actuar en la red. ESO SÍ que es relevante.

Conocer el comportamiento de toda la red de OT/IoT también implica la habilidad de detectar y alertar sobre las anomalías. Si de repente, dispositivos que nunca se comunicaban entre sí empiezan a hacerlo o si antes había comunicaciones, pero ahora están mostrando un comportamiento totalmente diferente, justifica que se investigue la legitimidad de los mismos.  Es muy probable que se trate del inicio de una violación.

Para profundizar un poco más en la inteligencia accionable, los datos recopilados para lograr un modelo Zero Trust no deberían limitarse a unas pocas líneas en las que se indique cuál es el problema más probable.  Debería ayudar a determinar el impacto que tiene en la red de OT cuando se aborda. Por ejemplo, eliminar vulnerabilidades puede ser toda una empresa -- ¿cómo mejora eso la postura de seguridad en comparación con el esfuerzo requerido? Se trata de información cuantificable que permitirá tomar una decisión informada sobre la aplicación de parches o no.

¡Hay OT en Zero Trust!

En cuanto a la aplicación de la política de Zero Trust, tanto en OT como IoT, a veces está justificado automatizar intervenciones bloqueando el tráfico. El conjunto de herramientas que forman el mecanismo de ciberdefensa debe jugar bien e intercambiar información para actuar lo más rápido posible para que cada una pueda cumplir su función con eficacia.

Victor Manuel Aguilar, Regional Director Iberia & Turkey, Nozomi