Por:
Una buena parte de las redes de tecnología operativa (OT) existentes se construyeron originalmente durante los días del espacio aéreo, donde el aislamiento de otros sistemas empresariales proporcionaba suficiente seguridad. A medida que las iniciativas de transformación digital impulsan las redes de TI y OT hacia la convergencia, el resultado es una red en la que teóricamente cualquier cosa puede conectarse con cualquier otra cosa. Esa es una cantidad peligrosa de riesgo en un mundo donde el 93 % de las empresas de OT han experimentado una intrusión en el último año, y el 78 % reportó más de tres.
Beneficios de tener un Firewall en una Red OT
En una configuración de red donde las cosas pasan por el interruptor, un firewall nunca ve la actividad, lo que significa que las organizaciones no pueden monitorear el tráfico dentro de su red OT . Puede ser difícil comprender realmente lo que está sucediendo dentro de una red o ver cuándo cambian las cosas, que es precisamente lo que esperan los malos actores cuando atacan a un objetivo.
Los cortafuegos tradicionales brindan cierta protección, pero tienen inconvenientes, como limitaciones de reconocimiento de aplicaciones, problemas con la velocidad de la red, inconvenientes logísticos y falta de capacidades evolutivas. Afortunadamente, donde los firewalls tradicionales fallan, los firewalls de próxima generación ( NGFW ) se recuperan. Los NGFW ofrecen lo mejor en seguridad de datos y redes, incluida la versatilidad, el control inteligente de puertos, la infraestructura simple, la protección contra amenazas actualizada y la velocidad constante de la red. Además, los NGFW robustos brindan seguridad empresarial para entornos de tecnología operativa con visibilidad completa de la red y protección contra amenazas. Las organizaciones pueden tejer la seguridad en arquitecturas de sistemas de control industrial ( ICS ) y crear redes que se adapten a entornos industriales y hostiles.
Sin embargo, para obtener el máximo beneficio, incluso estos firewalls avanzados se implementan mejor dentro de una red OT, específicamente una que ha sido bien segmentada.
Niveles de segmentación de la red OT
El modelo de Purdue habla de dispositivos en función de su función y luego les asigna un nivel en función de esa función. Sin embargo, el estándar más nuevo, IEC 62443, trae el paradigma de zonas y conductos que son importantes a medida que la red OT se vuelve más segmentada. Los niveles de segmentación de la red incluyen:
Redes planas: sin segmentación alguna, la visibilidad y el control de estas redes son extremadamente limitados, y cualquier ataque puede propagarse de norte a sur y de este a oeste por toda la red.
Segmentación L2: utilizando una combinación de VLAN + conmutadores, este nivel de segmentación limita el impacto a un activo comprometido, y cada zona tiene su propia VLAN. Sin embargo, no hay visibilidad de la carga útil, el control de acceso entre zonas es limitado y no hay inspección ni segmentación del tráfico de este a oeste.
Segmentación L3: este tipo de segmentación también utiliza VLANs + switches, pero a este nivel, cada dispositivo tiene su propia VLAN. Si bien es posible determinar qué dispositivos pueden comunicarse con cuáles, este tipo de arreglo es muy frágil, con cambios que requieren una planificación costosa y la posibilidad muy real de que un error provoque tiempo de inactividad.
Segmentación L7/L3: cuando las redes alcanzan este nivel de microsegmentación, la cantidad de granularidad alcanzable permite un nivel profundo de visibilidad y control. Es posible identificar no solo qué dispositivos están en la red, sino también qué aplicaciones se están ejecutando, como Ethernet/IP o MODBUS; incluso la diferencia entre leer un valor y enviar un comando es visible. También se vuelve más fácil visualizar la topología física y lógica de la red.
Lograr la segmentación mediante NGFW sin introducir el caos
Si bien los beneficios de los NGFW en la red OT son claros, a menudo hay dudas reales para actuar sobre ese conocimiento. A diferencia de las redes de TI, el tiempo de inactividad en las redes OT puede ser increíblemente costoso o, en el caso de la infraestructura crítica, incluso poner en peligro la vida. La cuestión de cómo segmentar la red sin generar caos en el entorno, introducir tiempo de inactividad y comprometer la seguridad o la calidad del producto es de gran importancia.
Entonces, ¿cómo puede una organización implementar la microsegmentación sin derribar su entorno? Al tener un proceso extenso que detalle la responsabilidad de todos, no solo para la implementación o instalación inicial, sino también para considerar el mantenimiento continuo.
Las mejores prácticas a seguir, y las que no tienen éxito a evitar, incluyen:
HACER:
- Desarrolle un plan para saber dónde quiere estar y un cronograma razonable para implementarlo
- Minimice las interrupciones tomando medidas que tengan la menor posibilidad de fallar
- Reúna datos de cada paso y utilícelos para reevaluar antes de implementar el siguiente paso
- Olvídese de identificar las necesidades y los riesgos del negocio
- No puede definir sus objetivos y alinear los intereses de las partes interesadas
- Acorta el proceso de identificación de tus zonas y su prioridad
- Implemente todo como un enfoque big bang
La importancia de asegurar todas las capas de la red
El objetivo final debe ser lograr la seguridad holística del entorno OT, por lo que es importante invertir en una plataforma para proteger todas las capas de la red, incluidos los puntos finales de red tradicionales y no tradicionales. Ahí es donde la experiencia de Fortinet puede ayudar. Los NGFW FortiGate de Fortinet superan el estándar de la industria al proporcionar una protección superior, como se reconoce por 12ª vez en el Cuadrante Mágico de Gartner para Firewalls de Red. Las soluciones de FortiGate combinan todas las permutaciones de firewall en una única plataforma integrada, incluida la nueva funcionalidad SD-WAN. Su gestión de panel único ofrece una experiencia simplificada para una amplia gama de casos de uso, así como una implementación flexible en todos los bordes de la red. El enfoque de redes basado en la seguridad de Fortinet permite que la seguridad se integre en todos los aspectos de la red, desde el nivel básico.
Es fácil quedar paralizado por el miedo al tiempo de inactividad, la enormidad de todo el proceso, o quedar atrapado en recriminaciones sobre lo que ya debería haberse hecho. En su lugar, concéntrese en seguir adelante preguntándose: ¿Qué se puede hacer hoy y mañana para mejorar de manera constante el entorno de red? Abordar las preocupaciones de seguridad de su negocio y su red ahora puede generar dividendos en tiempo, ahorro, seguridad y privacidad en el futuro. Los NGFW y la segmentación adecuada no solo brindan seguridad, sino que también pueden brindarle una ventaja competitiva comercializable sobre los competidores que están detrás de la curva de seguridad.
