¿Dice que su misión es crítica? Sí, puede parchearlo
La tecnología operativa (OT) requiere medidas de ciberseguridad protectoras como cualquier otro sistema, y más aún teniendo en cuenta que algunas OT soportan entornos de misión crítica como centrales eléctricas y sistemas de control del tráfico aéreo.
Sin embargo, las OT tienen características únicas que hacen que algunas prácticas de seguridad -como el parcheo de vulnerabilidades- sean difíciles de llevar a cabo. Esto se debe a una combinación de factores que incluyen sistemas heredados, limitaciones de tiempo real, requisitos de disponibilidad, entornos complejos y riesgos de ciberseguridad.
En este artículo, examinaremos los retos que plantea la aplicación de parches en OT y lo que pueden hacer las organizaciones para garantizar que su tecnología operativa de misión crítica permanezca segura y protegida frente a vulnerabilidades.
Hay tecnología que no puede desconectarse
Las OT, que suelen incluir cosas como los sistemas de control industrial (ICS), son sistemas críticos utilizados en diversas industrias, como la fabricación, la energía y el transporte.
Mientras que en el pasado, la recomendación era aislar estos sistemas de internet para mejorar la seguridad y reducir el riesgo de ciberataques, ahora es cada vez más imposible lograr el aislamiento porque gran parte de la OT está conectada a internet, gracias en parte a la proliferación de dispositivos conectados y al internet de las cosas (IoT). OT e ICS se encuentran en lugares como:
- Centrales nucleares: Los ICS controlan y supervisan diversos aspectos del funcionamiento de la central. Estos sistemas son muy críticos, y desconectarlos por completo puede interrumpir la generación de energía y afectar a la estabilidad de la red eléctrica, además de poner en riesgo la seguridad nuclear,
- Sistemas de control del tráfico aéreo: La infraestructura de control del tráfico aéreo se basa en complejas OT para gestionar y supervisar el movimiento, la comunicación y la navegación de las aeronaves. Desconectar estos sistemas para parchearlos puede afectar gravemente a la seguridad y la eficiencia de la gestión del tráfico aéreo.
- Instalaciones de tratamiento de aguas: Las plantas de tratamiento de agua emplean ICS para gestionar y optimizar el proceso de tratamiento, supervisar la calidad del agua y controlar la distribución de agua limpia. Parar estos sistemas para aplicar parches puede interrumpir el suministro de agua y afectar potencialmente a la salud pública.
En cada uno de estos ejemplos, el objetivo es equilibrar la necesidad de actualizaciones de seguridad con el requisito de operaciones ininterrumpidas. Al fin y al cabo, si no se interrumpen brevemente las operaciones para alcanzar los objetivos de seguridad, se corre el riesgo de que un agente de amenazas provoque una interrupción prolongada y catastrófica de las operaciones.
Las organizaciones emplean una combinación de estrategias de gestión de riesgos, que incluyen la aplicación de parches, la segmentación de redes, la redundancia y otras medidas de seguridad, para mantener la disponibilidad y fiabilidad de los sistemas críticos OT e ICS, al tiempo que abordan las vulnerabilidades de seguridad.
Tampoco es fácil parchear
Como parte de ese proceso, las empresas pueden encontrarse con que la aplicación de parches es uno de los objetivos más difíciles de alcanzar. La aplicación segura de parches en OT e ICS presenta varios retos únicos:
- Imposibilidad de desconectar los sistemas: Estos sistemas están diseñados para funcionar continuamente sin interrupciones. Desconectarlos para aplicar parches o realizar tareas de mantenimiento puede interrumpir las operaciones y provocar importantes pérdidas económicas o riesgos potenciales para la seguridad pública.
- Inaccesibilidad física: Los sistemas OT e ICS suelen estar ubicados en zonas remotas o de difícil acceso, como plataformas petrolíferas, minas o parques eólicos. Estos entornos pueden carecer de una conectividad de red adecuada o tener un acceso limitado para el personal informático.
- Tecnología heredada y falta de parches: Muchos sistemas OT e ICS se desarrollaron e implantaron hace varios años, cuando los problemas de seguridad no eran tan frecuentes. Estos sistemas heredados no se diseñaron teniendo en cuenta las características de seguridad modernas, y a menudo funcionan con sistemas operativos obsoletos o propietarios que ya no reciben soporte.
Ante estos retos, las organizaciones adoptan un enfoque de la seguridad OT e ICS basado en el riesgo. Esto implica aplicar controles compensatorios, como la segmentación de la red, los sistemas de detección de intrusos y la supervisión continua, para minimizar el riesgo que plantean los sistemas sin parches.
También es esencial dar prioridad a las evaluaciones periódicas de seguridad, la gestión de vulnerabilidades y la planificación de la respuesta a incidentes para mitigar el impacto potencial de los incidentes de seguridad en estos sistemas críticos.
Pero, ¿y si una organización pudiera parchear de forma eficaz y coherente?
Considere la posibilidad de parches automatizados y sin reinicio
Parcheo automatizado y sin reinicio, también conocido como live patchingpuede ser una solución valiosa para las empresas que se enfrentan a problemas de OT e ICS difíciles de parchear.
La posibilidad de implantar una actualización de seguridad en un servicio informático activo y operativo sin necesidad de reiniciar el sistema cambia las reglas del juego, ya que significa que los sistemas OT e ICS pueden permanecer en línea durante el proceso de aplicación de parches.
Dado que la OT desempeña un papel tan crucial en el funcionamiento de las infraestructuras críticas, y que los métodos tradicionales de aplicación de parches que requieren el reinicio del sistema pueden introducir riesgos operativos y tiempos de inactividad, he aquí cómo puede ayudar la aplicación de parches en vivo:
- Disponibilidad continua del sistema: Live patching permite a las empresas aplicar parches a los sistemas OT e ICS sin interrumpir su funcionamiento. Los servicios críticos pueden permanecer en línea eliminando la necesidad de reiniciar el sistema, lo que minimiza el impacto en las operaciones generales.
- Reducción del tiempo de inactividad y las interrupciones: Los métodos tradicionales de aplicación de parches suelen requerir intervalos de mantenimiento programados, lo que puede provocar importantes tiempos de inactividad e interrupciones en las operaciones. Con el live patching, las empresas pueden aplicar parches sobre la marcha, reduciendo o eliminando la necesidad de tiempos de inactividad planificados.
- Cumplimiento y requisitos reglamentarios: En sectores como la energía, la sanidad y el transporte, el cumplimiento de estrictas normas reglamentarias en materia de aplicación de parches es esencial. La aplicación de parches en tiempo real ayuda a mantener los sistemas actualizados con los últimos parches de seguridad y actualizaciones de software sin interrumpir las operaciones críticas.
- Gestión de parches mejorada: Los sistemas de aplicación de parches en tiempo real suelen incluir funciones centralizadas de gestión de parches. Esto permite a las organizaciones agilizar sus procesos de aplicación de parches, realizar un seguimiento del estado de despliegue de los parches y gestionarlos en muchos dispositivos OT e ICS, todo ello desde una única consola.
En general, la aplicación de parches en vivo mejora la eficacia, reduce los errores humanos y garantiza un enfoque más hermético de la aplicación de parches de seguridad.
La aplicación coherente de parches contra vulnerabilidades -gracias a la aplicación de parches en vivo- es aún más potente cuando se combina con una postura de ciberseguridad sólida. Las organizaciones que aplican parches en tiempo real al tiempo que aplican una segmentación de red, controles de acceso y supervisión cuidadosamente estudiados tendrán las mejores posibilidades de proteger los sistemas OT frente a posibles amenazas.
Para obtener más información sobre cómo live patching puede ayudar a su organización a proteger su OT puede leer nuestra página sobre live patching para infraestructuras críticas aquí.