ClickCease ¿Parcheado en lugar de actualización de dispositivos OT heredados?

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

¿Parcheado en lugar de actualización de dispositivos OT heredados?

22 de noviembre de 2022 - Equipo de relaciones públicas de TuxCare

La tecnología operativa (OT) son los equipos y programas informáticos utilizados para analizar los procesos de control de las infraestructuras críticas, mientras que los activos del sistema de control industrial (ICS) son los dispositivos digitales utilizados en los procesos industriales. La naturaleza conectada de los dispositivos OT/ICS ha incrementado -sobre todo recientemente- el riesgo de ciberseguridad para los entornos que los utilizan.

Para reforzar la postura de seguridad de las empresas que actualmente utilizan dispositivos OT/ICS heredados, ¿la mejor opción es simplemente cambiarlos por modelos más nuevos? ¿O hay otro camino?

Esta entrada de blog explora el parcheado de vulnerabilidades para dispositivos OT/ICS, cubriendo el panorama de amenazas para estas tecnologías, la gestión de parches y cómo las organizaciones pueden automatizar su parcheado de vulnerabilidades.

Amenazas potenciales y vulnerabilidades críticas

La mayoría de las arquitecturas OT/ICS se ubican sobre todo en redes aisladas y planas con zonas expuestas. El espacio de ataque abarca toda la gama de ataques potenciales, incluidas todas las soluciones OT/ICS y ahora IIoT. Los ataques a las tres plataformas pueden originarse tanto interna como externamente.

Los ataques externos pueden proceder de fuentes externas, como piratas informáticos, delincuentes, terroristas y Estados-nación. Aparte de estas dos categorías, también hay ataques físicos que implican interferencias directas con los equipos.

El proceso de gestión de parches de OT

Los sistemas de infraestructuras críticas de TI y OT se basan tradicionalmente en pilas tecnológicas separadas y funcionan individualmente. Dado que estos sistemas no están conectados directamente, sus controles difieren de los de una red informática y a menudo existen en redes diferentes para evitar el solapamiento de ciberriesgos, incluidos los ataques de malware y ransomware.

Un activo de OT sensible a las vulnerabilidades puede ser una fruta rentable y tentadora para los malos actores. Cuando el parche se publica, las vulnerabilidades se identifican a través de la Base de Datos Nacional de Vulnerabilidades. Los piratas informáticos también vigilan continuamente estas bases de datos.

Las actualizaciones de seguridad puede notificarle las vulnerabilidades a medida que ICS-CERT las anuncia. NVD publicó casi 350 exposiciones en un fin de semana. Hay muchas maneras en que estas debilidades pueden afectar a una organización OT.

¿Por qué las guías de implantación no son suficientes para los sistemas OT/ICS?

La disponibilidad de parches es una de las principales preocupaciones de las redes operativas. Muchos dispositivos OT siguen funcionando en producción años después de la fecha de fin de vida útil (EOL) del fabricante, tras la cual los usuarios ya no reciben actualizaciones de seguridad del proveedor original. 

Los ingenieros de redes funcionales a menudo buscan empresas de software de terceros, como TuxCarecon programas de soporte de ciclo de vida ampliado para parches de kernel de SO Linux, que permiten a las empresas seguir recibiendo parches de seguridad durante varios años después de que un SO llegue a EOL.

Priorizar el despliegue de parches

Averiguar qué parches deben priorizarse en su entorno OT/ICS puede resultar complicado. Aunque las puntuaciones CVSS han sido normalmente un punto de partida esencial para seleccionar los parches, se generan utilizando múltiples variables: vectores de acceso, dificultad de acceso, autenticación, integridad, disponibilidad y muchas otras. 

Además, basarse únicamente en las puntuaciones CVSS para priorizar los parches de vulnerabilidades podría no ser el mejor enfoque. Para complicar aún más las cosas, los ingenieros de redes de los operadores industriales solo pueden desplegar simultáneamente un pequeño subconjunto de parches en todo el activo de OT, aunque los posibles parches estén disponibles. 

Recomendamos que los entornos operativos y las organizaciones industriales den prioridad a la aplicación de parches para un entorno específico de OT con un enfoque en varias fases.

Parcheado de dispositivos integrados en el proceso de gestión de cambios

LA NORMA IEC62443 requiere la implementación de la gestión de cambios para entornos OT/ICS. Se entiende que el despliegue de parches en el entorno OT será un cambio ambiental y una tarea muy desalentadora. El proceso de actualización de parches y firmware debe revisarse continuamente para ayudar a evaluar el riesgo para el dispositivo y la organización.

Los sistemas propietarios también tienen su secuencia de actualización de parches y firmware. Algunos requieren múltiples reinicios del dispositivo para que el firmware actualice los distintos componentes en diferentes etapas. A menudo es necesario parchear o actualizar los dispositivos críticos por temor a que la máquina no vuelva rápidamente al entorno de producción. 

Retos de la gestión de parches

Para decidir si se aplica un parche, hay que sopesar las ventajas frente a las molestias. Si los beneficios superan a los problemas, ejecute el parche. Sin embargo, en el caso de los dispositivos OT/ICS, dejar unidades fuera de producción puede afectar enormemente a la eficacia operativa y al rendimiento global. Por esta razón, existe un incentivo para retrasar la aplicación de parches durante las ventanas de mantenimiento programadas.

Por otro lado, esperar a aplicar los parches de seguridad hasta que esté listo para reiniciar los sistemas y dispositivos deja a su organización vulnerable y pone en riesgo su postura de cumplimiento.

Automatización del parcheado de dispositivos con TuxCare 

Las soluciones de aplicación de parches en vivo de TuxCare protegen sus sistemas Linux eliminando rápidamente las vulnerabilidades sin esperar a las ventanas de mantenimiento ni a los tiempos de inactividad. Con TuxCare, los equipos de TI pueden automatizar la aplicación de nuevos parches a través de la puesta en escena, las pruebas y la producción en todas las distribuciones populares de Linux.

TuxCare ofrece una interoperabilidad impecable con análisis de vulnerabilidades, sensores de seguridad, automatización, integración con procesos de gestión de vulnerabilidades, herramientas de generación de informes y nuestra plataforma de gestión de despliegue de parches ePortal. Este servidor de parches privado dedicado se ejecuta dentro de su cortafuegos en las instalaciones o en la nube. TuxCare es el único proveedor que parchea en directo prácticamente todas las vulnerabilidades en kernels, bibliotecas compartidas, plataformas de virtualización y bases de datos de código abierto en todas las distribuciones populares.

Contacte con un experto TuxCare

Resumen
¿Parcheado en lugar de actualización de dispositivos OT heredados?
Nombre del artículo
¿Parcheado en lugar de actualización de dispositivos OT heredados?
Descripción
Explore los parches de vulnerabilidad para dispositivos ICS/OT, el panorama de amenazas y cómo las organizaciones pueden automatizar sus parches de vulnerabilidad.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín