En las industrias cuando normalmente se habla de ciberseguridad, se hace referencia a un incidente asociando cualquier evento, casual o dirigido, que hace saltar alertas en los sistemas de detección de seguridad.

La gestión de los incidentes de ciberseguridad requiere de un enfoque específico, con un personal adecuado y que cuenten con herramientas determinadas, este personal se estructura en equipos que permiten gestionar una gran base instalada de activos a monitorizar y proteger. Estas organizaciones se denominan SOC (Security Operations Center).

Estos centros cuentan con herramientas de monitorización de eventos de seguridad, de detección de intrusiones, detección de anomalías, de evaluación de la seguridad del perímetro y en los últimos años, incorporando también capacidades de vigilancia digital para buscar información de sus clientes en la dark web. Las casuísticas pueden ser muy variadas como que haya sido exfiltrada o porque se derive de acciones de preparación de ataques y, por tanto, de compra-venta de información de las futuras víctimas.  

Para lograr automatizar acciones se requiere de herramientas que permitan operativizar guiones de actuación de los especialistas que componen estos equipos. De esta manera, las herramientas irán incorporando más reglas que permitan detectar actividad maliciosa. Unas reglas que se generarán a partir de la inteligencia de amenazas (Threat Intel) así como de las información de vulnerabilidades explotables en los activos de los usuarios a proteger.  Además, los guiones (playbooks) ayudarán a los analistas a saber cómo proceder cuando estas alertas se produzcan.

Existen herramientas que permiten automatizar diferentes acciones, como las de mandar un correo a un usuario al que se le ha detectado un correo malicioso ya eliminado a otras más complejas como aislar un equipo infectado o incluir reglas en un firewall para bloquear el origen de un ataque.

Al hablar de un SOC industrial se añaden varias complejidades. Por un lado, entender el impacto de las alertas va a depender mucho de qué activos sufran dicho ataque y dichos activos y sus impactos en los procesos suelen ser conceptos muy alejados de los entornos de Tecnologías de la Información (IT). Además, la comunicación con los responsables de dichos activos es compleja debido a que no manejan las mismas jergas o formas de trabajar que en IT, así como el entendimiento adecuado de cómo tratar una alerta requiere de comprender el contexto industrial. Contexto que habitualmente no se tiene si no se está involucrado en la operación o mantenimiento de la instalación monitoreada. 

En un entorno industrial, ya sea por cuestión del propio proceso y su operación o por mantenimiento, las máquinas fallan o dan alertas, estas alertas tradicionalmente eran relacionadas con la instrumentación, o con cuestiones eléctricas o mecánicas. Pero al entrar la ciberseguridad en esta ecuación, el enfoque no puede ser exclusivo de la propia tecnología de ciberseguridad sino teniendo en cuenta todo el contexto industrial.

Fuente: Cci-es.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *