Un grupo de agencias gubernamentales de EE. UU. ofreció el miércoles asesoramiento a organizaciones de infraestructura crítica sobre la aplicación de principios de confianza cero (ZT) a sus entornos de tecnología operativa (OT).
Tomando un enfoque de confianza cero a estos sistemas industriales requiere una cuidadosa consideración, la nueva publicación del gobierno dice, «porque los sistemas OT interactúan con el entorno físico y están limitados por requisitos de disponibilidad y seguridad, así como por tecnología heredada con una larga vida útil».
El documento, escrito en coautoría por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI y los departamentos de Defensa, Energía y Estado, describe Los desafíos únicos que plantean los entornos OT.la importancia de marcos de gobernanza claros y supervisión de la cadena de suministro, y los pasos que los operadores de infraestructura deben tomar para implementar la confianza cero.
El consejo del gobierno llega cuando los piratas informáticos son cada vez más dirigen su atención a los operadores de OTmuchos de los cuales utilizan tecnología heredada insegura, carecen de presupuestos de ciberseguridad adecuados y no pueden tolerar un tiempo de inactividad significativo.
«Esta guía lleva a los propietarios y operadores de reactivos a proactivos», dijo Brett Leatherman, subdirector de la División Cibernética del FBI. dijo en un comunicado. “La resiliencia en OT no se logra mediante un control único; requiere defensas en capas que aumentan el costo para los adversarios en cada etapa.
Las organizaciones deberían comenzar por establecer estructuras de gobernanza, dice la publicación, incluida la “responsabilidad compartida” entre las partes interesadas y el uso de herramientas de gestión de riesgos de la cadena de suministro, como listas de materiales de software. A continuación, deben identificar y analizar sus activos, implementar procesos para rastrear los cambios en esos activos y evaluar las amenazas que enfrentan.
Luego, el documento recomienda prácticas específicas de seguridad de confianza cero, como segmentación de red, gestión de identidades, acceso remoto seguro, gestión de vulnerabilidades y cifrado de datos. Pero advierte que la mayoría de estas prácticas funcionarán de manera diferente en entornos OT que en entornos TI tradicionales.
En particular, los controles de acceso ideales pueden no ser posibles en entornos OT debido a necesidades operativas, dice el documento, por lo que las organizaciones deberían apilar una serie de controles de compensación uno encima del otro para dificultar que los piratas informáticos exploten las debilidades del control de acceso. El documento también contrasta cómo los entornos de TI y OT pueden implementar la segmentación de redes, destacando las dificultades que existen en el mundo de OT.
El documento también incluye secciones sobre detección, respuesta y recuperación de amenazas, con orientación y recomendaciones sobre las consideraciones específicas de OT para cada una de esas actividades. Por ejemplo, señala que Software de detección y respuesta de terminales (EDR) A veces es difícil de ejecutar en los sistemas integrados que prevalecen en los entornos OT y ofrece consejos sobre cómo afrontar esos desafíos. También sugiere formas para que los servicios de respuesta a incidentes contengan ataques a los sistemas OT.
La responsabilidad organizacional compartida es un tema importante de la publicación, que advierte que “las herramientas y tecnologías por sí solas son insuficientes” para implementar los principios de confianza cero.
«Una fuerte colaboración entre los equipos de TI, OT y ciberseguridad es fundamental para lograr una implementación efectiva y sostenible de tecnología y procesos», dice la publicación. «Esta colaboración requiere romper los silos organizacionales, fomentar el entendimiento mutuo y adaptar los principios de ZT a las características únicas y los requisitos operativos de cada entorno de OT».
Fuente