Andrew Kling y Peter Martin de Schneider Electric explicaron cómo la compañía respondió a los ciberataques, y las mejores prácticas para una respuesta rápida.
Cómo proteger la infraestructura física de los ciberataquesAndrew Kling y Peter Martin de Schneider Electric explican cómo la empresa respondió a los ciberataques, y las mejores prácticas para una respuesta rápida.
Dan Patterson, de ConsejoTecnologico.com, habló con Andrew Kling, director de I+D de ciberseguridad de Schneider Electric, y Peter Martin, vicepresidente de innovación empresarial y marketing, sobre cómo hacer frente a los ciberataques con rapidez y éxito:
Patterson: Todas las organizaciones, desde las PYMES hasta las nuevas empresas y las empresas, se enfrentan a la realidad de la piratería informática, pero ¿de dónde vienen los hackers y qué es lo que quieren? Me pregunto si podríamos empezar con algunos de los vectores de ataque y procesos que las organizaciones pueden seguir para prevenir los ciberataques. Primero, comencemos con la ubicación. La ubicación lo es todo en el ciberespacio, así como en el espacio real. ¿Cómo evitamos los ataques basados en la localización y por qué ésta es un vector de amenaza?
Más información sobre ciberseguridad
Kling: Bueno, Dan, esa es una buena pregunta. Cuando hablamos de ubicación, hay muchos tipos diferentes de ubicación que podríamos estar tomando en consideración aquí. En una parte particular del mundo donde hay sensibilidades geopolíticas, actividades geopolíticas,[y] ¿estamos en una industria en particular de la que tenemos que preocuparnos, que es más prevalente para atacar que otras?
Desde el punto de vista de la ciberseguridad, ignoramos en gran medida algunos de los aspectos de la ubicación y nos centramos en cómo protegemos a nuestros clientes, cómo protegemos nuestros dispositivos. A medida que construimos nuestros modelos de amenazas, tratamos de tener en cuenta todos los diferentes tipos de amenazas persistentes avanzadas que existen, todos los diferentes tipos de vectores de amenazas que existen. Tenemos un proceso muy disciplinado que seguimos para ayudarnos a enumerar estas amenazas, determinar si nuestros productos son vulnerables, y luego ayudar a nuestras organizaciones de I&D a construir muchas mitigaciones y, en última instancia, ayudar a nuestros clientes a emplear estas mitigaciones en sus sitios.
Patterson: ¿Cuál es la mejor manera de identificar a los distintos actores de la amenaza? No sólo los actores conocidos, sino también los desconocidos?
Kling: Esa es una pregunta difícil. ¿Cómo conoces lo desconocido? Así que en realidad, no se trata de identificar quiénes podrían ser estos actores de amenaza futuros o actuales, sino de comprender los tipos de ataques a los que podríamos ser vulnerables. Los tipos de ataques que están surgiendo. Vemos, por ejemplo, que la evolución de la tecnología de IA se está produciendo muy, muy rápidamente. Nos damos cuenta de que la IA tiene el potencial de ser extremadamente buena para nuestra calidad de vida y los productos que construimos, pero en última instancia esta tecnología se va a volver contra nosotros. Así que como ciberprofesionales, es nuestro trabajo empezar a anticiparnos a esta tecnología y cómo se van a aplicar estas tecnologías a los vectores de ataque, atacando nuestros dispositivos en busca de aperturas, y cómo podemos entonces construir las vallas contra lo que anticipamos.
VEA: Ataques de phishing: Guía para profesionales de TI (PDF gratuito) (ConsejoTecnologico.com)
Es un juego de entender nuestro producto, entender la superficie atacada y construir las vallas para este tipo de vectores de ataque.
Martin: Dan, si pudiera entrar rápidamente para poner un poco de contexto en esto, Andy y yo trabajamos en un mundo en el que proporcionamos sistemas de automatización y control y sistemas de seguridad en operaciones industriales. Muy a menudo los clientes con los que trabajamos son petróleo y gas, química, pulpa y papel, energía. Mucha infraestructura. Así que cuando empiezas a mirar el mundo de la ciberseguridad hoy en día y miras el tipo de mercados con los que estamos lidiando, algunos de los retos se reducen a ataques geopolíticos, como Andy estaba mencionando hace unos segundos. Muchos de los ataques geopolíticos se dirigen a la infraestructura. Algunas de las infraestructuras con las que trabajamos están empezando a ser atacadas, y están siendo atacadas a través de los sistemas. Tenemos mucha experiencia en la instalación de vallas, como dice Andy, y nos aseguramos de que estamos poniendo las protecciones que nuestros clientes necesitan para prevenir incluso ese nivel de ataque.
Patterson: Los actores estatales son una amenaza increíblemente desafiante, y sé que Schneider ha sido víctima de los actores estatales. ¿Aprendió algo que otras empresas pudieran aprender de usted sobre la disuasión y las mejores prácticas de recuperación después del ataque?
Kling: Sí, yo diría que esta es probablemente una de las preguntas clave. Una de las cosas principales que sacamos de una situación así, las lecciones aprendidas. Ciertamente, empezamos tratando de ser lo más transparentes posible sobre lo que sucede. No queríamos meter la cabeza en la arena y fingir: «Oh, no, no, esto no ha pasado, se irá mañana en cuanto termine el ciclo de noticias», pero queríamos enfrentarnos a ello de frente.
Así que sí, aprendimos lecciones sobre cómo manejamos esto con nuestro cliente, cómo lo manejamos dentro de la industria. Entonces tomamos mucha de esa lección, y la volvimos a poner en nosotros mismos, la volvimos a poner en el producto, la volvimos a poner en la boca para que dijera: «¿Cómo ha ocurrido esto? ¿Cómo no entendimos que este tipo de vector de ataque vendría? ¿Cómo fortalecemos nuestro producto? ¿Cómo podemos mejorarnos a nosotros mismos y a nuestro producto?»
A menudo se habla de las tres cosas que la gente procesa un producto. ¿Cómo miramos cada uno de ellos y decidimos: «Cómo aprendemos de esto y lo llevamos adelante»?
Peter Martin: En un ataque reciente en el que estuvimos involucrados, fue un ataque geopolítico a nuestro leal saber y entender, lo mejor que podemos enmarcarlo, y la buena noticia es que el producto de nuestro sistema respondió exactamente como esperábamos que lo hiciera. Cerraron la planta antes de que el ataque tuviera la oportunidad de echar raíces y eso probablemente salvó el equipo, la vida y cualquier otra cosa que pudiera ser, pero nuestra mayor preocupación a la que aludía Andy es que, debido a que el sistema funcionó, es posible que la industria no se lo tome tan en serio como realmente es.
VER: Guía del líder de TI para la recuperación de ataques cibernéticos (Tech Pro Research)
Cuando se trata de acciones geopolíticas, Dios mío, ellos tienen recursos, tienen dinero, tienen talento, y tenemos que tomárnoslo en serio. Así que en Schneider Electric, lo que estamos tratando de hacer es ayudar a construir un consorcio de diferentes compañías de automatización industrial como nosotros, compañías de TI y usuarios para asegurarnos de que estamos compartiendo las mejores prácticas – que no es sólo Schneider Electric. Creemos que hacemos un trabajo muy, muy bueno con la ciberseguridad, pero necesitamos, como industria, ser capaces de hacerlo mucho mejor. Tenemos que ser capaces de comunicarnos más rápido, hacer correr la voz, asegurarnos de que todos nuestros competidores, por ejemplo, entienden lo que ha ocurrido y también lo protegen.
Patterson: Creo que esa es una lección muy importante: la transparencia en caso de ataque y la comunicación con los socios para que cualquier persona y cualquier empresa pueda ser víctima de un ciberataque. Construir esa equidad de confianza es tan increíblemente importante para lidiar con las amenazas internas, amenazas que provienen del interior de la compañía.
Kling: Así que la pregunta, ¿cómo lidiar con las amenazas internas? La respuesta estándar de ciberseguridad es algo llamado particionamiento. No se crean roles dentro del sistema que permitan a las personas…. personas internas, personas que tienen sus funciones dentro del sistema, tener acceso a todo el sistema. Por supuesto, guiamos a nuestros clientes de esta manera.
Contamos con equipos de servicios cibernéticos que ayudan a nuestros clientes a evaluar sus sistemas, evaluar sus riesgos y ayudarles a diseñar estrategias para ello. Al mismo tiempo, también tenemos que dar cuenta de ello. Tenemos que pensar en cómo lidiar con esto y aceptar que puede suceder. Donde a menudo en ciberseguridad hablamos, defendemos, defendemos, defendemos, defendemos, cómo construimos defensas, también estamos pensando igualmente en detectar y responder. ¿Cómo detectamos que un ataque se está produciendo antes de que se estropee, antes de que ocurran las cosas? Como Peter mencionó, nuestro sistema de seguridad se apagó cuando se produjo este ataque. Ahora, ¿cómo detectamos y tomamos las respuestas apropiadas en una situación como un ataque interno?
Martin: A menudo queremos pensar en los aspectos de ciberseguridad de lo que hacemos, porque ahí es donde está todo el entusiasmo hoy en día. Pero cuando se llega a los sitios donde están instalados nuestros equipos y a los sitios donde se ha producido un ataque, la protección física es tan importante como la protección de la ciberseguridad. Bloquear las cosas, asegurarse de que los terminales de programación estén bloqueados y que sólo puedan acceder a ellos las personas que deberían tener acceso a ellos, porque cuando se habla de un ataque geopolítico, muchos de esos ataques tienen mucha paciencia con ellos. La gente esperará mucho tiempo para que se produzca un ataque, por lo que estamos trabajando con nuestros clientes para asegurarnos de poner en práctica las mejores prácticas de protección física, no sólo de protección de ciberseguridad.
Patterson: Me pregunto si podría ayudarnos a entender cómo la información que se recopila en ubicaciones físicas puede informar a los ataques cibernéticos. ¿En qué tipo de defensas deben pensar las empresas con infraestructura física?
Kling: Esa es una gran pregunta. Una vez más, en la industria de la ciberseguridad hablamos de si alguien es capaz de probar su sistema, y empezar a intentar extraer, digamos, direcciones IP o direcciones MAC, el diseño de la red. Quieres evitar que esos datos salgan a la luz. Esto se denomina exfiltración de datos, por lo que desea crear soluciones que ayuden a evitar que ese tipo de datos se publique.
Asumiendo que los datos se divulguen, asumiendo que parte de esta información puede divulgarse, entonces hay que empezar a incorporar auditorías regulares. Tienes que empezar a construir una revisión regular de tu sistema para que puedas detectar, si digo, «Estas direcciones IP son las cuatro direcciones IP permitidas», y de repente aparece un sistema con una nueva dirección IP, tienes que ser capaz de detectar eso. Tienes que determinar si es un intruso de inmediato.
Hay todo un subconjunto de la industria de la ciberseguridad que se ocupa de esta detección anómala, esta prevención de intrusiones. Esto forma parte de la aceptación de que esta información es extremadamente delicada. Tienes que protegerlo, y si no puedes protegerlo, entonces tienes que ser capaz de detectar cuando está siendo usado en tu contra.
Martin: En un sentido más simple, Dan, construimos protecciones en, por ejemplo, los sistemas que entregamos a los clientes como registros clave. Los registros de llaves físicas se encuentran justo en el lateral del equipo, y si esos registros de llaves están en la posición de apagado, no hay penetración externa en la caja. Así que cuando se diseña el sistema, se enciende la llave de acceso, se diseña y, cuando se termina, se apaga.
Algo tan simple como apagar esas llaves puede ser un gran paso adelante en la protección física, y asegurarse de que esas puertas estén cerradas con llave. Usted no quiere que alguien que viene de afuera pueda entrar y ser capaz de encender la llave de acceso. Cuando lo hacen, literalmente exponen el sistema a todo tipo de amenazas externas. Por lo tanto, hay formas físicas de proteger estas cosas que en realidad están incorporadas en los sistemas, pero que deben ser manejadas correctamente en el sitio.
Patterson: Sí, seguridad física en vez de simplemente seguridad digital. Caballeros, muchas gracias por su tiempo hoy. La última pregunta para ti. Sabemos, y dentro de la comunidad de la ciberseguridad, ya sabes, la importancia de la defensa, pero ¿cómo puede una empresa convencer a los responsables de la toma de decisiones y a los gerentes para que tomen decisiones que podrían parecer, por un lado, como gastos generales, pero por otro lado, son políticas que podrían proteger a la empresa?
VER: Política de seguridad de la información (Tech Pro Research)
Kling: Peter, ¿quieres tomar este primero?
Martin: Sí, ya sabes, una de las cosas que hemos notado a lo largo de los años, Dan, es que nuestro equipo entra. No es como los PCs. Nuestro equipo entra y a veces funciona durante 15, 20, 25 años, y trabajamos continuamente para mantenernos lo más actualizados posible para asegurarnos de que se incorporan las últimas y mejores protecciones y defensas. Pero si un cliente no mantiene el sistema actualizado, puede tener un sistema en funcionamiento que tenga 15 años de antigüedad; un sistema que realmente fue diseñado e implementado antes del 11 de septiembre de 2001, cuando todo se abrió. Si no se mantienen actualizados, nosotros, como proveedores de sistemas, podemos hacer todo tipo de grandes cosas para conseguir las últimas técnicas de ciberseguridad, pero hay una obligación por parte del usuario final de asegurarse de que se mantenga actualizado.
Martin: Una vez más, en el mundo de los PC, normalmente salimos a comprar un nuevo PC cada dos o tres años, por lo que se obtiene lo más nuevo, pero en el mundo de la automatización, los sistemas de automatización duran mucho tiempo, por lo que se requiere un enfoque diferente. ¿Andy?
Kling: Esta es una buena pregunta, la recibo con frecuencia. ¿Cómo ayudar a los responsables de la toma de decisiones a darse cuenta de la importancia de la ciberseguridad?
En la ciberseguridad, a menudo verás la ciberseguridad vendida o empujada como miedo. Miedo a la incertidumbre, «Lo malo va a pasar, tienes que construir ciberseguridad.» Bueno, no me gusta ese enfoque porque no es genuino, no es honesto. No es echar un vistazo a los hechos de lo que está pasando.
Lo que a menudo recomendamos es que nuestros clientes evalúen su situación de riesgo, entiendan cuál es la postura de riesgo de sus propias plantas y sus propias instalaciones, y luego entiendan su propia tolerancia al riesgo. Este es el lenguaje de los responsables de la toma de decisiones. El riesgo y la gestión de riesgos es el lenguaje de esa persona a nivel de la SEC. Por lo tanto, si ahora entienden cuáles son los riesgos, entienden cuál es su tolerancia al riesgo, entonces debería quedar claro si tienen algo que hacer o no en términos de abordar los riesgos de la ciberseguridad. Esta es la historia que intento repetir una y otra vez.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves