Insights | Thirdera

Cómo superar la vulnerabilidad de la tecnología operativa con ServiceNow

Escrito por Aezaz Syed | jul 8, 2022 10:50:57 p.m.

La tecnología operativa (TO) es un conjunto de activos de hardware y software diseñados para funcionar como un sistema integrado, y también es la columna vertebral del mundo empresarial. Si un solo componente falla, puede tener un efecto dominó fatal que afectará a todo el entorno. Sin embargo, para muchas organizaciones, la gestión de vulnerabilidades de la TO aún no ha alcanzado a las herramientas modernas disponibles y sigue dependiendo de los protocolos de TI que están incompletos en lo que respecta a las necesidades de seguridad de la TOEste artículo se centrará, principalmente, en la importancia de proteger la tecnología operativa, cuáles son los desafíos comunes para mantener estos activos seguros y cómo ServiceNow y las herramientas mejoradas de inteligencia artificial disponibles se pueden utilizar para gestionar e innovar la seguridad en torno a su tecnología operativa.

 

El efecto dominó de la vulnerabilidad de la TO

Vamos a usar un ejemplo cotidiano para explicar el efecto dominó más claramente. Las telecomunicaciones que utilizamos hoy en día requieren electricidad para transmitir información desde la red eléctrica. Los generadores eléctricos consumen recursos para dar energía a los sectores de telecomunicaciones, TI, transporte y finanzas. El sector del transporte, como los ferrocarriles y los camiones, proporciona los recursos para producir energía eléctrica. Este mismo sistema de telecomunicaciones se utiliza para permitir la comunicación y las transacciones financieras para el sector del transporte. A pesar de que estas industrias no parecen estar relacionadas, si una de ellas fracasara, se produciría una reacción en cadena que devastaría varias industrias dependientes.

Ahora, aplique ese principio a un edificio de oficinas con varios dispositivos inteligentes, como termostatos, cerraduras de puertas, calderas, luces y fuentes de alimentación de respaldoEstos respaldan nuestras oficinas como sistemas de gestión del edificio, sistemas de control de incendios y mecanismos de control de acceso físico, y ahora a menudo están conectados a través de una sola red.

Todo lo que se incluye en los 16 Recursos Clave de Infraestructura Fundamental está interrelacionado y es interdependiente para satisfacer las necesidades de la sociedad. Dependen, en gran medida, de las redes y los sistemas de TO para proporcionar los recursos y servicios para nuestras necesidades diariasLa seguridad de estos sistemas de TO es esencial para que sigamos satisfaciendo las necesidades diarias, como la vitalidad económica, la salud pública y la seguridad nacional.

 

Comprensión de las tecnologías operativas

La tecnología operativa es un segmento de los sistemas de comunicación y computación que consiste en activos de hardware y software que monitorean y gestionan equipos y procesos industriales. Ha existido durante más tiempo que la tecnología de la información: comenzó con el uso de maquinaria eléctrica en fábricas y sistemas de transporte que se remonta a la década de 1790.

La TO se ocupa de operaciones industriales en las que un sensor conectado a un controlador lógico programable, u otros mecanismos industriales, recopila datos de salida y los envía a un proveedor de servicios. Por lo general, se trata de un servidor privado o nube que almacena los datos confidenciales para su posterior análisis. Entre los ejemplos de estos datos se incluyen los siguientes:

  • Datos de temperatura recibidos de los termostatos de nuestro edificio, monitores médicos o equipos industriales.
  • Datos de presión recibidos de sensores de desarrollo industrial, monitores médicos o equipos de monitoreo meteorológico.
  • Datos ligeros recibidos de sistemas de seguridad, herramientas agrícolas, herramientas de monitoreo meteorológico o incluso dispositivos de TI.
  • Datos del viento recibidos del monitoreo meteorológico o de equipos industriales.
  • Datos de humedad recibidos de los equipos de monitoreo meteorológico.
  • Datos de vibración recibidos de sensores de desarrollo industrial o equipos de monitoreo de terremotos.
  • Datos de sonido recibidos de teléfonos y dispositivos de seguridad y TI.

 

Por qué es importante proteger los datos de TO

Hoy en día, la información es un activo fundamental y confidencial. Los datos son la mejor oportunidad de negocio de esta era, y todo el mundo parece saberlo. El impacto y el valor de los datos nunca han sido tan profundos. Las organizaciones que no protegen sus datos están ignorando el inmenso poder que los atacantes podrían utilizar en su contra. Los dispositivos de TO respaldan nuestros sistemas, oficinas, edificios, fábricas, transporte y atención médica en innumerables industrias, y los datos que recopilan tienen un valor inmenso. Proteger esa tecnología es vital por dos razones importantes:

  1. La TO es fundamental para la infraestructura de la empresaSi fracasa, la empresa quedaría casi completamente inmovilizada.
  2. La TO se puede utilizar como un vector de ataque para infiltrarse en las partes «más inteligentes» de la red.

 

Protocolos de seguridad de TI frente a TO

Desde las primeras fases de la tecnología operativa, su seguridad ha dependido, en gran medida, de la naturaleza independiente de los dispositivos de TO y de la «seguridad a través de la oscuridad». Una vez que se presentaron las computadoras, los dispositivos de TO se conectaron a los sistemas de TI para ampliar la capacidad de la organización para monitorear y ajustar sus sistemas de tecnología operativa. Esto ha sido bueno para el seguimiento, pero también ha presentado grandes desafíos para garantizar ese nivel de tecnología. Los enfoques conocidos de la seguridad de TI típica se rediseñan para alinearse con las necesidades de los dispositivos de TO.

Desafortunadamente, la TO tiene prioridades adicionales, como la importancia del monitoreo en tiempo real, que requiere un protocolo de seguridad diferente al que se usa normalmente para la tecnología de la información. La seguridad de TI se basa en el principio de la «tríada», según el cual los tres conceptos de confidencialidad, integridad y disponibilidad requieren un nivel equilibrado de enfoque y protección para garantizar que la empresa sea segura y eficiente en la forma en que se utiliza esa información. Los sistemas de TO requieren los dos conceptos adicionales de control en tiempo real y flexibilidad de cambio de funcionalidad además de la tríada existente anterior para funcionar de manera eficaz. Esto hace que el seguimiento de sus vulnerabilidades sea una necesidad fundamental, además de contar con un proceso de solución bien estructurado. Los dispositivos de TO se han conectado a Internet para hacerlos «inteligentes», pero aún no son lo suficientemente inteligentes como para ofrecer una protección suficiente cuando se enfrentan a una amenaza real.

 

Cómo gestionar las vulnerabilidades en los dispositivos de TO

La gestión de vulnerabilidades de la tecnología operativa es el proceso de identificar, evaluar y solucionar las vulnerabilidades e inseguridades de la TOSi estas vulnerabilidades no se tratan, proporcionan una vía de ataque a los actores malintencionados.

Un programa de gestión de vulnerabilidades de la TO bien estructurado consiste en lo siguiente:

  • Analizar los dispositivos de TO para detectar vulnerabilidades conocidas.
  • Priorizar las vulnerabilidades identificadas en función de la gravedad y el impacto en el negocio.
  • Solucionar las vulnerabilidades mediante parches proporcionados por el proveedor, gestionar las configuraciones o implementar varios controles de compensación.

 

Hay varias etapas del proceso de gestión de vulnerabilidades, algunas de las cuales están solo al principio y otras que ocurren de forma continua. Lo definiremos en dos fases: planificar y poner en funcionamiento.

La etapa preliminar del «plan» incluye algunos componentes importantes, como el establecimiento de roles y responsabilidades, políticas corporativas y procedimientos para ejecutar un programa de solución de vulnerabilidadesEsta fase es necesaria al principio para establecer el programa de solución de vulnerabilidades de TO.

La segunda fase, denominada «poner en funcionamiento», implica la gestión regular de estas vulnerabilidades. Para muchas organizaciones, esta fase suele ser defectuosa y se enfrenta a múltiples desafíos a lo largo de su finalización.

 

Los 11 principales desafíos de la gestión de vulnerabilidades de la tecnología operativa

Echemos un vistazo a una lista de los principales desafíos en la gestión de vulnerabilidades de la TO y cómo puede crear prácticas para superarlos.

 

1. Protocolos adicionales exclusivos de la TO

Las redes de TI y TO tienen estructuras y objetivos separados. La TO utiliza muchos de sus protocolos únicos, como Modbus, protocolo de red distribuida (DN3P), protocolo de comunicaciones entre centros de control (ICCP), OLE para control de procesos (OPC) y protocolos de la Comisión Electrotécnica Internacional (IEC). A menudo, las reglas de los servicios de detección de intrusiones (IDS) también deben personalizarse para estos protocolos, lo que crea una gran necesidad de gestión de vulnerabilidades de la TO para esas soluciones especialmente diseñadas.

2. Acuerdos de soporte de proveedores complicados con ciclos de parches largos

Muchos de los dispositivos de TO están desactualizados y los acuerdos con los proveedores no incluyen parches frecuentes. Los ciclos de parches son largos, lo que conlleva más tiempo de exposición y tiempo de permanencia para el atacante. Algunos dispositivos de TO generalmente funcionan de forma continua con tiempos de inactividad de mantenimiento programados regularmente con un intervalo de cinco o más años.


3. La tolerancia al tiempo de inactividad es escasa o nula

Incluso si hay ciclos de parches disponibles, el tiempo de aplicación de los parches y el resto de la máquina tiene un impacto significativo en el negocio en el que se ejecuta. El tiempo de inactividad provoca retrasos en la producción, lo que, a menudo, se considera una barrera para el liderazgo en la optimización de los valores de sus máquinas.


4. El análisis activo suele ser problemático

El impacto del tiempo de inactividad y el tiempo de actividad que el análisis de vulnerabilidades podría tener en los sistemas de TO es un desafío para la empresa. El tiempo que se tarda en buscar una vulnerabilidad podría tener un efecto interrogatorio y perturbador en el proceso industrial. No se prefiere el análisis activo de vulnerabilidades para los dispositivos de TO para evitar los tiempos de inactividad.


5. Inventario de activos incompleto

La mayoría de las empresas industriales tienen enormes cantidades de datos de inventario para la tecnología operativa, y se almacenan en muchas fuentes, como hojas de cálculo y bases de datos antiguas. Los datos obsoletos, aislados o incompletos impiden obtener información sobre los CI durante la aplicación de parches. En la TI, cuando se identifica una vulnerabilidad, necesitará una Configuration Management Database (CMDB) para determinar cuántos elementos de configuración (CI) están dentro del alcance de esta vulnerabilidad y cuántos se pueden solucionar. Sin el perfil detallado de cada dispositivo de TO, esta tarea se hace imposible en el espacio de la TO. Además, los datos de activos para los dispositivos de TO tendrían que coincidir con los requisitos de la CMDB para la mayoría de las herramientasEn esos casos, sería necesario configurar una CMDB especializada para dispositivos de TO.


6. Identificación, priorización y solución

En los entornos de TO, el análisis implica algunos desafíos importantes. Como se mencionó anteriormente, el tiempo de inactividad y los análisis frecuentes pueden provocar ineficiencias. Algunos análisis se producen con tan poca frecuencia que la información relacionada ya está desactualizada cuando se completa todo el análisis. Cuando se verifican las vulnerabilidades, que podrían ser miles, a menudo no tienen parches disponibles de los proveedores ni métodos de priorización para comprender qué vulnerabilidades fundamentales deben abordarse antes que otras. Dado que no hay ningún vínculo con un inventario de activos bien definido, relacionarlos con los activos más vitales o en riesgo ayudará a determinar la prioridadLa solución de las vulnerabilidades, que incluye la aplicación de parches, la actualización del software y la corrección de errores, puede ser un desafío importante cuando los lanzamientos de parches o las actualizaciones de los proveedores suelen retrasarse.


7. Seguimiento del proceso de solución

Por difícil que sea gestionar todo el proceso de gestión de vulnerabilidades de principio a fin, también puede resultar difícil mantenerlasMuchas organizaciones realizan evaluaciones de vulnerabilidades poco frecuentes y utilizan una herramienta independiente para la solución, lo que puede provocar que los errores pasen desapercibidos en soluciones dispares.


8. Hardware y software únicos y adecuados para su propósito

Las redes de TO incluyen varios activos que dependen de protocolos arcanos y software especializado que la mayoría de los administradores de TI tienen poca experiencia en utilizarEstán configurados de forma única para cada organización, y la mitigación de los defectos en estas configuraciones exige la colaboración con los propietarios de los productos que son responsables de su mantenimiento.


9. Todo es muy manual

La solución de la mayoría de las vulnerabilidades de TO se realiza principalmente de forma manual. A pesar de que la mayoría de las prácticas de gestión de vulnerabilidades de la TO se puede automatizar, muchas organizaciones siguen haciendo un seguimiento de sus vulnerabilidades conocidas mediante el correo electrónico y las hojas de cálculo. Esto lleva a que los recursos dediquen mucho tiempo a recopilar y gestionar la información, que también es muy propensa a errores y a una menor confiabilidad.


10. Protocolos operativos inseguros

Los protocolos de control de la TO a menudo se desarrollan sin consideraciones de seguridad vitales y sufren problemas de seguridad comunes. Los ejemplos más comunes son la falta de autenticación entre los extremos y los controles insuficientemente precisos para especificar correctamente los destinatarios. Otro problema es que la estructura de estos protocolos de TO está disponible públicamente, lo que facilita comprometer los protocolos e infectar software malicioso para comprometer los dispositivos de TO.


11. Fuentes de vulnerabilidad inconsistentes

Además de todos los desafíos que dificultan la gestión de vulnerabilidades para la TO, los equipos de seguridad y los operadores de TO deben considerar que las fuentes públicas de vulnerabilidad utilizadas para evaluar, clasificar y priorizar están posiblemente utilizando datos incompletos o inexactosLa investigación realizada por Dragos, una plataforma para la seguridad industrial, ha descubierto lo siguiente:


  • El 43% de los avisos de vulnerabilidad contenían errores que dificultaban priorizar las mitigaciones.

  • El 64% de los avisos sin parche no tenía consejos de mitigación del proveedor.

  • El 61 % de los avisos con un parche no tenía mitigación por parte del proveedor.

  • Dragos considera que el 73 % de las vulnerabilidades es más grave que el puntaje CVSS del aviso público.

 

Cómo superar estos desafíos

Si bien la mayoría de los desafíos hacen que sea casi imposible desarrollar un programa de gestión de vulnerabilidades de la TO bien estructurado, existen herramientas para integrar varias fuentes y comenzar a desarrollar un proceso metódico que requerirá recursos y datos confiables para proporcionar información procesable para la solución de vulnerabilidades de la TO. Al considerar estas herramientas, algunos factores clave son los siguientes:

  • La capacidad de centralizar su inventario de TO con una CMDB bien definida.

  • Análisis de vulnerabilidades de la TO en múltiples clases de dispositivos de TO.

  • Gestión del ciclo de vida de las vulnerabilidades de la TO en una herramienta con CMDB de TO madura.

  • Agrupación de vulnerabilidades según el proveedor y definición de plazos de aplicación de parches.

  • Responsabilidad de sus proveedores respecto de los tiempos de respuesta rápidos y desarrollo de un seguimiento del desempeño de los proveedores que mida los riesgos y los problemas existentes.

  • Utilización de mitigaciones alternativas mientras se espera el soporte del proveedor.

  • Planificación de correcciones para evitar interrupciones y tiempos de inactividad.

 

Cómo administra ServiceNow la gestión de vulnerabilidades de la tecnología operativa

Un proceso de gestión de vulnerabilidades de la TO bien estructurado es esencial, pero agregar las funciones administrativas y de solución integradas de marcar los parches como revisados, aprobados e implementados en el mismo conjunto de herramientas llevaría la gestión a un nivel completamente nuevo. Con el poder de la rica Configuration Management Database (CMDB) de ServiceNow y los elementos de configuración (CI) de datos de activos que admiten la aplicación Vulnerability Response, los desafíos relacionados con el inventario de activos, el mapeo de protocolos y el tiempo de inactividad se pueden reducir significativamente.

Las bibliotecas e integraciones de ServiceNow, como la National Vulnerability Database (NVD), proporcionan información adicional sobre datos fiables de vulnerabilidades que se basan en datos de gestión de vulnerabilidades basados en estándares que mantiene el gobierno de EE. UU. Esto proporciona la autenticidad para utilizar la fuente pública de vulnerabilidad utilizada para evaluar, clasificar y priorizar las vulnerabilidades.

Gestión de vulnerabilidades de la tecnología operativa (TO) en ServiceNow

 

La aplicación Vulnerability Response ayuda a priorizar la gestión de vulnerabilidades con las funciones de inteligencia de activos, riesgos y amenazas que pueden crear flujos de trabajo con la TI para una respuesta rápida y confiable. Tiene un proceso bien definido para mejorar el seguimiento y la solución de las vulnerabilidades al asignarlas a su CI asociado, priorizarlas en función del mecanismo de puntuación de riesgos y hacer un seguimiento de su solución. También documenta y rastrea qué parches están dentro del alcance, cuáles están disponibles por el proveedor, a qué dispositivos pertenece y qué parches se han aplicado o no. Esta documentación se ha mejorado con un flujo de trabajo de aplazamiento independiente cuando requiere gestionar las vulnerabilidades que se están aplazando.

 

Soluciones adicionales de gestión de riesgos de ServiceNow

La aplicación Integrated Risk Management (IRM) puede realizar un seguimiento del riesgo residual de las vulnerabilidades diferidas y puede utilizarse para gestionar el riesgo planteado por cada proveedor. Las vulnerabilidades que están por encima de un umbral de puntaje de riesgo determinado pueden provocar un problema en la aplicación IRM y enviar evaluaciones al proveedor con un SLA para comprobar si existe actualmente un próximo ciclo de parches para esta vulnerabilidad.

Además, la aplicación Vendor Risk Management se puede utilizar para abordar los desafíos de analizar los plazos de los servicios de los proveedores. El proveedor se considera una entidad y el control de ese proveedor se establece como no conforme cuando hay un problema abierto para la información de parches. Se requiere cerrar todos los problemas para que el control sea más conforme. Los informes sobre los proveedores que no han cumplido durante un período específico se pueden rastrear mediante los informes de ServiceNow, así como utilizando el indicador GRC de ServiceNow como un sistema de monitoreo continuo para verificar los tiempos de respuesta del proveedor.

Vendor Risk Management para tecnología operativa (TO) en ServiceNow

 

La aplicación Performance Analytics de ServiceNow mejora estos datos mediante el uso de métricas y puntos de referencia líderes del sector para proporcionar visibilidad en tiempo real al director de seguridad de la información y entregar el poder de los datos a las respectivas partes interesadas y expertos en la materia.

Podemos establecer objetivos de análisis y solución adecuados para abordar los problemas causados por los retrasos en el análisis y la solución mediante la integración con los escáneres de vulnerabilidades de la TO y el enriquecimiento de esos datos con el inventario de activos detallado que proviene de Discovery y Nuvolo de ServiceNow. El riesgo de las vulnerabilidades residuales puede rastrearse en la aplicación Risk de ServiceNow y asociarse con los respectivos proveedores mediante su aplicación Vendor Risk Management. Esto le permite abordar todos los desafíos a los que se enfrentan actualmente la mayoría de los equipos de gestión de vulnerabilidades de la TO en la actualidad. Cuando todas las aplicaciones anteriores informan sus datos al director de seguridad de la información mediante la aplicación Performance Analytics de ServiceNow, la visibilidad del proceso otorga a los usuarios la autoridad sobre los respectivos equipos para influir en un entorno altamente seguro.

 

Recursos adicionales:


 

Más información:

 

Seminario web de ServiceNow: En la encrucijada de la vulnerabilidad y el riesgo
Únase a nuestros expertos en seguridad y riesgos de ServiceNow para que lo ayudemos a comprender cómo su programa de respuesta a vulnerabilidades de ServiceNow encaja en el panorama general de la gestión de riesgos.

 

Dé el siguiente paso

Póngase en contacto con nuestro equipo de expertos hoy mismo para responder a sus preguntas sobre las soluciones de operaciones de seguridad de ServiceNow y cómo proteger a su organización contra las amenazas de seguridad modernas.