Claroty, empresa de protección de sistemas de ciberseguridad conectados y físicos, ha dado a conocer que el 13% de los activos de tecnología operativa (OT) más críticos para la misión tienen una conexión a Internet insegura, y el 36% de ellos contiene al menos una Vulnerabilidad Explotada Conocida (KEV). Esto los convierte en puntos de entrada a los que se puede acceder en remoto, por lo que es fácil que los posibles atacantes los exploten e interrumpan las operaciones.

Para hacer frente a estos riesgos alimentados por la creciente adopción de tecnologías de acceso remoto en entornos CPS, Claroty ha lanzado Claroty xDome Secure Access (anteriormente Claroty Secure Remote Access). La solución equilibra el acceso sin fricciones y el control seguro de las interacciones con los CPS, lo que mejora la productividad, reduce las complejidades y los riesgos, y garantiza el cumplimiento de las normativas por parte de usuarios propios y de terceros (como por ejemplo la NIS2).

Al integrar principios de seguridad fundamentales como el gobierno y la administración de identidades (IGA), la gestión de accesos privilegiados (PAM) y el acceso ZTNA, Claroty xDome Secure Access establece nuevos estándares de resistencia y excelencia operativa en el entorno de los CPS.

Según Gartner, “aunque las tecnologías CPS (a menudo denominadas indistintamente OT/IoT/IIoT/ICS/IACS/SCADA, etc.) que soportan procesos de producción o de misión crítica se desplegaron inicialmente de forma aislada, cada vez están más conectadas entre sí y con los sistemas de la empresa. Además, las organizaciones ahora necesitan OEM, contratistas y empleados para operarlos, mantenerlos y actualizarlos desde lejos”.

Para conocer las implicaciones del aumento de la conectividad sobre la seguridad, Team82, el equipo de investigación de Claroty, ha analizado más de 125.000 activos de OT, su conexión a Internet y su capacidad de explotación. Las principales conclusiones son:
· El 3,7% de todos los activos OT tiene una conexión a Internet insegura: se comunican con Internet en general, excluyendo las comunicaciones unidireccionales, del fabricante y de seguridad de punto final, lo que permite a los atacantes escanear fácilmente el espacio de direcciones IP para encontrarlos e intentar acceder a ellos de forma remota.
· El 13% de las estaciones de trabajo de ingeniería (EWS) y las interfaces hombre-máquina (HMI) tiene una conexión a Internet insegura: estos activos fundamentales se utilizan para supervisar, controlar y actualizar los sistemas de producción. Los atacantes pueden infiltrarse en la arquitectura del Modelo Purdue para ICS y, en algunos casos, acceder a la red IT de la empresa. Esta situación les ofrece un punto de partida para realizar movimientos laterales dentro de la red, escalar sus ataques y causar un daño potencialmente devastador.
· El 36% de los EWS y HMI conectados a Internet de forma insegura contiene al menos una KEV: la combinación de alta criticidad, exposición y explotabilidad hace que estos activos sean objetivos principales para los actores de amenazas que buscan maximizar la interrupción operativa.

“El aumento del acceso remoto implica una superficie de ataque más amplia y un mayor riesgo de interrupción de la infraestructura crítica, lo que puede afectar a la seguridad pública y la disponibilidad de servicios vitales”, afirma Amir Preminger, vicepresidente de investigación de Team82 de Claroty. “El acceso remoto a activos OT críticos, como estaciones de trabajo de ingeniería (EWS) e interfaces hombre-máquina (HMI), se ha convertido en una práctica habitual. Las organizaciones deben implementar mecanismos robustos para otorgar acceso de forma internacional y con privilegios limitados”, añade.

Equilibrio entre acceso sin fricciones y control seguro
Según Gartner, “aunque [el funcionamiento, mantenimiento y actualización de los SPI a distancia] se realizaba históricamente con enfoques basados en VPN y servidores de salto, éstos han demostrado ser cada vez más inseguros y complejos de gestionar. Las vulnerabilidades de las VPN se han multiplicado en los últimos años, dando lugar a directivas de explotación y emergencia como la ED-24-01 de CISA. Además, la mayoría de las VPN proporcionan un amplio acceso a la red, y los esfuerzos por restringir este amplio acceso a un nivel más granular conducen a una supervisión compleja y costosa”.

La solución xDome Secure Access ofrece ventajas como:
· Aumento de la productividad: el acceso sin fisuras para usuarios de primera y tercera parte reduce eficazmente el tiempo medio de reparación (MTTR) al facilitar una resolución de problemas más rápida, operar en condiciones de bajo ancho de banda, garantizar una alta disponibilidad del sistema y mantener la capacidad de supervivencia de los sitios críticos.
· Reducción de riesgos: la solución incorpora un marco adaptado de Confianza Cero, capacidades PAM y funcionalidad IGA para mejorar la gestión de incidentes, los controles de acceso y la supervisión del sistema. Esto minimiza en última instancia los riesgos y salvaguarda los activos críticos, de modo que las organizaciones puedan gestionar y gobernar todo el ciclo de vida de la identidad, desde el inicio hasta la retirada, con la máxima precisión y seguridad.
· Reducir la complejidad: con una arquitectura escalable y gestionada en la nube que ofrece la flexibilidad de operar sin problemas tanto en las instalaciones como en la nube. La solución también simplifica las tareas administrativas que requieren un control operativo constante al integrarse perfectamente con las herramientas de gestión de identidades y accesos (IAM), mejora la gestión de identidades y permite la gestión centralizada de sitios y la creación de políticas.
· Mantener el cumplimiento normativo: la solución se adhiere a las normas clave y proporciona los controles necesarios para el registro y la auditoría en tiempo real de las identidades de usuario, que es crucial para mantener registros de auditoría completos y cumplir con los requisitos reglamentarios, lo que protege a su organización contra posibles sanciones legales y financieras.

“El acceso sin fricciones a los activos industriales CPS es esencial para maximizar los resultados empresariales, pero muchos activos OT eran inseguros desde su diseño. El acceso seguro a los CPS requiere capacidades precisas de gestión de accesos, gestión de identidades, acceso privilegiado y gobierno de identidades, todas ellas creadas para los exigentes requisitos operativos, las limitaciones medioambientales y las tolerancias de riesgo exclusivas de los entornos OT. Cada acceso a un activo OT es privilegiado por definición, ya que tienen el potencial de afectar a la seguridad y la disponibilidad”, explica Grant Geyer, director de producto de Claroty. “Claroty xDome Secure Access no sólo proporciona un acceso sin fricciones para maximizar la productividad, sino que también lo hace con una seguridad integrada que es invisible para el operador, lo que es crucial para salvaguardar las infraestructuras críticas”, puntualiza.