Protección del IIoT con la Gestión de Acceso Privilegiado

El reciente crecimiento del Internet de las cosas (IoT) y de su subdivisión, el Internet industrial de las cosas (IIoT), ha sido asombroso. De igual forma, las proyecciones sobre el crecimiento de este último son abrumadoras, ya que la mejor conectividad del TI-TO, así como los sensores y dispositivos de control continúan generando más y más casos de uso para implementaciones en la fabricación y transporte, además de otras muchas industrias.

Conforme crece el IIoT, los dispositivos IIoT se multiplican

Debido a que los casos de uso para el IIoT industrial son de diversos tipos, también tienen que serlo los sistemas implementados para poder utilizar una amplia variedad de sensores y sistemas de control. La TO (Tecnologías de Operación) permite a las organizaciones industriales mejorar su eficacia, optimizar la producción y mejorar los procesos. Ofreciendo grandes reducciones en costes y aumentando la producción, no nos extraña que las conexiones TO-TI estén experimentando un crecimiento tan pronunciado. Por ejemplo, la implementación del IIoT en una fábrica puede llevar consigo el uso de miles (o incluso decenas de millares) de dispositivos conectados, mientras que un sistema IIoT diseñado para monitorear y controlar una red ferroviaria de alta velocidad necesitará una amplia gama de dispositivos que generen la misma cantidad de datos.

Conforme los dispositivos IIoT se multiplican, la exposición a las ciberamenazas aumenta

Es un hecho que a medida que se incrementa la cantidad de dispositivos conectados, también lo hace la exposición a las ciberamenazas, ya que cada dispositivo se convierte en una potencial entrada para aquellos empeñados en obtener acceso a datos y sistemas, ya sea por cuestiones económicas o simplemente con el objetivo de causar estragos. En caso de que se consiga acceso a los recursos privilegiados, el daño potencial puede ser monumental no solo por los costes económicos, sino también porque si los sistemas de seguridad se ven comprometidos, la vida de las personas se puede poner en peligro.

Además de todas las formas en las que imaginamos que los hackers pueden infligir daños directamente al atacar las implementaciones IIoT, también existe la posibilidad real de que una vez que los hackers hayan penetrado un sistema por medio de los dispositivos IIoT, estos no solo tendrán control de sus dispositivos, sino que también serán capaces de moverse lateralmente dentro de una red de TI. Esto quiere decir que, aunque un dispositivo IIoT sea la puerta de entrada, los hackers más astutos lograrán saltar fácilmente de ese dispositivo a otros recursos del sistema como bases de datos y servidores.

A medida que crece el número de dispositivos IoT conectados, también lo hace la exposición a la ciberamenaza 

IIoT necesita una Gestión de Acceso Privilegiado a todos los niveles

Por lo tanto, el equipo de seguridad de cualquier organización que busque implementar una solución IIoT necesita considerar no solo cómo securizar directamente la infinidad de dispositivos que utilizan, sino también cómo vigilar detenidamente las defensas que están proporcionando para todos los recursos privilegiados que se encuentran más allá de los dispositivos de la red. En ambos casos, lo que se necesita es una comprensión sólida además de la aplicación de la Gestión de Acceso Privilegiado (PAM), incluido el Privilegio Mínimo, que está unido al monitoreo y control en tiempo real.

En IIoT los dispositivos también son usuarios

PAM emplea el Principio del Privilegio Mínimo garantizando que los usuarios puedan acceder únicamente al menor número de recursos sensibles necesarios para completar una tarea legítima, y tan solo en las circunstancias adecuadas. Es decir, durante periodos de tiempo limitados y con un alcance restringido de las acciones autorizadas. Resulta esencial que los equipos encargados de la seguridad del IIoT entiendan que los «usuarios» de su sistema no siempre serán necesariamente «personas». Esto quiere decir que, sobre todo en el caso de los sistemas de IIoT con dispositivos de control automatizado, puede que esos propios dispositivos dispongan de acceso a los recursos privilegiados, por lo que tendrán que ser monitoreados y controlados de la misma forma que se hace con los humanos. Al garantizar que los componentes del sistema están sujetos a los mismos principios de PAM como los humanos (acceso únicamente a los recursos necesarios, en las circunstancias adecuadas), los administradores de TI responsables de la seguridad TO-TI lograrán acabar con la potencial amenaza que representan todos sus dispositivos conectados.

PAM debería ser usado para bloquear todo el sistema

Al garantizar que los controles adecuados de PAM están implementados internamente se ayuda a prevenir cualquier movimiento lateral realizado por un hacker dentro de un sistema, si con el tiempo estos logran obtener acceso a través de un dispositivo IIoT. Una vez más se trata de la aplicación de los principios de control de acceso y el Privilegio Mínimo: es poco probable que, por ejemplo, el monitor de vibración de una planta de producción necesite acceder a la base de datos de clientes, por lo que una solución adecuada de PAM logra invisibilizar todos los recursos externos que un usuario no necesita acceder. PAM y el Principio del Privilegio Mínimo se combinan para definir a un nivel granular qué acceso privilegiado es necesario y cuándo.

El monitoreo de sesiones automatizadas, un must para los despliegues a gran escala

En todos los casos, una solución de PAM robusta también realizará monitoreos en tiempo real de todas las sesiones privilegiadas para garantizar que cualquier intento de acceso a los recursos críticos sea grabado, pero también marcado o incluso terminado si se intentan llevar a cabo acciones que no están autorizadas. La gestión del acceso privilegiado y el monitoreo en tiempo real son dos capacidades de vital importancia para securizar las soluciones IIoT, ya que los equipos de seguridad no pueden esperar gestionar y monitorear miles de dispositivos y todo el tráfico asociado a los mismos sin una solución centralizada.

Podemos decir que el IIoT todavía es un niño que no va a parar de crecer, al igual que lo harán las oportunidades de explotación de los agentes malignos. Pero al diseñar implementaciones IIoT, de acuerdo con los principios de PAM, y aplicar soluciones de PAM fuertes en implementaciones IIoT, se puede reducir considerablemente la explotación, así como alcanzar los beneficios de IIoT.