Privileged Access Management

Protección del IIoT con la Gestión del Acceso Privilegiado

El reciente crecimiento del Internet de las cosas (IoT) y de su subdivisión, el Internet industrial de las cosas (IIoT), ha sido asombroso. De igual forma, las proyecciones sobre el crecimiento de este último son abrumadoras, ya que la mejor conectividad del IT-OT, así como los sensores y dispositivos de control continúan generando más y más casos de uso para implementaciones en la fabricación y transporte, además de otras muchas industrias.

Conforme crece el IIoT, los dispositivos IIoT se multiplican

Debido a que los casos de uso para el IIoT industrial son de diversos tipos, también tienen que serlo los sistemas implementados para poder utilizar una amplia variedad de sensores y sistemas de control. La TO (Tecnologías de Operación) permite a las organizaciones industriales mejorar su eficacia, optimizar la producción y mejorar los procesos. Ofreciendo grandes reducciones en costes y aumentando la producción, no nos extraña que las conexiones IT-OT estén experimentando un crecimiento tan pronunciado. Por ejemplo, la implementación del IIoT en una fábrica puede llevar consigo el uso de miles (o incluso decenas de millares) de dispositivos conectados, mientras que un sistema IIoT diseñado para monitorear y controlar una red ferroviaria de alta velocidad necesitará una amplia gama de dispositivos que generen la misma cantidad de datos.

Conforme los dispositivos IIoT se multiplican, la exposición a las ciberamenazas aumenta

Es un hecho que a medida que se incrementa la cantidad de dispositivos conectados, también lo hace la exposición a las ciberamenazas, ya que cada dispositivo se convierte en una potencial entrada para aquellos empeñados en obtener acceso a datos y sistemas, ya sea por cuestiones económicas o simplemente con el objetivo de causar estragos. En caso de que se consiga acceso a los recursos privilegiados, el daño potencial puede ser monumental no solo por los costes económicos, sino también porque si los sistemas de seguridad se ven comprometidos, la vida de las personas se puede poner en peligro.

Además de todas las formas en las que imaginamos que los hackers pueden infligir daños directamente al atacar las implementaciones IIoT, también existe la posibilidad real de que una vez que los hackers hayan penetrado un sistema por medio de los dispositivos IIoT, estos no solo tendrán control de sus dispositivos, sino que también serán capaces de moverse lateralmente dentro de una red de TI. Esto quiere decir que, aunque un dispositivo IIoT sea la puerta de entrada, los hackers más astutos lograrán saltar fácilmente de ese dispositivo a otros recursos del sistema como bases de datos y servidores.

A medida que crece el número de dispositivos IoT conectados, también lo hace la exposición a la ciberamenaza.

IIoT necesita una Gestión del Acceso Privilegiado a todos los niveles

Por lo tanto, el equipo de seguridad de cualquier organización que busque implementar una solución IIoT necesita considerar no solo cómo securizar directamente la infinidad de dispositivos que utilizan, sino también cómo vigilar detenidamente las defensas que están proporcionando para todos los recursos privilegiados que se encuentran más allá de los dispositivos de la red. En ambos casos, lo que se necesita es una comprensión sólida además de la aplicación de la Gestión de Acceso Privilegiado (PAM), incluido el Privilegio Mínimo, que está unido al monitoreo y control en tiempo real.

En IIoT los dispositivos también son usuarios

PAM emplea el Principio del Menor Privilegio garantizando que los usuarios puedan acceder únicamente al menor número de recursos sensibles necesarios para completar una tarea legítima, y tan solo en las circunstancias adecuadas. Es decir, durante periodos de tiempo limitados y con un alcance restringido de las acciones autorizadas. Resulta esencial que los equipos encargados de la seguridad del IIoT entiendan que los «usuarios» de su sistema no siempre serán necesariamente «personas». Esto quiere decir que, sobre todo en el caso de los sistemas de IIoT con dispositivos de control automatizado, puede que esos propios dispositivos dispongan de acceso a los recursos privilegiados, por lo que tendrán que ser monitoreados y controlados de la misma forma que se hace con los humanos. Al garantizar que los componentes del sistema están sujetos a los mismos principios de PAM como los humanos (acceso únicamente a los recursos necesarios, en las circunstancias adecuadas), los administradores IT responsables de la seguridad IT-OT lograrán acabar con la potencial amenaza que representan todos sus dispositivos conectados.

PAM debería ser usado para bloquear todo el sistema

Al garantizar que los controles adecuados de PAM están implementados internamente se ayuda a prevenir cualquier movimiento lateral realizado por un hacker dentro de un sistema, si con el tiempo estos logran obtener acceso a través de un dispositivo IIoT. Una vez más se trata de la aplicación de los principios de control de acceso y el Menor Privilegio: es poco probable que, por ejemplo, el monitor de vibración de una planta de producción necesite acceder a la base de datos de clientes, por lo que una solución adecuada de PAM logra invisibilizar todos los recursos externos que un usuario no necesita acceder. PAM y el Principio del Menor Privilegio se combinan para definir a un nivel granular qué acceso privilegiado es necesario y cuándo.

El monitoreo de sesiones automatizadas, un must para los despliegues a gran escala

En todos los casos, una solución de PAM robusta también realizará monitoreos en tiempo real de todas las sesiones privilegiadas para garantizar que cualquier intento de acceso a los recursos críticos sea grabado, pero también marcado o incluso terminado si se intentan llevar a cabo acciones que no están autorizadas. La gestión del acceso privilegiado y el monitoreo en tiempo real son dos capacidades de vital importancia para securizar las soluciones IIoT, ya que los equipos de seguridad no pueden esperar gestionar y monitorear miles de dispositivos y todo el tráfico asociado a los mismos sin una solución centralizada.

Podemos decir que el IIoT todavía es un niño que no va a parar de crecer, al igual que lo harán las oportunidades de explotación de los agentes malignos. Pero al diseñar implementaciones IIoT, de acuerdo con los principios de PAM, y aplicar soluciones de PAM fuertes en implementaciones IIoT, se puede reducir considerablemente la explotación, así como alcanzar los beneficios de IIoT.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Protección del IIoT con la Gestión del Acceso Privilegiado

Conforme crece el IIoT, los dispositivos IIoT se multiplican

Conforme los dispositivos IIoT se multiplican, la exposición a las ciberamenazas aumenta

IIoT necesita una Gestión del Acceso Privilegiado a todos los niveles

En IIoT los dispositivos también son usuarios

PAM debería ser usado para bloquear todo el sistema

El monitoreo de sesiones automatizadas, un must para los despliegues a gran escala

El Privilegio Mínimo en el trabajo: PEDM y la Defensa en Profundidad

PAM para la Segmentación de Redes

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca