Riesgos para la ciberseguridad de los entornos OT debidos a las herramientas de acceso remoto
Más de la mitad de los entornos de tecnología operativa, OT, contienen al menos cuatro herramientas de acceso remoto.
Team82, el equipo de investigación de Claroty, empresa de protección de sistemas de ciberseguridad conectados (OT, XIoT, IoMT e IT), ha presentado un nuevo estudio sobre la proliferación de herramientas de acceso remoto y los riesgos que introducen en los entornos de tecnología operativa (OT). Los datos de los más de 50.000 dispositivos habilitados para conexión remota han demostrado que el volumen de herramientas de este tipo de acceso desplegadas es excesivo, con un 55% de las organizaciones con cuatro o más y un 33% con seis o más.
La investigación de Team82 también ha revelado que un 79% de las organizaciones tiene más de dos herramientas que no son de nivel empresarial instaladas en dispositivos de red OT. Estas herramientas carecen de funciones básicas de gestión de acceso privilegiado, como el registro de sesiones, la auditoría, e incluso funciones de seguridad básicas como la autenticación multifactor (MFA). El empleo de estas herramientas ha generado un aumento de las exposiciones de alto riesgo y costes operativos adicionales derivados de la gestión de varias soluciones diferentes de forma simultánea.
“Desde el inicio de la pandemia, las organizaciones han recurrido cada vez más a soluciones de acceso remoto para gestionar de forma más eficiente a sus empleados y proveedores externos, pero, aunque esta es una necesidad de esta nueva realidad, ha creado simultáneamente un dilema de seguridad vs servicio”, afirma Tal Laufer, vicepresidente de productos de acceso seguro de Claroty. “Si bien tiene sentido que una empresa cuente con estas herramientas para los servicios de IT y OT, no justifica la proliferación de herramientas dentro de la red sensible OT que hemos identificado en nuestro estudio, lo que conduce a un mayor riesgo y a una complejidad operativa”, añade.
Aunque muchas de estas soluciones que se encuentran en las redes OT pueden utilizarse para fines específicos de IT, su existencia dentro de los entornos industriales puede crear una exposición potencialmente crítica y agravar los problemas de seguridad que incluyen:
• Falta de visibilidad: en los casos en que los proveedores de terceros se conectan al entorno OT utilizando sus propias soluciones de acceso remoto, los administradores de red OT y el personal de seguridad que no están gestionando de forma centralizada estas soluciones tienen poca o ninguna visibilidad de la actividad asociada.
• Mayor superficie de ataque: un mayor número de conexiones externas a la red a través de herramientas de acceso remoto implica más vectores de ataque potenciales a través de los cuales se pueden utilizar prácticas de seguridad deficientes o credenciales filtradas para penetrar en la red.
• Gestión de identidades compleja: múltiples soluciones de acceso remoto requieren un esfuerzo más concentrado para crear políticas coherentes de administración y gobernanza en torno a quién tiene entrada a la red, a qué recursos y durante cuánto tiempo. Esta mayor complejidad puede crear puntos ciegos en la gestión de los derechos de acceso.
Según Gartner, los responsables de la gestión de la seguridad y los riesgos (SRM) deberían “realizar un inventario completo de todas las conexiones remotas en la organización, ya que es probable que existan accesos remotos no conocidos en todas las redes operativas, especialmente en los emplazamientos distintos a los centrales o principales”, y “eliminar las soluciones más antiguas al implantar las nuevas soluciones de acceso remoto seguro CPS. Las organizaciones suelen desplegar nuevas soluciones sin centrarse en las soluciones ya desplegadas (casi siempre obsoletas) y con el creciente número de vulnerabilidades de VPN explotada. Todo esto podría ser un importante punto ciego”.
