Microsegmentación de redes industriales
En este artículo, exploraremos los avances que el sector industrial está adoptando a la hora de implementar el principio de defensa en profundidad en sus redes industriales.
Este principio hace referencia a las ventajas de proteger equipos críticos posicionándolos detrás de varios niveles de defensa. De esta forma, se cuenta con varias oportunidades para detectar o detener un ataque antes de que impacte los elementos críticos de un sistema.
Para ello, la herramienta principal es la segmentación de redes, o en casos avanzados, microsegmentación. Se entiende por segmentación al conjunto de técnicas y equipos utilizados para separar una red única en múltiples segmentos (zonas) que se comunican solamente por canales (conductos) identificados y protegidos.
La segmentación permite reducir el perímetro atacable de cada zona, ya que las comunicaciones de entrada y salida se limitan a puntos de perímetro defendidos. Con un mayor control sobre el tráfico de la red, es posible crear arquitecturas más complejas, a través de:
- Segmentación vertical: separación entre zonas con diferentes niveles de privilegio. Generalmente, se crea una zona superior con acceso más general para usuarios o conexiones exteriores, y una zona inferior con acceso más restringido.
- Segmentación horizontal: separación entre zonas con mismo nivel de privilegios, pero diferente nivel de acceso. Generalmente, se separan zonas por funcionalidad.
De estos bloques de construcción se crean las arquitecturas de redes industriales ciberseguras que se han popularizado hasta ahora y los nuevos modelos que se están adoptando en aquellas más avanzadas.
Modelo básico de segmentación industrial
Actualmente, como es de esperar, las redes industriales presentan un alto grado de variedad a lo largo de diferentes tamaños, sectores de actividad y países. Sin embargo, en aquellos casos donde la ciberseguridad se ha tenido en cuenta durante su diseño, o de manera retroactiva, se puede observar la tendencia a un modelo homogéneo adaptado con las modificaciones necesarias para ajustarse a las necesidades de cada caso.
Este modelo general de seguridad por capas puede resumirse en una serie de medidas generales que ilustran el principio de defensa en profundidad:
- La red industrial se separa de la red corporativa de la empresa, con el objetivo de reducir el tráfico y accesos innecesarios a la red industrial. El grado de separación varía de una red a otra y según la madurez de las medidas de seguridad implementadas.
- La red industrial se posiciona bajo la red corporativa. De esta forma, la red industrial está protegida por una capa anterior por la que un atacante externo debe pasar para llegar a ella.
- Se despliega una red intermedia, normalmente llamada zona desmilitarizada (DMZ) entre ambas redes. La DMZ sirve de frontera de seguridad entre ambas redes y permite una ubicación segura para sistemas auxiliares a la red industrial y para la gestión del tráfico entre ambos entornos.
Este modelo, ampliamente utilizado, es un punto de partida para la segmentación industrial. Es un modelo sencillo, fácil de adaptar a una gran variedad de sistemas, pero aportando un nivel de seguridad aceptable.
Sin embargo, dos factores principales están motivando la adopción de modelos más sofisticados en las redes más avanzadas o críticas:
- La incorporación de equipos IIoT, tecnologías IT, o más recientemente, tecnologías de IA. Estos equipos pueden aportar un aumento significativo a la productividad o eficacia de un sistema industrial, pero entran en conflicto con el modelo tradicional. Muchos dependen de conexiones constantes con redes externas, de redes inalámbricas o de accesos desde la red corporativa.
- El aumento en número y complejidad de las amenazas a las que las redes industriales se enfrentan. Según los atacantes han ganado experiencia con entornos industriales, estos se han vuelto más habituales y dañinos. Y, aunque el modelo general es muy adaptable, añadir medidas complementarias de seguridad se puede volver rápidamente ineficiente y costoso, en comparación con un cambio de arquitectura base.
Los nuevos modelos buscan solventar ambas problemáticas.
Microsegmentación
La microsegmentación, reconocida en regulaciones como la IEC 62443, es la práctica de utilizar los métodos de segmentación ya conocidos (segmentación horizontal y vertical) para crear zonas independientes dentro de una red industrial clásica.
Para una microsegmentación efectiva, es necesario empezar por identificar las posibles zonas dentro de una red industrial. Es recomendable empezar este trabajo con un análisis de riesgo de la red: ¿qué equipos son críticos para el proceso productivo?, ¿cuáles introducen un mayor nivel de riesgo?, ¿cuáles tienen necesidades especiales para su funcionamiento? Según se van respondiendo a estas preguntas, de manera orgánica, se van identificando grupos de equipos que recogen características similares.
Algunos ejemplos de zonas que suelen encontrarse en redes con microsegmentación serían:
- Zonas de control: recogen los equipos esenciales para controlar el proceso productivo. Cuenta con el mayor nivel de seguridad posible y el acceso más restringido.
- Cuando es posible, es recomendable definir múltiples zonas de control independientes. Por ejemplo, en el caso de una planta de manufacturación con múltiples líneas de producción independientes en paralelo, separar los sistemas de control de diferentes líneas, puede marcar la diferencia a la hora de que un incidente interrumpa la producción total o parcial de dicha planta.
- Zonas de monitorización: donde se ubican los equipos que recogen datos del proceso industrial, pero no tienen capacidad de control. Su criticidad depende de los datos que tratan y quién o qué, va a acceder a ellos.
- Se debe tener especial cuidado con aquellos equipos que manden datos del proceso industrial fuera de la red industrial. Estos equipos, de manera inherente, introducen riesgos de confidencialidad y posibles vectores de intrusión, por lo que separarlos de equipos más importantes y controlar la dirección y contenido de sus canales de comunicación es esencial.
- Zonas safety: destinada a los equipos de protección y prevención de incidentes físicos. Normalmente estos equipos pueden trabajar de manera completamente aislada de la red externa, pero su disponibilidad es crítica. Por tanto, al ubicarse en una red general industrial, se le expone a un nivel de riesgo innecesario sin ofrecer ninguna ventaja (más allá de tener una red más sencilla de desplegar y mantener).
- Zonas de compliance: los requisitos de conformidad con regulaciones y requisitos de negocio, dependen del sector, tamaño y cultura de cada empresa.
- Por lo general, es habitual requerir equipos para monitorizar datos como: emisiones de gases, vertidos de líquidos, indicadores de rendimiento de producción y stock, estado de máquinas y consumos energéticos. Estos equipos suelen estar sujetos a necesidades estrictas de disponibilidad y de comunicaciones con redes corporativas y externas.
- Zonas adicionales:
- Zonas de alojamiento de datos: servidores, unidades de memoria y bases de datos que pueden variar desde datos de acceso constante para la producción, hasta almacén en frío de copias de seguridad.
- Zonas de servicios auxiliares: generalmente, servidores centrales de servicios transversales a múltiples zonas: correo, antivirus, descubrimiento de activos, gestión de permisos, etc.
- Zonas de testeo: entornos seguros donde validar cambios antes de aplicarlos en entornos de producción reales.
- Zonas de redundancia: destinada para equipos que no participan en el proceso productivo habitualmente, pero ofrecen una manera alternativa de operar la red en caso de que los equipos primarios estén deshabilitados.
Las posibilidades de combinación de estas zonas son prácticamente infinita y adaptable a la realidad de cada entorno industrial. Una zona puede ser tan pequeña como un solo equipo aislado, o tan grandes como sean necesarias. Así mismo, pueden combinarse tipologías, por ejemplo, desplegando una zona de monitorización específica dentro de una zona de control, creando un canal de datos sin acceder directamente a la zona de control.
Sin embargo, desplegar este tipo de arquitecturas utilizando las tecnologías más clásicas se vuelve rápidamente impracticable. Multiplicar el número de zonas implica multiplicar el número de equipos de red y fronteras que deben comprarse, desplegarse y mantenerse. Por ello, es esencial conocer las tecnologías que permiten este tipo de segmentación avanzada.
Tecnologías de microsegmentación
Existen varias familias de tecnologías de red que han evolucionado para adaptarse a la microsegmentación, entre las más destacables encontraríamos:
- Firewalls OT: tradicionalmente diseñados para instalarse en racks de servidores y soportar muchas conexiones, las últimas gamas de firewalls incluyen versiones miniaturizadas y preparadas para su despliegue en armarios eléctricos, espacios reducidos o con condiciones exigentes. En cambio, el número de puertos disponibles es mucho más reducido (llegando a firewalls con un solo par de puertos). Estos equipos suelen permitir su gestión centralizada desde una consola central. De esta forma, se pueden controlar múltiples puntos de frontera con reglas granulares para cada caso.
- Switches gestionados: aunque las tecnologías de switches gestionados, switches con capacidades para la creación de redes segmentadas y control de tráfico entre ellas, la adopción de modelos de microsegmentación ha propiciado la aparición de modelos más flexibles, en tamaño, capacidades y medidas de seguridad.
- EDR (Endopoint Detection and Response): habitualmente, son equipos similares a los Firewalls OT, pero incorporando funciones adicionales de seguridad. Un EDR puede llegar a incluir capacidades de antivirus, white listing, protección contra denegación de servicio y/o buffer overflow, capacidades IDS y/o HIDS… El objetivo de estos equipos es servir como solución todo-en-uno para equipos donde el despliegue de medidas de seguridad tradicionales no es posible o es impracticable. Esto los convierte en soluciones idóneas para zonas pequeñas con equipos industriales no compatibles con soluciones tradicionales.
- Gateways IoT: similares a las pasarelas tradicionales, estos equipos centralizan y distribuyen el tráfico de protocolos IIoT (entre otros), facilitando su gestión y segmentación. Los modelos diseñados para la industria, además, suelen aportar capacidades de seguridad, como cifrado, control de acceso, balanceo de cargas o diseños preparados para su despliegue en condiciones más exigentes.
Como se puede observar, la mayoría de las nuevas tecnologías para microsegmentación consisten en variantes o versiones actualizadas de dispositivos utilizados actualmente para segmentación clásica. Estas nuevas versiones están orientadas a facilitar la gestión de las redes, a la vez que se adaptan mejor a las particularidades de las redes industriales.
Conclusiones
Actualmente la microsegmentación representa principalmente una meta adicional para los sistemas industriales con un nivel más avanzado de madurez de ciberseguridad. Sin embargo, según la complejidad y número de los riesgos aumenta, poco a poco se está convirtiendo en una herramienta esencial para la protección de sistemas de control industrial. Esto se debe a varios factores:
- Las nuevas tecnologías facilitan su implantación.
- Mayor facilidad de gestión de una red siempre que fuera diseña con defensa en profundidad desde el inicio.
- El incremento de variedad de equipos y tecnologías en las redes industriales que introduce múltiples necesidades y tipos de conectividad.
- La mayor interconectividad entre sistemas industriales, aumentando el tráfico y usuarios a gestionar.
Todos estos factores hacen que la microsegmentación sea cada vez más recomendable para todo tipo de redes industriales. Sin embargo, existen múltiples casos de uso para redes pequeñas o menos avanzadas que, sin embargo, aportan ventajas de ciberseguridad, como serían:
- El control de tráfico de equipos vulnerables o específicos tras firewalls independientes.
- La separación de los equipos accesibles por proveedores y externos del resto de la red con dos redes de control independientes.
- El aislamiento de equipos de safety mediante air gaps.
Como consecuencia, se recomienda considerar las posibilidad y ventajas de implementar prácticas de microsegmentación durante el diseño de nuevas redes industriales o a la hora de aplicar cambios o introducir nuevos equipos en redes ya existentes.