Defensa activa e inteligencia: de la teoría a la práctica

Nadie duda que la defensa de las instalaciones industriales necesita adaptarse a los nuevos vectores de ataque. La evolución y sofisticación de los ataques es algo más que evidente, pero también los mecanismos de defensa han evolucionado.

Conocer los nuevos conceptos de defensa, como puede ser la defensa activa o la inteligencia, es el punto de partida para poder entender su implementación, sin cometer ciertos errores clásicos con estos términos por falta de información o, lo más probable, por exceso de información sobre este tema.

La defensa como normalmente es entendida, siempre aplicada al mundo digital, se basa en una serie de acciones que se toman, como “defensores”, ante una amenaza identificada.

Estas acciones las podemos englobar en categorías, como se puede encontrar en los muchos grupos de ciberseguridad existentes, dependiendo del tipo de acción, siendo una de las aproximaciones más aceptada la que se muestra en la imagen siguiente.

Este tipo de aproximación, muy actual y muy discutida, puede tener más sentido en entornos IT, ya que cuando la transponemos a entornos OT no todas las categorías son válidas.

La parte “ofensiva” no tiene cabida en la propia palabra “defensa” y menos en entornos industriales. Obviaremos esta categoría y esas palabras asociadas que pueden estar tan de moda como “hack-back”, “hacking preventivo”, “counter hacking”, etc.

La defensa en entornos industriales y su evolución actual, tiene más sentido verla en un formato piramidal.

En dicha pirámide, se pueden diferenciar, unos elementos base ya consolidados, tanto por el tiempo, como por su nivel de implantación dentro de los sistemas de control industrial:

• Arquitectura segura: dentro de esta categoría, encontramos todas las acciones referentes a diseño de red seguro, zonas y conductos, buenas prácticas en redes (aplicación de estándares), controles de acceso, tanto locales, como remotos (fabricantes), etc.
• Defensa pasiva: engloba todos los elementos de defensa estática (protecciones implementadas sin la necesidad de una interacción humana). Dentro de estas acciones podemos encontrar IPS, AV, IDS, HIPS, etc.

Los elementos superiores de la pirámide, que ayudarán a incrementar el nivel de defensa, para adaptarla a las necesidades actuales y que deberán ser los objetivos a implementar en un futuro cercano son:

• Defensa activa: englobarían todas las acciones, llevadas a cabo por una o varias personas formadas y familiarizadas con la infraestructura, destinadas a identificar anomalías dentro de la red industrial y tomar medidas determinadas ante estos eventos.
• Inteligencia: acciones que forman parte del proceso de recolección de información, interpretación de ella y creación de inteligencia útil para la infraestructura, siempre con la intervención humana a la hora de crear dicha inteligencia.

A continuación, se mostrará un detalle de los nuevos retos de defensa, anteriormente descrito:

Defensa activa

Debemos ser conscientes de la premisa de que no existe una defensa cien por cien efectiva. Por muy bien definida e implementada que se tenga la arquitectura de red, basada en buenas prácticas, y por muchos mecanismos de defensa pasiva configurados de manera correcta, va a existir un pequeño porcentaje de probabilidad de sufrir un incidente, considerando el mismo como una anomalía en el funcionamiento normal de la operativa.

Esto es algo que debemos aceptar como riesgo residual y no creernos invulnerables. Si bien, todas estas medidas van a filtrar la mayoría de intentos de ataques o los menos evolucionados, los ataques dirigidos con un alto grado de sofisticación pueden eludir los dos primeros elementos de la pirámide de defensa. Es aquí donde entra realmente en juego la defensa activa y la inteligencia, como siguientes pasos para elevar el nivel de seguridad de los sistemas de defensa.

Cuando se hace referencia a defensa activa, se aplica a todo un proceso, no solo a una acción concreta. Este proceso es de mejora continua, siguiendo un ciclo de procesamiento mediante diferentes fases esenciales. Éstas no siguen una categorización única, sino que más bien van a ir concretándose en base a la experiencia de todas las personas implicadas en la seguridad de la industria. Por ejemplarizar algunas de las fases que seguramente podrían aparecer en todos los ciclos de defensa activa, podemos resaltar:

• Fase de observación/monitorización: Una de las características del sector industrial, al contrario de lo que sucede en la parte IT, es que genera un tráfico de red que tiende a ser acotado, específico y con acciones repetitivas, debido a que las lógicas programadas suelen atender a ciclos de reloj. Todo esto, permite potenciar al máximo las herramientas de Monitorización de Red (Network Security Monitoring). Monitorizar el tráfico de red y configurar correctamente herramientas que permitan la gestión y el envió de los ‘logs’ generados, por todos los elementos de nuestra red industrial; así como determinar qué alertas o eventos que se generen, deben ser monitorizados y posteriormente tratados. Este es el procesamiento básico de esta fase tan importante en la Defensa Activa. En resumen, el objetivo es proporcionar herramientas para identificar y detectar cualquier anomalía dentro de una red industrial especifica.
• Fase de respuesta a una detección y reacción: Esta fase dentro de la defensa activa se corresponde con las acciones a tomar cuando se ha detectado una anomalía. Dentro de la industria, la principal actividad en esta fase será mantener el control de los elementos con el riesgo más alto, por ejemplo, pasar a actuar a nivel manual en ciertos dispositivos. Aunque no debemos olvidar que hay que tratar de obtener el máximo número de evidencias forenses, mientras se ponen medidas para evitar la propagación. Esta fase es la más complicada, ya que se realiza en un estado de alarma, por lo que automatizar ciertas tareas puede ser de gran ayuda, por ejemplo, pasar los sistemas de monitorización a un estado de “monitorización exhaustivo” desde la consola de alertas puede ser muy útil en una situación excepcional; registrar todo, almacenar todo el tráfico de red en crudo (raw), si antes no se estaba realizando, etc. En resumen, esta fase engloba toda la operativa de respuesta ante una anomalía, control y búsqueda o acciones a llevar a cabo.
• Fase de análisis de lo sucedido: Esta fase englobaría, el análisis detallado de todo lo obtenido en la fase previa, análisis de tráfico capturado por las herramientas de monitorización, de logs, de eventos, de muestras encontradas, etc. Además hay que tener en cuenta todas las acciones correctivas dentro del entorno industrial y la creación de material útil, que evite repetir los mismos errores (creación de material para ser consumido en la siguiente fase).
• Fase de aprendizaje o consumo de inteligencia: Esta fase, que muchos denominan como ‘Threat Intelligence Consumption’, es primordial dentro del ciclo de defensa activa, ya que realmente, es la que va a ofrecer más mecanismos de defensa aplicable siempre que se realice de forma correcta. Lo más complicado dentro de esta fase es la capacidad de implementar medidas extraídas de la ‘inteligencia’, proceda ésta de nosotros mismos o de fuentes externas y, por supuesto, la propia creación de dicha ‘inteligencia’, en un formato apto para ser consumido y aplicado en el entorno industrial particular. Dentro de esta fase, por ejemplo, se llevan a cabo la aplicación de nuevas reglas Yara, aplicación de IoC, nuevas reglas en cortafuegos, remodelado del entorno o de la red, etc.

Se han definido unas fases dentro del ciclo de defensa activa, pero no pretenden ser exactas, ni únicas, como ya se mencionó, sino crear un guion sobre el cómo actuar, pero deben estar basadas en la experiencia de cada industria y en los elementos que se tengan a disposición. Simplemente, se muestra un camino o marco de trabajo, para ser aplicado de la forma que mejor se adapte a un entorno especifico propio.

Inteligencia

La lógica de operación, los datos y la información, tienen su significado propio y no deben ser confundidos, aunque los términos se empleen muchas veces unidos al concepto de inteligencia, lo cual tiene sentido.

La inteligencia es el resultado de un proceso, cuyo paso final debe ser llevado a cabo por un analista. Las herramientas forman parte de este proceso, pero nunca van a ser capaces de crear la inteligencia por sí solas.

En este proceso para crear inteligencia, aparecen los conceptos de lógica de operación, conocidos también como datos del proceso, datos del entorno, información y, finalmente, creación de inteligencia. El procesamiento de los datos, tanto del proceso, como del entorno, mediante diferentes herramientas y técnicas de análisis de datos, producirá información. La interpretación por un analista, conocedor del entorno industrial y de sus dispositivos, de toda la información obtenida, su correlación, así como la creación e interpretación de hipótesis, creará inteligencia.

De manera visual, este proceso puede verse en la siguiente imagen:

Aplicar la inteligencia orientada a un análisis de riesgos real, entrenar y formar a los analistas, aprender a identificar otras fuentes información relevante, crear objetos intercambiables de inteligencia y otras muchas acciones serán parte de ‘Threat intelligence’ orientado a la ciberseguridad.

La defensa activa y la inteligencia son parte del presente de la defensa industrial, atrás queda el tiempo de esperar en el castillo a resistir cualquier ataque. Cuanto mayor sea la capacidad de detectar una anomalía en un entorno industrial, así como menor sea el tiempo de adaptar el entorno para ofrecer una respuesta ante esta anomalía, mejor será la capacidad de defensa. Entrenar y formar a todas las personas implicadas es una parte fundamental para tener éxito en la defensa activa. Una anomalía podría producirse en cualquier parte de nuestra red industrial y debería ser detectada por alguna herramienta o persona en cualquiera de los niveles de dicha red industrial.