La medición y mejora de la seguridad informática ya ha llegado a muchas empresas y se está impulsando. La cuestión de la seguridad de OT, por otro lado, sigue siendo un libro cerrado para muchas empresas. OTORIO explica cómo se puede promover la seguridad de TI y OT por igual y qué papel juegan la gestión de vulnerabilidades y la puntuación en esto.
¿Cuáles son las medidas de reducción de riesgos más eficientes que logran la reducción de riesgos más efectiva para una instalación específica, un proceso o una instalación de producción completa? Sin embargo, una vez que se implementan las medidas de reducción de riesgos y permanece un riesgo residual aceptable, aún queda trabajo por hacer. Esto se debe a que el proceso de mitigación de riesgos descubre peligros y lagunas adicionales que forman parte del riesgo residual "aceptable" recientemente introducido.
Este es un proceso continuo, ya que permite que los equipos de seguridad operativos y de OT se concentren constantemente en las vulnerabilidades que es más probable que los atacantes exploten para causar el mayor daño posible a una organización. Solo al repetir este ciclo de evaluación de riesgos, las organizaciones pueden lograr la resiliencia empresarial con una cantidad limitada de recursos.
Objetivos de la evaluación de la situación
El objetivo principal del proceso de evaluación es abordar las vulnerabilidades con la prioridad adecuada. Esta publicación analiza la naturaleza de las vulnerabilidades, cómo deben evaluarse y su aplicación a la seguridad digital OT.
El Instituto Nacional de Estándares y Tecnología (NIST) define una vulnerabilidad como: "Una vulnerabilidad en la lógica computacional (por ejemplo, el código) de los componentes de software y hardware que, si se explota, tiene un impacto adverso en la confidencialidad, la integridad o la disponibilidad. La reparación de las vulnerabilidades en este contexto generalmente implica cambios en el código, pero también puede implicar cambios en la especificación o incluso la desaprobación de la especificación (por ejemplo, eliminar por completo los protocolos o funciones afectados). ”
Relación entre el inventario de activos y las vulnerabilidades de OT
La creación de un inventario de activos preciso, contextual y detallado es el primer paso para desarrollar un proceso de análisis de vulnerabilidad de OT efectivo. El inventario debe incluir software y fechas de versión, conexiones de dispositivos, estado e información de gestión (p. ej., propietario, rol operativo, función). Un inventario actual y preciso refleja varios aspectos de la salud de los activos.
Después de un inventario inicial, las vulnerabilidades se pueden vincular a los activos correspondientes. Este mapeo debe hacerse a través de un proceso automatizado, especialmente con una gran cantidad de activos. Esto requiere crear y usar un algoritmo que pueda asociar datos de vulnerabilidad semiestructurados con activos en la red.
La base de datos de vulnerabilidades y exposiciones comunes (CVE) del NIST actualmente contiene alrededor de 170.000 XNUMX vulnerabilidades conocidas de TI y OT, lo que la convierte en una importante fuente de información. Este número y la constante introducción de nuevas vulnerabilidades subraya la escala y la necesidad de automatizar su identificación.
Fuentes de definiciones de vulnerabilidad
Al evaluar las vulnerabilidades, la gravedad de cada vulnerabilidad se cuantifica mediante un índice de vulnerabilidad. Un método estándar para evaluar vulnerabilidades es el Sistema de puntuación de vulnerabilidad común (CVSS) del NIST, un estándar de la industria que evalúa la facilidad con la que se puede explotar una vulnerabilidad y el impacto que puede tener en la confidencialidad, la integridad y la disponibilidad. Estos tres factores (también conocidos como "CIA", por "confidencialidad, integridad y disponibilidad") también son variables que miden la gravedad potencial de una amenaza.
Sin embargo, solo considerar las vulnerabilidades comunes no es suficiente para determinar qué tan vulnerable es un activo en particular. Otra fuente de determinación es la política interna de una empresa. Por ejemplo, si dicha política dicta que las contraseñas de seguridad media constituyen una vulnerabilidad, eso debe tenerse en cuenta al calcular la vulnerabilidad del activo. Las vulnerabilidades específicas de la empresa son la forma principal en que los profesionales pueden considerar la política como un factor en la evaluación de las vulnerabilidades.
Los estándares de la industria y las mejores prácticas también son fuentes importantes de vulnerabilidades que contribuyen al riesgo. Ejemplos de estándares de la industria son ISA/IEC 62443 en Europa y NERC CIP en América del Norte. El incumplimiento de las mejores prácticas puede generar problemas como la configuración de segmentación permitida, la falta de agentes EDR y la comunicación injustificada entre las áreas de TI y OT en la red. Estos deben ingresarse en una base de datos de vulnerabilidad general donde pueden ser modificados por expertos en la materia a medida que evolucionan los estándares de la industria y las mejores prácticas.
Evaluación de vulnerabilidades
Los profesionales deben evaluar las vulnerabilidades específicas de la empresa utilizando el sistema CVSS y ubicarlas en la misma escala que las vulnerabilidades generales. La base de datos de vulnerabilidades debe ser lo suficientemente flexible para permitir que el profesional influya en la evaluación de vulnerabilidades en función de las políticas de la empresa.
Debido a que cualquier estado de los activos puede representar una vulnerabilidad, es recomendable implementar un algoritmo que aplique políticas corporativas a todos los estados de los activos. Por lo tanto, la base para tomar las decisiones correctas sobre la situación de seguridad es el uso constante de una base de datos de vulnerabilidades en la que todas las vulnerabilidades se evalúan de acuerdo con un método estándar. Esto permite que una organización priorice la mitigación en función del riesgo.
Conclusión
Las vulnerabilidades son uno de los cuatro componentes de riesgo y un factor importante al analizar la postura de seguridad. Un desafío importante es crear y mantener una base de datos de vulnerabilidades que se pueda aplicar a los activos para tomar decisiones sobre la priorización de acciones de remediación.
La mejor manera de evaluar las vulnerabilidades es cumplir con el sistema CVSS. Como resultado, las organizaciones evitan tener que volver a evaluar todas las vulnerabilidades comunes mientras mantienen los estándares de la industria. Debido al alcance y la escala de este proceso, es necesario automatizarlo. De esta forma, una organización puede realizar regularmente una evaluación coherente y escalable de la postura de seguridad, lo que permite comparar evaluaciones a lo largo del tiempo e identificar tendencias en la postura de seguridad.
Más en Sophos.com
Sobre OTORIO
OTORIO desarrolla y comercializa la próxima generación de soluciones de gestión de riesgos digitales y seguridad OT. La empresa combina la experiencia de los principales expertos en seguridad cibernética del gobierno con tecnologías de gestión de riesgos digitales de vanguardia para brindar el más alto nivel de protección para infraestructura crítica e industrias de fabricación.