Dispositivos IoT y las capas de la ciberseguridad

Un mundo más conectado: por qué la ciberseguridad ya no es opcional

Solemos hablar de la ciberseguridad en singular, pero lo cierto es que el concepto es muy amplio, por lo que sería más correcto hablar de las diferentes políticas y medidas de seguridad de una empresa, en plural.

Defender entornos híbridos —donde conviven servidores en local, servicios en la nube, aplicaciones web, tecnologías que evolucionan sin parar y redes industriales como las que explicamos en este artículo sobre sistemas y redes OT— es, sin duda, un reto en continua evolución.

IoT en las empresas: pequeños dispositivos, grandes riesgos

Dentro de esta amplia casuística cada vez es más importante monitorizar los dispositivos IoT (Internet of Things), que ya están presentes en la mayoría de los hogares, pero que también están presentes en prácticamente la totalidad de las empresas. Es importante porque cada vez su presencia es mayor, es decir, cada vez hay más dispositivos IoT conectados en las redes corporativas.

Tenemos desde PLCs, sensores de temperatura, cámaras IP, sistemas de climatización, lectores de tarjetas, pasando por estanterías inteligentes o dispositivos RFID. Aunque solemos asociar el IoT con dispositivos domésticos como bombillas inteligentes, enchufes o asistentes de voz, en el entorno empresarial su impacto es mucho mayor. Los dispositivos IoT corporativos suelen manejar datos sensibles, controlar procesos o permitir accesos físicos, y muchos de ellos no reciben actualizaciones o siguen usando contraseñas por defecto. Esto convierte a cada pequeño dispositivo en un posible punto de entrada para un atacante, incluso cuando a simple vista parecen inofensivos.

Cómo sería una red IT/OT realmente segura

Desde el punto de vista de Ewala, que es el de un Proveedor de Servicios Gestionados de Ciberseguridad (MSSP), en un mundo ideal en una empresa tendríamos dos redes totalmente aisladas (IT y OT), estando segmentada la red de IT con una vlan propia para los dispositivos IoT, y teniendo un NDR desplegado en OT que controle el tráfico de red, incluido el de los dispositivos IoT de esta red.

Además, tendríamos más capas de seguridad en los dos entornos, por ejemplo: Firewall perimetral, EDR en endpoints con sistema operativo, junto con protecciones específicas en el correo electrónico (antiphishing, sandboxing, antimalware, etc.), un SIEM+SOAR que integre y monitorice todos los logs generados, copias de seguridad y un equipo de seguridad que analice en tiempo real toda esta información.

Si quieres profundizar más sobre los SIEM o SOAR, puedes leer nuestro artículo sobre qué es un SIEM y un SOAR

El mundo real: shadow IT/OT y redes mal segmentadas

En un mundo ideal… pero en el mundo real lo que nos encontramos son entornos con más saltos entre las distintas redes de los que deberían, y en los que es difícil encontrar una red en la que todos los dispositivos sean claramente de IT o de OT. A ello unimos que tampoco solemos tener todas las capas de seguridad que nos gustaría, que continuamente se están conectando dispositivos nuevos a la red y que nos encontramos con zonas de sombra (shadow IT-OT), es decir, dispositivos conectados sin conocimiento del área de seguridad o sin gestión adecuada, y el reto de “defenderse” empieza a ser bastante complicado.

No hay soluciones mágicas, lo más importante es que la dirección de las empresas se conciencie del problema, y que las empresas comiencen a mejorar la ciberseguridad desde el control normativo, porque el primer paso para defenderse es saber qué tengo que defender (inventario de activos) y cómo lo tengo que defender (Plan Director de seguridad) y, muy importante, ser conscientes de las inversiones necesarias que ello conlleva.

NDR: la capa que falta para entender lo que ocurre en tu red

Hemos empezado por los dispositivos IoT, hablado de las redes empresariales y las medidas de protección, y queremos terminar poniendo el foco en los NDR (Network Detection and Response).

Un NDR es una solución que monitoriza continuamente el tráfico de red (este-oeste y norte-sur) para identificar comportamientos anómalos, intrusiones o movimientos laterales de un atacante. A diferencia de los sistemas tradicionales de detección basados en firmas (como un IDS/IPS), un NDR utiliza principalmente análisis de comportamiento, inteligencia artificial y machine learning para detectar ataques desconocidos o avanzados.

Una forma sencilla de entender un NDR

Una buena forma de entenderlo es pensar en el NDR como una cámara de vigilancia que observa cómo se comportan los dispositivos de la red. No se basa en reglas fijas, sino en aprender qué es “normal” y avisar cuando algo se desvía de ese patrón. A diferencia de un firewall, que controla qué entra o sale, un NDR analiza lo que ocurre dentro de la red para detectar movimientos inusuales, incluso cuando no se parecen a ataques conocidos.

Como decíamos antes, es una capa más de seguridad, y tradicionalmente con más adopción en OT, donde es difícil ver qué hacen numerosos dispositivos legacy y/o que no tienen sistema operativo, aunque cada vez más presentes en IT, por lo que la mejor opción es analizar cómo se comunican con el resto de la red.

Pero la realidad actual es que también en IT tenemos muchos dispositivos de este tipo, así que el NDR comienza a ser una necesidad también en estos entornos.

El NDR de Ewala: SentryN3t

En Ewala llevamos varios años escuchando al mercado y desarrollando nuestra propia tecnología NDR.

Decíamos que es importante saber qué proteger, por lo que nuestro NDR realiza, en primer lugar y de forma continua, un descubrimiento de activos.

Hemos visto que en entornos OT muchas veces no hay técnicos de IT, por lo que nuestra consola puede ser manejada de forma “user friendly” por técnicos de plantas industriales, almacenes logísticos, etc…

Sabemos que los equipos de seguridad tienen muchos orígenes de datos para analizar, por lo que nuestra solución puede integrarse con prácticamente cualquier consola de seguridad.

No puedes proteger tu empresa solo con un NDR, pero incorporarlo dentro de tu stack de herramientas de seguridad va a aumentar notablemente la visibilidad sobre tu red y tus activos, y complementará perfectamente cualquier otra solución que ya tengas desplegada, por lo que te animamos encarecidamente a buscar información sobre estas soluciones porque, como hemos dicho al principio, este negocio es un reto en continua evolución, por lo que siempre es necesario explorar nuevas opciones y soluciones para mantener o mejorar el nivel de seguridad de cualquier compañía.

Por cierto, nuestro NDR se llama SentryN3t, y está desarrollado íntegramente en la Unión Europea, más concretamente en el Principado de Asturias.

El IoT seguirá creciendo… tu seguridad también debe hacerlo

Hoy en día, en muchas empresas ya hay más dispositivos IoT conectados que ordenadores tradicionales, por lo que proteger este ecosistema híbrido es una necesidad urgente. Incorporar tecnologías como NDR no solo mejora la visibilidad de la red, sino que ayuda a priorizar riesgos reales y a actuar antes de que un incidente impacte en la operación.

Para más información o para conocer su funcionamiento en tu red, solicita una demo o ponte en contacto con nosotros sin compromiso.