Redes Certes y segmentación criptográfica en redes industriales

Las redes industriales (OT – Tecnología Operativa) son una de las áreas más desafiantes de la ciberseguridad. Los sistemas SCADA, los PLC, los sistemas DCS y los dispositivos industriales IoT se diseñaron pensando en la disponibilidad y el determinismo, no en la seguridad. Muchos funcionan con protocolos obsoletos, no admiten cifrado y no pueden actualizarse sin arriesgarse a una parada de la producción. Certes Networks ofrece un enfoque para proteger estos entornos que no requiere modificar ni sustituir los dispositivos existentes: la segmentación criptográfica.

Índice

1. Particularidades de la seguridad de las redes industriales (OT)
2. ¿Por qué los enfoques de seguridad tradicionales no funcionan en OT?
3. ¿Qué es la segmentación criptográfica?
4. ¿Cómo implementa Certes Networks la segmentación criptográfica?
5. Confianza Cero en entornos OT con Certes
6. Visibilidad y control del tráfico OT
7. Casos de uso: energía, fabricación, infraestructuras críticas
8. Principales conclusiones
9. PREGUNTAS FRECUENTES
10. Resumen

Particularidades de la seguridad de las redes industriales (OT)

Las redes OT difieren fundamentalmente de las redes IT en cuanto a las prioridades de seguridad. En TI, la prioridad es CIA (Confidencialidad, Integridad, Disponibilidad), con énfasis en la confidencialidad. En OT, la prioridad es una CIA invertida: la disponibilidad es absolutamente lo primero, luego la integridad y por último la confidencialidad. El tiempo de inactividad de la línea de producción cuesta cientos de miles por hora, así que los operadores de OT rechazan cualquier acción de seguridad que pueda causar o poner en riesgo el tiempo de inactividad.

Los dispositivos de las redes OT son sistemas integrados, a menudo con sistemas operativos de hace décadas, sin posibilidad de instalar software de seguridad, sin actualizaciones del firmware del fabricante, con protocolos de comunicación (Modbus, DNP3, Profibus, OPC) no diseñados pensando en la seguridad. La convergencia TI/OT -la integración de redes de oficina con redes de producción con fines de Industria 4.0- aumenta drásticamente la superficie de ataque de los entornos industriales. Las Redes Certes de la oferta de Ramsdata son soluciones especializadas de encriptación y segmentación para entornos empresariales e industriales.

¿Por qué los enfoques de seguridad tradicionales no funcionan en OT?

Un cortafuegos entre la red de TI y la de OT (la llamada DMZ industrial) es una buena práctica, pero insuficiente: no protege contra el tráfico lateral dentro de la red de OT, no cifra la comunicación entre dispositivos y no aborda el problema de los protocolos inseguros.

Normalmente no es posible instalar agentes de seguridad en los dispositivos OT: los controladores PLC o DCS no admiten software externo. La microsegmentación mediante VLAN es limitada y no proporciona cifrado. Sustituir los dispositivos OT por dispositivos más nuevos con seguridad es prohibitivo y a menudo imposible debido a la continuidad de la producción. Certes Networks ofrece un enfoque que sortea estas limitaciones: el cifrado y la segmentación se aplican de forma transparente, en línea, sin modificar los dispositivos OT.

¿Qué es la segmentación criptográfica?

La segmentación criptográfica es un enfoque para aislar segmentos de red cifrando el tráfico entre ellos, en lugar de hacerlo mediante mecanismos de red tradicionales (VLAN, cortafuegos). En lugar de preguntar «¿qué está permitido entre segmentos?», la segmentación criptográfica pregunta «¿quién puede leer este tráfico?». Sólo los dispositivos pertenecientes al mismo grupo criptográfico pueden descifrar y leer los mensajes: los demás dispositivos ven el tráfico cifrado e ilegible.

Este modelo tiene ventajas clave para los entornos OT. El cifrado se aplica de forma transparente: los dispositivos OT no saben que sus comunicaciones están cifradas. No es necesario modificar el dispositivo ni el software. Las políticas de segmentación se definen de forma centralizada y las aplica un dispositivo Certes dedicado, no los propios dispositivos OT. Aunque un atacante obtenga acceso físico a un segmento de red OT, no podrá leer las comunicaciones entre dispositivos de otros grupos criptográficos.

¿Cómo implementa Certes Networks la segmentación criptográfica?

Certes Networks implementa la segmentación criptográfica mediante dispositivos CryptoFlow Net Protector (CNP) dedicados, instalados en línea en la red OT, sin modificar la infraestructura existente. Los CNP son transparentes para el tráfico de red: los dispositivos OT «no saben» de su existencia y se comunican con normalidad. Los CNP cifran el tráfico basándose en políticas definidas centralmente en el sistema de gestión de Certes (CipherTrust Manager o Certes CipherPoint).

Los Grupos Crypto son segmentos lógicos entre los que se permite y encripta el tráfico. Los dispositivos asignados al mismo grupo pueden comunicarse, los dispositivos de grupos diferentes no, aunque estén físicamente en la misma red. El cambio de las políticas de segmentación tiene lugar de forma centralizada y todos los CNP de la red lo aplican inmediatamente: sin tiempo de inactividad ni reconfiguración de los dispositivos OT.

Confianza Cero en entornos OT con Certes

La Confianza Cero en OT no consiste simplemente en trasladar el modelo de TI a un entorno industrial: requiere adaptarse a las particularidades, donde la indisponibilidad de los dispositivos (para agentes, actualizaciones) es la norma. Certes Networks aplica los principios de la Confianza Cero mediante la segmentación criptográfica sin agentes en los dispositivos protegidos.

«Nunca confíes, verifica siempre» se traduce en el entorno Certes en: toda conexión entre segmentos requiere autorización criptográfica, los dispositivos sólo pueden comunicarse dentro de grupos criptográficos autorizados, toda conexión no autorizada se cifra automáticamente y es ilegible, y todos los flujos de datos se registran de forma centralizada. Esto es Confianza Cero adaptada a la realidad de la OT: sin agentes, sin modificaciones de dispositivos, sin riesgo de tiempo de inactividad. Para más información sobre soluciones de seguridad para redes industriales, visita Ramsdata.

Visibilidad y control del tráfico OT

Uno de los mayores retos en los entornos OT es la falta de visibilidad: no se sabe qué dispositivos existen en la red, qué protocolos utilizan y cuáles son los patrones normales de comunicación. Certes Networks proporciona visibilidad sin instalar agentes, analizando pasivamente el tráfico de la red.

El sistema de monitorización Certes identifica los dispositivos OT basándose en sus comunicaciones de red, mapea los flujos de datos entre dispositivos y detecta anomalías: conexiones inesperadas, protocolos desconocidos, tráfico no autorizado entre segmentos. Esta visibilidad es la base de una política de segmentación criptográfica eficaz: para definir los grupos adecuados, primero tienes que saber quién se comunica con quién en la red de OT.

Casos de uso: energía, fabricación, infraestructuras críticas

La energía y los servicios públicos son un sector en el que la seguridad OT es fundamental para la seguridad pública. Los sistemas SCADA que controlan la distribución de energía, las plantas de tratamiento de agua o las redes de gas deben estar aislados de las redes informáticas y de las amenazas externas. Los operadores de infraestructuras críticas utilizan Certes Networks para segmentar subestaciones eléctricas, subestaciones y centros de despacho.

La producción industrial requiere segmentación entre las líneas de producción (para que un ataque a una línea no se propague a otras), entre la red de OT y la TI, y entre entornos de distintos proveedores (cuando los proveedores de servicios externos tienen acceso a la red de OT). La segmentación criptográfica Certes permite un control granular de este acceso sin necesidad de reconfigurar toda la red. Las infraestructuras de transporte (ferrocarril, aviación, puertos) son otro sector en el que se despliega Certes Networks para proteger los sistemas de control del tráfico y las infraestructuras críticas.

Principales conclusiones

• Las redes OT han invertido las prioridades de seguridad respecto a las TI: la disponibilidad es absolutamente lo primero.
• Las herramientas de seguridad tradicionales (agentes, cortafuegos) no funcionan para los dispositivos OT que no se pueden modificar.
• La segmentación criptográfica Certes aísla los segmentos mediante la encriptación del tráfico, no mediante mecanismos de red.
• La implementación es transparente para los dispositivos OT: no se requieren modificaciones ni tiempos de inactividad.
• Los grupos criptográficos definen quién puede comunicarse con quién e intercambiar datos legibles.
• Certes proporciona visibilidad de la red OT sin agentes y Confianza Cero sin modificaciones en los dispositivos.

PREGUNTAS FRECUENTES

¿Afecta la segmentación criptográfica de Certes a la latencia de la red OT? Sí, pero de forma mínima. Los circuitos criptográficos dedicados en los CNP minimizan la latencia adicional: suele ser inferior a 1 ms, lo que es aceptable para la mayoría de los protocolos OT.

¿Cómo trata Certes los protocolos OT (Modbus, DNP3)? Certes encripta el tráfico de forma transparente a nivel de red: no procesa el contenido de los protocolos OT. Los dispositivos se comunican normalmente mediante Modbus, DNP3, etc., y Certes CNP cifra estas transmisiones sin modificarlas.

¿La implantación de Certes requiere una interrupción de la red de OT? La implantación de CNP en línea puede requerir breves intervalos de mantenimiento (minutos) durante la instalación física. Los cambios posteriores en las políticas criptográficas se aplican sin tiempo de inactividad.

¿Cómo gestionar las claves criptográficas en el entorno Certes? Certes CipherTrust Manager o Certes CipherPoint gestionan las claves de forma centralizada. Las claves se rotan automáticamente según la política de seguridad, sin interferir con los dispositivos OT.

Resumen

La segmentación criptográfica de Certes Networks es un enfoque de la seguridad OT que respeta las realidades de los entornos industriales: la necesidad de disponibilidad, la no modificabilidad de los dispositivos y el determinismo de las comunicaciones. El despliegue transparente en línea sin tiempo de inactividad, la confianza cero sin agentes y la visibilidad total de la red OT crean una solución práctica para sectores en los que otros enfoques fracasan. Ponte en contacto con Ramsdata -socio de Certes Networks- para hablar de la implantación de la segmentación criptográfica en tu red industrial.