La interconexión de los sistemas de la operación (OT) y los sistemas de la información (IT) que se ha estado llevando a cabo desde hace un par de décadas en infraestructuras críticas, instalaciones industriales, etc., y que continuará en los próximos años, con el objetivo de disponer de datos de la operativa diaria para mejorar la eficiencia de los procesos, su productividad, acelerar la toma de decisiones sobre su funcionamiento, o controlarlos de forma remota, ha incrementado los riesgos a los que están expuestas estas infraestructuras.
Por este motivo, y para proteger los sistemas y activos pertenecientes al ámbito de OT, la gestión de la ciberseguridad industrial es ya, desde hace años, una prioridad para la mayoría de las empresas industriales. Si dicha gestión se hace adecuadamente, garantiza la adopción de buenas prácticas en ciberseguridad respecto a los sistemas de control y automatización industrial. Estas incluyen la evaluación de riesgos, la implementación de políticas, procedimientos y medidas de seguridad, la monitorización y la mejora continua, entre otras.
Hoy en día la prevención en ciberseguridad ya no es suficiente, aunque obviamente sigue siendo muy necesaria, la monitorización y la detección de ciberincidentes son ahora acciones fundamentales para la ciberseguridad industrial. Las empresas necesitan tecnología que les permita detectar actividades sospechosas en sus sistemas y redes. Esto puede incluir la implementación de sistemas de detección de intrusiones (IDS), sistemas de información y eventos de seguridad (SIEM), o incluso servicios de SOC (centro de operaciones de seguridad) que también proporcionan capacidades de respuesta a esos ciberincidentes.
La gestión de la ciberseguridad industrial es ya, desde hace años, una prioridad para la mayoría de las empresas industriales
La monitorización recopila y analiza eventos relevantes, permitiendo así detectar de forma temprana ciberincidentes, lo cual habilita la capacidad de responder de forma rápida a los mismos. Tradicionalmente, estos sistemas de detección han estado basados únicamente en el uso de un conjunto de firmas, reglas y filtros elaborados a mano por especialistas. Sin embargo, hoy en día esto ya no es suficiente, las amenazas evolucionan a una velocidad de vértigo y hace que estos sistemas sean frágiles y no puedan captar todo el espectro de señales o acciones maliciosas. Además, su naturaleza estática dificulta su mantenimiento y mejora.
Es por esto por lo que los sistemas de detección modernos, además de aplicar firmas, reglas y/o filtros, incorporan también la detección basada en anomalías. Este tipo de detección permite detectar nuevas amenazas, amenazas personalizadas o, incluso, detectar amenazas que han podido ser introducidas «voluntariamente» por un usuario legítimo de la infraestructura, en definitiva, amenazas previamente desconocidas. La detección basada en anomalías compara las definiciones de qué actividad se considera normal, frente a los eventos observados para identificar desviaciones significativas. Este método utiliza perfiles que se desarrollan al monitorear las características de la actividad típica durante un período de tiempo. Posteriormente, se comparan las características de la actividad actual con los umbrales relacionados con el perfil.
Este tipo de soluciones se basan en el uso de la inteligencia artificial (IA), ya que estos algoritmos son capaces de detectar cualquier cambio que no sea normal sin la necesidad de definir que es anormal; además, tienen el potencial de ofrecer un rendimiento satisfactorio a bajo coste y en tiempo real. No obstante, es importante destacar que un sistema de detección efectivo se caracteriza principalmente por: i) combinar soluciones basadas en IA con aproximaciones basadas en firmas o reglas, como ya hemos dicho antes; ii) necesitar la interacción de los especialistas en el dominio de la ciberseguridad para analizar los incidentes y actualizar el sistema de detección; y iii) reentrenar de forma continuada los modelos de IA para adaptarse a las nuevas circunstancias, y a las nuevas amenazas y ataques.
