Cerrando la brecha de seguridad de TI/TO

Cerrando la brecha de seguridad de TI/TO

La COVID puso de manifiesto la necesidad de acceso remoto a máquinas, líneas y equipos a nivel empresarial, ya sea para integradores de sistemas, operadores, proveedores, analistas u otros empleados. Incluso en una fábrica totalmente automatizada, los robots no pueden hacerlo todo.

Como líder en controles de movimiento, Mitsubishi Electric conoce los sistemas de automatización conectados, así como el ingenio humano necesario para mantener esos sistemas funcionando con eficiencia. Hemos estado ayudando a las empresas de fabricación a adaptarse y evolucionar con tecnologías de acceso remoto (PLC, HMI, robots colaborativos, redes de control y más) desde mucho antes de los primeros confinamientos por COVID.

Pero los ciberatacantes también son cada vez más astutos. Debido a que cualquier red, dispositivo o punto final puede ser una víctima potencial para los hackers, creemos que, en lo que respecta a ciberseguridad, ninguna protección es excesiva.

Socios en la prevención de delitos cibernéticos

Es por eso que Mitsubishi Electric formó una asociación de e-F@ctory Alliance con Dispel para mejorar la resiliencia de ciberseguridad y la eficiencia operativa de nuestros clientes y socios. Dispel es el proveedor líder mundial de acceso a la red de confianza cero para sistemas de control industrial (ICS) que utiliza confianza cero y defensa de objetivo en movimiento.

Se trata de que los operadores y terceros accedan a los sistemas de forma rápida y segura. La implementación plug-and-play certificada de Dispel con hardware de Mitsubishi Electric, como nuestro bastidor de PLC iQ-R , le brinda fácil acceso a cada dispositivo en su instalación con una sola instalación y le permite usar su equipo como puerta de enlace ascendente. El resultado es una comunicación bidireccional segura que cierra la brecha entre las capacidades de tecnología de la información (TI) y tecnología operativa (TO). Los usuarios remotos pueden controlar y supervisar las instalaciones desde cualquier ubicación aprobada a través de una ruta bien defendida.

Las sesiones se registran en pantalla para la resolución de problemas, la auditoría y, en el caso de intentos de delito, con fines basados en evidencia. Incluso puede conectar una cámara web u otros componentes para literalmente ver lo que sucede en la fábrica.

Menos estático = más seguro

La coordinación de TI/TO no es lo único que distingue a nuestra solución. Las aplicaciones de seguridad de acceso remoto típicas emplean una defensa estática. Esta estrategia de todo o nada protege los activos al crear barreras a su alrededor: DMZ, VPN, firewalls y similares. Pero las defensas estáticas permiten a los posibles atacantes estudiar sus sistemas ampliamente, y elegir la hora y el lugar para una vulneración.

Dispel combina varios enfoques de vanguardia que la convierten en la primera y única plataforma de acceso remoto en alinearse con las versiones más recientes de las estrictas pautas de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). El marco de trabajo del NIST incluye el NIST CSF, 800-53, 800-82, 800-160 Vol. 2, para la resiliencia cibernética, y la revisión preliminar del NIST CSF 2,0.

Confianza cero

El enfoque de confianza cero de Dispel garantiza que el acceso a su red solo se otorgue a las personas correctas en el momento indicado. Todos los usuarios potenciales deben presentar una solicitud a un administrador o propietario, y aprobar un proceso de aprobación detallado.

Los usuarios deben verificar que cumplan todos los criterios en el momento asignado antes de poder realizar la conexión inicial, que solo se proporciona para puertos especificados en un solo dispositivo, con dispositivos adicionales disponibles que el cliente añade a discreción. Todos los días, el usuario recibe un entorno nuevo y seguro en el que operar. Una vez finalizado el trabajo, se destruye el entorno segmentado.

Objetivo en movimiento

Debido a que el acceso autorizado es apenas el primer paso en la ciberseguridad, la defensa de objetivo en movimiento de Dispel es una tecnología de vanguardia. Cada vez que un usuario autorizado se conecta a la red, la ruta es única y variada en múltiples servidores en la nube. Cada nueva sesión dará como resultado un camino completamente diferente.

Piénselo en términos de un camión de correos que toma la misma ruta de entrega todos los días. Sería muy fácil para alguien vigilar la apariencia de ese camión y su trayecto diario para robar el correo de su objetivo.

Ahora, imagine que el mismo camión de correos puede cambiar su apariencia diariamente y tomar una ruta diferente cada día para entregar el correo. Esta es la defensa de objetivo en movimiento, lo que hace que sea muy difícil para alguien aprender el camino de una PC remota a las instalaciones del cliente.

Dispel usa múltiples espacios de nube generales, como Amazon y Azure, para ocultar su identidad entre todo el resto del tráfico. Si un hacker adquiere conocimiento de la primera nube, la siguiente ruta será completamente diferente, y la siguiente, y la siguiente…

Entorno de pruebas virtual

Además, los usuarios de acceso remoto no se conectan realmente a sus instalaciones. En cambio, se conectan a una máquina virtual segmentada que está reforzada conforme a las normas de seguridad de la Agencia de Sistemas de Información de Defensa de los EE. UU. Se proporciona acceso a un usuario específico para realizar una tarea específica en un software específico.

Al igual que las arenas a través de un reloj de arena, una vez que el usuario guarda el programa en el escritorio virtual y cierra, la conexión desaparece. Incluso si alguien intenta plantar algo perjudicial, el siguiente usuario se pondrá en marcha a un entorno nuevo. El material malicioso se colocará en un entorno aislado y se destruirá de manera controlada, con lo cual se evita que el atacante tenga acceso adicional.

Como lo vio en la exposición de Gartner

Mitsubishi Electric se unió recientemente a Dispel en la Gartner Security & Risk Conference en National Harbor, MD, para ofrecer una demostración. El evento es una reunión de figuras destacadas para todo tipo de soluciones de seguridad: acceso remoto, mitigación de riesgos, filtrado de tráfico de red y más.

Fuimos el ÚNICO expositor de automatización de fábrica en mostrar capacidades de TO, y estamos orgullosos de estar a la vanguardia de esta tecnología crucial. Nuestra demostración “ASSISTA dice” incorporó un PLC, una HMI y el robot colaborativo ASSISTA de Mitsubishi Electric para ilustrar el monitoreo y el control remotos.

Mientras jugaban con la demostración, que imita uno de los juegos electrónicos originales de nuestra infancia (“Simón dice”), muchos visitantes del puesto manifestaron su agrado por la atención prestada al acceso remoto de TO, que tanto les preocupaba en sus instalaciones. Expresaron lo conveniente que sería incorporar una solución para ICS sin necesidad de realizar modificaciones importantes en su entorno de ICS.

Pruébelo usted mismo

Búsquenos en una feria de ciberseguridad futura para ver una demostración o hable con uno de nuestros ingenieros sobre una solución para su organización en https://us.mitsubishielectric.com/fa/en/about-us/contact/contactsales/.

Tim Hider Gerente de Marketing de Productos (Soluciones) Mitsubishi Electric Automation, Inc.

¿Prefiere recibir notificaciones sobre material nuevo, como publicaciones en blogs, artículos técnicos, casos prácticos y seminarios web?

Únase a nuestra comunidad