Un SOC (Security Operations Center) es un equipo de profesionales en ciberseguridad que utiliza tecnologías para monitorizar, detectar, analizar e investigar amenazas, así como generar alertas cuando se detectan estas amenazas. Del mismo modo, el SOC reporta las vulnerabilidades descubiertas y desarrolla planes de prevención para posibles incidentes similares a los ya ocurridos.
Tradicionalmente, el SOC está bien establecido en la IT (Information Technology). Reúne personas, procesos y tecnología no solo para responder a las amenazas de seguridad, sino también para mitigarlas de manera proactiva.
Actualmente nos encontramos en la industria 4.0, que surge de la aplicación de las tecnologías de la información y de la comunicación a la industria para permitir tomar decisiones en tiempo real y optimizar los procesos de producción. Esto lleva a que cada vez más dispositivos estén conectados a la red, lo que genera nuevas amenazas de ciberseguridad. Es por eso que surge la necesidad de transformar el SOC IT tradicional en un SOC IT-OT.
Para lograr esta transformación, hay que tener en cuenta que en OT (Operational Technology) la monitorización de las redes y la implementación de medidas de seguridad cambian abruptamente ya que las prioridades son completamente diferentes, sobre todo en infraestructuras críticas.
De esta manera, la principal diferencia respecto a un entorno IT es que, en caso de incidente, los daños producidos pueden resultar en pérdidas de vidas. En cambio, en IT, los daños se limitan a pérdidas de datos, lo que puede resultar en retrasos de las operaciones y pérdidas económicas.
Es decir, la seguridad en los entornos IT gira en torno al dato y la principal preocupación es la confidencialidad de la información, mientras que en entornos OT la principal preocupación es la disponibilidad de la información.
Propiedades SOC IT
Un SOC IT tradicional principalmente recolecta datos utilizando firewalls, IPS (Intrusion Prevention Systems), IDS (Intrusion Detection Systems), SIEM (Security Information and Event Management systems) y sistemas de gestión de registros (Syslog).
En cuanto a personal, un SOC IT dispone de equipos de gestión de alertas para determinar qué alertas son críticas, de respuesta ante incidentes para la contención de la amenaza y recuperación de la operativa, así como de equipos de penetration testing y hacking ético para encontrar vulnerabilidades y gestionarlas antes de que se materialice la amenaza.
Además, se establece una estructura jerárquica para manejar incidencias de seguridad:
– Nivel 1: es la primera línea de respuesta ante incidentes. Determinan la urgencia de una alerta siguiendo los procedimientos establecidos.
– Nivel 2: personal experimentado que trata con las alertas más urgentes.
– Nivel 3: personal con alta experiencia que busca vulnerabilidades en la red utilizando herramientas de detección de amenazas, realiza un diagnóstico y hace recomendaciones para mejorar la seguridad. Este grupo incluye analistas de ciberseguridad o investigadores forenses, entre otros.
Propiedades SOC OT
Tal y como indica el NIST (National Institute of Standards and Technology), un SOC OT debe identificar los activos de OT, así como detectar y responder con urgencia a actividades anómalas o sospechosas (recolectando y analizando datos) para proteger los activos utilizando diversas medidas de seguridad. Sin embargo, la falta de logs en algunos sistemas puede complicar el tratamiento y la recolección de datos.
Además, en el entorno OT se deben tener en cuenta las normativas, regulaciones y requerimientos legales que afectan a las empresas industriales. Finalmente, como se ha comentado anteriormente, el objetivo principal en entornos OT es mantener la disponibilidad de la operativa.
Por eso, en un SOC OT es muy importante no bloquear tráfico sospechoso, ya que podríamos estar bloqueando información crítica para el funcionamiento de la industria y causar un incidente con consecuencias devastadoras.
Por ejemplo, no se recomendaría utilizar un IPS (Intrusion Prevention System), ya que se encarga de monitorizar la red y tomar acciones (reportar, bloquear o deshacerse de los paquetes sospechosos). En cambio, se tendría que utilizar un IDS (Intrusion Detection System). De la misma manera, no se aconsejaría utilizar un sistema anti-malware, sino que se debería utilizar un sistema para detectar malware y estudiar cada caso manualmente, sin bloquearlo directamente.
En cuanto a personal, un SOC OT debería tener una estructura muy parecida a la del SOC IT:
– Nivel 1: es la primera línea de respuesta ante incidentes. Determinan la urgencia de una alerta siguiendo los procedimientos establecidos. En este caso los procedimientos deberán estar adaptados al entorno OT.
– Nivel 2: analistas que realizan investigaciones básicas, dan posibles soluciones para solventar las incidencias y proporcionan recomendaciones para realizar cambios en los sistemas con el fin de contener posibles propagaciones en el caso de una infección de malware, por ejemplo.
– Nivel 3: perfiles más especializados, entre los que se pueden encontrar investigadores forenses o ingenieros malware. Su objetivo será el de realizar tareas muy concretas, como buscar vulnerabilidades en la red, realizar diagnósticos o modelar amenazas.
Requisitos de transformación
Además de la falta de documentación o desconocimiento de ciertos puntos relacionados con dispositivos, sistemas o procesos, la falta de una entrada en los logs, de algunos sistemas, relacionados con eventos de seguridad, puede complicar el tratamiento de los incidentes de ciberseguridad en entornos industriales.
Es por eso que para establecer un SOC donde converjan los entornos IT-OT habría que:
1. Adaptar el sistema de monitorización y recolección de datos al entorno OT, utilizando sistemas para descubrir activos y evitando sistemas intrusivos que puedan alterar la disponibilidad de la información. Por ejemplo, se debería de utilizar un IDS en lugar de un IPS.
2. Formar al personal con conocimientos técnicos y específicos del entorno OT, como los principales dispositivos utilizados en la industria (PLCs, HMIs, sistemas SCADA…), el modelo Purdue o algunos de los estándares existentes (NIST 800-82, ISA99, NERC-CIP, IEC 62443…).
3. Adaptar los procedimientos a seguir por el equipo de respuesta ante incidentes al entorno OT. Mientras que algunos de los ataques específicos de IT son phishing, SQL injection o Cross-Site Scripting, en OT existen algunos ataques personalizados para un solo objetivo (como pueden ser los sistemas de control industrial). Para ello, se recomienda consultar el repositorio al respecto de Mitre Att&ck1.
Conclusiones y desarrollo futuro
En conclusión, en este trabajo se ha estudiado a alto nivel como transformar un SOC IT tradicional en un SOC IT-OT. Sin embargo, a la hora de aplicar medidas de seguridad hay que tener en cuenta que el objetivo principal en entornos OT siempre debe de ser mantener la disponibilidad de la información ya que, en caso de incidente, los daños producidos pueden resultar en pérdidas de vidas. En cambio, en entornos IT, la principal preocupación es la confidencialidad de la información. Por esto, se tendrán que adaptar los sistemas de monitorización y recolección de datos.
De esta manera, en un SOC IT-OT es muy importante no bloquear tráfico sospechoso, ya que podríamos estar bloqueando información crítica para el funcionamiento de la industria y causar un incidente con consecuencias devastadoras.
Finalmente, la estructura organizativa de un SOC IT-OT es bastante similar a la de un SOC IT, aunque hay que tener en cuenta que el personal deberá ser formado con conocimientos técnicos y específicos del entorno OT. De la misma forma, los procedimientos a seguir por el equipo de respuesta ante incidentes deberán ser adaptados también.
Cabe destacar que todavía hay mucho camino por recorrer hasta conseguir un único modelo de SOC IT-OT. En los próximos años habrá que seguir desarrollando este modelo para lograr una heterogeneidad de las distintas industrias.
1 ICS Techniques, Mitre. URL: https://attack.mitre.org/techniques/ics/
– – – – – – – – – – – – –
Autora:
Lourdes Bruna Moralejo
Credencial Profesional Nivel Negro – CCI