Con la nueva funcionalidad EDR de Kaspersky Industrial CyberSecurity, los clientes ahora pueden obtener visibilidad instantánea de los incidentes de seguridad de la tecnología operativa (OT) y ejecutar acciones de respuesta
La nueva funcionalidad EDR de Kaspersky Industrial CyberSecurity también ayuda a revelar los puntos débiles ocultos en las redes, ya sean vulnerabilidades, desconfiguraciones o incumplimiento de políticas y normativas. Con las nuevas funciones de sondeo activo y un mapa de topología física, las organizaciones pueden ver aún más los activos de su red de OT y cómo se interconectan. Estas nuevas capacidades y la integración más profunda de Kaspersky Industrial CyberSecurity for Nodes y Kaspersky Industrial CyberSecurity for Networks mejoran en gran medida la visibilidad y el control de la OT, el cumplimiento y la protección contra amenazas.
La convergencia de las TI y las OT aporta un número creciente de conexiones, equipos y servicios a las organizaciones industriales. Mantener el control, la disponibilidad, la seguridad y el cumplimiento de las normas requerirá una nueva generación de soluciones de ciberseguridad específicas. Según IDC Worldwide IT/OT Convergence 2022 Predictions, para 2024, el 30% de las empresas industriales incorporarán herramientas de gestión de seguridad centralizadas para salvar la brecha entre TI y OT. La renovada plataforma de Ciberseguridad Industrial de Kaspersky se suma a esta tendencia.
EDR para OT para obtener información rápida sobre los incidentes
Con EDR en Kaspersky Industrial CyberSecurity for Nodes, un equipo de ciberseguridad puede rastrear la actividad maliciosa, analizar la raíz mediante la visualización de la ruta de propagación del ataque y ejecutar acciones de respuesta en los ordenadores SCADA y en las estaciones de trabajo de los operadores. El producto proporciona una amplia gama de acciones de respuesta que no afectan al proceso industrial a menos que haya una intervención explícita del operador, incluyendo la puesta en cuarentena o la eliminación de un objeto malicioso, la prohibición de ejecutar un proceso malicioso en el futuro, etc. Para garantizar que la amenaza no se extienda a otras máquinas, los especialistas en seguridad pueden crear indicadores de compromiso (IoC) o artefactos que indiquen que un sistema ha sido vulnerado y ejecutar una respuesta entre puntos finales basada en estos IoC.
La funcionalidad EDR se ofrece como parte de KICS for Nodes sin necesidad de instalar hardware adicional. Funciona en cualquier sistema operativo, incluido Windows XP, y es óptima para las redes industriales, ya que no las sobrecarga de tráfico y no tiene impacto en los hosts ICS. Además, no requiere conocimientos específicos de los administradores de seguridad de TI o de OT.
Evaluación del riesgo y del cumplimiento de la normativa para hacer frente a las amenazas ocultas
Con Kaspersky Industrial CyberSecurity for Networks, los clientes pueden implementar un enfoque de ciberseguridad orientado al riesgo. El producto ahora puede detectar las debilidades que pueden poner en riesgo la integridad de la OT o causar la interrupción del proceso tecnológico. Las áreas cubiertas incluyen una arquitectura de red vulnerable (acceso a redes externas, falta de segmentación, dispositivos multi-homing); configuraciones de seguridad débiles en el host (puertos abiertos, falta de autorización, cortafuegos desactivados); protocolos obsoletos, vulnerables, no deseados, no encriptados y anomalías en los protocolos de red; sistemas operativos obsoletos; dispositivos no autorizados; y vulnerabilidades en los PLC. Todos los riesgos se puntúan en función de su gravedad en la consola de gestión, para que los equipos de seguridad puedan priorizar los más críticos.
La actualización de Kaspersky Industrial CyberSecurity for Nodes es capaz de auditar automáticamente los hosts de OT o un grupo de hosts en busca de vulnerabilidades en el software, configuraciones erróneas y el cumplimiento de las regulaciones locales o internacionales y las políticas corporativas. El producto utiliza un lenguaje abierto de evaluación de vulnerabilidades (OVAL) para evaluar los hosts. Por defecto, el producto proporciona una base de datos de vulnerabilidades SCADA de Kaspersky ICS-CERT en formato OVAL. Se puede utilizar cualquier base de datos OVAL, ya sea la del NIST, CIS u otras normativas o muestras personalizadas
Visibilidad de red y escaneo de máquinas para mantener el control y reaccionar ante los incidentes
La visibilidad de la red y los dispositivos se mejora gracias al sondeo activo y al mapa de topología física de la red industrial en Kaspersky Industrial CyberSecurity for Networks. El sondeo activo ayuda a identificar los activos en los sistemas de OT y su configuración, mientras que un mapa de topología visualiza la arquitectura de la red: cómo los activos están conectados físicamente y se comunican entre sí. Con estos datos, los operadores de OT o los equipos de seguridad pueden entender rápidamente elementos como en qué parte de la red se produce un problema y a qué objeto físico del área de producción se refiere, lo que les permite solucionarlo más rápidamente.
Kaspersky Industrial CyberSecurity for Nodes también ofrece a los expertos en seguridad OT un escáner USB portátil para utilizar en máquinas cuyas políticas restringen la instalación de cualquier software, incluidos los productos de ciberseguridad. Puede tratarse de endpoints antiguos con software obsoleto o de aquellos que son demasiado críticos para instalar algo en ellos. Otro ejemplo es el de los equipos de los subcontratistas, que pueden utilizar dentro de la red de OT del cliente. Los especialistas en seguridad OT pueden utilizar una simple unidad flash USB para descargar el escáner de KICS for Nodes y luego utilizarlo para escanear la máquina aislada. El escáner no instala nada en el dispositivo, pero proporciona información sobre cualquier amenaza que se encuentre en él, para que los equipos de seguridad puedan planificar las acciones necesarias.
Como plataforma, Kaspersky Industrial CyberSecurity también asegura la integración nativa de todos sus componentes, incluyendo KICS for Nodes para Windows y Linux, KICS for Networks, y la orquestación a través de una única plataforma de gestión. La integración más profunda de KICS for Nodes y KICS for Networks permite alertas de red enriquecidas con datos sobre un host, sus procesos y bajo qué usuario fue lanzado. Los equipos de seguridad de TI/OT, los analistas de SOC y los operadores de SCADA tienen ahora más visibilidad sobre las acciones sospechosas y pueden tomar decisiones informativas sobre las acciones de respuesta.
«Con esta actualización, estamos dotando a nuestros clientes con una plataforma de gestión de seguridad OT orientada al riesgo y al mantenimiento. Kaspersky Industrial CyberSecurity señala los incidentes y las vulnerabilidades ocultas, las desconfiguraciones y otras debilidades para minimizar el riesgo de interrupción de los procesos industriales críticos. Junto con los productos de ciberseguridad corporativos, Kaspersky Industrial Cybersecurity es un elemento crucial del ecosistema para que las organizaciones industriales protejan sus activos de cualquier vector de amenaza, explote TI u OT. Y a través de la integración nativa de todos los componentes del ecosistema, y con una única plataforma de gestión, estamos implementando gradualmente el concepto de detección y respuesta extendida (XDR) para la ciberseguridad industrial en nuestra cartera», comenta Andrey Strelkov, Senior Product Manager de Kaspersky.
Fuente info
Autor: