Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • sebastianquintero54

Las SD-WAN más allá del comercio

Actualizado: 18 de dic de 2020


Una tecnología importante para industrias críticas Ser el responsable de la ciberseguridad de cualquier organización es un trabajo complejo, que involucra interactuar con los equipos que administran el desarrollo de software, los servidores, las bases de datos, el almacenamiento y las redes. El desafío es aún mayor cuando, además, hay que proteger instalaciones industriales y la tecnología operativa (OT) que estas requieren para funcionar. Este es el caso en industrias críticas como la manufacturera, la energética y las de extracción.


Aunque no todos los equipos de seguridad para OT las tienen presentes, las redes de área amplia definidas por software (SD-WAN) son un tema candente hoy en día en el mundo de las redes informáticas. Las SD-WAN son igualmente aplicables al mundo de la OT, pero tienen efectos importantes para la seguridad que pueden ser más graves en un entorno de OT que en una implementación promedio de SD-WAN.


La idea de las SD-WAN es reducir costos al conectar las oficinas sucursales y sitios remotos usando un acceso a Internet de banda ancha relativamente económico en reemplazo parcial o total de las tecnologías de WAN privada más caras, como MPLS. Esta solución es una forma excelente de reducir el costo global de la conectividad y de administrar el tráfico de red.


Sin embargo, el uso de SD-WAN también puede presentar problemas de seguridad, porque decenas, cientos o miles de ubicaciones están directamente conectadas a Internet. Aunque la tecnología permite a las organizaciones aumentar el ancho de banda de forma económica y ofrece a los usuarios en esas ubicaciones un acceso directo y de alta calidad a recursos en línea, también los expone directamente a ataques provenientes de Internet.


En la industria manufacturera, las ubicaciones remotas no son simples oficinas: van desde enormes plantas con cientos de máquinas y miles de trabajadores hasta pequeños sitios remotos como pozos automatizados de petróleo y de gas, pasando por todos los tamaños intermedios. Estas ubicaciones son críticas para la empresa porque producen lo que la empresa vende. En otras palabras, no son importantes para el negocio, sino que son el negocio. Sin producto, no hay negocio.



Reducir los costos... ¿a qué costo?


Reemplazar (total o parcialmente) las costosas conexiones privadas por acceso a Internet en todas estas ubicaciones ahorran dinero. También puede mejorar la productividad, porque los usuarios que necesitan conectarse a un servicio en la nube (Microsoft Office 365, Oracle Cloud o aplicaciones en AWS, por ejemplo) pueden hacerlo directamente desde su ubicación en lugar de pasar por la red central de la empresa.


Esto reduce la latencia y mejora notablemente la experiencia de usuario. Sin embargo, estas ventajas tienen su contraparte. Las herramientas de seguridad de los centros de datos —como los firewalls, los IDS/IPS, el filtrado de URL e incluso los antivirus— son inútiles en fábricas remotas conectadas directamente a Internet. Además, con la convergencia de las redes de tecnología informática (TI) y de tecnología operativa (OT), ya no hay una separación física entre ambas, por lo que los sistemas industriales de control quedan expuestos a agentes maliciosos que intentan acceder a ellos desde el lado informático de la infraestructura. En este contexto, evitar los ataques no solo permite que la producción no se detenga, sino que preserva la seguridad y confiabilidad de la planta y de sus trabajadores.


La mayoría de las ofertas de SD-WAN hacen un buen trabajo a la hora de proporcionar mecanismos para determinar la ruta óptima, enrutar el tráfico y priorizar el tráfico de mayor valor frente al secundario. Sin embargo, dado que estos productos generalmente se basan en tecnología de enrutamiento, la seguridad ocupa un lugar secundario o no se considera en absoluto.


La solución: Secure SD-WAN


Por eso, desde el punto de vista de la ciberseguridad, las SD-WAN no son suficientes. Lo que se necesita es Secure SD-WAN, en donde el control de tráfico se combina con funciones de seguridad como la protección avanzada contra amenazas con firewalls de siguiente generación (NGFW), la inspección de aplicaciones, IPS, el filtrado de URL y la protección contra botnets. En las industrias que confían en OT, las funciones y protecciones que ofrece Secure SD-WAN al entorno informático se puede extender al espacio de las OT y ofrecer una capa de seguridad adicional a la que brinda la puerta de enlace IT/OT.


Implementar tecnologías como las SD-WAN (por no mencionar Secure SD-WAN) en ubicaciones remotas puede ser un gran desafío, dado que estas ubicaciones suelen tener una dotación de personal reducida o incluso nula. Este problema se puede resolver con las herramientas de aprovisionamiento sin intervención, que forman parte de muchas de las soluciones de SD-WAN (aunque no todas).


Pero eso no basta desde el punto de vista de la seguridad: además de seleccionar las rutas óptimas, es esencial contar con políticas de seguridad coherentes para proteger la ubicación tan pronto como el sistema esté operativo. Además, el Centro de operaciones de seguridad (SOC) centralizado debe tener visibilidad de todas y cada una de las ubicaciones para supervisar los niveles de amenazas, administrar las puertas de enlace entre las redes IT y OT, y aislar los sistemas infectados para limitar la propagación del malware.


Un ejemplo de una solución de SD-WAN seguras es el firewall de siguiente generación FortiGate de Fortinet, que combina Protección avanzada contra amenazas, IPS, antivirus, control de aplicaciones, filtrado de URL, VPN y funciones SD-WAN nativas con características avanzadas de seguridad e inspección de protocolos de OT.


Esta robusta postura de seguridad se complementa con la inteligencia frente a amenazas de FortiGuard, la rama de inteligencia frente a amenazas de Fortinet. FortiGuard asegura que las funciones de seguridad se mantengan actualizadas de forma continua y automática.


Inteligencia frente a amenazas específica para OT


Los sistemas de tecnología operativa (OT) y los sistemas industriales de control (ICS) son tan vulnerables a los ataques como los sistemas de tecnología informática (TI), y las implementaciones más antiguas son considerablemente más vulnerables que las nuevas.


El FortiGuard Industrial Security Service de Fortinet, que se diseñó específicamente para proteger entornos de ICS, actualiza continuamente los perfiles de amenazas para identificar y vigilar muchos de los protocolos ICS/SCADA más comunes, lo que ofrece al personal de seguridad visibilidad y control granulares.


El servicio ofrece protección para aplicaciones y dispositivos de los principales proveedores de ICS. Esta combinación provee un control de aplicaciones altamente sofisticado para el tráfico entre distintas zonas y permite al NGFW FortiGate detectar ataques que intenten explotar vulnerabilidades conocidas.


Todo lo anterior implica que el equipo de ciberseguridad debe participar activamente en toda decisión relacionada con el uso de SD-WAN, especialmente en la industria manufacturera, en donde las vulnerabilidades del sistema de OT pueden dar lugar a costosas paradas en la producción o tener consecuencias aún peores.


Una solución de SD-WAN verdaderamente segura no solo reduce los costos asociados con las WAN, sino que, además, provee un enfoque de ciberseguridad unificado que reduce la complejidad y extiende la visibilidad y el control a las profundidades de las redes de IT y OT.


Fuente: https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/SolutionBrief/sb_SD-WAN-Isnt-Just-For-Retail_ES.pdf

9 vistas0 comentarios