X-Labs
Noviembre 28, 2022

El uso de lógica de hardware para proteger infraestructura crítica

Future Insights 2023—Parte 4
Dr. Simon Wiseman

Bienvenido a la cuarta publicación de la serie Future Insights 2023 de Forcepoint, que ofrece perspectivas y predicciones sobre la ciberseguridad que pueden transformarse en inquietudes apremiantes en 2023.

 

Esta es la publicación de Dr. Simon Wiseman, director de Tecnología (CTO) de Gobiernos Globales e Infraestructura Crítica:

Más que nunca, necesitamos una defensa robusta contra los ataques cibernéticos. Dado que todo está conectado a algo más, nuestros sistemas están exponiendo una superficie de ataque cada vez mayor, y la detección de ataques está demostrando ser una estrategia deficiente un típico caso de “muy poco, demasiado tarde”.

Si bien una buena higiene cibernética, como la examinación de antivirus y la actualización de parches, es esencial, estas defensas no llegan lo suficientemente lejos. Depender de la detección de ataques conocidos y de poder detenerlos antes de que causen daños, ya no funciona. Esto deja a las organizaciones vulnerables a ataques de “día cero” y, una vez que los atacantes penetran un sistema, es difícil detectarlos y deshacerse de ellos. Por esto, mantener a los atacantes fuera sigue siendo fundamental.

En cualquier sistema, detener los ataques es importante. Sin embargo, igual de importante es permitir la comunicación que resulta esencial para poder continuar con nuestras actividades. Esconderse dentro del equivalente cibernético de un castillo medieval con un puente levadizo alzado ofrece una excelente protección, pero no permite el intercambio comercial, por lo que pronto quedaría en la ruina.

Comerciar con los demás significa intercambiar información. Y, mientras esto sucede, las aplicaciones que reciben información desde el exterior exponen una superficie de ataque que puede ser explotada. Esas vulnerabilidades ponen en riesgo la información personal o confidencial. Estos problemas deben abordarse desplegando una defensa que controle qué información fluye hacia adentro y hacia afuera del sistema. Utilizando términos de Forcepoint, esto significa desplegar nuestros productos de Content Disarm and Reconstruction (CDR) y Data Loss Prevention (DLP).

 

Las defensas tradicionales implican una gran estructura de gastos y complejidad

Sin importar qué tan buenas sean estas defensas, requieren de mucha infraestructura para respaldarlas: un sistema operativo, una pila de red, bibliotecas criptográficas, etc. Esta gran estructura de gastos suma complejidad a la ecuación. Y la complejidad da lugar a fallas o errores de configuración. Lo que hace que las defensas del flujo de información se asienten en terreno poco firme. Esto es particularmente importante para el CDR de Zero Trust que debe enfrentar directamente a los atacantes potenciales.

Para una defensa eficaz, se necesita de una base sólida en la que se pueda controlar y administrar la complejidad. Una infraestructura en la nube brinda el entorno ideal para lograrlo. Los servicios en la nube están diseñados para protegerse a sí mismos de intrusos, mantener a los inquilinos separados y cuentan con equipos dedicados que instalan parches y monitorean continuamente. Alojar las defensas en la nube, como lo hacemos para nuestra plataforma de perímetro de servicio de seguridad (SSE) Forcepoint ONE ofrece una base sólida y proporciona escalabilidad. Lo único que resta es asegurarse de que las medidas de CDR de Zero Trust se implementen lo suficientemente bien como para hacer frente a los atacantes, un problema aparte en el que me enfocaré más adelante.

 

Si no podemos depender del software para la seguridad, ¿qué opción nos queda?

 

Utilizar lógica de hardware en lugar de software para implementar las funciones de seguridad críticas que necesitamos."

 

La protección de la infraestructura crítica con lógica de hardware

Sin embargo, no todo puede estar en la nube. En el caso de la infraestructura crítica, como el equipo de planta en los sistemas industriales o los sistemas de defensa tácticos, suele existir la necesidad de construir una infraestructura en las instalaciones. Aquí se necesita de un enfoque de seguridad más robusto. Este tipo de equipo suele tener que sobrevivir en un entorno hostil, tanto físicamente como desde una perspectiva cibernética. Y no es práctico contar con un equipo de operaciones cibernéticas dedicado que lo supervise continuamente. En estos casos, la plataforma debe ser independiente y defenderse a sí misma.

En lugar de lidiar con la complejidad del software de la plataforma, debemos eliminar la dependencia en ella. No obstante, si no podemos depender del software para la seguridad, ¿qué opción nos queda? Utilizar lógica de hardware en lugar de software para implementar las funciones de seguridad críticas que necesitamos. De este modo, tenemos un solo obstáculo que superar: la lógica es menos flexible que el software, entonces solo puede realizar tareas fijas más simples. En realidad, es allí donde reside su fortaleza: una vez que se comprobó que la lógica funciona correctamente, continúa haciéndolo. El software es maleable, puede cambiarse a sí mismo, de modo que lo que funciona hoy podría no hacerlo mañana. La lógica es inmutable: una defensa sólida permanece sólida.

 

Cómo combinar lógica de hardware con defensas de software

Pero, ¿cómo puede la lógica simple proporcionar las defensas complejas de CDR de Zero Trust que necesitamos? El CDR es un proceso complejo en sí mismo, que solo puede implementarse con software igualmente complejo. La realidad es esta: La complejidad solo es un problema cuando dependemos de ella. Necesitamos una implementación que brinde seguridad incluso si las funciones complejas presentan fallas.

Un resumen breve de cómo el Zero Trust CDR de Forcepoint maneja los datos: Cuando examina un documento, no verifica los datos ni los modifica. Extrae la información de esos datos, descarta todos los datos (incluso si son seguros) y genera nuevos datos para transportar esa información a destino. Este enfoque significa que no se confía en ningún dato de un posible atacante. Pero el hecho de que se divide en dos partes es crucial. La primera parte es compleja y se ocupa de datos que podrían ser inseguros, pero la segunda parte es más simple y atiende únicamente la información extraída.

Nuestra implementación posibilita separar las dos partes, que están unidas solo por una ruta de comunicación simple que transporta la información de manera sencilla. Esta interconexión es lo suficientemente simple como para implementarse en la lógica de hardware. El trabajo de la interconexión es asegurarse de que se siga el protocolo y que la información que se transporta esté estructurada como se espera para que pueda manejarse de manera segura.

Forcepoint Future Insights 2023 series - What will you need to think about in 2023?

 

Al contar con esto, no es necesario depender de la primera parte compleja que extrae la información de los datos: si se comporta de forma insegura, la lógica evitará que la segunda parte sufra ningún daño. La segunda parte, que crea nuevos datos para transportar la información, está protegida de los ataques mediante la simple lógica de hardware. La complejidad del CDR no se elimina, pero se coloca en una posición en la que no puede causar daño.

En despliegues iniciales, utilizamos este modelo de lógica de hardware para proteger a organizaciones comerciales y agencias gubernamentales críticas. Sin embargo, hoy vemos un mayor interés en el método de lógica de hardware de la infraestructura crítica más amplia que necesita conectar unidades fuera de las instalaciones con la base y la nube (consulte este whitepaper para conocer más).

En 2023 y más adelante, las organizaciones necesitan intensificar sus esfuerzos y emplear defensas capaces de enfrentar a los atacantes sofisticados de la actualidad. Esto significa adoptar defensas sólidas que se proporcionan a través de la nube. En los casos en que las operaciones sean realmente críticas, no puedan trasladarse a la nube o estén en entornos más expuestos, se deberán usar dispositivos de lógica de hardware especializados para implementar los componentes más críticos de las defensas cibernéticas. En general, cree sistemas que puedan defenderse a sí mismos.

Dr. Simon Wiseman

El Dr. Simon Wiseman es director de Tecnología (CTO) de Gobiernos Globales e Infraestructura Crítica. Simon se unió a Forcepoint tras la adquisición de Deep Secure en 2021, y aporta treinta años de experiencia en seguridad informática de gobiernos. Como responsable de la estrategia técnica de...

Leer más artículos de Dr. Simon Wiseman

Acerca de Forcepoint

Forcepoint es la compañía líder en ciberseguridad de protección de datos y usuarios, encargada de proteger a las organizaciones a la vez que impulsa la transformación digital y el crecimiento. Nuestras soluciones se adaptan en tiempo real a la manera en que las personas interactúan con los datos, y proporcionan un acceso seguro a la vez que permiten que los empleados generen valor.