Una hoja de ruta de confianza cero para la ciberseguridad en la fabricación, de una empresa de 98 años

Los fabricantes son los objetivos corporativos más populares para los ataques de ransomware y el robo de identidad y datos. Con los pedidos de los clientes y las entregas en la balanza, solo pueden darse el lujo de tener sus líneas de productos inactivas por un corto tiempo. Entonces, los atacantes saben que si pueden interrumpir las operaciones de fabricación, pueden forzar el pago de un alto rescate.

pela de la corporación El enfoque de confianza cero proporciona una hoja de ruta pragmática y útil para los fabricantes que buscan modernizar su ciberseguridad. Pella es un fabricante líder de puertas y ventanas para clientes residenciales y comerciales, y ha estado en el negocio desde 1925.

>>No se pierda nuestro número especial: La búsqueda del Nirvana: aplicación de IA a escala.<

VentureBeat recientemente tuvo la oportunidad de entrevistar a John Baldwin, gerente sénior de seguridad cibernética y GRC en Pella Corporation. Describió el progreso de Pella hacia una mentalidad de confianza cero, comenzando con la mejora de la seguridad de 5200 terminales y 800 servidores en toda la empresa, y afinando su marco de gobierno. usos de pela multitudhuelga Halcón Completo detección y respuesta gestionadas (MDR) y Halcón Protección contra amenazas de identidad para la seguridad de puntos finales para reducir el riesgo de ataques basados ​​en la identidad. Los sistemas protegen a 10 000 empleados, 18 lugares de fabricación y numerosas salas de exhibición.

Baldwin le dijo a VentureBeat que el enfoque de la empresa hacia la confianza cero es “una mentalidad y un montón de controles superpuestos. CrowdStrike no va a ser el único jugador en mi despliegue de confianza cero, pero por supuesto será una parte clave de eso. Visibilidad y protección de endpoints, tiene que empezar por ahí. Y luego construir el marco de gobierno a la siguiente capa, convertirlo en identidad, asegurándose de que todos sus DevOps ágiles se conviertan en DevSecOps ágiles”.

La fabricación vive y muere según la disponibilidad

Los fabricantes son los principales objetivos de los atacantes porque sus negocios son los más sensibles al tiempo y porque sus infraestructuras de TI son las menos seguras. Baldwin le dijo a VentureBeat que “como la mayoría de los fabricantes justo a tiempo, somos muy sensibles a las interrupciones. Así que esa ha sido un área de especial atención para nosotros. Queremos asegurarnos de que a medida que entran los pedidos, el producto sale lo más rápido posible para poder satisfacer las demandas de los clientes. Ha sido un desafío. Hemos visto muchas otras organizaciones en nuestra industria y en todo el Medio Oeste… simplemente tratando de pasar el día siendo atacadas porque, como fabricantes o proveedores de servicios justo a tiempo, son muy sensibles a cosas como un ataque de ransomware. ”

Inteligencia de amenazas X-Force de IBM Índice 2023 encontró que la fabricación sigue siendo la industria más atacada, y por un margen ligeramente mayor que en 2021. El informe encontró que en 2022, se implementaron puertas traseras en el 28 % de los incidentes, superando al ransomware, que apareció en el 23 % de los incidentes remediados. por X-Force. La extorsión de datos fue el principal impacto en las organizaciones de fabricación en el 32 % de los casos. El robo de datos fue el segundo más común con un 19 % de los incidentes, seguido de las filtraciones de datos con un 16 %.

Baldwin de Pella le dijo a VentureBeat que el panorama de amenazas para la fabricación ha cambiado de ataques de ransomware oportunistas a ataques de delincuentes organizados. “No se trata de si vienen, sino de cuándo y qué podemos hacer al respecto”, dijo. “De lo contrario, podríamos sufrir una interrupción de los sistemas durante varios días, lo que interrumpiría la producción y sería muy costoso, sin mencionar los retrasos que afectarían a nuestros clientes y socios comerciales.

Los sistemas de los fabricantes están abajo promedio de cinco dias después un ciberataque. La mitad de estas empresas informaron que responden a las interrupciones dentro de los tres días; solo el 15% dijo que responde en un día o menos.

“Fabricación de vida y muerte en función de la disponibilidad”, Tom Sego, director ejecutivo de Onda de choquele dijo a VentureBeat en una entrevista reciente. “TI gira en torno a un ciclo de actualización tecnológica de tres a cinco años. OT es más como 30 años. La mayoría de HMI (interfaz hombre-máquina) y otros sistemas ejecutan versiones de Windows o sistemas SCADA que ya no son compatibles, no se pueden parchear y son cabezas de puente perfectas para que los piratas informáticos paralicen una operación de fabricación”.

La visión pragmática de Pella de la confianza cero

Las lecciones aprendidas de la planificación e implementación de un marco de confianza cero anclado en una gobernanza sólida forman la base de los logros continuos de Pella. La empresa está demostrando cómo la confianza cero puede proporcionar las medidas necesarias para mantener sincronizadas la TI, la ciberseguridad y la gobernanza, el riesgo y el cumplimiento (GRC). Lo que es más importante, Pella está protegiendo cada identidad y superficie de amenaza mediante flujos de trabajo automatizados basados ​​en cero confianza que liberan el valioso tiempo de muchos de sus equipos. “La confianza cero que imagino es que funciona y nadie tiene que dedicar mucho tiempo a validarlo porque es automático”, dijo Baldwin a VentureBeat.

“La principal atracción de un enfoque de confianza cero, desde mi perspectiva, es que si puedo estandarizar, entonces puedo automatizar. Si puedo automatizar, entonces puedo hacer que las cosas sean más eficientes, potencialmente menos costosas y, sobre todo, mucho, mucho más fáciles de auditar.

“Anteriormente”, continuó, “teníamos muchos procesos manuales y los resultados estaban bien, pero pasamos mucho tiempo validándolos. Eso no es realmente tan valioso en el gran esquema de las cosas. [Now] Puedo tener mi equipo y otros recursos técnicos enfocados en proyectos, no solo en asegurarme de que las cosas funcionen correctamente. Supongo que la mayoría de la gente es como yo en ese sentido. Eso es mucho más gratificante”.

Duplicar la gestión de identidades y accesos (IAM) primero

Baldwin le dijo a VentureBeat que “la identidad impregna una infraestructura de confianza cero y operaciones de confianza cero porque necesito saber quién está haciendo qué. ‘¿Ese comportamiento es normal?’ Entonces, la visibilidad con identidad es clave”.

Lo siguiente que debe hacerse, dijo, es obtener credenciales de acceso a cuentas privilegiadas y cuentas seguras. “La administración de cuentas privilegiadas es parte de eso, pero la identidad probablemente sea incluso más alta en la jerarquía, por así decirlo. Asegurar la identidad y tener esa visibilidad, particularmente con Protección de identidad de CrowdStrike Falconesa ha sido una de nuestras mayores victorias. Si no tiene una buena comprensión de quién está en su entorno, entonces [problems become] mucho más difícil de diagnosticar.

“Fusionando esos dos juntos [securing accounts and gaining visibility] es un cambio de juego”, concluyó.

Ir all-in, temprano, con acceso de privilegios mínimos

“Pella ha aplicado durante mucho tiempo un enfoque de, lo llamaremos, privilegios mínimos. Eso nos permitió aislar áreas que habían acumulado algunos privilegios adicionales y estaban causando más problemas. Empezamos a reducir esos privilegios y ¿sabes qué? Los problemas también desaparecieron. Entonces, eso ha sido muy útil”, dijo Baldwin. “Otra cosa que me ha gustado mucho es que nos da una mejor idea de dónde los dispositivos dejan nuestro dominio”.

Establecer la visibilidad y el control de los endpoints en una etapa temprana de cualquier hoja de ruta de confianza cero es un objetivo fundamental para construir una base sólida que pueda respaldar técnicas avanzadas, incluida la microsegmentación de redes e identidades. Pella se dio cuenta de lo importante que era hacer esto bien y decidió delegarlo en un centro de operaciones de seguridad administrado las 24 horas del día, los 7 días de la semana, a cargo de CrowkdStrke y su Falcon Complete Service.

“Hemos estado extremadamente satisfechos con eso. Entonces fui uno de los primeros en adoptar el Servicio de Protección de Identidad. Todavía se llamaba Preempt cuando lo compramos a CrowdStrike. Eso ha sido fantástico por tener esa visibilidad y comprensión de lo que es un comportamiento normal basado en la identidad. Si un usuario inicia sesión en estos mismos tres dispositivos de forma rutinaria, está bien, pero si el usuario de repente comienza a intentar iniciar sesión en un controlador de dominio de directorio activo, me gustaría saberlo y tal vez detenerlo”.

Sepa cómo es el éxito de confianza cero

El enfoque de Pella para la confianza cero se centra en conocimientos prácticos que puede usar para anticipar y detener cualquier tipo de ataque antes de que comience. De los muchos fabricantes con los que VentureBeat ha hablado sobre la confianza cero, casi todos dicen que necesitan ayuda para mantenerse al día con su creciente número de puntos finales e identidades a medida que sus operaciones de fabricación cambian para admitir más operaciones de relocalización. También le dijeron a VentureBeat que los sistemas de seguridad cibernética basados ​​en el perímetro han demostrado ser demasiado inflexibles para mantenerse al día.

Pella está superando esos desafíos al adoptar un enfoque de confianza cero que prioriza la identidad. La empresa ha reducido las cuentas obsoletas y con demasiados privilegios en un 75 %, lo que ha reducido significativamente la superficie de ataque empresarial. También redujo la resolución de incidentes de días a 30 minutos y alivió la necesidad de contratar a seis empleados de tiempo completo para administrar un centro de operaciones de seguridad (SOC) las 24 horas del día, los 7 días de la semana, ahora que CrowdStrike lo administra por ellos.

Consejo de Pella: Piense en Zero Trust como TSA PreCheck para acceso basado en identidad

Baldwin dice que su enfoque favorito para explicar la confianza cero es usar una alegoría. Su favorito es el siguiente: “Entonces, cuando la gente me pregunta, ¿qué quiere decir con confianza cero? Yo digo: ‘Ha experimentado cero confianza cada vez que ingresa a un aeropuerto comercial’. Tiene que tener la información de identidad proporcionada por adelantado. Tienen que entender por qué estás allí, qué vuelo estás tomando… No traigas estas cosas al aeropuerto, botellas de tres onzas, lo que sea, todas las reglas de la TSA. Luego pasa por un control de seguridad estándar. Entonces tú… te comportas como es de esperar. Y si te portas mal, intervendrán.

Continuó: “Entonces, cuando la gente dice: ‘Oh, eso es lo que es la confianza cero’, estoy pensando, sí, estoy tratando de crear esa experiencia en el aeropuerto, quizás con un mejor ambiente y una mejor experiencia de usuario. Pero al final, si puede seguir todas esas reglas, no debería tener problemas para pasar del desarrollo a la prueba, al control de calidad, a la implementación en producción y hacer que la gente lo use. Si usted es, digamos, un profesional de la seguridad, bueno en su campo, tal vez pueda inscribirse en ese TSA PreCheck, y puede tener un pase de velocidad”.

La visión de confianza cero de Pella es proporcionar PreCheck para cada usuario del sistema a nivel mundial, sin ralentizar la producción, pero brindando seguridad basada en la identidad a la escala y la velocidad necesarias para seguir fabricando y cumpliendo con los pedidos de los clientes.