[15/1072024] En respuesta a los crecientes retos y amenazas a los que se enfrentan las tecnologías operativas y las infraestructuras críticas, Kaspersky anunció que ha mejorado su Kaspersky Industrial CyberSecurity (KICS), una plataforma XDR nativa para empresas industriales, y ha agilizado la detección y respuesta gestionadas (MDR, por sus siglas en inglés) para sistemas de control industrial (ICS, por sus siglas en inglés), un servicio que ayuda a realizar funciones SOC clave para organizaciones que pueden carecer de personal dedicado.
"La primera actualización significativa se refiere a Kaspersky Industrial CyberSecurity (KICS), una plataforma XDR nativa diseñada específicamente para empresas industriales. Está certificada para proteger equipos y redes OT y de infraestructuras críticas frente a amenazas cibernéticas. Diseñada para proteger de forma integral los sistemas de control y automatización industrial, consta de KICS for Nodes, que se centra en los puntos finales de los sistemas de control distribuidos, y KICS for Networks, que supervisa la seguridad de la red del sistema de automatización y protege los equipos del sistema de automatización frente a las amenazas iniciadas por la red”, sostuvo Andrey Strelkov, jefe de la Línea de Productos de Ciberseguridad Industrial de Kaspersky, en el comunicado de prensa.
El ejecutivo anotó que, con la nueva versión, la plataforma introduce las siguientes capacidades mejoradas:
- Gestión mejorada de la configuración y los cambios en la infraestructura OT: De acuerdo aStrelkov, KICS permite la inspección de la configuración de seguridad y la supervisión de cambios mediante sondeo basado en agente o sin agente para hosts Windows y Linux, dispositivos de red y PLC para recopilar configuraciones. "Se proporciona un conjunto predefinido de configuraciones para todos los tipos de activos compatibles y se puede recopilar manualmente o en modo programado. El archivo de configuración acumulado está siempre disponible para su revisión, y puede utilizarse para supervisar los cambios y analizar las discrepancias identificadas”.
- Nuevos tipos de activos para mejorar el contexto durante la investigación de incidentes: KICS for Networks ahora soporta la recepción y agregación de tipos adicionales de activos incluyendo software instalado, parches, usuarios locales y ejecutables descubiertos. "Cuando KICS for Nodes se instala en un host (tanto en Windows como en Linux), transmite automáticamente esta información a KICS for Networks con actualizaciones periódicas. Esto proporciona una gestión automática de los cambios y alertas cuando se detectan desviaciones. Las listas agregadas de software y usuarios simplifican enormemente el proceso de investigación de incidentes, permitiendo a los profesionales de la seguridad identificar fácilmente todos los hosts con ejecutables sospechosos o encontrar acciones específicas de usuarios en los eventos registrados”, explicó el ejecutivo.
- Sondeo activo programado y visualización automatizada de la topología de la red: KICS proporciona un mapa topológico que muestra información en tiempo real sobre las conexiones de activos, y gestiona los cambios de estado de seguridad de los dispositivos sin agentes instalados, como computadoras y switches. "Las tareas de sondeo activo admiten ahora la programación, para automatizar la creación de este mapa y mantener actualizados los datos de conexión, los atributos de los activos y la configuración de seguridad. Cada ejecución programada se complementa con un informe detallado, que incluye los resultados de la consulta y cualquier problema identificado”, anotó Strelkov.
- Mayores capacidades para detectar anomalías en subestaciones digitales: KICS for Networks soporta ahora la importación de archivos SCD (substation configuration description) para analizar configuraciones, la extracción de atributos de activos y la revisión de configuraciones IEC 61850. "También proporciona un informe de errores identificados y configuraciones erróneas. Al supervisar las redes de subestaciones basándose en configuraciones de referencia, permite detectar conexiones de red no autorizadas, actividad anómala y fallos o errores en las comunicaciones IEC 61850. Esto indica un funcionamiento inadecuado o una mala configuración de los equipos”, aseguró el ejecutivo.
- Sensor SD-WAN para supervisar el tráfico de redes OT en emplazamientos distribuidos geográficamente: Strelkov anotó que el KICS actualizado proporciona una nueva arquitectura para infraestructuras distribuidas geográficamente, permitiendo el soporte de hasta 100 puntos de monitorización en un único nodo KICS for Networks. "Cuando los sensores de KICS for Networks no pueden colocarse en sitios remotos debido al tamaño de los equipos o a los límites de conectividad, el tráfico de los sitios remotos puede transferirse directamente a un nodo de KICS for Networks situado en una oficina central. Las tecnologías SD-WAN ofrecen opciones ilimitadas para establecer nuevas redes de área amplia definidas por software entre las sucursales de la empresa, lo que permite entregar copias de tráfico industrial desde el conmutador de origen hasta el nodo de supervisión”.
- Escáner portátil actualizado con capacidades mejoradas de auditoría, inventario e inspección: El escáner portátil KICS amplía las capacidades de inspección de host con nuevas tecnologías de escaneo, como escaneos de inventario de host, vulnerabilidad, cumplimiento y configuración de seguridad, y captura de tráfico, que también se puede configurar para un escaneo antivirus clásico en la etapa de escritura de la unidad USB. El Scanner portátil ahora también soporta escaneo antimalware de hosts Windows 2000 SP4.
Strelkov señaló que otra actualización se refiere a Kaspersky Managed Detection and Response, un servicio que ayuda a las empresas industriales que experimentan escasez de personal o carencias de competencias. "Ahora, las empresas pueden subcontratar a expertos de Kaspersky las funciones clave de ciberseguridad, como la supervisión y detección de amenazas, la búsqueda de amenazas y el análisis de incidentes. Esto proporciona a las organizaciones acceso a la experiencia necesaria y a soluciones de ciberseguridad fiables. El servicio también permite a las organizaciones contrarrestar eficazmente el creciente volumen y complejidad de los ciberataques a infraestructuras críticas, y les permite optimizar eficazmente sus recursos internos, cuando estos recursos son limitados”, finalizó el ejecutivo.
Franca Cavassa, CTOPerú