En el mundo de la ciberseguridad, no basta con mirar el tráfico de red: hace falta entenderlo. Con el proyecto europeo R2D2, la herramienta CARMEN ha dado un salto cualitativo en su capacidad de análisis en entornos industriales (OT). Gracias a las nuevas funcionalidades incorporadas, CARMEN ahora puede detectar de manera temprana amenazas complejas, incluso aquellas diseñadas para pasar desapercibidas, ofreciendo a los equipos de seguridad una visión más completa y precisa de la infraestructura industrial.

Antes de R2D2: la visión de Carmen

Antes de la incorporación de los módulos del proyecto R2D2, Carmen ya era una herramienta consolidada y de prestigio para el análisis de tráfico de red. Sin embargo, su enfoque estaba principalmente orientado a IT y, aunque podía detectar anomalías y supervisar tráfico de manera efectiva, en entornos industriales (OT) tenía limitaciones naturales propias del alcance original de la herramienta:

• Entornos OT: no podía interpretar en profundidad los protocolos industriales más complejos, limitando la comprensión de comandos, registros y mensajes críticos.
• Entornos IT: la herramienta detectaba anomalías, aunque la correlación con posibles ataques de grupos avanzados (APTs) requería un análisis adicional y manual.
• Detección de APTs: eficaz dentro de su ámbito, pero con un enfoque más general y basado en patrones conocidos.
• Mapa de activos y riesgos: ofrecía visibilidad de eventos y alertas relevantes, pero la evaluación de impacto sobre activos críticos y rutas de ataque dependía de la interpretación del analista.

En definitiva, Carmen era ya una herramienta sólida y confiable, capaz de observar y alertar sobre eventos importantes en la red. Lo que aportó R2D2 no fue “empezar de cero”, sino expandir sus capacidades: permitirle profundizar en tráfico OT, interpretar protocolos industriales complejos, correlacionar anomalías con ataques avanzados y, además, ofrecer un mayor control sobre el mapa de activos y su riesgo asociado.