auditoría de seguridad en sistemas scada
TRANSCRIPT
Auditoría de Seguridad en Sistemas Auditoría de Seguridad en Sistemas ggSCADASCADA
LI Jorge Villaseñor RojasLI Jorge Villaseñor RojasCISA, CISM, LA ISO27001, CISSP, CRISCCISA, CISM, LA ISO27001, CISSP, CRISCSeguridad de Información [Seguridad de Información [PEÑOLESPEÑOLES]]
ConceptosConceptos[ [ Agenda Agenda ]]
ConceptosConceptos
AplicacionesAplicaciones
RiesgosRiesgos asociadosasociados
AuditoríaAuditoría dede lala seguridadseguridad
H i tH i t d td t ll dit ídit íHerramientasHerramientas durantedurante lala auditoríaauditoría
MejoresMejores prácticasprácticas parapara infraestructurainfraestructura SCADASCADA
ConclusionesConclusiones
2
[ [ ¿Qué es un sistema SCADA? ¿Qué es un sistema SCADA? ]]
SSupervisoryupervisoryCControlontrolAAndndDDataata
AAcquisitioncquisition
Es un sistema automatizado que permite supervisar y controlarvariables de algún proceso o cadena de procesos industriales adistancia, proporcionando comunicación con los dispositivos, p p pcontroladores (PLCs) y controlando el proceso de forma automáticapor medio de un software especializado.
3
[ [ HMI: Human Machine Interface HMI: Human Machine Interface ]]
SiSi bienbien unun sistemasistema SCADASCADASiSi bienbien unun sistemasistema SCADASCADApermitepermite controlar,controlar, debedebe existirexistirunauna interfazinterfaz parapara elel usuariousuario finalfinalqueque vava aa controlarcontrolar dichodicho sistemasistema..EstaEsta interfazinterfaz eses llamadallamada HMIHMI,, yy eseselel puentepuente finalfinal entreentre elel sistemasistema yyelel puentepuente finalfinal entreentre elel sistemasistema yyelel operadoroperador..UnUn mismomismo sistemasistema puedepuede tenertenerppvariasvarias interfacesinterfaces dede controlcontrol..
4
[ [ Algunas Aplicaciones de sistemas SCADA Algunas Aplicaciones de sistemas SCADA ]]
•• ControlControl dede facilidadesfacilidades enen edificiosedificios yy plantasplantas industrialesindustrialesyy pp(ventilación,(ventilación, bombeo,bombeo, iluminación)iluminación)
•• ElectricidadElectricidad (Generación,(Generación, transmisióntransmisión yy distribución)distribución)•• ControlControl dede procesosprocesos industrialesindustriales parapara lala producciónproducción•• ParquesParques dede diversionesdiversiones
IndustriaIndustria PetroquímicaPetroquímica•• IndustriaIndustria PetroquímicaPetroquímica•• AguaAgua yy alcantarilladoalcantarillado•• PlantasPlantas nuclearesnuclearesPlantasPlantas nuclearesnucleares
5
Todas las marcas y logotipos representados son propiedad de las respectivas compañías y fabricantes
[[ Algunas empresas que manufacturan Algunas empresas que manufacturan sistemas SCADA sistemas SCADA ]]]]
6
Todas las marcas y logotipos representados son propiedad de las respectivas compañías y fabricantes
¿Por qué preocuparse por la¿Por qué preocuparse por la¿Por qué preocuparse por la ¿Por qué preocuparse por la seguridad en los sistemas seguridad en los sistemas gg
SCADA?SCADA?
[ [ Algunos riesgos a considerar en los sistemas Algunos riesgos a considerar en los sistemas SCADA SCADA ]]SCSC ]]
•• ElEl principalprincipal riesgoriesgo dede unauna fallafalla enen estosestos sistemassistemassonson pérdidaspérdidas humanashumanas
•• FallasFallas enen loslos serviciosservicios controladoscontrolados porpor loslos•• FallasFallas enen loslos serviciosservicios controladoscontrolados porpor loslossistemassistemas
Sistemas de ventilaciónSistemas de ventilación–– Sistemas de ventilaciónSistemas de ventilación–– Sistemas de seguridadSistemas de seguridadE í lé t iE í lé t i–– Energía eléctricaEnergía eléctrica
–– AguaAgua
8
[[ Algunos riesgos a considerar en los sistemas Algunos riesgos a considerar en los sistemas SCADA SCADA ]]SCSC ]]
•• RiesgoRiesgo dede dañosdaños aa infraestructurainfraestructura empresarialempresarial–– Operaciones detenidasOperaciones detenidas–– Daños costososDaños costosos–– Tiempo de recuperación elevadoTiempo de recuperación elevado
dd d ñd ñ ff ll•• RiesgoRiesgo dede dañosdaños aa infraestructurainfraestructura metropolitanametropolitana–– Refinerías de petróleoRefinerías de petróleo–– Estaciones de gasEstaciones de gas
9
[[ Tendencia malwareTendencia malware ]][[ Tendencia malware Tendencia malware ]]Es importante notar la diferencia existente entre la cantidad de software maliciosos detectado por compañías deantivirus (en este caso Symantec) y el malware existente.
6,445,469Existen más de unmillón y medio* de
4,958,053Columnas: Malware detectado por
millón y medio dediferentes códigosmaliciosos que lascompañías deantivirus nod d
2,895,802
Línea: Malware existente detectan o tardanen detectar.
Tal es el caso deStuxnet.
20254 19159 74981 113081 167069708,742
1,691,323 Las compañías deantivirus lodetectaron en Juliodel 2010 y se sabeque operaba desde20,254 19,159 74,981 113,081 167,069
2002 2003 2004 2005 2006 2007 2008 2009 2010
Reporte de Symantec Abril 2010 Tendencia
que operaba desdeel 2009.
10
Reporte de Symantec Abril 2010
[[ ¿Por qué preocuparse? ¿Por qué preocuparse? ]]
•• StuxnetStuxnet–– SonadoSonado virusvirus cuyocuyo objetivoobjetivo eraneran laslasplantasplantas nuclearesnucleares enen IránIrán.. ImpactabaImpactabasistemassistemas SCADASCADA dede lala empresaempresappSiemens,Siemens, aprovechándoseaprovechándose dedevulnerabilidadesvulnerabilidades enen WindowsWindows..
•• BlasterBlasterSeSe creecree queque fuefue principalprincipal responsableresponsable–– SeSe creecree queque fuefue principalprincipal responsableresponsabledede unun apagónapagón enen NuevaNueva YorkYork enen elel20032003..
11
[[ ¿Qué se prevé? ¿Qué se prevé? ]]
•• LasLas prediccionespredicciones parapara esteeste añoaño manejanmanejan 33LasLas prediccionespredicciones parapara esteeste añoaño manejanmanejan 33objetivosobjetivos claveclave dede ataquesataques::–– Redes socialesRedes socialesRedes socialesRedes sociales–– Dispositivos móvilesDispositivos móviles–– Sistemas Industriales (SCADA)Sistemas Industriales (SCADA)–– Sistemas Industriales (SCADA)Sistemas Industriales (SCADA)
12
[[ De último minuto De último minuto ]]
•• AA mediadosmediados dede septiembreseptiembre sese hicieronhicieron públicaspúblicasAA mediadosmediados dede septiembreseptiembre sese hicieronhicieron públicaspúblicasmúltiplesmúltiples vulnerabilidadesvulnerabilidades enen softwaresoftware dedesistemassistemas SCADASCADA descubiertasdescubiertas porpor elel investigadorinvestigadorpp ggLuigiLuigi AuriemmaAuriemma,, concon decenasdecenas dede alertasalertas dedeseguridadseguridad descubiertasdescubiertas durantedurante loslos últimosúltimos dosdosañosaños..
“The“The completecomplete archivearchive ofof mymy advisoriesadvisories aboutaboutsoftwaresoftware securitysecurity vulnerabilitiesvulnerabilities foundfound byby meme thetheff yy ff yySCADASCADA tagtag coverscovers anythinganything ofof thethe HMI/SCADA,HMI/SCADA,automationautomation andand industrialindustrial sectorsector..””
Fuente:Fuente: http://aluigi altervista orghttp://aluigi altervista org
13
Fuente: Fuente: http://aluigi.altervista.orghttp://aluigi.altervista.org
A dit í d id dA dit í d id dAuditoría de seguridadAuditoría de seguridad
[[ Análisis de riesgos Análisis de riesgos ]]
•• ¿Qué¿Qué puedepuede afectarafectar mismis sistemassistemas SCADA?SCADA?•• ProbabilidadProbabilidad dede ocurrenciaocurrencia•• ImpactoImpacto A
L18
5 210
376
12 9pp–– En la poblaciónEn la población–– En el negocioEn el negocio
IMP A C T
TO
11
4
O
PROBABILIDAD DE OCURRENCIA
15
[[ Seguridad física Seguridad física ]]
•• ControlControl dede AccesoAcceso FísicoFísico•• ControlControl dede AccesoAcceso FísicoFísico–– Instalaciones en generalInstalaciones en generalCuartos de controlCuartos de control–– Cuartos de controlCuartos de control
–– Cuartos de cómputo y comunicacionesCuartos de cómputo y comunicaciones
•• ControlControl dede fuegofuego yy temperaturatemperatura–– Uso de sistemas automáticos contra incendioUso de sistemas automáticos contra incendio–– Uso de sistemas automáticos contra incendioUso de sistemas automáticos contra incendio–– Personal capacitado para emergenciasPersonal capacitado para emergencias–– Temperaturas adecuadasTemperaturas adecuadas
16
Temperaturas adecuadasTemperaturas adecuadas
[[ Seguridad de red Seguridad de red ]]
•• RevisiónRevisión dede RedRedóó–– Segregación de redesSegregación de redes
•• ¿Separado por VLAN? [¿Separado por VLAN? [VLAN HoppingVLAN Hopping], FW, IDS, IPS], FW, IDS, IPS
Id ifi ió d h i i di iblId ifi ió d h i i di ibl–– Identificación de host y servicios disponiblesIdentificación de host y servicios disponibles•• ¿NMAP?¿NMAP? ¡¡CUIDADO!! [Modbus/TCP]¡¡CUIDADO!! [Modbus/TCP]
A áli i d t áfi t d t lA áli i d t áfi t d t l–– Análisis de tráfico en segmentos de controlAnálisis de tráfico en segmentos de control•• SPAN PortSPAN Port
Identificación de servicios intermedios conIdentificación de servicios intermedios con–– Identificación de servicios intermedios con Identificación de servicios intermedios con conexión a redes de control y administrativasconexión a redes de control y administrativas
•• HistoriadoresHistoriadores
17
HistoriadoresHistoriadores
[[ Seguridad de red Seguridad de red ]]
•• RevisiónRevisión dede RedRed–– Accesos remotosAccesos remotos
•• ¿Son estrictamente necesarios?¿Son estrictamente necesarios?A t ti ióA t ti ió•• AutenticaciónAutenticación
•• ConexiónConexión•• AdministraciónAdministraciónAdministraciónAdministración•• DisponibilidadDisponibilidad
18
[ [ Esquemas de red Esquemas de red ]]Clásico / VulnerableClásico / VulnerableClásico / VulnerableClásico / Vulnerable
Conexiones que no sedeberían permitir para ayudara garantizar el correctofuncionamiento de losfuncionamiento de lossistemas control de procesos(mejores prácticas deseguridad).
19
Recomendado / RobustoRecomendado / Robusto[[ Esquemas de red Esquemas de red ]]
Recomendado / RobustoRecomendado / Robusto
Red Administrativa
Zona DesmilitarizadaEn esta zona se ubicarácualquier otro equipo querequiera ser consultado
Equipos de trabajo
requiera ser consultadocotidianamente desde la redadministrativa y a su vezrequiera información decontrol de procesos.
20
[[ Control de acceso lógico Control de acceso lógico ]]
•• ServidoresServidores•• EstacionesEstaciones dede controlcontrol•• EquiposEquipos clientecliente concon accesoacceso aa laslas redesredes yy sistemassistemas dede
controlcontrolcontrolcontrol–– Actualizaciones de seguridad SO, BD, SW de control, Actualizaciones de seguridad SO, BD, SW de control, componentes adicionales, servidores web, etc.componentes adicionales, servidores web, etc.
–– Prohibir el uso de dispositivos USB en estos equiposProhibir el uso de dispositivos USB en estos equiposProhibir el uso de dispositivos USB en estos equiposProhibir el uso de dispositivos USB en estos equipos–– Mantener un esquema de respaldos robusto y adecuadoMantener un esquema de respaldos robusto y adecuado–– Mantener activo y configurado un firewall para cada Mantener activo y configurado un firewall para cada equipoequipoequipoequipo
–– No permitir la conexión directa a internet de estos equiposNo permitir la conexión directa a internet de estos equipos
21
[[ Control de acceso lógico Control de acceso lógico ]]
•• PerfilesPerfiles dede accesoacceso enen sistemassistemas dede controlcontrol–– Problemas comunes que el auditor debe identificar:Problemas comunes que el auditor debe identificar:
•• Uso de una sola cuentaUso de una sola cuenta•• Ausencia de perfiles de usuario: Admin Operador HistoriadorAusencia de perfiles de usuario: Admin Operador Historiador•• Ausencia de perfiles de usuario: Admin, Operador, HistoriadorAusencia de perfiles de usuario: Admin, Operador, Historiador•• Cuentas en desuso, algunas con privilegios de administrador Cuentas en desuso, algunas con privilegios de administrador •• Sesiones permanentemente abiertasSesiones permanentemente abiertas•• Ausencia de bitácoras de seguridad o auditoríaAusencia de bitácoras de seguridad o auditoría•• Usuarios con acceso a lazos de control que no corresponden a su Usuarios con acceso a lazos de control que no corresponden a su función. Ej: Bombeo tiene acceso a Trituración función. Ej: Bombeo tiene acceso a Trituración
22
[[ ¿Actualizaciones/ parches de seguridad/ ¿Actualizaciones/ parches de seguridad/ dispositivos USB? dispositivos USB? ]]pp ]]
•• StuxnetStuxnet aprovechaaprovecha algunasalgunas vulnerabilidadesvulnerabilidades dede windowswindowspp ggparapara escalarescalar privilegiosprivilegios–– SMB SMB ‐‐MS08MS08‐‐067, 067,
•• ImpresorasImpresoras–– CVECVE‐‐20102010‐‐2729 2729 MS10MS10 061061–– MS10MS10‐‐061061
•• DispositivosDispositivos USBUSBBID 41732 +BID 41732 +–– BID 41732 +BID 41732 +
23
[[ Responsabilidad Responsabilidad ]]
ElEl vendedorvendedor debedebe proveerproveer actualizacionesactualizacionespertinentespertinentes parapara laslas vulnerabilidadesvulnerabilidades dede loslospertinentespertinentes parapara laslas vulnerabilidadesvulnerabilidades dede loslossistemassistemas..
SinSin embargo,embargo, lala responsabilidadresponsabilidad dedemantenermantener estosestos sistemassistemas actualizadosactualizados yy enenmantenermantener estosestos sistemassistemas actualizadosactualizados yy enenunun ambienteambiente seguro,seguro, eses nuestranuestra……
…y los daños causados, …y los daños causados, son nuestros.son nuestros.
24
[[ Recomendaciones de seguridad Recomendaciones de seguridad –– Emerson Emerson ]]
Se pueden obtener algunasrecomendaciones básicas* deseguridad del fabricante.
* Sólo son recomendaciones básicas ya que el fabricante tiene unaguía completa de seguridad que no publica y sólo la entrega a
l í d b
25
ciertos clientes. Los temas que trata esta guía se pueden obtener en“The DeltaV Security Manual ‐ Introduction Only”.
[[ El auditor también debe validar la existencia El auditor también debe validar la existencia y cumplimiento de: y cumplimiento de: ]]y py p ]]
•• EsquemasEsquemas dede respaldorespaldo específicoespecífico paraparainfraestructurainfraestructura dede sistemassistemas SCADASCADA
•• PlanesPlanes dede respuestarespuesta aa desastresdesastres•• PlanesPlanes dede continuidadcontinuidad deldel servicioservicio•• CapacitaciónCapacitación adecuadaadecuada yy constanteconstante alal personalpersonal
26
[ [ Preguntas adicionales del auditor Preguntas adicionales del auditor ]]
•• ¿Existen¿Existen políticaspolíticas yy procedimientosprocedimientos específicosespecíficos paraparaSCADA?SCADA?..
•• ¿Se¿Se cuentacuenta concon acuerdosacuerdos dede servicioservicio entreentre áreasáreas quequeúú ll ff ??interactúaninteractúan concon lala infraestructurainfraestructura SCADA?SCADA?
•• ¿Se¿Se cuentacuenta concon unun planplan dede crisiscrisis queque involucreinvolucre áreasáreasdd ll i iói ió t id dt id d i ii i dddede lala organización,organización, autoridadesautoridades yy serviciosservicios dedeemergencia?emergencia?
27
¿Qué hacer para mitigar los riesgos y ¿Qué hacer para mitigar los riesgos y verificar la seguridad en sistemasverificar la seguridad en sistemasverificar la seguridad en sistemas verificar la seguridad en sistemas
SCADA?SCADA?
[[ Herramientas útiles durante la auditoría Herramientas útiles durante la auditoría ]]
•• ¿Qué¿Qué emplear?emplear?
–– Escaneo de vulnerabilidades.Escaneo de vulnerabilidades.–– Captura y análisis de protocolos.Captura y análisis de protocolos.
b d ób d ó–– Pruebas de penetración.Pruebas de penetración.–– Escaneo de puertos.Escaneo de puertos.–– Ingeniería socialIngeniería social–– Herramientas de gestión de dispositivos de red y gestión Herramientas de gestión de dispositivos de red y gestión
remota de servidores y computadoras.remota de servidores y computadoras.–– Reportes de vulnerabilidades en sitios de confianza.Reportes de vulnerabilidades en sitios de confianza.
29
[[ Mejores prácticasMejores prácticas ‐‐ SCADASCADA]][[ Mejores prácticas Mejores prácticas SCADASCADA]]
CNPI Good Practice 21 Steps toControl Systems OPC Security
CNPI Good Practice CNPI Good Practice Guide on Firewall Guide on Firewall
Deployment for SCADADeployment for SCADA
21 Steps to Improve 21 Steps to Improve Cyber Security of Cyber Security of SCADA NetworksSCADA Networks
Control Systems Cyber Control Systems Cyber Security: Security:
Defense in DepthDefense in Depth
OPC Security OPC Security Whitepaper #3Whitepaper #3
Hardening GuidelinesHardening Guidelines
CNPI Good Practice Guide on Firewall Dep
21 Steps to ove Cyber Security o
ber Security: Defens epaper Hardening G
Deployment for SCADA Deployment for SCADA and Process Control and Process Control
NetworksNetworks
SCADA NetworksSCADA Networks Defense in Depth Defense in Depth StrategiesStrategies
Hardening Guidelines Hardening Guidelines for OPC Hostsfor OPC Hosts
Mayor información: US‐CERT: Control Systems ‐ Recommended Practices
30
Mayor información: US CERT: Control Systems Recommended Practices
[[ Mejores prácticas Mejores prácticas ‐‐ SCADASCADA]]
Continuidad:
••BS 25999BS 25999••COBIT DS4COBIT DS4••ISO 27002ISO 27002 20052005••ISO 27002ISO 27002‐‐20052005••NIST NIST –– SP800SP800‐‐ 34 34 –– BCPBCP••RiskRisk‐‐Based Performance Standards GuidanceBased Performance Standards Guidance••Cyber Assessment Methods for SCADA SecurityCyber Assessment Methods for SCADA Security••Cyber Assessment Methods for SCADA SecurityCyber Assessment Methods for SCADA SecurityISA 99ISA 99••Security Guidelines and User Resources for Industrial Security Guidelines and User Resources for Industrial A t ti d C t l S tA t ti d C t l S tAutomation and Control SystemsAutomation and Control Systems
31
[[ Mejores prácticas Mejores prácticas ‐‐ SCADASCADA]]
Chemical Facility Anti‐Terrorism Standards
32
[[ Mejores prácticas Mejores prácticas ‐‐ SCADASCADA]]
33
[[ Conclusiones Conclusiones ]]
•• LosLos sistemassistemas SCADASCADA sonson unouno dede loslos focosfocos principalesprincipales dedell bb llll d bd b ll d dd dloslos ciberciber‐‐ataques,ataques, porpor elloello debemosdebemos aplicaraplicar medidasmedidaspermanentespermanentes dede seguridadseguridad..
•• LaLa integraciónintegración dede loslos SCADASCADA aa protocolosprotocolos comocomo TCP/IPTCP/IP•• LaLa integraciónintegración dede loslos SCADASCADA aa protocolosprotocolos comocomo TCP/IPTCP/IPrepresentarepresenta unun altoalto riesgoriesgo aa lala seguridad,seguridad, enen casocaso dede nonocontarcontar concon esquemasesquemas dede redred robustosrobustos..
•• LasLas actualizacionesactualizaciones dede seguridadseguridad enen elel softwaresoftware quequesoportasoporta loslos SCADASCADA eses pilarpilar importanteimportante dede lala seguridadseguridad..
•• LaLa operaciónoperación eses primero,primero, peropero sinsin seguridadseguridad lala operaciónoperaciónpodríapodría dejardejar dede existirexistir..
34
[[ Referencias Referencias ]]• Guía de Seguridad de las TIC (CCN‐STIC‐480), Seguridad en Sistemas SCADA
[ http://www.cnpic‐es.es/Biblioteca/GUIAS_CCN ]
• Cyber Assessment Methods for SCADA Security, ISA ‐ The Instrumentation, Systems and Automationy y, , ySociety[http://www.inl.gov/scada/publications ]
• Guías SCADA del Centro Criptológico Nacional[ http://www cnpic‐es es/Ciberseguridad/Guias SCADA ][ http://www.cnpic es.es/Ciberseguridad/Guias_SCADA ]
• ISA[ http://www.isa.org ]
i i i d i i b f i l bili i• Luigi Auriemma, Advisories about software security vulnerabilities[ http://aluigi. org ]
• SCADA[ http://en.wikipedia.org/wiki/SCADA][ p // p g/ / ]
• US‐CERT Introduction to Recommended Practices[ http://www.us‐cert.gov/control_systems/practices ]
35
PreguntasPreguntas
LI Jorge Villaseñor RojasLI Jorge Villaseñor RojasCISA CISM LA ISO27001 CISSP CRISCCISA CISM LA ISO27001 CISSP CRISCCISA, CISM, LA ISO27001, CISSP, CRISCCISA, CISM, LA ISO27001, CISSP, CRISCSeguridad de Información [Seguridad de Información [PEÑOLESPEÑOLES]]
jorge villasenor@penoles com mxjorge villasenor@penoles com [email protected][email protected]