CENTRO DE CIBERSEGURIDAD INDUSTRIAL

PREVENCIÓN, DEFENSA Y RESPUESTA FRENTE A 3 TIPOS DE CIBERATAQUES DE ALTO IMPACTO 2016

Patrocinadores del CCI

Platinum

Gold

Bronze

Silver

Al hacer clic sobre el logotipo regresas al índice

Alt+flecha izquierda para volver a la vista anterior después de ir a un hipervínculo.

Consejos

El Centro de Ciberseguridad Industrial (CCI) es una organización independiente, sin ánimo de lucro, cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad Industrial, en un contexto en el que las organizaciones de sectores como el de fabricación o el energético juegan un papel crítico en la construcción de la Sociedad actual, como puntales del estado del bienestar.

CCI afronta ese reto mediante el desarrollo de actividades de investigación y análisis, generación de opinión, elaboración y publicación de estudios y herramientas, e intercambio de información y conocimiento, sobre la influencia, tanto de las tecnologías, incluidos sus procesos y prácticas, como de los individuos, en lo relativo a los riesgos -y su gestión- derivados de la integración de los procesos e infraestructuras industriales en el Ciberespacio.

CCI es, hoy, el punto de encuentro de las entidades -privadas y públicas- y de los profesionales afectados, preocupados u ocupados de la Ciberseguridad Industrial; y es, asimismo, la referencia hispanohablante para el intercambio de experiencias y la dinamización de los sectores involucrados en este ámbito.

ISBN: 978-84-942379-7-3Primera edición: febrero de 2016

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra queda rigurosamente prohibida y estará sometida a las sanciones establecidas por la ley. Solamente el autor (Centro de Ciberseguridad Industrial, www.cci-es.org), puede autorizar la fotocopia o el escaneado de algún fragmento a las personas que estén interesadas en ello.

! Maiquez, 18 · 28009 MADRID" +34 910 910 751# info@cci-es.org$ www.cci-es.org% blog.cci-es.org& @info_cci

Prevención, defensa y respuesta frente a 3 tipos de ciberataques de alto impacto 2016 4

INTRODUCCIÓNExisten múltiples tipos de ciberataques dirigidos al ámbito de TO (Tecnologías de Operación), que han sido notificados en los últimos años a diferentes CERTs (Equipos de respuesta/preparación ante emergencias informáticas), algunos de estos CERTs están especializados en sistemas industriales, como es el caso del ICS-CERT de Estados Unidos o el CERTSI CERT de Seguridad e Industria) Español, y por supuesto otros CERTs, privados o publicos, que sin estar especializados reciben múltiples notificaciones de incidentes en SCI (Sistemas de Control Industrial). Entre los incidentes notificados se encuentran ciberataques de denegación de servicio, robo de propiedad intelectual, intrusiones por fuerza bruta, entre otros.

Este documento recoge tres tipos de ciberataques sobre SCI (Sistemas de Control Industrial) de alto impacto para organizaciones industriales, e identifica cuales deberían de ser las prioridades para el Estado, los proveedores tecnológicos y las propias organizaciones industriales, que permitan mejorar la prevención, defensa y respuesta a dichos ciberataques.

AUTORES (EXPERTOS DEL CCI) › Claudio Caracciolo › Miguel García › Ignacio Paredes › José Valiente › Silvia Villanueva

Tipos de CiberataquesRansomware de SCI Ciber-espionaje industrial Ataques sobre tecnología inteligente embebida

Ataque basado en el cifrado de configuraciones de Sistemas de Control Industrial (SCI) que operan procesos físicos, como el tratamiento de agua, generación de energía, control aéreo, tráfico terrestre, fabricación de plástico,… para pedir un rescate o colapsar un organismo, compañía o estado.

Ataque de espionaje con alto conocimiento, tanto interno, como externo, a través de tácticas de ingeniería social, y acceso continuo mediante múltiples canales correo, dispositivos móviles, web, red industrial, red corporativa,…)

Ataque a tecnologías inteligentes que disponen de sistemas embebidos que permiten la conexión con Internet y disponen de capacidad de procesamiento, almacenamiento y control.

Actores Medidas Prioridades

Estado

Prevención › Establecer o favorecer canales de colaboración eficientes entre proveedores tecnológicos, proveedores de ciberseguridad, organizaciones industriales y CERTs para alerta temprana de este tipo de ciberdelitos.

› Generar regulaciones con sanciones para las empresas que no tomen medidas de control para evitar incidentes, y sobre todo más severas para quienes no lo comuniquen adecuadamente.

› Establecer o favorecer la incorporación de sistemas de gestión de la ciberseguridad en las organizaciones, la concienciación y capacitación en ciberseguridad.

› Generar regulaciones con sanciones para las empresas que no tomen medidas de control para evitar incidentes, y sobre todo más severas para quienes no lo comuniquen adecuadamente.

› Establecer regulaciones de calidad que exijan el cumplimiento de requisitos de ciberseguridad en el diseño de las tecnologías embebidas.

Defensa › Fomentar la existencia de planes de recuperación y continuidad, así como gestión de cambios sobre los procesos físicos automatizados que garanticen la recuperacion de las configuraciones.

› Fomentar el establecimiento de políticas de clasificación de la información y controles de acceso adecuados según el nivel de clasificación de los activos de información de la organización.

› Favorecer la creación de laboratorios con capacidad de analizar y evaluar controles mínimos y oblgatarios de seguridad en las tecnologías embebidas.

Reacción › Dar participación a los especialistas miembros de las fuerzas de seguridad o áreas de inteligencia para analizar los incidentes con el fin de apremiar a quienes cometan estos delitos, y comprender si se trata de un incidente de seguridad aislado contra una empresa o una amenaza para el país.

› Dar participación a los especialistas miembros de las fuerzas de seguridad o áreas de inteligencia para analizar los incidentes con el fin de apremiar a quienes cometan estos delitos, y comprender si se trata de un incidente de seguridad aislado contra una empresa o una amenaza para el país.

› Prestar colaboración en la resolución de incidentes graves que puedan afectar a los sectores industriales o a la seguridad nacional.

Proveedores tecnológicos

Prevención › Definir buenas practicas para el resguardo de las configuraciones y archivos críticos de los sistemas.

› Definir configuraciones de protección contra accesos y supervisión de los ficheros de configuración críticos de sistemas y aplicaciones.

› Definir y mantener canales de comunicación bidireccionales tanto con los CERT nacionales, las fuerzas de ciberseguridad nacional, como con las organizaciones industriales que son clientes directos de sus productos o servicios.

› Incorporar características para control de uso y acceso, así como registro y auditoría, o permitir la integración con sistemas de terceros capaces de aportar estas funcionalidades requeridas.

› Incorporar características para control de uso y acceso, así como registro y auditoría, o permitir la integración con sistemas de terceros capaces de aportar estas funcionalidades requeridas.

› Incluir requisitos de ciberseguridad en el diseño y garantizar pruebas implementando un modelo basado en Secure-SDLC (Cliclo de vida de desarollo Seguro de Sistemas).

› Establecer procesos de inteligencia, como la vigilancia de la venta de vulnerabilidades de día cero en mercados negros.

Defensa › Trabajar de forma conjunta con otros proveedores para generar herramientas y configuraciones que permitan garantizar la integridad de los archivos de configuración, y evitar que sean accedidos por personas o procesos ajenos a los legÍtimamente autorizados.

› Incorporar soluciones tecnológicas que trabajen de forma conjunta con las de otros fabricantes para mejorar las capacidades de detección y su mitigación, o permitir la integración con sistemas de terceros capaces de aportar las funcionalidades requeridas.

› Asegurar la verificación de los controles por especialistas.

Reacción › Analizar de forma conjunta con especialistas en el tema el comportamiento de éstos códigos maliciosos para definir y adecuar las medidas de prevención y defensa para las nuevas instalaciones, así como notificar sobre los cambios que deban realizar las organizaciones industriales cliente antes de que se vean afectados.

› Incorporar capacidades que permitan tanto mitigar ataques de tipo APT (Amenazas Avanzadas Persistentes) o fugas de información.

› Identificar patrones aplicablespara que todas las organizaciones industriales cliente puedan estar alertados a través de los CERT nacionales o permitir la integración con sistemas de terceros capaces de aportar las funcionalidades de identificación requeridas.

› Colabarar con los CERT nacionales y el resto de las empresas de seguridad en la resolucion de vulnerabilidades.

› Alertar adecuadamente y trabajar de manera urgente en todo aquello que pueda afectar la seguridad nacional.

Organizaciones

Industriales

Prevención › Establecer planes de concienciación y formación. › Establecer planes de recuperación y continuidad sobre los procesos físicos automatizados que garanticen la recuperacion de las configuraciones.

› Definir planes y procedimientos de notificación y alerta temprana durante un incidente siguiendo los procedimientos establecidos, tanto dentro de la organización, como a nivel de los CERT nacionales y los proveedores tecnológicos.

› Establecer una arquitectura de seguridad que permita detectar estos ataques de forma temprana (por ejemplo, IDS que contenga una alerta de detección de negociaciones de claves con servidores externos).

› Establecer planes de concienciación y formación. › Realizar pruebas periodicas de ataques de ingeniería social a la empresa y analizar los resultados. › Definir y categorizar la información crítica y confidencial, prestando especial atención a quienes estan autorizados a utilizarla,así como desclasificarla cuando sea necesario.

› Implementar soluciones de detección de intrusiones (IDS) y de prevención de fuga de información (DLP).

› Someter al proceso de analisis de compra las cuestiones de ciberseguridad que deban cumplir las herramienta y verificar las certificaciones que la herramienta cumple tanto a nivel nacional como internacional.

› Incorporar claúsulas de seguridad en los contratos que contemplen la posibildiad de realizar auditorias de seguridad de la tecnología y la definición de SLAs de resolucion de las vulnerabilidades detectadas.

› Supervisión continua y alerta temprana.

Defensa › Establecer, configurar, mantener y operar herramientas de supervisión y control sobre la integridad y accesos de los archivos críticos del sistema.

› Establecer procedimientos de gestión de incidentes que contemplen su clasificación y una definición clara de roles y responsabilidades.

› Establecer políticas de clasificación de la información y controles de acceso adecuados según el nivel de clasificación en los activos de la organización.

› Verificar y mantener vigentes los controles implementados relacionados con la detección de APTs y con la fuga de información confidencial.

› Establecer procedimientos de destrucción de datos confidenciales en dispositivos de almacenamiento.

› Aplicar buenas practicas en las configuraciones de la herramienta, e integrarla al resto de las soluciones de seguridad, principalmente en cuestiones de supervisión y auditoría.

› Revisiones periodicas de seguridad realizas por especialistas en la tecnología. › Procedimientos de gestión de cambios.

Reacción › Aplicación de los planes de recuperación y continuidad, así como la realización de un análisis forense y de comunicación del incidente.

› Llevar a cabo Investigación y análisis forense. › Comunicación adecuada del incidente a las personas, organismos y organizaciones pertinentes.

› Alertar a los fabricantes de potenciales fallos que puedan ser detectados durante el uso de las herramientas.

› Gestión de incidentes

Prevención, defensa y respuesta frente a 3 tipos de ciberataques de alto impacto 2016 5

! Maiquez, 18 · 28009 MADRID" +34 910 910 751# info@cci-es.org$ www.cci-es.org% blog.cci-es.org& @info_cci