Ciberseguridad industrial: ¿Tienes todos tus activos protegidos? Ayesa Transformación Digital

Webinar 22 de julio de 2020

Ciberseguridad industrial: ¿Tienes todos tus activos protegidos?

10:00 - 10:10 Contexto: entornos industriales vs entornos ITJosé Luis Rodríguez VillatoroMáster profesional en ciberseguridad industrial del CCI (Centro de Ciberseguridad Industrial) y Certificado en hacking ético

10:10 - 10:20 Normativas y estándaresJuan Carlos Castro OrtizMáster en ciberseguridad y doctorando por la Universidad de Huelva (UHU)

10:20 - 10:30 Riesgos y ejemplos de ciberataques en entornos industrialesJosé Luis Rodríguez Villatoro

10:30 - 10:40 Estrategia de Ayesa sobre ciberseguridad en entornos industrialesJuan Carlos Castro Ortiz

10:40- 10:45 Preguntas

Agenda

Ciberseguridad industrial: ¿Tienes todos tus activos protegidos?

Ingeniería Tecnología del Conocimiento

TransformaciónDigital

ETCIngeniería

Fusionamos infraestructurascon el mundo digital.

En Ayesa trabajamos por construir un mundo más eficiente, aplicando la ingeniería y la tecnología de manera integrada.

Nuestra visión unificada de estos mundos nos permite crear las soluciones necesarias para una sociedad de futuro.

Contexto: entornos industriales vs entornos ITJosé Luis Rodriguez Villatoro

22 de Julio de 2020

Evaluación de las prioridades en la información

Disponibilidad

Integridad

Confidencialidad

Mundo IT

Mundo OT

Disponibilidad

Integridad

Confidencialidad

Contexto

Contexto

Activos a bajo nivel: sensores y actuadores.

Controladores locales tales como:PLCs, DCS, RTUs, etc.

Activos destinados a controlar la secuencia de fabricación y/o producción.

Activos de operaciones de fabricaciones donde se gestionan los flujos de trabajo.

Activos de nivel de gestión:Comunicaciones, desarrollo de negocio, etc.

Pirámide de la automatización industrial

Objetivos para la protección de los sistemas de control industrialContexto

POLÍTICAS DE

SEGURIDAD

Diseño yArquitectura

DETECCIÓN Y CORRECCIÓN DE

VULNERABILIDADES

MONITORIZACIÓN DE LOS SISTEMAS EN TIEMPO REAL

• Evaluación de las prioridades• Normativas de Seguridad Industrial• Categorización de los activos y AARR• Evaluación de la implantación• Monitorización• Concienciación• Servicios de Ciberseguridad

Enfoque tecnologías Seguridad IndustrialContexto

• ControladoresIEC 62443 certificado - Protección de memoria - Gestión de usuarios embebida - Control de cambios - Comunicaciones securizadas

• Firewalls DPI (Deep Packet Inspection)- Concepto opuesto a IT (se cierra todo lo que no se usa) - Gestión granular de puertos de origen y destino - Gestión de permisos a nivel de aplicación

•Lectura/Escritura •Comandos permitidos por usuario

Subida/Descarga programa Marcha/Paro Remoto/Local

•Aplicaciones permitidas

• Servidores de salto especializados• Software especializado (Whitelisting,

escáneres vulnerabilidades…)• Monitorización OT- Logs de controladores no de SO - Deben leer protocolos industriales- Que no afecten al proceso

Inconvenientes

- Número reducido de técnicos con conocimientos específicos- Dificultad en arrancar procesos lo que conlleva “Si funciona no se toca” - Cambio cultural contrapuesto a “Así se ha hecho toda la vida”

- Hay que conocer profundamente los procesos- Gestión de permisos temporales - Punto de Fallo Adicional - Asegurar que la comunicación no se pierde aunque falle (failsafe)

- Número reducido de técnicos con conocimientos específicos- Escasez en el mercado- Precio

Normativas y estándaresJuan Carlos Castro Ortiz

22 de Julio de 2020

Activo = “algo que una organización valora y por lo tanto debe proteger” - ISO 27001Riesgo = Probabilidad de ocurrencia x Impacto

“Para proceder a minimizar los riesgos, se ha de adoptar una política de seguridad que monitorice, evalúe y disponga de respuestas adecuadas frente a las amenazas detectadas” - NIST.SP.800-82r2, Risk Management Process.

2. NORMATIVAS Y ESTÁNDARES conceptos previos

2. NORMATIVAS Y ESTÁNDARES conceptos previos

Activo

Impacto Vulnerabilidad

Amenaza

Riesgo

ACTIVO

RIESGO CONTROL

2. NORMATIVAS Y ESTÁNDARES SGCI

¿Qué es un SGCI?Un Sistema de Gestión de la Ciberseguridad industrial, que a su vez es un conjunto de políticas, normas, procedimientos e instrucciones técnicas destinadas a asegurar la confidencialidad, integridad y disponibilidad de los activos de la organización, minimizando a la vez los posibles riesgos de seguridad asociados, a través del “Ciclo de Deming”: PDCA

2. NORMATIVAS Y ESTÁNDARES metodologíaEl cuerpo normativo de una entidad debe vertebrar todas las directrices de seguridad de la información y de ciberseguridad industrial. Para ello, es necesario desarrollar una metodología específica según las casuísticas de cada empresa:

Creación o revisión de las políticas de seguridad

Categorización de los sistemas de información industrial

Realización o revisión Análisis de Riesgo

Realizar Declaración de aplicabilidad o análisis GAP

Establecer el plan de mejora de seguridad

Desarrollar o revisar las normativas y procedimientos

Establecer una estrategia de mejora continua

2. NORMATIVAS Y ESTÁNDARES Aplicabilidad o Completitud

ACTIVO

RIESGO CONTROL

Realizar Declaración de aplicabilidad

(SoA) o análisis GAP

2. NORMATIVAS Y ESTÁNDARES

Modelos más conocidos y utilizados

IEC 60870-5-101IEC 61850IEC 62351IEC 62351-14IEC 62443ISO 22301ISO 27001ISO 27002ISO/IEC TR 27019NIST Framework 800-53 rev4NIST Framework 800-82NISTIR 7628

Ejemplo casuística ad hoc

2. NORMATIVAS Y ESTÁNDARES desglose de un estándar

2. NORMATIVAS Y ESTÁNDARES conceptos previos

¿Qué metodologías o estándares podemos adoptar para un SGCI? La respuesta no es una ¡Sino varios!Cada sistema industrial es único y es difícil encontrar dos organizaciones iguales, por lo que la respuesta debe ser diferente en cada caso y adaptativa.

2. NORMATIVAS Y ESTÁNDARES estructura contenedora

Por todo lo anteriormente mencionado, Ayesa propone como estructura contenedora o esqueleto, un SGCI basado en la ISO/IEC 27002, y de acuerdo al análisis de riesgos sobre los procesos industriales y tecnologías de Operación (OT), aplicamos controles mitigacionales como los propuestos por la familia de Normas IEC 62443, 62351, NIST-800, ETC..

2. NORMATIVAS Y ESTÁNDARES Solución de Ayesa

Ayesa, a raíz de su experiencia en entornos de seguridad industrial, utiliza una matriz que contempla 2400 controles provenientes de todos los estándares previamente mencionados, abordando diferentes áreas, dominios y dimensiones, capaces en su conjunto, de proporcionar madurez a cualquier entorno de seguridad industrial.

DOMINIOS ISO/IEC TR 27002

Riesgos y ejemplos de ciberataques en entornos industrialesJosé Luis Rodriguez Villatoro

22 de Julio de 2020

Riesgos y ejemplosSituación en España

Riesgos y ejemplosStuxnet

Stuxnet ha sido el primer malware diseñado (conocido) específicamente para atacar sistemas de control industrial.

País Número de ordenadores infectados

Irán 62,867Indonesia 13,336India 6,552

Estados Unidos de América

2,913

Australia 2,436

En enero de 2010, los inspectores de la Agencia Internacional de Energía Atómica que visitaban una planta nuclear en Natanz, Irán, notaron con desconcierto que las centrifugadoras usadas para enriquecer uranio estaban fallando. Curiosamente, los técnicos iraníes que reemplazaban las máquinas también parecían asombrados

Riesgos y ejemplosStuxnet

En Junio de 2010 es descubierto por el fabricante de software antivirus VirusBlokAda.

• Utiliza diversos métodos de propagación como USB, spool de impresión, vulnerabilidades 0-day de Windows

• Certificados digitales válidos para pasar por software legítimo• Capaz de actualizarse mediante tecnología ‘peer to peer‘ dentro de la LAN• Su objetivo son PLCs de Siemens• Su payload es la modificación de la lógica de funcionamiento del PLC, consiguiendo interferir

en el proceso industrial• Falseaba los HMIs de manera que los operadores tienen más difícil detectar el problema• Estaba destinado a atacar a los controladores de motores que giraban a una determinada

frecuencia normalmente utilizados para en centrifugadoras par enriquecer uranio

Riesgos y ejemplosCrashOverride (Ucrania)

Infectó a una subestación perteneciente a la compañía ucraniana de distribución eléctrica Kyivenergo y que dejó sin suministro eléctrico a miles de hogares de la región de Kiev el 17 de diciembre del 2016.

Era configurable y estaría diseñado especialmente para aprovechar vulnerabilidades existentes en cuatro protocolos de comunicación industriales ampliamente usados en Europa, Asia y Oriente Medio.

El componente central de este malware sería una puerta trasera o backdoor, que se conectaría a un servidor remoto para informar a los atacantes y permitir la ejecución remota de comandos, pudiendo instalar y controlar otros componentes para realizar el ataque

Riesgos y ejemplosEmpresa de Aguas de Maroochy (Australia)

Más de 2 millones de litros de aguas residuales sin tratar son vertidas en parques, ríos y terrenos. Provocó la perdida de vida marina, puso en peligro la salud pública y un coste de limpieza de unos 200.000 dólares

El sistema SCADA administraba 142 estaciones de bombeo administrando aguas residuales y potables cuyas comunicaciones se realizaban vía radio haciendo uso de versiones no seguras de protocolos como DNP3 y OPC.

El atacante usó radios disponibles en el mercado y software SCADA robado para que su portátil suplantase a una estación de bombeo

Estrategia de Ayesa sobre ciberseguridad en entornos industrialesJuan Carlos Castro Ortiz

22 de Julio de 2020

4. Estrategia de ciberseguridad en entornos industriales

La monitorización nos permite obtener información acerca de las actividades en los sistemas de una planta Industrial (SCADA e ICS).Ayesa configura los distintos activos para la generación de archivos de eventos (logs), que son adquiridos periódicamente para su análisis.Así mismo, se despliegan dispositivos que permitan la monitorización de la actividad a tiempo real, generando alarmas en el momento de detectarse

algún evento de disruptivo de seguridad.

IDS(Intrusion Detection

Systems)

IPS(NIPS, HIPS)

DPI(Deep Packet Ispection)

SIEMSecurity Information and Events Manager

DLPData Loss Prevention

4. Estrategia de ciberseguridad en entornos industrialesANÁLISIS PARA LA PROTECCIÓN DE LOSSISTEMAS DE CONTROL INDUSTRIAL

Evaluar una adecuada segmentación de la red

Evaluar y minimizar los accesos externos a la red de control

Estudiar la configuración y el estado de actualización de los dispositivos

Evaluar el uso de protocolos industriales de comunicación seguros

Segmento 1

Segmento 2

Segmento 3

Segmento 4

Segmento 5

Encontrar vulnerabilidades (CVE)

4. Estrategia de ciberseguridad en entornos industriales

Evaluar y minimizar los accesos externos a la red de control

Shodan es un motor de búsqueda que le permite al usuario encontrar iguales o diferentes tipos específicos de activos conectados a Internet a través de una variedad de filtros (puertos, protocolos, direcciones IP, respuestas del servidor y un largo etcétera).

4. Estrategia de ciberseguridad en entornos industriales

4. Estrategia de ciberseguridad en entornos industriales

4. Estrategia de ciberseguridad en entornos industrialesLa realidad cambiante y evolutiva de los nuevos malwares que afectan a dispositivos industriales hace que la utilización de antivirus y cortafuegos tradicionales no sea suficiente para los riesgos actuales.

La adopción de soluciones específicas de antimalware adaptado a los sistemas de control industrial ha elevado el nivel en los últimos años, pero es necesaria técnicas complementarias como la creación de listas blancas de procesos y aplicaciones.

El uso de whitelist tiende a autorizar la ejecución únicamente de

las aplicaciones y procesos cuyas firmas digitales y repositorios son

Avalados y permitidos por la organización.

Ayesa proporciona un servicio de administración de procesos que seAjusta a una política de Deny-all, para permitir solamente aquellos Procesos necesarios para la correcta desenvoltura de los servicios.

4. Estrategia de ciberseguridad en entornos industrialesSDN - microgrid reSilient Electrical eNergy SystEm in ICS network based on SDN, and Blockchain

ICT network assets Electrical Grid assets

✓ Análisis de vulnerabilidades✓ Análisis de riesgos✓ Detección de ataques✓ Despliegue de HoneyPots

Cyberattacks

Cybersecurity layer✓ Gestión centralizada de la red✓ Detección automática de nuevos activos✓ Aislamiento automático de red✓ Operaciones automáticas para hacer

frente a los ciberataques

✓ Threat management✓ Detección de activos de la red atacados✓ Aislamiento de los activos atacados✓ Restauración de la red bajo demanda✓ Seguimiento del impacto comercial

SDN network layer Self-healing algorithms

4. Estrategia de ciberseguridad en entornos industriales

4. Estrategia de ciberseguridad en entornos industriales

4. Estrategia de ciberseguridad en entornos industriales

Formacióne

Información

Normativa

Auditoría

Vigilancia Y análisis

Actualizaciones

Canal de comunicació

n

Respuesta ante

Incidentes

Resiliencia

AyesaServices

Dominios en los que Ayesa suministra servicios de ciberseguridad industrial.

CiberseguridadINFORMACIÓN ADICIONAL

Para más información, contacte con:

Pablo Izquierdo Devesapablo.izquierdo@ayesa.com(+34) 634 248 638Desarrollo de Negocio

Antonio Galán Vázquezagalan@ayesa.comDigital Infrastructures

Ayesa Transformación Digital

Gracias.