Ciberseguridad industrial: ¿Tienes todos tus activos protegidos? Ayesa Transformación Digital
Webinar 22 de julio de 2020
Ciberseguridad industrial: ¿Tienes todos tus activos protegidos?
10:00 - 10:10 Contexto: entornos industriales vs entornos ITJosé Luis Rodríguez VillatoroMáster profesional en ciberseguridad industrial del CCI (Centro de Ciberseguridad Industrial) y Certificado en hacking ético
10:10 - 10:20 Normativas y estándaresJuan Carlos Castro OrtizMáster en ciberseguridad y doctorando por la Universidad de Huelva (UHU)
10:20 - 10:30 Riesgos y ejemplos de ciberataques en entornos industrialesJosé Luis Rodríguez Villatoro
10:30 - 10:40 Estrategia de Ayesa sobre ciberseguridad en entornos industrialesJuan Carlos Castro Ortiz
10:40- 10:45 Preguntas
Agenda
Ciberseguridad industrial: ¿Tienes todos tus activos protegidos?
Ingeniería Tecnología del Conocimiento
TransformaciónDigital
ETCIngeniería
Fusionamos infraestructurascon el mundo digital.
En Ayesa trabajamos por construir un mundo más eficiente, aplicando la ingeniería y la tecnología de manera integrada.
Nuestra visión unificada de estos mundos nos permite crear las soluciones necesarias para una sociedad de futuro.
Contexto: entornos industriales vs entornos ITJosé Luis Rodriguez Villatoro
22 de Julio de 2020
Evaluación de las prioridades en la información
Disponibilidad
Integridad
Confidencialidad
Mundo IT
Mundo OT
Disponibilidad
Integridad
Confidencialidad
Contexto
Contexto
Activos a bajo nivel: sensores y actuadores.
Controladores locales tales como:PLCs, DCS, RTUs, etc.
Activos destinados a controlar la secuencia de fabricación y/o producción.
Activos de operaciones de fabricaciones donde se gestionan los flujos de trabajo.
Activos de nivel de gestión:Comunicaciones, desarrollo de negocio, etc.
Pirámide de la automatización industrial
Objetivos para la protección de los sistemas de control industrialContexto
POLÍTICAS DE
SEGURIDAD
Diseño yArquitectura
DETECCIÓN Y CORRECCIÓN DE
VULNERABILIDADES
MONITORIZACIÓN DE LOS SISTEMAS EN TIEMPO REAL
• Evaluación de las prioridades• Normativas de Seguridad Industrial• Categorización de los activos y AARR• Evaluación de la implantación• Monitorización• Concienciación• Servicios de Ciberseguridad
Enfoque tecnologías Seguridad IndustrialContexto
• ControladoresIEC 62443 certificado - Protección de memoria - Gestión de usuarios embebida - Control de cambios - Comunicaciones securizadas
• Firewalls DPI (Deep Packet Inspection)- Concepto opuesto a IT (se cierra todo lo que no se usa) - Gestión granular de puertos de origen y destino - Gestión de permisos a nivel de aplicación
•Lectura/Escritura •Comandos permitidos por usuario
Subida/Descarga programa Marcha/Paro Remoto/Local
•Aplicaciones permitidas
• Servidores de salto especializados• Software especializado (Whitelisting,
escáneres vulnerabilidades…)• Monitorización OT- Logs de controladores no de SO - Deben leer protocolos industriales- Que no afecten al proceso
Inconvenientes
- Número reducido de técnicos con conocimientos específicos- Dificultad en arrancar procesos lo que conlleva “Si funciona no se toca” - Cambio cultural contrapuesto a “Así se ha hecho toda la vida”
- Hay que conocer profundamente los procesos- Gestión de permisos temporales - Punto de Fallo Adicional - Asegurar que la comunicación no se pierde aunque falle (failsafe)
- Número reducido de técnicos con conocimientos específicos- Escasez en el mercado- Precio
Normativas y estándaresJuan Carlos Castro Ortiz
22 de Julio de 2020
Activo = “algo que una organización valora y por lo tanto debe proteger” - ISO 27001Riesgo = Probabilidad de ocurrencia x Impacto
“Para proceder a minimizar los riesgos, se ha de adoptar una política de seguridad que monitorice, evalúe y disponga de respuestas adecuadas frente a las amenazas detectadas” - NIST.SP.800-82r2, Risk Management Process.
2. NORMATIVAS Y ESTÁNDARES conceptos previos
2. NORMATIVAS Y ESTÁNDARES conceptos previos
Activo
Impacto Vulnerabilidad
Amenaza
Riesgo
ACTIVO
RIESGO CONTROL
2. NORMATIVAS Y ESTÁNDARES SGCI
¿Qué es un SGCI?Un Sistema de Gestión de la Ciberseguridad industrial, que a su vez es un conjunto de políticas, normas, procedimientos e instrucciones técnicas destinadas a asegurar la confidencialidad, integridad y disponibilidad de los activos de la organización, minimizando a la vez los posibles riesgos de seguridad asociados, a través del “Ciclo de Deming”: PDCA
2. NORMATIVAS Y ESTÁNDARES metodologíaEl cuerpo normativo de una entidad debe vertebrar todas las directrices de seguridad de la información y de ciberseguridad industrial. Para ello, es necesario desarrollar una metodología específica según las casuísticas de cada empresa:
Creación o revisión de las políticas de seguridad
Categorización de los sistemas de información industrial
Realización o revisión Análisis de Riesgo
Realizar Declaración de aplicabilidad o análisis GAP
Establecer el plan de mejora de seguridad
Desarrollar o revisar las normativas y procedimientos
Establecer una estrategia de mejora continua
2. NORMATIVAS Y ESTÁNDARES Aplicabilidad o Completitud
ACTIVO
RIESGO CONTROL
Realizar Declaración de aplicabilidad
(SoA) o análisis GAP
2. NORMATIVAS Y ESTÁNDARES
Modelos más conocidos y utilizados
IEC 60870-5-101IEC 61850IEC 62351IEC 62351-14IEC 62443ISO 22301ISO 27001ISO 27002ISO/IEC TR 27019NIST Framework 800-53 rev4NIST Framework 800-82NISTIR 7628
Ejemplo casuística ad hoc
2. NORMATIVAS Y ESTÁNDARES desglose de un estándar
2. NORMATIVAS Y ESTÁNDARES conceptos previos
¿Qué metodologías o estándares podemos adoptar para un SGCI? La respuesta no es una ¡Sino varios!Cada sistema industrial es único y es difícil encontrar dos organizaciones iguales, por lo que la respuesta debe ser diferente en cada caso y adaptativa.
2. NORMATIVAS Y ESTÁNDARES estructura contenedora
Por todo lo anteriormente mencionado, Ayesa propone como estructura contenedora o esqueleto, un SGCI basado en la ISO/IEC 27002, y de acuerdo al análisis de riesgos sobre los procesos industriales y tecnologías de Operación (OT), aplicamos controles mitigacionales como los propuestos por la familia de Normas IEC 62443, 62351, NIST-800, ETC..
2. NORMATIVAS Y ESTÁNDARES Solución de Ayesa
Ayesa, a raíz de su experiencia en entornos de seguridad industrial, utiliza una matriz que contempla 2400 controles provenientes de todos los estándares previamente mencionados, abordando diferentes áreas, dominios y dimensiones, capaces en su conjunto, de proporcionar madurez a cualquier entorno de seguridad industrial.
DOMINIOS ISO/IEC TR 27002
Riesgos y ejemplos de ciberataques en entornos industrialesJosé Luis Rodriguez Villatoro
22 de Julio de 2020
Riesgos y ejemplosSituación en España
Riesgos y ejemplosStuxnet
Stuxnet ha sido el primer malware diseñado (conocido) específicamente para atacar sistemas de control industrial.
País Número de ordenadores infectados
Irán 62,867Indonesia 13,336India 6,552
Estados Unidos de América
2,913
Australia 2,436
En enero de 2010, los inspectores de la Agencia Internacional de Energía Atómica que visitaban una planta nuclear en Natanz, Irán, notaron con desconcierto que las centrifugadoras usadas para enriquecer uranio estaban fallando. Curiosamente, los técnicos iraníes que reemplazaban las máquinas también parecían asombrados
Riesgos y ejemplosStuxnet
En Junio de 2010 es descubierto por el fabricante de software antivirus VirusBlokAda.
• Utiliza diversos métodos de propagación como USB, spool de impresión, vulnerabilidades 0-day de Windows
• Certificados digitales válidos para pasar por software legítimo• Capaz de actualizarse mediante tecnología ‘peer to peer‘ dentro de la LAN• Su objetivo son PLCs de Siemens• Su payload es la modificación de la lógica de funcionamiento del PLC, consiguiendo interferir
en el proceso industrial• Falseaba los HMIs de manera que los operadores tienen más difícil detectar el problema• Estaba destinado a atacar a los controladores de motores que giraban a una determinada
frecuencia normalmente utilizados para en centrifugadoras par enriquecer uranio
Riesgos y ejemplosCrashOverride (Ucrania)
Infectó a una subestación perteneciente a la compañía ucraniana de distribución eléctrica Kyivenergo y que dejó sin suministro eléctrico a miles de hogares de la región de Kiev el 17 de diciembre del 2016.
Era configurable y estaría diseñado especialmente para aprovechar vulnerabilidades existentes en cuatro protocolos de comunicación industriales ampliamente usados en Europa, Asia y Oriente Medio.
El componente central de este malware sería una puerta trasera o backdoor, que se conectaría a un servidor remoto para informar a los atacantes y permitir la ejecución remota de comandos, pudiendo instalar y controlar otros componentes para realizar el ataque
Riesgos y ejemplosEmpresa de Aguas de Maroochy (Australia)
Más de 2 millones de litros de aguas residuales sin tratar son vertidas en parques, ríos y terrenos. Provocó la perdida de vida marina, puso en peligro la salud pública y un coste de limpieza de unos 200.000 dólares
El sistema SCADA administraba 142 estaciones de bombeo administrando aguas residuales y potables cuyas comunicaciones se realizaban vía radio haciendo uso de versiones no seguras de protocolos como DNP3 y OPC.
El atacante usó radios disponibles en el mercado y software SCADA robado para que su portátil suplantase a una estación de bombeo
Estrategia de Ayesa sobre ciberseguridad en entornos industrialesJuan Carlos Castro Ortiz
22 de Julio de 2020
4. Estrategia de ciberseguridad en entornos industriales
La monitorización nos permite obtener información acerca de las actividades en los sistemas de una planta Industrial (SCADA e ICS).Ayesa configura los distintos activos para la generación de archivos de eventos (logs), que son adquiridos periódicamente para su análisis.Así mismo, se despliegan dispositivos que permitan la monitorización de la actividad a tiempo real, generando alarmas en el momento de detectarse
algún evento de disruptivo de seguridad.
IDS(Intrusion Detection
Systems)
IPS(NIPS, HIPS)
DPI(Deep Packet Ispection)
SIEMSecurity Information and Events Manager
DLPData Loss Prevention
4. Estrategia de ciberseguridad en entornos industrialesANÁLISIS PARA LA PROTECCIÓN DE LOSSISTEMAS DE CONTROL INDUSTRIAL
Evaluar una adecuada segmentación de la red
Evaluar y minimizar los accesos externos a la red de control
Estudiar la configuración y el estado de actualización de los dispositivos
Evaluar el uso de protocolos industriales de comunicación seguros
Segmento 1
Segmento 2
Segmento 3
Segmento 4
Segmento 5
Encontrar vulnerabilidades (CVE)
4. Estrategia de ciberseguridad en entornos industriales
Evaluar y minimizar los accesos externos a la red de control
Shodan es un motor de búsqueda que le permite al usuario encontrar iguales o diferentes tipos específicos de activos conectados a Internet a través de una variedad de filtros (puertos, protocolos, direcciones IP, respuestas del servidor y un largo etcétera).
4. Estrategia de ciberseguridad en entornos industriales
4. Estrategia de ciberseguridad en entornos industriales
4. Estrategia de ciberseguridad en entornos industrialesLa realidad cambiante y evolutiva de los nuevos malwares que afectan a dispositivos industriales hace que la utilización de antivirus y cortafuegos tradicionales no sea suficiente para los riesgos actuales.
La adopción de soluciones específicas de antimalware adaptado a los sistemas de control industrial ha elevado el nivel en los últimos años, pero es necesaria técnicas complementarias como la creación de listas blancas de procesos y aplicaciones.
El uso de whitelist tiende a autorizar la ejecución únicamente de
las aplicaciones y procesos cuyas firmas digitales y repositorios son
Avalados y permitidos por la organización.
Ayesa proporciona un servicio de administración de procesos que seAjusta a una política de Deny-all, para permitir solamente aquellos Procesos necesarios para la correcta desenvoltura de los servicios.
4. Estrategia de ciberseguridad en entornos industrialesSDN - microgrid reSilient Electrical eNergy SystEm in ICS network based on SDN, and Blockchain
ICT network assets Electrical Grid assets
✓ Análisis de vulnerabilidades✓ Análisis de riesgos✓ Detección de ataques✓ Despliegue de HoneyPots
Cyberattacks
Cybersecurity layer✓ Gestión centralizada de la red✓ Detección automática de nuevos activos✓ Aislamiento automático de red✓ Operaciones automáticas para hacer
frente a los ciberataques
✓ Threat management✓ Detección de activos de la red atacados✓ Aislamiento de los activos atacados✓ Restauración de la red bajo demanda✓ Seguimiento del impacto comercial
SDN network layer Self-healing algorithms
4. Estrategia de ciberseguridad en entornos industriales
4. Estrategia de ciberseguridad en entornos industriales
4. Estrategia de ciberseguridad en entornos industriales
Formacióne
Información
Normativa
Auditoría
Vigilancia Y análisis
Actualizaciones
Canal de comunicació
n
Respuesta ante
Incidentes
Resiliencia
AyesaServices
Dominios en los que Ayesa suministra servicios de ciberseguridad industrial.
CiberseguridadINFORMACIÓN ADICIONAL
Para más información, contacte con:
Pablo Izquierdo [email protected](+34) 634 248 638Desarrollo de Negocio
Antonio Galán Vá[email protected] Infrastructures
Ayesa Transformación Digital
Gracias.