seguridad en sistemas de control industrial (scada)seguridad en sistemas de control industrial...

Seguridad en Sistemas de Control Industrial (SCADA)

A/P Ethel Kornecki, CISA, CISM

Seguridad en Sistemas de Control

Industrial (SCADA)

SCADA acrónimo de Supervisión, Control y Adquisión de Datos (en inglés Supervisory Control And Data Acquisition) es una aplicación que permite el control y supervisión de procesos industriales de forma remota.

La particularidad de este sistema es que facilita en tiempo real la retroalimentación del sistema controlando automáticamente el proceso con los datos de los diferentes sensores que lo conforman, suministra datos en tiempo real del estado del proceso, pudiendo tener información sobre el control de calidad, los niveles de producción, y otras variables que ayudan a la gestión del proceso.

¿Sabemos que son estos sistemas, para que se utilizan y que tan vulnerables son a los ataques con malware”?


Industrial (SCADA)

Sistemas utilizados en el control de infraestructuras críticas, sistemas o servicios que son esenciales en el funcionamiento de la economía y la sociedad.

Dado el uso cada vez más intensivo de las tecnologías de la información y comunicación, estos sistemas están más expuestos y es en este punto donde aparecen nuevas vulnerabilidades y se hacen evidentes algunas debilidades de diseño que podrían ser aprovechadas para llevar a cabo ataques.

Muchas de las vulnerabilidades más significativas están asociadas con los protocolos de comunicación empleados en el control de estos sistemas industriales


SCI y SCADA

Los sistemas industriales y las infraestructuras críticas con frecuencia son

monitoreados y controlados por computadoras simples llamadas

(Sistemas de Control Industrial (SCI)).

Basados en plataformas de sistemas integrados estándar son utilizados

para controlar los procesos industriales, tales como la fabricación, el

manejo de los productos y su distribución.

Entre los sistemas bien conocidos de SIC se encuentran:

- sistemas de control y de adquisición de datos (SCADA)

- sistemas de control distribuido (DCS)

- controladores lógicos programables (PLC).


PLCDonde los encontramos ?

A principios del siglo XXI los sistemas SCADA han comenzado a trabajar con tecnologías y protocolos estándar y conocidos por todos, como suelen estar distribuidos geográficamente se conectan a centros de supervisión y control mediante tecnologías y protocolos estándar, y a su vez estos centros suelen estar conectados a la red corporativa de la empresa o institución propietaria del proceso, y a través de esta red, a Internet.


Son utilizados generalmente para procesos automatizados distribuidos

geográficamente, tales como :

generación, trasmisión y distribución de energía eléctrica

gestión de refinerías, oleoductos y gasoductos

procesamiento y producción de productos químicos

sistemas de transporte ferroviario

Etc.



Electricidad en nuestras

casas

Semáforos

Redes ferroviarias

Climatización

Depuración y distribución de

agua a nuestro hogares

Gasolina

Gas natural

Internet Túneles

Controles de acceso Fabricas

Aeropuertos

Alumbrado

Análisis médicos

Bombas de insulina

automáticas

Tratamientos de radioterapia

Estamos viviendo una revolución dentro de lo que es el mundo de los virus, los gusanos, los troyanos y todo este tipo de sistemas de infiltración dentro de las infraestructuras de otros países

Stuxnet fue diseñado para modificar mediante programación los Controladores Lógicos Programables (PLC) utilizados en las instalaciones industriales. En un entorno de control industrial, los PLCs automatizan tareas de tipo industrial muy diversas que pueden ir desde el control de una correa transportadora hasta la regulación de la temperatura y la presión de un reactor nuclear.

https://www.youtube.com/watch?v=ULCSlHmqMrc

Stuxnet. Junio 2010


https://www.youtube.com/watch?v=ULCSlHmqMrc

Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia.

Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC

Rootkit permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.


https://es.wikipedia.org/wiki/Gusano_inform%C3%A1tico

https://es.wikipedia.org/wiki/Windows

https://es.wikipedia.org/w/index.php?title=VirusBlokAda&action=edit&redlink=1

https://es.wikipedia.org/wiki/Bielorrusia

https://es.wikipedia.org/wiki/Controlador_l%C3%B3gico_programable

https://es.wikipedia.org/wiki/Rootkit

https://es.wikipedia.org/wiki/Sistema_operativo

La compañía Kaspersky Lab describe a Stuxnet como "un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial".

Kevin Hogan, un ejecutivo de Symantec, advirtió que el 60% de los ordenadores contaminados por el gusano se encuentran en Irán, sugiriendo que sus instalaciones industriales podrían ser su objetivo.

Kaspersky concluye que los ataques sólo pudieron producirse "con el apoyo de una nación soberana", convirtiendo a Irán en el primer objetivo de una guerra cibernética real


https://es.wikipedia.org/wiki/Kaspersky_Lab

https://es.wikipedia.org/wiki/Symantec

Por este motivo la preocupación por la seguridad de los sistemas SCADA ha sido creciente. Algunos ejemplos son las nuevas normativas, mejores prácticas, instituciones, etc.; dedicadas a la seguridad de estos sistemas.

Dentro de la protección de infraestructuras de información críticas , la protección de los sistemas de control industriales es un punto clave.

Incluso se ha comenzado a hablar de ciberterrorismo después de los incidentes ocurridos en Estonia en el año y de la cantidad de información técnica acerca de los productos de diferentes fabricantes de sistemas SCADA que se han encontrado tras las detenciones de diferentes terroristas en los últimos años.

Seguridad en Sistemas de Control Industrial

(SCADA)

Aunque se esta trabajando en estándares y normativas universalmente

aceptadas, existen ciertos principios básicos que todos estamos de

acuerdo en que deben ser los fundamentos de la seguridad industrial

en la actualidad:

Conciencia de seguridad y formación.

Definición de políticas y procedimientos.

Diseño de arquitecturas seguras.

Control del acceso remoto.

Análisis de vulnerabilidades y riesgos.

Respuesta ante incidentes.

Gestión de configuración y actualización.

Monitorización y control.

Gobernanza de IT.

Gestión del cambio.


Estado del Arte

¿Qué nos encontramos en campo?

Protocolos de comunicación sin cifrar sin autenticar

Los sistemas operativos sobre los que se montan son antiguos y suelen estar

obsoletos y sin soporte.

Los sistemas no son tan complejos como para no poder realizar un ataque

destructivo (Ciber-físico)

En muchas ocasiones se desconoce qué elementos se comunican por qué puertos y

con qué protocolos.

Los elementos de los sistemas de control industrial no se suelen compartimentar.

No se suele tener una base de datos DETALLADA de cuales son los componentes

que integran los sistemas de control industrial.


A pesar de que algunas veces se encuentran protegidos perimetralmente, hay

conexiones secundarias a las redes de control (modems, VPN de

proveedores,…)

No se suele monitorizar/evitar el uso de dispositivos USB externos (ni de

accesos de terceros por VPN, ni de portátiles sin control,…)

No se controla el uso de aplicaciones peligrosas de manera exhaustiva en

estaciones de ingeniería.

No se suelen centralizar los eventos que se generan por cada uno de los

elementos que conforman el sistema de control industrial y mucho menos se

analizan (a pesar de ser comunicaciones predecibles)

¿Qué nos encontramos en campo?


Aunque se aplique seguridad física adecuada a los centros donde se encuentra los sistemas de control central, es complejo cubrir la seguridad física de los sistemas de control en ubicaciones remotas

Los diferentes departamentos de Sistemas, Comunicaciones, Seguridad, Calidad , etc.

Las aplicaciones, firmware y sistemas operativos no se suelen parchear.

Las contraseñas dejan mucho que desear y no se utilizan nombres de usuario que identifiquen unívocamente al usuario.

La capa 8 siempre suele ser la capa más vulnerable.


Los expertos en seguridad de todo el mundo continúan alertando sobre la

seguridad de los Sistemas de Control Industrial (SCI).

Se utilizan en todos lados y tienen una cantidad considerable de software que

con frecuencia está desactualizado y emparchado.



Industrial (SCADA)

La investigación encontró un crecimiento del 100 por ciento en los ataques contra los sistemas de control industrial (SCADA)

Ataques dobles en los Sistemas de Supervisión, de Control y de Adquisición de Datos (SCADA)

Las operaciones industriales aprovechan los sistemas SCADA para controlar el equipo remoto y recolectar datos de rendimiento de los equipos.

Los ataques contra los sistemas SCADA están en aumento, tienden a ser de naturaleza política y apuntan distintas capacidades operativas dentro de las plantas de energía, fábricas y refinerías.


Industrial (SCADA)

• La mayoría de estos ataques están enfocados a Finlandia, Reino Unido y los Estados Unidos, debido a que los sistemas SCADA son más comunes.

• Las vulnerabilidades de sobrecarga de buffer siguen siendo el principal punto de ataque.

"Dado a que las empresas solamente están obligadas a reportar las violaciones de datos que involucran información personal o de pago, los ataques SCADA, en muchas ocasiones, no son denunciados.

Esta falta de intercambio de información, combinada con el envejecimiento de la infraestructura de la maquinaria industrial, presenta enormes desafíos de seguridad que seguirán creciendo en los próximos meses y años.


Industrial (SCADA)

En muchos casos estas vulnerabilidades están asociadas con la antigüedad de los equipos, sistemas operativos viejos (Windows NT4.0, Windows 3.11,etc. y además sin parches de seguridad. Todo esto los convierte en objetivo interesante para ataques con códigos maliciosos.

Además de estos agujeros de seguridad los protocolos de SCADA, cómo Modbus, Profibus y DNP3 que son utilizados para enviar comandos y recibir datos de los sensores y actuadores del proceso y que funcionan bajo el protoco TCP, no hacen ninguna comprobación de seguridad.


Industrial (SCADA)

Un mensaje típico de comunicación, por ejemplo utilizando Mobdus, contiene la dirección del equipo receptor, el comando a ejecutar y la información necesaria para que se ejecute.

El bajo nivel de seguridad se debe a que cuando fueron concebidos estos protocolos no se hacía necesario hacer comprobaciones sobre la confidencialidad o la integridad de la información intercambiada, y solucionar en este momento estas vulnerabilidades en muchos casos representa la suspensión de los servicios o un gasto económico muy alto.


Industrial (SCADA)

Los sistemas SCADA controlan sistemas tan delicados y son altamente vulnerables, es necesario tener algunos cuidados para prevenir que estos puedan ser sujetos de un ataque.

Una primera recomendación es tener los equipos que controlan la infraestructura crítica en redes aisladas.

Además los demás equipos de la empresa, aunque no estén en contacto directo con estos sistemas deben ser protegidos con soluciones de seguridad adecuadas , de tal forma que no sean utilizados como vectores para propagar un ataque que tenga como objetivo afectar la infraestructura.

http://www.eset-la.com/version6


Industrial (SCADA)

Tener publicado en Internet solamente los servicios indispensables para la administración del proceso, y de ser posible hacerlo dentro de un panel que tenga algún tipo de autenticación para controlar quienes entran y hacen algún tipo de gestión.

Al igual que en cualquier infraestructura tecnológica, es necesario tener un adecuado sistema de gestión de la seguridad de la información para tener controles, que no necesariamente sean tecnológicos, para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y su información.

http://www.eset-la.com/empresas/servicios


Industrial (SCADA)

Resulta conveniente:

Evaluar que tan caras serían las pérdidas económicas como consecuencia de un ataque con código malicioso ,

Versus el costo de hacer un alto en la producción o en el sistema para protegerlo y actualizarlo adecuadamente.

El nivel de monitoreo de redes incluye tecnologías comprobadas que han sido

utilizadas con éxito durante muchos años para analizar incidentes de seguridad en

entornos de redes tradicionales.

La instalación de sensores para la detección de intrusos

Control de tráfico se ha convertido en una práctica más aceptable,

especialmente porque una cantidad de sistemas modernos permiten el uso


Cada vez es más frecuente que entidades de asesoramiento publiquen directrices y

normas que son aplicables al campo de la seguridad en este tipo de entorno.

Facilitar la integración de procesos de respuesta cibernéticos y físicos con un mayor conocimiento de donde se puede encontrar la evidencia digital y sobre cuales serían las acciones apropiadas para preservarla

Diseñar y configurar sistemas de forma que se pueda retener la evidencia digital

Complementar la base actual de capacidades con conocimientos y experiencia sobre los solapamientos entre los equipos de respuesta cibernética y física ante el incidente crítico.

Incrementar los esfuerzos de colaboración interinstitucional entre públicos y privados y entre los diferentes países.


Que hacer?

informar a los operadores de la comunidad relacionada con SCADA y a los expertos en seguridad y ofrecer otra conexión entre los encargados de adoptar políticas y los especialistas de tecnología en el delicado campo de la protección de la infraestructura crítica.

Informar a los equipos de operaciones acerca de las capacidades de conexión y de análisis posterior del incidente que deberían considerar cuando diseñan e implementan sistemas de SCI con base en los niveles actuales de las amenazas que existen en su contexto operativo.

Informar a los ingenieros en seguridad sobre la oportunidades y desafíos que se pueden presentar en este campo.


Proponer un conjunto de recomendaciones para desarrollar un entorno proactivo de un nivel apropiado de preparación con respecto al análisis posterior al incidente y a la capacidad de aprendizaje.

Facilitar y promover la discusión entre los dos primeros grupos de interesados y encargados de adoptar políticas en su lucha por facilitar el desarrollo y mantenimiento de infraestructuras críticas seguras .


Recopilar pruebas relacionadas con los incidentes que puedan revelar acciones que se llevaron a cabo durante el incidente junto con los incentivos y quizás la identidad del atacante. En un sistema de redes puede haber muchos lugares donde se pueden recuperar evidencias.

El tráfico de redes y los registros de los sistemas operativos ofrecen las fuentes más significativas de evidencias; sin embargo, el carácter diverso de los sistemas de control industrial impide el uso de una metodología única y coherente.


Seguridad en entornos industriales:


Protección inadecuada de infraestructuras críticas en entornos industriales.

Los especialistas descubren que nociones básicas como el cifrado, el despliegue de herramientas como IDS, el desarrollo de arquitecturas seguras, etc. son prácticamente inexistentes en el ámbito industrial.

Ninguna estrategia de seguridad puede tener éxito sin una integración previa de los equipos humanos que permita abordar proyectos de forma global.

Las soluciones técnicas existentes en los sistemas TIC no pueden aplicarse sin tener en consideración los procesos industriales que están siendo controlados

Un poco de realidad


La velocidad de la evolución tecnológica en las TIC es vertiginosa. Los equipos quedan obsoletos en un plazo que se mide en unos pocos años

Ello permite que las innovaciones en cuestiones de seguridad puedan implantarse en un plazo breve, tan pronto como el equipamiento es reemplazado por otro de nueva generación.

Por el contrario, el ciclo de vida de la maquinaria industrial y sus sistemas de control se mide incluso en décadas .

Hay que enfrentarse a un parque de sistemas heredados diseñados y construidos de espaldas a los requerimientos de seguridad actuales y que van a seguir en funcionamiento durante mucho tiempo.

Seguridad en entornos industriales


La heterogeneidad de los sistemas

Una de las razones por las que los responsables de sistemas industriales tienen una baja percepción del riesgo de ataques cibernéticos reside en el amplio uso de tecnologías propietarias por parte de los fabricantes y proveedores.

Si bien en los últimos años se está convergiendo hacia plataformas y protocolos estándar, la larga vida de los equipos hace que nos encontremos con una gran diversidad de configuraciones, lo que hace difícil plantear soluciones únicas.

Casos de mi experiencia laboral


Los sistemas de control industrial, especialmente los que controlan procesos en cadena o en línea, trabajan en tiempo real.

Se toman acciones en forma continua en un rango de tiempo que, en ocasiones, llega a medirse en milisegundos.

Para cumplir con esta misión el diseño de estos controladores elimina todo aquello que no sea imprescindible para la función que deben prestar. Incluso existen buses de campo para comunicación remota con actuadores cuya principal virtud es la velocidad. Por tanto, en este estado de cosas, tareas como el cifrado de las comunicaciones pueden requerir para su funcionamiento márgenes temporales excesivos. Esto hace que este tipo de medidas y otras con exigencias similares no sean directamente implementables.

Ejemplo tiempos de balanza


La robustez y fiabilidad como prioridad

Un entorno industrial es un lugar duro para vivir. Altas / bajas temperaturas, altas / bajas humedades relativas, electricidad estática, campos electromagnéticos, polvo, sustancias corrosivas, riesgo de explosiones, impactos, etc.

En un proceso industrial suelen intervenir grandes cantidades de energía que los sistemas de regulación automática mantienen bajo control.

Hay muchas posibilidades de que el funcionamiento normal de los equipos y maquinaria se vean afectados, con graves consecuencias para la seguridad de las personas y las cosas. Por ello la prioridad en el diseño de todo equipo industrial es conseguir la máxima robustez y fiabilidad.


La robustez y fiabilidad como prioridad

Todo se prueba y certifica y existen regulaciones en relación con la seguridad de maquinaria, instalaciones, etc. (IP 69)

En el mundo industrial es impensable que se lance un producto que no haya sido exhaustivamente sometido a prueba en condiciones similares a las de servicio (o peores) y, por tanto, conceptos como ‘actualización’ o ‘parche’ son inimaginables y la simple idea de adquirir un equipo que pueda requerir de algo parecido pone los pelos de punta a la gente encargada de producción y mantenimiento.

Seguridad en entornos industriales


La inexistencia de entornos de pruebaUna de las razones por las que la evolución tecnológica en cuestiones de seguridad en el ámbito industrial progresa tan despacio es que no existen entornos de prueba o desarrollo.

Generalmente no hay líneas de respaldo o back-up ( costo de una línea de producción parada sólo por si acaso). Por tanto, las pruebas e innovaciones tienen que realizarse sobre las propias líneas y equipos en producción.

Es entendible la aversión a realizar experimentos tipo ‘ruleta rusa’ del responsable de una planta, más aún cuando el objetivo es protegerse frente a una amenaza que no percibe con claridad.

Como trabajamos:


Gestión y evaluación del riesgo : Aspecto básico si hablamos de ciberseguridad,

hablar de las consideraciones especiales de hacer una evaluación del riesgo, ya

que en estos sistemas los incidentes pueden traspasar las barreras del mundo

digital , por lo que estos efectos deben ser tenidos en cuenta a la hora de realizar

la evaluación de seguridad.

Desarrollo y despliegue de los programas de seguridad Los programas de

seguridad deben ser consistentes e integrarse con la experiencia en seguridad IT

actual, incorporando las mejores prácticas y las herramientas

https://www.incibe.es/technologyForecastingSearch/CERT/Alerta_Temprana/Bitacora_de_ciberseguridad/Fabrica_acero_alemana_ataque


Arquitectura de seguridad : la segmentación de la red.

Topologías típicas para realizar esta segmentación, recomendaciones de

seguridad para conseguir llegar a la Defensa en profundidad , una estrategia

defensiva que consiste en colocar varias líneas defensivas sucesivas en lugar

de una única muy fuerte.

Mención especial a las políticas generales de cortafuegos que se podrían

aplicar a los cortafuegos que segmentan las redes, junto con recomendaciones

específicas para el filtrado de diversos servicios como DNS, DHCP o SMTP.

http://es.wikipedia.org/wiki/Defensa_en_profundidad

El ataque del virus Stuxnet contra Irán en 2010 puso de relieve la vulnerabilidad de los sistemas industriales.

¿desde hace cuánto tiempo que existen esas amenazas? ¿Cuáles son los medios utilizados por los cibercriminales para acceder a los sistemas

industriales? ¿Cuál es el impacto de estos ataques?

El hecho de que un ataque a un sistema de este tipo pueda producir daños físicos significativos hace que los sistemas SCADA sean un objetivo especialmente atractivo para los hackers.


RESUMIENDO ….

ResumenSeguridad en Sistemas de Control Industrial (SCADA)

A partir de Stuxnet empresas industriales tomaron conocimiento sobre los potenciales impactos destructivos de estas amenazas cibernéticas.

Mientras que los ataques informáticos tradicionales por lo general producen un daño no físico, Stuxnet mostró la capacidad destructiva de gusanos y virus avanzados que afectaron no sólo a los datos corporativos, sino también a los sistemas de gestión del agua, la producción de productos químicos y las infraestructuras energéticas.

Stuxnet, sin embargo, no es el primer virus que se dirige a un entorno SCADA. He aquí un resumen de algunos ataques conocidos dirigidos a SCADA en los últimos años, clasificados en tres categorías:


La UE ha reconocido la urgencia de este problema y recientemente propuso

una estrategia de seguridad cibernética que focaliza en el mejoramiento de la

red de seguridad y sistemas de información utilizados para las infraestructuras

críticas .

La estrategia exhorta a los estados miembros de la UE y a la Agencia Europea

de Seguridad de las Redes y de la Información a aumentar el nivel de los

sistemas nacionales de información de los sectores críticos y a apoyar el

intercambio de mejores prácticas


Un poco de historia….Explosión del Gaseoducto Transiberiano , principios década de los 80 se utilizó con efectividad un arma cibernética.

Software defectuoso, introducido por la CIA , en el nuevo gasoducto transiberiano que debía llevar gas natural desde los yacimientos de gas en Siberia a través de Rusia y Europa oriental hasta los mercados de divisas de Occidente.

La bomba lógica introducida hacia trabajar las bombas y las válvulas muy por encima de su presión nominal.

Impacto: La mayor explosión no nuclear de la historia mundial.


Ataques dirigidos confirmados

Estos ataques fueron especialmente diseñados por y para sistemas SCADA.2009: Compañías Petroleras, de gas y petroquímicas como Exxon, Shell, BP, entre otros, fueron atacados por el virus Night Dragon que fue distribuido utilizando ataques denominados spear phishing.

El virus permitía a los ordenadores infectados ser controlados de forma remota por los atacantes.Impacto físico: Ninguno, aunque se sabe que los atacantes filtraron planos operacionales de sistemas SCADA e incluso datos.


Ataques dirigidos confirmados. 2010: Stuxnet fue el gusano dirigido a reprogramar los sistemas industriales de la central nuclear de Natanz en Irán. Este virus interceptó y modificó datos en los PLC (Controladores Lógicos Programables).Impacto físico: Destruyó una quinta parte de las centrifugadoras nucleares de Irán.

2014: Virus detectados , no hay informes de las organizaciones afectadas. Havex fue distribuido como un troyano SCADA que se descargaba desde websites comprometidas de fabricantes de estos sistemas. Escanea la red local en busca de los servidores que recogen los datos de los sistemas industriales y los envía a un servidor de comando y control. Las motivaciones de los hackers fueron robar y espiar.

http://www.businessinsider.com/stuxnet-was-far-more-dangerous-than-previous-thought-2013-11?IR=T


En julio de 2014, la firma de análisis Symantec descubrió la campaña Dragonflyque dirigía amenazas a empresas de energía (red eléctrica, oleoductos) en Estados Unidos, España, Italia, Francia, Alemania, Turquía y Polonia.

Los hackers utilizaron una vulnerabilidad en SCADA (un sistema de gestión en remoto) para recopilar información secreta.

Nation-E, una empresa israelí dedicada a la ciberseguridad en energía, ha apuntado que si los piratas informáticos hubieran decidido sabotear de forma activa «podrían haber dañado o interrumpido el suministro de energía en muchos países». «Hace 10 o 20 años, nadie imaginó que las fuentes de energía y sus sistemas estarían bajo estos ataques»,

http://www.abc.es/nacional/noticias/201406/30/tecnologia/redes/malware-ataca-plantas-energia-.xml/[email protected]


Ataques dirigidos confirmados.

En 2015, durante un barrido de seguridad, Kaspersky Lab detectó una ciberintrusión que afectaba a varios sistemas internos. La investigación a gran escala de este incidente reveló que uno de los grupos más capaces, misteriosos y poderosos del mundo APT había creado una nueva plataforma de programas maliciosos Duqu, también conocido como el hermanastro de Stuxnet. A esta nueva plataforma la llamamos “Duqu 2.0”.

En el caso de Kaspersky Lab, el ataque aprovechó una vulnerabilidad día-cero en el núcleo de Windows (reparado por Microsoft el 9 de junio de 2015) y quizás otras dos (ahora reparadas) que en ese momento también eran vulnerabilidades día-cero. El objetivo principal de los atacantes era espiar las tecnologías de Kaspersky Lab, las investigaciones en curso y los procesos internos.


¿Qué es una APT?

APT Advanced Persistent Threat (Amenaza Avanzada Persistente), concepto que nace tras la divulgación, por parte de The New York Times, del ataque realizado por una unidad militar china (conocida como APT1) contra las redes de diferentes medios mediante una campaña de spear phishing y malware.


Ataques dirigidos confirmados. El regreso de DuquAlgunas infecciones de Duqu 2.0 estaban vinculadas con los acontecimientos relacionados

con las negociaciones con Irán sobre un acuerdo nuclear.

Una de las características sobresalientes de Duqu 2.0 era su falta de persistencia, por lo que apenas dejaba huellas en el sistema.

El programa malicioso no hacía cambios en el disco ni en la configuración del sistema: la plataforma del programa malicioso estaba diseñada para sobrevivir casi exclusivamente en la memoria de los sistemas infectados.


Que usar para implementar la seguridad

Manual de seguridad de la información en sistemas de control industrial.

Identificación y alineación de buenas prácticas de la industria :

ISA 99.- Norma de la ISA (Industrial Automation and Control Systems Security) pautas para definir e implementar un sistema de gestión de ciberseguridad.

NIST SP800-82.- Provee guía para asegurar sistemas de control industrial, incluyendo sistemas SCADA, DCS y otros sistemas que llevan a cabo tareas de control y que contribuye a la implementación de controles de seguridad asentados en el documento NIST SP800-53 (17 familias y 171 requerimientos de control).


Que usar para implementar

El manual deberá incluir :

Políticas generales. Roles y responsabilidades de seguridad de la información para sistemas de control

industrial. Concientización en seguridad de la información para sistemas de control industrial. Seguridad física y ambiental de los sistemas de control industrial. Control de acceso a los sistemas de control industrial. Administración de las redes de control y operaciones de los sistemas de control

industrial. Desarrollo, mantenimiento y documentación de sistemas de control industrial. Manejo y respuesta a incidentes de seguridad en sistemas de control industrial.

Referencias


.

http://dx.doi.org/10.6028/NIST.SP.800-82r2https://www.incibe.es/technologyForecastingSearch/CERT/Alerta_Temprana/Bitacora_de_ciberseguridad/Duqu2

https://blog.kaspersky.es/que-es-una-apt/966/https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Normativas_seguridad_sistemas_control

http://csrc.nist.gov/drivers/documents/FISMA-final.pdf


http://dx.doi.org/10.6028/NIST.SP.800-82r2

https://www.incibe.es/technologyForecastingSearch/CERT/Alerta_Temprana/Bitacora_de_ciberseguridad/Duqu2

https://blog.kaspersky.es/que-es-una-apt/966/

https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad


A/P Ethel Kornecki , CISA , CISM

[email protected]



seguridad en sistemas de control industrial (scada)seguridad en sistemas de control industrial...

Documents