tgs wp-data centercip rv01
TRANSCRIPT
Protección de Infraestructuras Críticas
Monitorización de la ciberseguridad en Centros de Datos de
Operadores Críticos
Por Enrique Martín García
Telvent Global Services
C/ Valgrande, 6 28018 Alcobendas
Madrid – Spain
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
Abril de 2015 2
Contenidos
Resumen ............................................................ 2
Introducción ....................................................... 2
Dimensiones del Data Center .............................. 3
Edificio ................................................................ 3 Centro de producción .......................................... 3 Banco de datos .................................................... 3 Arquitectura de sistemas del Data Center ........... 4
Gestión del Data Center ...................................... 4
Ciberseguridad en DCIM .................................... 4 Sistemas de control en DCIM ............................. 5
Sistemas de Control en Data Centers ................... 5
Distributed Control System ................................. 5 Supervisory Control And Data Acquisition ........ 5 Protocolos de red de control ................................ 6
Monitorización de la Ciberseguridad ................... 6
Matriz de conexión. ............................................. 7
Matriz operacional .............................................. 8
Detección de anomalías en la red de control ....... 8
Conclusiones..................................................... 11
Referencias ....................................................... 11
Resumen
Desde los centros de datos se proporcionan una serie
de servicios esenciales para la sociedad. Desde el
alojamiento de las infraestructuras de
comunicaciones de voz y datos, hasta la información
de negocio y operativa de distintas organizaciones
públicas y privadas.
Todos estos servicios se sustentan sobre
infraestructuras complejas que se gestionan mediante
tecnologías de información (IT) y tecnologías de
control industrial y Operacional (OT).
En este documento presentaremos una propuesta
que permita gestionar de manera unificada los
eventos de Ciberseguridad detectados en las redes de
tecnologías de información y en las redes de control
industrial (SCADA) existentes en estas
infraestructuras críticas para impedir que ataques
originados en zonas de menor nivel de protección
puedan prosperar y permitir el acceso a activos de
información de otras zonas.
Introducción
En Enero de 2009 se hizo efectiva la Directiva
2008/114/CE del consejo de la Unión Europea que
establecía la necesidad de identificar las
infraestructuras críticas Europas con el objeto de
diseñar las estrategias de protección de las mismas.
En esta Directiva se describía la necesidad de
identificar las infraestructuras de los sectores de
Energía y transporte, dejando abierta la posibilidad
de que todos los estados miembros identificaran
otros sectores críticos adicionales.
A fecha de Diciembre de 2014 la Agencia Europea
para la Seguridad de las Redes y la Información
(ENISA), publicó una guía[1]
para la identificación
de los activos críticos del sector de las Tecnologías
de la Información y las comunicaciones (ICT)
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
3
En esta guía se repasaban los sectores críticos ya
identificados por los países miembros de la Unión
y que se pueden ver en la siguiente tabla.
Como puede apreciarse, y con la excepción de
Italia y Grecia, todos los países miembros de la
Unión identificaron el sector ICT como sector
crítico dada la dependencia que otros sectores
tienen con él.
La prestación de estos servicios esenciales por
parte de los operadores críticos se realiza desde
Data Centers que se pueden estudiar según distintas
dimensiones.
Dimensiones del Data Center
Edificio
Cualquier Data Center se encuentra en una
edificación que cuenta con distintos sistemas de
control y automatismo que gestionan operaciones de
soporte básicas tales como:
Seguridad física
Video vigilancia
Control de acceso
Aire acondicionado
Calefacción
Ascensores
Para controlar estos servicios básicos se utilizan
sistemas de control industrial clásicos en la gestión
de edificios (Building Management System o BMS)
basados en arquitecturas distribuidas localmente
(Distributed Control System o DCS) o en sistemas
SCADA que describiremos más adelante.
Centro de producción
El nivel de disponibilidad que precisan los servicios
esenciales alojados en Data Centers Críticos es
equiparable al necesario en otros sectores críticos.
Como mínimo se contemplan valores de
disponibilidad que oscilan entre el 99,982% (Tier
III) y el 99,999% (Tier IV). En el primer caso, esto
supone una interrupción máxima de los servicios de
1,6 horas al año, y en el segundo de 0,8 horas de
interrupción anuales.
Estos servicios básicos de soporte en el Data Center
se articulan alrededor del suministro de energía
eléctrica a los equipos alojados y en la disipación del
calor que los mismos producen con su
funcionamiento (Enfriamiento).
Banco de datos
En la provisión de los servicios esenciales por parte
de los sistemas de información alojados en los Data
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
4
Centers críticos, se utilizan o pueden utilizar
datos clasificados o sujetos a regulaciones
concretas. Por ejemplo, en el caso de la
utilización de datos de carácter personal estarán
sometidos a la LOPD y en caso de utilizar datos
de información bancaria estarán sometidos a la
normativa PCI-DSS.
En cualquier caso la existencia de este tipo de
datos en el interior de los Data Centers, hace
necesaria la adopción de medidas de seguridad
lógica adecuadas.
Arquitectura de sistemas del Data Center
A la vista de lo expuesto anteriormente y
siguiendo el modelo propuesto por la norma ISA
95, los niveles definidos para Data Centers son
los siguientes:
En los niveles 3 y 4 predominan las tecnologías
de la información clásicas (IT), mientras que en
los niveles 0, 1 y 2 predominan las Tecnologías
Operacionales (OT). Este hecho hace que la
estrategia de Ciberseguridad a adoptar en estos
entornos sea particular y deba contemplar
soluciones tecnológicas híbridas que den soporte
a entornos heterogéneos.
Gestión del Data Center
La consideración de las dimensiones vistas
anteriormente y otras de índole operativo, han
determinado la proliferación de aplicaciones que
intentan proporcionar un único punto de gestión
de todas las infraestructuras que componen el Data
Center. Estas aplicaciones son conocidas como
DCIM: Data Center Infrastructure Management.
Sobre este tipo de aplicaciones cabe hacer un par de
reflexiones antes de continuar:
Ciberseguridad en DCIM
El cuadrante mágico elaborado por Gartner [2]
sobre
las soluciones tipo DCIM más extendidas en el
mercado es el siguiente:
Para la elaboración de este cuadrante mágico, no se
contempló la Ciberseguridad cómo uno de los
factores a evaluar para la colocación de la solución
dentro de alguna de las categorías.
Otros estudios acerca de distintas soluciones DCIM,
elaborados por IDC[3]
, tampoco citan este atributo
como parámetro a tener en cuanta durante su
evaluación.
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
5
Sistemas de control en DCIM
El Grupo 451 ha elaborado un modelo que intenta
reflejar las capacidades básicas que debe soportar
un DCIM.
Tal y como se aprecia en este modelo, muchas de
las funcionalidades a implantar en un DCIM
(recuadradas en color rojo), están directamente
desarrolladas por algún Sistema de Control
Industrial, por lo que describiremos este tipo de
sistemas utilizados en los Data Centers en el
siguiente punto.
Sistemas de Control en Data Centers
Tal y como vimos anteriormente, los Data Center
pueden utilizar sistemas de control industrial
clásicos en la gestión de edificios (Building
Management System o BMS) basados en
arquitecturas distribuidas localmente (Distributed
Control System o DCS) o en sistemas SCADA si
es necesario supervisar o controlar dispositivos de
campo (sensores o actuadores) en localizaciones
remotas (Data Center de respaldo).
Ambas arquitecturas de control presentan
características comunes que les convierten en
elementos de difícil defensa ante las modernas
amenazas que pueden impactar en estas
infraestructuras críticas:
Escasos mecanismos de seguridad en los
elementos de control directo (Nivel 1)
Dificultad en la actualización de los
elementos de control debido a la
necesidad de mantener una muy alta
disponibilidad (imposibilidad de paradas)
Vidas útiles esperadas superiores a los 20
años.
Imposibilidad de instalar y ejecutar
soluciones Software de protección frente a
amenazas. En los dispositivos de control
Protocolos de red inseguros por diseño.
A pesar de todas estas características comunes
existen también ciertas diferencias entre ambas
arquitecturas y que vamos a exponer brevemente:
Distributed Control System
Un esquema típico de uno de estos sistemas es el
siguiente:
Sus características más importantes son su localidad
(cercanía) a los dispositivos de campo que gestionan,
su menor número de subsistemas y su orientación al
proceso que controlan.
Supervisory Control And Data Acquisition
Los sistemas de Supervisión, Control y adquisición
de datos se denominan SCADA por sus siglas en
inglés (Supervisory Control And Data Acquisition) y
se caracterizan por su posibilidad de integrar
arquitecturas geográficamente dispersas, su
capacidad de recibir y almacenar una gran cantidad
de eventos y su arquitectura modular que puede
contemplar un mayor número de Susbsitemas. (HMI,
Historian, Engineering Workstation, Front End y
Servidores SCADA).
La arquitectura de uno de estos sistemas se puede ver
en la siguiente figura:
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
6
Protocolos de red de control
Ambos tipos de sistemas, utilizan en su
comunicación con los dispositivos que controlan
y supervisan, una serie de protocolos de red de
control que datan de hace más de dos décadas y
que no se diseñaron con ningún requisito de
seguridad lógica. Entre estos protocolos de red,
cabe destacar los siguientes:
BACNet
Lonworks
Profinet
OPC-DA
EthernetIP
Modbus
Adicionalmente se utilizan otros protocolos
basados en conexión serie como son RS-485 y
Profibus.
Como hemos apuntado anteriormente, ninguno de
estos protocolos soporta funcionalidades de
seguridad como son la encriptación, la
autenticación origen-destino u otras habituales en
protocolos IT más modernos.
La tendencia actual es la implantación de
sistemas SCADA y la convergencia de los
protocolos hacia Modbus/TCP y OPC-DA.
Monitorización de la Ciberseguridad
Para poder hacer frente a las peculiaridades de los
distintos entornos existentes en los Data Centers,
vamos a describir el modelo utilizado en el diseño de
la solución de monitorización implantada en nuestros
Data Centers críticos.
Según el modelo planteado por la norma ISA 95, se
pueden detectar cuatro grandes superficies de ataque
en el Data Center, y que se representan en el
diagrama inferior:
1. Accesos externos a la red IT
2. Accesos Red IT – Red OT
3. Accesos externos a la red OT
4. Accesos Red OT – Red IT
Mientras que las superficies de ataque 1 y 2 suelen
estar contempladas en los análisis de seguridad de
los responsables IT de los Data Centers, las
superficies 3 y 4 a veces no están ni siquiera
identificadas, debido a separaciones funcionales
dentro de la organización que los gestiona.
Estas dos últimas superficies de ataque son más
peligrosas debido a la dificultad de poner en marcha
medidas de seguridad en algunos dispositivos de
control por las razones enumeradas anteriormente, y
por el desconocimiento de las posibles
configuraciones y mecanismos implantados en la red
de control por parte de los responsables de seguridad
de la red IT.
Para paliar esta problemática, es necesario realizar
algunos cambios organizativos para lograr que
ambas organizaciones (IT y OT) compartan una
sensibilidad y objetivos comunes hacia la
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
7
ciberseguridad de la organización, y además
disponer de soluciones técnicas que ayuden a
contrarrestar las limitaciones tecnológicas de
algunos elementos de la red OT.
Las soluciones que plantean un menor impacto
sobre los elementos de la red OT y que además
son independientes de los dispositivos
desplegados sobre la misma, son los detectores de
intrusión de Red [4]
.
Obviamente deben soportar los protocolos
utilizados en estas redes y ser capaces de alertar
ante cualquier evento que pueda afectar al
correcto funcionamiento de la misma en el mismo
modo que los sistemas de detección de intrusión
desplegados en la red IT.
La detección de eventos anómalos en las redes de
control es más sencilla dado que dichas redes
tienen las siguientes propiedades:
Menores en número de dispositivos y
servicios.
No debieran conectarse directamente a
Internet.
Bien definidas y diseñadas
Ejecutan operaciones repetitivas.
En estas condiciones es fácil ver que construir un
patrón de comportamiento normal es posible,
permitiendo de esta manera que cualquier evento
fuera de este modelo pueda ser rápidamente
detectado y comunicado.
Para configurar nuestro sistema de
monitorización de control basado en patrones de
comportamiento, debiéramos pensar en tres
principios fundamentales:
Qué va a donde y desde donde (Matriz de
conexión)
Quién está haciendo qué (Matriz operacional)
Si tenemos un claro conocimiento de estos dos
puntos, podremos tener un sistema de monitorización
basado en patrones que pueda evitar falsos positivos
y proporcionar el mejor rendimiento.
Este patrón de comportamiento va a proteger
nuestra red de control de cualquier operación errónea
o intento de interrupción malicioso.
Veamos esto en los siguientes puntos:
Matriz de conexión.
Cuando hablamos de Redes de control TCP/IP
tenemos que tener en cuenta que la tupla (local ip,
local port, remote ip, remote port) es lo que define
cada conexión TCP/UDP. Cada dirección IP del
servidor normalmente puede utilizar hasta 65.536
puertos.
Dentro de la pila TCP, estos cuatro campos son
utilizados como claves compuestas para asociar
paquetes a conexiones.
Los puertos son números de 16 bits por lo que el
número máximo de conexiones que cualquier cliente
podrá tener a cualquier puerto host es de 65.536 (0-
65.535).
Podemos calcular el máximo número de conexiones
externas en una red TCP, usando la siguiente
fórmula:
(No consideramos conexiones dentro del mismo
servidor).
Estos valores pueden crecer exponencialmente en
función del número de servidores interconectados y
del número de puertos abiertos por cada servidor).
Cuando estudiamos el número de puertos abiertos en
una red de control industrial bien configurada,
encontramos los siguientes valores:
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
8
Nodo de la red de control industrial
Puertos abiertos
Suma de los otros Puertos
Conexiones de red potenciales
Vijeo Citect Scada Server 16 101 1616
Vijeo Citect Client 10 107 1070
Network Switch 6 111 666
Unity Pro Workstation 2 115 230
Radius & Syslog server 16 101 1616
Historian Server 16 101 1616
Historian Client 9 108 972
WSUS, NTP & SNMP Server 16 101 1616
Firewall 6 111 666
PLC Modicom M340 8 109 872
PLC Modicom Quantum 12 105 1260
Total 12200
Este valor perfectamente acotado en el número de
conexiones de red hace posible pensar en la
generación de un patrón de comportamiento bien
definido y manejable.
Este es otro principio básico de administración de
sistemas y seguridad: Cada sistema de control o
desplegado en un entorno crítico tiene que estar
bastionado al máximo para reducir la cantidad de
recursos necesarios en su gestión y minimizar los
riesgos de intrusiones remotas
Por otro lado, la existencia de tablas de
conexiones correctamente documentadas, facilita
el mantenimiento de la red y mejora la resistencia
en caso de problemas al ser más fácil la detección
de cualquier error en la configuración o
despliegue.
Matriz operacional
Aunque muchos fabricantes de sistemas de
control soportan la existencia de diferentes roles
para el entorno operacional, es un hecho que los
grupos de trabajo muchas veces usan el mismo
usuario y clave para ejecutar su trabajo, no
utilizando algunas veces estos roles de forma
adecuada debido a la facilidad o al temor de no ser
capaces de entrar en el sistema en situaciones
críticas.
El uso anónimo de los roles operaciones es difícil de
detectar y por tanto y podría hacer imposible detectar
un fallo humano o una intervención maliciosa.
Más tarde mostraremos como la tecnología de
monitorización basada en patrones de
comportamiento puede utilizarse para detectar
comandos no permitidos ejecutados por usuarios
legítimos.
Una vez establecidos los principios y metodología de
monitorización de nuestra red de control, vamos a
presentar nuestras solución y como se comporta en
cada uno de estos aspectos.
Detección de anomalías en la red de control
La solución utilizada en nuestros Data Centers está
basada en una tecnología revolucionaria que
construye el patrón de comportamiento de la red de
manera automática y desatendida.
El patrón de comportamiento construido por la
solución, define los modelos de conexión,
protocolos, tipos de mensaje, campos de mensaje y
valores de los campos que son permitidos en nuestra
red (Lista Blanca). De manera que cuando una
comunicación difiere del patrón, el sistema de
sensores lo reporta indicando la fuente exacta del
problema.
Esta tecnología es conocida como inspección
profunda de comportamiento de protocolo (Deep
Protocol Behavior Inspection o DPBI)
Toda esta tecnología se implanta en un sensor
controlado desde un centro de gestión instalado
como un servidor físico o virtual llamado SCAB.
(Security Control Awareness Box)
Después de conectar los sensores del SCAB a la red,
podemos empezar la fase de aprendizaje. En esta
fase, SCAB construye de manera autónoma nuestro
patrón de comportamiento de red.
El flujo que sigue es mostrado a continuación:
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
9
Podemos personalizar y mejorar el patrón de
comportamiento si es necesario con solo añadir,
modificar o borrar conexiones utilizando un
editor de textos.
El sensor es capaz de reconocer e inspeccionar
distintos protocolos:
Protocolos
Deep Protocol
Behavior
Inspector
Perfil de
Conexión
MMS
Modbus/TCP
OPC-DA
IEC 101/104
DNP3
IEC 61850
ICCP TASE.2
CSLib (ABB)
DMS (ABB)
S7 (Siemens)
Protocolos
Deep Protocol
Behavior
Inspector
Perfil de
Conexión
Ethernet/IP
SMB/CIFS
RPC/DCOM
PVSS
LDAP
NetBIOS
HTTP
FTP
SSH
SSL
SMTP
IMAP
POP3
VNC/RFB
RTSP
AFP
Después de la finalización de la fase de aprendizaje,
tenemos el perfil de la comunicación local de la red
de control.
En este momento SCAB, conoce cada tupla
permitida en la red de control.
Src IP,Src Port -> Dest. IP,Dest Port
Esto es algo difícil de conseguir en una Red Local
multipropósito sin tener varios cambios (Alertas) por
hora.
Desde este instante, podemos ser alertados por:
Nuevos dispositivos en la red
Dispositivos intentando conectarse a nuestro
modelo
Dispositivos recibiendo información de fuera
de nuestro modelo.
Adicionalmente, tendremos perfectamente
delimitados los protocolos, mensajes dentro del
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
10
protocolo y valores intercambiados por nuestros
sistemas de control durante su funcionamiento
habitual:
En este ejemplo concreto podemos ver el tráfico
IEC 104 intercambiado entre los servidores
SCADA y los Frontales de comunicación.
Si se intenta utilizar algún mensaje del protocolo
fuera del patrón o se alteran los valores de
mensajes dentro del patrón, se levantaría una
alerta.
Todas las alertas detectadas en la red de control
del Data Center se integran en la consola común a
los sistemas IT (DCIM y otros) a través de la
siguiente arquitectura:
En nuestro caso, cualquier anomalía de los
protocolos de control de las plataformas SCADA
aparecerían en el SIEM operado desde el Global
Support and Operation Center (GSOC).
La respuesta ante eventos e incidentes de seguridad
de la red IT y de la red OT de todos nuestros Data
Centers se gestionan de la misma manera y de
acuerdo a SLAs análogos.
Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos
11
Conclusiones
Parece claro que Organizaciones críticas han
entendido la necesidad de monitorizar de manera
continua su red operacional para poder detectar
cualquier anomalía que puede comprometer la
producción y los objetivos de negocio.
Aparte de desplegar los procedimientos
apropiados de seguridad en nuestros Data
Centers, nuestra metodología establece dos
fuentes de información para conseguir la deseada
seguridad operacional y niveles de disponibilidad:
Matriz de conexión
Matriz de actividad
Con esta información es posible conocer el patrón
de comportamiento de nuestra red de control en el
Data Center y detectar cualquier desviación del
mismo, siendo posible generar las alertas
tempranas oportunas.
Para mantener y gestionar toda esta información,
proponemos la solución SCAB, como una
herramienta útil en las redes SCADA para
construir este patrón de comportamiento y
comunicar cualquier problema causado por
errores humanos o por intentos malintencionados
que puede comprometer a nuestras redes, de una
manera integrada a los equipos técnicos de
seguridad.
La metodología y solución de sensores continua
propuesta, permite examinar la configuración
actual de nuestra red y de sus comunicaciones
(dispositivos, aplicaciones, protocolos,
tipos/valores de mensajes), analizar la
operatividad de la red, detectar comunicaciones o
cambios en la configuración inesperados y el
despliegue de nuevos dispositivos de campo,
haciendo más fácil mejorar la resiliencia de
nuestros Data Center críticos.
Referencias
[1] “Methodologies for the identification of
Critical Information Infrastructure assets and
services”.
https://www.enisa.europa.eu/activities/Resilience-
and-CIIP/critical-infrastructure-and-
services/Methodologies-for-identification-of-ciis
[2] “Magic Quadrant for Data Center
Infrastructure Management Tools”.
https://www.gartner.com/doc/2852018/magic-
quadrant-data-center-infrastructure
[3] “IDC MarketScape: Worldw ide Datacenter
Infrastructure Management 2013 Vendor Analysis”
http://assets.fiercemarkets.com/public/sites/energy/re
ports/idcdatareport.pdf
[4] “ICS-CERT Virtual Training Portal”
https://ics-cert-training.inl.gov/