Embed Size (px)
Citation preview
Ciberseguridad Industrial para infraestructuras críticas (o no)
Jun 2015Enrique Martín GarcíaCyber Security Director
AGENDA
• Ciberseguridad • Ciberseguridad Industrial• Estado del arte en España 2015• Protección de Infraestructuras Críticas• Un caso real: Ataque a un Data Center Crítico• Próximos pasos: Hoja de ruta
Ciberseguridad
4Property of Telvent Global Services
Ciberseguridad
Digital Security
DIGITAL SECURITY
CYBERSECURITY
INFORMATION SECURITY
IT SECURITY
OT SECURITY
PHYSICALSECURITY
IoTSECURITY
Gartner - Junio 2015
“Cybersecurity is the governance, development, management and use of information security, OTsecurity, and IT security tools and techniques for achieving regulatory compliance, defending assetsand compromising the assets of adversaries.”
5Property of Telvent Global Services
Comprendiendo la CiberseguridadConceptos básicos
➢ Seguridad como inexistencia de riesgo
➢ El riesgo está asociado a la probabilidad de que nuestros activos sufran daños (Impacto)
➢Riesgo = Probabilidad * Impacto
➢ Es dificil modificar el impacto, luego debemos enfocarnos en disminuir la probabilidad
➢ ¿Qué afecta a la probabilidad?
6Property of Telvent Global Services
➢ ¿Qué afecta a la probabilidad?➢ Motivaciones
*source: Hackmageddon
Comprendiendo la CiberseguridadConceptos básicos
7Property of Telvent Global Services
Comprendiendo la CiberseguridadConceptos básicos
➢Dragonfly campaign
8Property of Telvent Global Services
Comprendiendo la ciberseguridadConceptos básicos➢Evolución de la producción
9Property of Telvent Global Services
Comprendiendo la ciberseguridadConceptos básicos➢Evolución de los precios
10Property of Telvent Global Services
Comprendiendo la ciberseguridadConceptos básicos
*source: www.shodanhq.com
➢ ¿Qué afecta a la probabilidad?➢ Visibilidad
11Property of Telvent Global Services
➢¿Qué afecta a la probabilidad?➢ Facilidad (Explotabilidad & Repetibilidad)
*source: revuln.com
Comprendiendo la ciberseguridadConceptos básicos
12Property of Telvent Global Services
Comprendiendo la ciberseguridadConceptos básicos
➢¿Qué afecta a la probabilidad?➢ Preparación (Personal, Procedimientos & Tecnología)
•Procedural Guidance•Design and Changes•System Acquisition
•Roles and Functions•Skills and Competence
•System Population•Network Architecture•Component Interaction
13Property of Telvent Global Services
Comprendiendo la ciberseguridadSeguridad vs Riesgo
➢ Seguridad significa disminuir el riesgo hasta donde podamos/queramos
➢ El riesgo siempre existe por lo que no hay “seguridad total”
➢En cualquier caso, debemos reducir el riesgo para intentar mejorar nuestra Ciberseguridad
14Property of Telvent Global Services
Comprendiendo la ciberseguridadMejorando la ciberseguridad - I
➢Minimizar riesgos significa:
1. Minimizar la visibilidad, la explotabilidad y la repetibilidad (Superficie de ataque)
2. Mejorar la preparación de la organización:➢ Formar a los usuarios➢ Generar procedimientos y normas➢ Desplegar la tecnología apropiada al entorno
3. Gestionar el riesgo de manera contínua
15Property of Telvent Global Services
Comprendiendo la ciberseguridadMejorando la ciberseguridad - II
➢Reducción de la superficie de ataque
➢ Aumenta con la accesibilidad a los procesos y datos➢ Aumenta con la accesibilidad a los protocolos de
comunicación➢ Disminuye con la adopción de controles de acceso
16Property of Telvent Global Services
Comprendiendo la ciberseguridadMejorando la ciberseguridad - V
➢ Mejora de la preparación➢ Formación en concienciación a todo el personal➢ Desarrollo de política y procedimientos básicos de seguridad➢ Desplegando tecnologías apropiadas en todos los niveles
17Property of Telvent Global Services
Comprendiendo la ciberseguridadMejorando la ciberseguridad - VI
➢ Gestión continua del riesgo➢ Revisiones periódicas de seguridad➢ Monitorización integrada de eventos de seguridad
Ciberseguridad Industrial 2015
19Property of Telvent Global Services
Ciberseguridad IndistrialSistemas Ciberfísicos
Sistema de Control Industrial
20Property of Telvent Global Services
Ciberseguridad IndustrialEl origen de todo
June 2010: discovery of Stuxnet,1st worm developed to target automation system (Siemens PCS7 and WinCC). 1/3 of the centrifuges were destroyed. The Iranian nuclear program delayed by >2 years.
Sou
rce:
http
://w
ww
.spe
ctru
m.ie
ee.o
rg
How Stuxnet worked
21Property of Telvent Global Services
Red IT
Red OT
Ciberseguridad industrialCaracterísticas únicas
22Property of Telvent Global Services
Ciberseguridad industrialVectores de ataque
Misconfigured firewall& intrusion
Operator browsing not recommended
websites
CompromisedUSB flash drive
Malicefrom internal personnel
Virus - Data compromised
Internet
RandomModbusRequests
Compromised programing laptop
- Modification of PLC program
Direct accessto maintenance
Internet
Phishing - Data compromised
LaptopMalware
spreading
23Property of Telvent Global Services
Data Center
➢ Edificio - BMS➢ Centro de producción industrial - SCADA➢ Banco de información – PCI-DSS, ISO 27001➢ Nodo de comunicaciones – Criticidad
24Property of Telvent Global Services
Redes y sistemas de Control Industrial ➢ Protocolos frecuentes en BMS:
➢ BACNet ➢ LonWorks➢ Modbus➢ RS-485 + IEC 101 + Device Net+ Hart + Fieldbus + Profibus
➢Sistemas de Control en BMS:➢ DCS➢ SCADA + RTU + PLC
25Property of Telvent Global Services
Sistemas de control - DCS
26Property of Telvent Global Services
Sistemas de control - SCADA
NIST SP-800-82 Rev.2
Tendencias en la arquitectura: SCADA + RTU + PLC + Modbus/TCP + OPC
27Property of Telvent Global Services
Redes IT vs Redes OT
Redes OT Redes ITNúmero de dispositivos IP Bajo AltoServicios en ejecución Bajo AltoProtocolos utilizados Bajo AltoExposición internet Baja AltaNúmero de amenazas Media AltaPrioridad de la disponibilidadAlta BajaPrioridad de la confidencialidad Baja AltaPrioridad de la integridad Alta Media
➢ Redes OT➢ Menores en número de dispositivos y servicios. ➢ No debieran conectarse directamente a Internet.➢ Bien definidas y diseñadas➢ Ejecutan operaciones repetitivas.
28Property of Telvent Global Services
Redes IT vs Redes OT
➢ Generación del patrón de comportamiento➢ DPBI: Inspección Profunda de Comportamiento de Protocolo
➢ Detección más simple y efectiva➢ Eventos internos y legítimos, 0 Days, Violaciones
operacionales, ataques tipo “Aurora”
29Property of Telvent Global Services
Matriz de impacto en sistemas de control industrial
Source: ICS-CERT
30Property of Telvent Global Services
Arquitectura de seguridadNecesidades de integración - Protocolos
➢ Syslog➢ Windows events➢ SNMP
➢ OPC-DA➢ Modbus/TCP➢ MMS➢ IEC 101/104➢ ICCP Tase 2➢ IEEE C37.118
(Synchrophasor)➢ CSLib (ABB)➢ DMS(ABB)➢ Ethernet/IP
➢ IEC 61850 (MMS & Goose)
➢ VNC/SMB/RDP/AFP etc.
31Property of Telvent Global Services
Arquitectura de seguridadNecesidades de integración – OSs
Estado del arte en España 2015
33Property of Telvent Global Services
Ciberseguridad Industrial 2015Organización - Personas
34Property of Telvent Global Services
Ciberseguridad Industrial 2015Organización - Procedimientos
35Property of Telvent Global Services
Ciberseguridad Industrial 2015Organización – Tecnología I
36Property of Telvent Global Services
Ciberseguridad Industrial 2015Organización – Tecnología II
37Property of Telvent Global Services
Ciberseguridad Industrial 2015Organización – Tecnología III
Protección de infraestructuras críticas
39Property of Telvent Global Services
Ciberamenazas a Infraestructuras críticas (I)
➢ Sistemas de Control Industrial conectados a Internet (Junio 2015) http://ics-radar.shodan.io
40Property of Telvent Global Services
Ciberamenazas a Infraestructuras críticas (II)
¿Lo sabías?
41Property of Telvent Global Services
Ciberamenazas a Infraestructuras críticas (III)
El Internet de “las cosas” (30 de Junio 2014) ……….. ¿Qué cosas?
42Property of Telvent Global Services
Ciberamenazas a Infraestructuras críticas (IV)➢ El Internet de “las cosas” (30 de Septiembre 2014)
Schneider Electric Web 2.X
43Property of Telvent Global Services
Ciberamenazas a Infraestructuras críticas (V)➢NSA al descubierto … ➢ http://leaksource.info/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-
major-software-hardware-firmware/
44Property of Telvent Global Services
Antecedentes de la Ley PIC
5 años
45Property of Telvent Global Services
Sectores Críticos - ENISA
46Property of Telvent Global Services
Estado del arte
➢ Protección de infraestructuras críticas en España➢ Plan de Seguridad del Operador (PSO)➢ Plan de Protección Específico (PPE)➢ Planes Estratégicos Sectoriales (PES)
• Electricidad• Petróleo• Gas• Nuclear• Finanzas • Administración Tributaria
• Alimentación• Tecnologías Información y
Comunicaciones• Agua• Administración Pública• Espacio• Investigación• Salud• Químico• Transporte
2014 2015 / 2016
AGENTES PÚBLICOS Y PRIVADOS
47Property of Telvent Global Services
Estrategia de Ciberseguridad
➢Líneas de acción de la ciberseguridad nacional
1. Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas
2. Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Administraciones Públicas
3. Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Infraestructuras Críticas
4. Capacidad de investigación y persecución del ciberterrorismo y la ciberdelincuencia
5. Seguridad y resiliencia de las TIC en el sector privado6. Conocimientos, Competencias e I+D+i7. Cultura de ciberseguridad8. Compromiso Internacional
48Property of Telvent Global Services
Ciberejercicios IICC
Primeras Jornadas PSCIC -2012
Segundas Jornadas PSCIC -2014
49Property of Telvent Global Services
Procedimiento regulador IICC Identificación y valoración de las
infraestructurasCNPIC - Operador
Operador Crítico:Propietario o gestor de una
infraestructura críticaArt. 2 Ley 08/2011 PIC
Proceso de designación como Operador Crítico (OC):
RD 704/2011 Reglamento PICArt. 13
Responsabilidades del OC:Obligaciones del OC como agente del
Sistema PIC
RD 704/2011 Reglamento PICArt. 13
Elaboración PSO.(6 meses desde la designación OC)
RD 704/2011 Reglamento PICArt. 22
Elaboración PPE.(4 meses desde la aprobación PSO)
RD 704/2011 Reglamento PICArt. 25
Operador Crítico: PSO y PPE
Un caso real: Ataque a un Data Center Crítico
51Property of Telvent Global Services
Suena a algo así……
52Property of Telvent Global Services
Ataque al Data CenterReconocimiento - I
53Property of Telvent Global Services
Ataque al Data CenterReconocimiento - II
54Property of Telvent Global Services
Ataque al Data CenterReconocimiento - III
55Property of Telvent Global Services
Ataque al Data CenterAnálisis de vulnerabilidades
56Property of Telvent Global Services
Ataque al Data CenterReconocimiento - IV
57Property of Telvent Global Services
Ataque al Data CenterReconocimiento - V
58Property of Telvent Global Services
Ataque al Data CenterSHODAN !!!!
59Property of Telvent Global Services
Ataque al Data CenterBingo !!!
60Property of Telvent Global Services
Ataque al Data CenterArquitectura
61Property of Telvent Global Services
Ataque al Data CenterTras cinco horas
62Property of Telvent Global Services
Ataque al Data CenterEt voilà !!!!
Próximos pasos: Hoja de ruta
64Property of Telvent Global Services
Hoja de ruta ciberseguridad1. Descubre cual es el nivel de ciberseguridad de tu
organización. (Revisión IT/OT) : QICSATM
2. Determina cual quieres que sea ese nivel. (Negocio)3. Define un plan de acción (Programa)
Políticas, procedimientos y formación
Seguridad Física
Red
Sistema
Aplicación
Dispositivo
Defensa en Profundidad
65Property of Telvent Global Services
Hoja de ruta ciberseguridad➢ Plan de acción:➢ Organización de la Ciberseguridad GLOBAL
➢ Personas + Procedimientos ➢ Ejecución de plan de proyectos priorizado
➢ Bastionado➢ Parcheado➢ Consolidación de logs➢ AV/AM/AWL➢ HIDS + NIDS➢ SIM-SIEM-SOC
➢ Revisión trimestral de resultados
Políticas, procedimientos y formación
Seguridad Física
Red
Sistema
Dispositivo
66Property of Telvent Global Services
Hoja de ruta de ciberseguridadCyber Security Bus
Corporate Server I
IT HIDS
IT NIDS
Cyber Security Bus TM SIEM
Corporate Server II
IT HIDS
OT NIDS (SCAB)
SCADA Front End/RT/Historian/HMI
OT HIDS
RTU/PLC Slave deviceOSINTCI INT
Gracias !!Enrique Martín García
[email protected] https://www.linkedin.com/in/enriquemartingarcia @Kaostopper
