Upload
truongtram
View
230
Download
1
Embed Size (px)
Citation preview
Amenazas, Vulnerabilidades y Riesgos evaluados en el contexto de Ciberseguridad Industrial Autor: Anibal Pérez
11/15/2016
Tenaris 2
Agenda
• Contexto: Evento Diciembre 2014
• Procedimiento estándar para el análisis de riesgos
• Evolución de los sistemas de control industrial
• Amenazas en el contexto de interconectividad
• Fuentes del riesgo
• Evaluación del Impacto de un Incidente Informático
• Prácticas para la Detección de Vulnerabilidades
• Ejemplo de Encuesta en función de las Mejores Prácticas, Análisis, Impacto
• Evolución de los sistemas de control industrial: Segregación de redes
• Referencias
11/15/2016
Tenaris 3
Contexto: Evento Diciembre 2014
… Cuando en diciembre del 2014 en nuestra oficina de automación nos encontramos con el siguiente encabezado en el site de la BBC News, en el grupo de automación nos comenzamos a preguntar si estábamos haciendo lo suficiente…
11/15/2016
Fuente: http://www.bbc.com/news/technology-30575104
Tenaris 4
Contexto: Evento Diciembre 2014
German Federal Office for Information Security (BSI) reported:
“… the attackers used a "spear phishing" campaign aimed at particular individuals in the company to trick people into opening messages that sought and grabbed login names and passwords…”
…The phishing helped the hackers extract information they used to gain access to the plant's office network and then its production systems.
Once inside the steel mill's network, the "technical capabilities" of the attackers were evident, said the BSI report, as they showed familiarity with both conventional IT security systems but also the specialized software used to oversee and administer the plant…”
11/15/2016
Fuente: http://www.bbc.com/news/technology-30575104
Tenaris 5
Contexto: Diciembre 2014
11/15/2016
Fuente: http://ics-cert.us-cert.gov.http://ics-cert.us-cert.gov. Dependiente del Department of Homeland Security, DHS, USA
Tenaris 6
Procedimiento estándar para el análisis de riesgos
11/15/2016
Identificación de riesgos y vulnerabilida
des
Análisis
Plan de Acción
Monitoreo -
Auditoria
Toma de conciencia: Riesgos no gestionados?
Procedimientos de la compañía para la gestión de riesgos
Tenaris 7
Evolución de los sistemas de control industrial
Punto de partida: sistemas de control sobre variables físicas, originalmente basados en
controles analógicos, que fueron remplazados por controladores digitales.
Posteriormente, conformando una red local, a nivel proceso o planta, centralizando la
gestión a través de un sistema de supervisión (SCADA, comercial o legacy)
11/15/2016
Tenaris 8
Evolución de los sistemas de control industrial: Integración e Interconectividad
11/15/2016
El paso siguiente en la
evolución fue la
incorporación de
tecnologías típicas de IT.
Y mas recientemente,
conceptos como “Smart
Manufacturing”.
Relación costo-beneficio,
flexibilidad, eficiencia,
tiempo de ejecución fueron
los drivers.
De desarrollos a medida, a
productos de estantería:
disponibilidad y costos.
Tenaris 9
Amenazas en el contexto de interconectividad
Las fuentes de riesgos: las mismas del mundo IT,
El impacto no es el mismo que en el mundo IT: además de la integridad de los datos (IT) aparecen los efectos sobre el mundo físico: riesgos sobre las personas, las instalaciones, el medio ambiente y la comunidad, acorde a la escala de la planta bajo amenaza
11/15/2016
Tenaris 10
Fuentes del riesgo
Fuentes de riesgo:
Desde el interior de la misma planta:
Smart Cellphones and tablets
Wireless Laptops
PCs conectadas a la red interna
Dispositivos de control conectados a la red interna (wired or Wireless)
Cámaras y dispositivos de CCTV
11/15/2016
… O desde fuera de la planta: accesos remotos a través de la WEB, sea por personal propio con dispositivos comprometidos, o por terceros (hackers), sea por medio de mails (spear phishing!), o aprovechando debilidades en los mismos sistemas operativos.
Tenaris 11
Evaluación del Impacto de un Incidente Informático
El evento de disrupción de un proceso industrial por un ataque cibernético, puede generar, en secuencia: Impacto físico: como consecuencias directa de la disrupción,
incluyendo daños a las personas, al producto, a las instalaciones y al medio ambiente.
Impacto económico: no sólo por daños materiales sino por caída de la producción y capacidad operativa, y/o pérdida de información confidencial
Impacto Social: pérdida de imagen y confianza dentro de la comunidad Mas aún, implica potencial pérdida de confianza de los accionistas y clientes de la compañía
11/15/2016
Tenaris 12
Evaluación del Impacto de un Incidente Informático
El primer foco del análisis debe ser sobre los potenciales daños físicos a:
• La Seguridad física de las Personas • Las instalaciones, el producto y el proceso. (Ejemplo de esto último:
Stuxnet malaware que daño las centrifugadoras en las instalaciones de agua pesada Iraní)
• El Medio Ambiente, por posibles fugas o derrames desde el proceso
fuera de control • La Comunidad, según la escala del proceso (centrales térmicas,
gasoductos, plantas de gas)
11/15/2016
Tenaris 13
Prácticas para la Detección de Vulnerabilidades
Para la detección de vulnerabilidades de la infraestructura instalada: uso de herramientas disponibles en la industria, con origen en organizaciones con madurez en la gestión de eventos informáticos. Ejemplo:
Desarrollo de encuesta con base en el programa del departamente de
Homeland Security de USA: US-CERT Control Systems Security Program (CSSP). La encuesta arroja un resultado en términos de recomendaciones en base a las mejores prácticas de la industria, que permiten elaborar un plan de acción detallado.
Diseño de un test de penetración sobre la infraestructura del sistema de control en procesos claves de la planta. El resultado es concreto, ya que identifica directamente los puntos débiles, con lo cual el plan de acción puede ser inmediatamente puesto en marcha.
11/15/2016
Tenaris 14
Ejemplo de Encuesta en función de las Mejores Prácticas
1. Network Segmentation, Firewalls, and DMZs
2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS)
3. Seguridad en las conexiones Wireless
4. Uso de VPNs y Encriptado en la comunicación digital
5. Gestión y Configuración de accesos, usuarios y passwords
6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación
7. Requerimientos de Ciberseguridad de los Sistemas de Control
8. Gestión de Patches y disponibilidad de los sistemas industriales
11/15/2016
Se evalúa la infraestructura contra las mejores practicas de la industria:
Tenaris 15
Análisis de la encuesta
Cada uno de los objetivos de mejores practicas se resuelve en la encuesta con un conjunto de
preguntas. Cada pregunta tiene un peso de 0 a 3, según su grado de impacto:
Durante la etapa de análisis cada pregunta del cuestionario se evalúa de 1 a 5, puntaje que
representa los siguientes niveles de cumplimiento de la mejor práctica recomendada
1 – No se cumple
2 – Se cumple informalmente
3 – Se cumple con un nivel básico de formalidad
4 – Se cumple con un nivel avanzado de formalidad
5 – Se cumple logrando un nivel de mejora continua del proceso.
Valores de referencia: para 376 preguntas
Mínimo y Máximo puntajes de la encuesta:
1,522 Todas las respuestas en “1”
5,050 Alineación completa con las mejores practices recomendadas *
* Standard for Industrial Control Systems of ICS-CERT (2012)
http://ics-cert.us-cert.gov/Standards-and-References#estab
11/15/2016
Tenaris 16
Resultado de estimación de impacto
11/15/2016
Impact
5
4
3
2
1
Critical Level LOW MEDIUM HIGH EXTREME
Tenaris 17 11/15/2016
Modelo de Hallazgos / Recomendaciones
1. Network Segmentation, Firewalls, and DMZs
Presencia de Firewall entre el Sistema de Control y la red corporativa
Segmentación vía DMZ
Procedimientos actualizados y disponibles
2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS)
Sistemas IDS and IPS instalados
Procedimientos actualizados y disponibles
3. Seguridad en las conexiones Wireless
Verificación de implementación de protocolos seguros
4. Uso de VPNs y Encriptado en la comunicación digital
Uso de VPN para conexiones externas
No uso de protocolos intrinsicamente inseguros (telnet, ftp).
Procedimientos actualizados y disponibles
Tenaris 18 11/15/2016
5. Gestión y Configuración de accesos, usuarios y passwords
Los procedimientos están actualizados y disponibles
1. 6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación
Registro complete de usuarios activos. .
Programas de capacitación activos
7. Requerimientos de Ciberseguridad de los Sistemas de Control
Políticas y procedimientos de gestión de incidentes establecida y activa
Ciclo de análisis de vulnerabilidad implementado
Análisis de riesgo de necesidad de Disaster Recovery Plan (DRP) implementado.
8. Gestión de Patches y disponibilidad de los sistemas industriales
Procedimientos de gestión de Patch formalmente implementados.
Plan de contingencia documentado
Alimentación back up (via generador?) o alternativa existente.
Modelo de Hallazgos / Recomendaciones
Tenaris 19 11/15/2016
Evolución de los sistemas de control industrial: Segregación de redes
Tenaris 20 11/15/2016
Referencias
Referencia general, gráficos y conceptos, cuando no indicado al pie: tomados de la publicación NIST SPECIAL PUBLICATION 800-82 Revisión 2 : “Guide to Industrial Control Systems (ICS) Security – Mayo 2015