Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
woodplc.com
La Ciberseguridad en
Ámbitos Industriales
Enero 2021
• Todos sabemos que las infraestructuras industriales se están convirtiendo en blancos potenciales para ciberataques a medida que se va incrementando su conexión a otras redes. Los fabricantes y operadores de sistemas SCADA y DCS cada vez reportan más casos de ataques a sus sistemas.
• Años atrás los sistemas de control se encontraban aislados
• Las necesidades de comunicación han hecho que esto vaya mutando, aumentando los riesgos y vulnerabilidades que puedan ocasionar eventos indeseados como shutdowns o afectar la seguridad física en un entorno de producción.
• El incremento de ataques viene dado, principalmente, por la interconexión de redes empresariales/corporativas con redes de control de procesos y producción, utilizando protocolos de tecnologías estándar como Ethernet, TCP/IP, etc
¿Qué está pasando en el ámbito industrial?
2
Las prioridades no son las mismas en OT e IT
• Disponibilidad
• Integridad
• Confidencialidad
C-I-A Triad
Availability
1. Disponibilidad
2. Integridad
3. Confidencialidad
1. Confidencialidad
2. Integridad
3. Disponibilidad
Prioridad
OT: Sistemas de Control y
Automatización
Industrial
Sistemas IT de Propósito
General
IEC 1291/09
Diferencias entre Seguridad IT y Seguridad OT
En Sistemas de Control se hace foco en la disponibilidad e integridad por sobre la confidencialidad,
mientras que en los de uso general, se piensa en la confidencialidad primariamente.
Estándares desarrollados para Ciberseguridad
4
• ISO 27000-27011: Originado en 1987. Pensado para la Seguridad de la Información en ambientes de propósito general.
• IEC/ISA 62443: Originado a partir del estándar ISA99 en 2008. En constante formación y rápida evolución.
• ISA TR84.00.09: Reporte técnico que provee lineamientos para integrar el ciclo de vida de ciberseguridad con el ciclo de vida de la Seguridad Funcional
Framework Simplificado - NIST
5
NIST hace referencia al
contenido detallado de los
cuerpos existentes de
estándares de la industria,
pero describe los dominios en
más de un modelo de alcance
y secuencia de tiempo del
proyecto que es más fácil de
conceptualizar y poner en
juego en un programa o
proyecto.
Se implementa NIST como una forma más simple de seguir estándares
woodplc.com
Que se recomienda
aplicar en OT
6
• Concentrarse en la aplicación práctica y alcanzable ahora por medio de proyectos, más que en soluciones "perfectas" que pierden o retrasan la implementación, mientras los sistemas continúan inseguros
• Seguridad Funcional y Ciberseguridad alineadas. Para ello nos basamos en los estándares IEC62443 y TR84.00.09
Un enfoque práctico para la seguridad y protección OT
7
Una seguridad "suficientemente buena" ahora es
mucho mejor que la seguridad o protección
"perfecta" más adelante ... (o nunca)
En los ambientes industriales se encuentra en juego la vida de
las personas, así como también los activos de la compañía.
Se debe procurar establecer un Sistema de Gestión de Ciberseguridad
De acuerdo al enfoque sistemático
El ciclo de vida abarca la
evaluación de los
riesgos inherentes a un
sistema y las
subsecuentes etapas de
diseño, implementación
y mantenimiento de
medidas de seguridad
contra las amenazas
cibernéticas.
Se debe procurar establecer un Sistema de Gestión de Ciberseguridad, para ello
es que se recomienda el abordaje sistemático, separado en fases y actividades,
clasificadas todas dentro del ciclo de vida de ciberseguridad.
Definir zonas y conductos del sistema
9
Establecimiento de Zonas y Conductos
Una zona es una agrupación lógica o física de activos industriales que comparten los mismos requisitos de seguridad. Pueden ser físicos, software o información.
Un conducto es un tipo particular de zona. Los conductos permiten transmitir información entre diferentes zonas.
• Los sistemas de información y los sistemas de control
industrial deben estar en diferentes zonas,
determinadas por su funcionalidad
• Los sistemas identificados como “Sistema Integrado
de Seguridad” deben ser separados a una zona
distinta
• Aquellos dispositivos que tengan alguna conexión
temporal al Sistema, deben considerarse en una zona
diferente
• Las comunicaciones inalámbricas se deben establecer
en zonas separadas de las cableadas
Establecer Criterios para Zonas y Conductos
10
La estrategia a aplicar es de defensa en profundidad
11
Defensa en Profundidad
La defensa en profundidad es un
mecanismo de seguridad en capas
Beneficio: Durante un ataque, si una
capa es afectada otras capas
pueden aún colaborar en proteger,
detectar y reaccionar ante una
gran cantidad de ataques.
• Se realiza un análisis de riesgo para cada zona y conducto definido:
• Se evalúan los diferentes escenarios de riesgo y contramedidas existentes.
• Se establece el Nivel de Seguridad existente de cada zona y conducto.
• Se establece para cada zona y conducto un nivel de seguridad requerido
Basado en los conceptos de Análisis de Riesgos
12
El análisis de riesgos debe ser llevado adelante utilizando
metodologías similares a las desarrolladas para Seguridad Funcional
Las herramientas utilizadas para este fin son HAZOP, CHAZOP, WhatIf, LOPA.
• Los Niveles de Seguridad (SLs) proveen un marco de referencia para la toma de decisiones en el uso de medidas de seguridad y dispositivos con diferentes capacidades de seguridad
• Una vez establecido un modelo de zonas y conductos, y de haber realizado el análisis de riesgos correspondiente para cada uno de ellos, se procede a la asignación de un nivel de seguridad objetivo
Por último, establecer Niveles de Seguridad
13
En función de los niveles de seguridad requeridos, se
determinan las soluciones a implementar. No antes…
woodplc.com
Cómo se hace?
14
Etapa1:
Hacer la evaluación de alto nivel en un caso típico
• Establecer zonas y conductos
• Establecer niveles de riesgo y seguridad
• Definición de soluciones macro (priorización en función de costo/beneficio)
Etapa 2:
Ampliación a otros casos típicos
Aplicación de las evaluaciones y conceptos de alto nivel de la Etapa 1 en otras instalaciones
similares de la compañía
Etapa 3:
Profundización.
Evaluaciones de vulnerabilidad de nivel inferior en las que el riesgo amerite. Implementación
de soluciones y políticas que aborden las vulnerabilidades detectadas.
Abordaje en etapas iniciando con casos típicos, e implementando con
mínimo costo posible para profundizar luego
Modelo de Etapas
15
•Acceso remoto sin autenticación complementaria (Cada SL debe requerir un factor
o método de autenticación adicional para acceder).
•Cuentas comunes de Admin o Ingeniería
•Passwords de fábrica para cuentas Admin o Ingeniería
•Accesos “convenientes” a sistemas y cuentas de Ingeniería
•Generar conciencia en Ingenieros y Administradores: son objetivo de ciberataques
•Prácticas de ciberseguridad del personal, especialmente administradores
•Eliminar la cadena desde Internet y aplicaciones comunes (Office, Adobe, etc) hacia
estaciones del Sistema de Control
•Parcheo de Sistemas Operativos críticos y listas de ICS-CERT
Foco en las
vulnerabilidades
comúnmente
explotadas
Lo que hacemos en forma detallada
16
• Identificar amenazas y vulnerabilidades
•Determinar consecuencias e impacto
•Realizar la matriz de “Impacto – Probabilidad”
•Determinar objetivos de seguridad
• Identificar y evaluar protecciones existentes
•Calcular error residual (brecha)
•Si no es aceptable, recomendaciones/especificaciones para incrementar las medidas
de seguridad
•Utilizar la normativa relacionada – IEC 62443 / TR84.00.09 / ISO 27000
Evaluación de
Riesgos
En conclusión: Cómo abordar la ciberseguridad?
17
Seguir el Framework NIST
• Identificar, Proteger, Detectar, Responder, Recuperar
No analizar en exceso
• Realizar un análisis cualitativo (Siempre siguiendo lineamientos
de los Estándares 62443 / TR89.00.09)
Comenzar con un análisis de alto nivel.
• Elaboración progresiva
Conciencia: Amenazas más comúnmente utilizadas
• Parches, medios portables, acceso remoto, cuentas de usuario
por defecto, ingeniería social a cuentas con privilegios, etc.
• Basados en
técnicas de
evaluación de
riesgos funcionales
• Aplicar soluciones
de mínimo costo
en procesos
iterativos
mejorando paso a
paso la
ciberseguridad de
todo el sistema.
woodplc.com