Embed Size (px)
Citation preview
JORNADA DE CIBERSEGURIDAD
Valencia, 27/05/2019
Guillermo Conesa García
PROGRAMA OFICINAS DE TRANSFORMACIÓN DIGITALCofinanciado por el Programa Operativo Plurirregional de España (POPE) (C-027/17-ED)
Índice
1. Capítulo 1. El ABC de la Ciberseguridad.
2. Capítulo 2. Ciberseguridad Industrial.
3. Capítulo 3. Ciberseguridad en entornos ERP.
¿Qué vamos a ver?Ciberseguridad desde la estrategia, entornos industriales y ERP
• Desde un punto de vista estratégico ser capaces de entender la situación actual de
nuestra empresa, a qué riesgos nos enfrentamos y los primeros pasos que debemos dar
para ir en la dirección correcta.
• Entender las particularidades de la ciberseguridad aplicada a entornos industriales (OT) y
cómo aplicar el enfoque de “defensa en profundidad” traído de la estrategia militar.
• Entender las consideraciones de ciberseguridad en entornos ERP (on-premise/cloud) y
hasta dónde llega nuestra responsabilidad.
A lo largo de la sesión veremos como los distintos conceptos son aplicables a los 3 temas
tratados, considerando algunas particularidades.
El ABC de la Ciberseguridad
1. El ABC de la CiberseguridadTendencia a alza en España
Los ciberataques costaron a las empresas españolas
14kM€
de Euros
El peligro de los ciberataques les cuesta a las pymes32%
Aumentó el número de ataques en España
El 70% de
los ataques tiene
como objetivolas PYMES
77.000€de media
120.000incidentes en 2017
De las empresas ha sufrido un ataque durante el 2018
Perímetro extendido ImpactoMotivación
• Incidentes de seguridad tienen un impacto directo en el negocio
• Daño a la reputación o la imagen de marca
• Problemas legales o con entidades reguladoras
• Los ciberdelincuentes comienzan a tener motivaciones económicas o ideológicas que justifican una dedicación al ataque mayor que la de la empresa a la defensa
• Aumento de las telecomunicaciones con clientes, proveedores, socios, organismos públicos, etc.)
• Uso de servicios cloud corporativos y particulares
• Uso professional de dispositivos personales(BYOD)
1. El ABC de la Ciberseguridad¿Qué ha cambiado?
La transformación digital está generando nuevos modelos
de relación:
• Entre las empresas y sus clientes (B2C)
• Entre las empresas (B2B)
• Entre las empresas y las administraciones (G2B)
• Entre las empresas y sus empleados (B2E)
• Entre administraciones (G2G)
• Entre dispositivos (M2M)
• …
pero también genera un escenario con
nuevos riesgos
1. El ABC de la CiberseguridadVivimos en constante cambio
1. El ABC de la CiberseguridadPanorama global
En el informe Global Risk 2019 del Foro Económico Mundial, el ciberriesgo es reconocido como uno de los principales riesgos globales.
1. El ABC de la CiberseguridadPanorama global
Prevención Detección Respuesta
Fallos en los fundamentos
• Seguridad no considerada desde el inicio• Vulnerabilidades no parcheadas• Errores humanos• Malas configuraciones• …
Una media de 200 días desde el inicio
del ataque
El 77% de las
empresas no tienen un plan de respuesta
*Ponemon Institute 2017
1. El ABC de la Ciberseguridad¿Qué esta fallando?
1. El ABC de la CiberseguridadConceptos básicos
Dimensiones de
seguridad de la
información
INTEGRIDAD
TRAZABILIDAD
CONFIDENCIALIDADAUTENTICIDAD
DISPONIBILIDAD
A fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, y de poder establecer la categoría del sistema, se tendrán en cuenta las siguientes dimensiones de la seguridad
¿Qué importancia tendría que no quedara constancia fehaciente del uso del servicio?¿Qué importancia tendría que no quedara constancia del acceso a los datos?
¿Qué importancia tendría que el activo no estuviera disponible?
¿Qué importancia tendría que quien accede al servicio no sea realmente quien se cree?¿Qué importancia tendría que los datos no fueran realmente imputables a quien se cree?
¿Qué importancia tendría que los datos fueran modificados fuera de control?
¿Qué importancia tendría que el dato fuera conocido por personas no autorizadas?
Impacto Probabilidad Riesgo inherente
Nivel de daño que la
materialización de una
amenaza puede causar
sobre el negocio.
Probabilidad de que una
amenaza se materialice y
causar un impacto
negativo sobre el
negocio.
Riesgo intrínseco de cada
actividad, sin tener en
cuenta los controles que
de éste se hagan a su
interior. Exposición que se
tenga a la actividad en
particular y de la
probabilidad que un
choque negativo afecte la
rentabilidad y el capital de
la compañía.
Salvaguardas empleadas
por la organización para
gestionar un determinado
riesgo, bien reduciendo
su probabilidad de
ocurrencia, o el impacto
resultante de que se
materialice.
Nivel de riesgo que la
organización está
dispuesta a asumir,
planificando e
implantando controles
que mitiguen cualquier
riesgo que exceda este
nivel.
Controles Riesgo residual / Apetito
Análisis preliminar de riesgos
Evaluar las capacidades
Evolucionar las capacidades
Económico Operacional Reputacional
1. El ABC de la CiberseguridadConceptos básicos
*Ponemon Institute 2017
1. El ABC de la CiberseguridadConoce a tu atacante
Qué tipo de empresa soy
Qué valor tiene mi información
Qué valor tiene mi imagen de
marca
Quiénes son mis socios,
proveedores y clientes
Cuál es el valor de mis activos
de negocio
Cuáles son los flujos de
información
… Cuál es mi perfil de riesgo
1. El ABC de la CiberseguridadMapa de riesgos
Ataques contra la infraestructura lógica1 Ataques lógicos (hacking, DDoS, malware) a la infraestructura tecnológica de la Organización orientados a impedir el acceso a los servicios de información.
Fraude Interno / Externo3 Abuso de la identidad de otra persona para interactuar con la infraestructura tecnológica de la Organización o viceversa.
Fuga / Robo de información4 Extracción o divulgación intencionada o accidental de información interna de la Organización por parte de un agente externo o interno
Ataques contra la infraestructura física2 Ataques físicos (terrorismo, vandalismo, etc.) contra los centros de proceso de datos o los puestos físicos de usuario que afecten a su disponibilidad.
Fallo de suministros5 Falta de suministros relevantes para la infraestructura tecnológica.
Error humano6 Errores en la definición, implementación u operación de los sistemas.
Incumplimiento normativo7 Sanciones y/o daño reputacional derivado de incumplimientos de normativas públicas o privadas relacionadas con la protección de la información.
1. El ABC de la CiberseguridadCiberdefensa en profundidad, conceptos generales
Cloud
Redes y comunicaciones
Puesto de trabajo
Aplicaciones
Infraestructura
Información
Go
bie
rno
• Protección de los vectores de entrada y salida• Navegación, correo y medios extraíbles
• Bastionado, cifrado• Gestión de vulnerabilidades, usuarios y accesos etc.
• Protección DoS y WAF• Gestión de vulnerabilidades• Monitorización de eventos• Arquitecturas seguras• Desarrollo seguro• Etc.
• Clasificación y descubrimiento, monitorización y protección, archivo y destrucción, criptografía
• Segmentación• IDS/IPS, WAF• Filtrado web, Antimalware• VPN, etc.
• Gestión de identidades de accesos• Protección de la información• Monitorización de eventos• Etc.
ISO/IEC 27000
ENS
NIST
1. El ABC de la CiberseguridadAprovechemos las oportunidades
Arquitectura de seguridad Seguridad en la arquitectura
Soluciones específicas de seguridad para proteger nuestros
sistemas de información
Capacidades de seguridad inherentes a los activos que
conforman las tecnologías de la información, habitualmente:
• Elementos de red
• Aplicaciones
• Bases de datos
• Sistemas operativos
1. El ABC de la CiberseguridadFormación y concienciación, el gran olvidado
Debido a los riesgos a los que se ven expuestas las organizaciones, hoy en día, es más necesario que nunca, desarrollar una cultura de ciberseguridad entre los empleados en alineamiento con las políticas de la empresa.
El objetivo de la concienciación no es convertir a los empleados y directivos en expertos en seguridad de la información.
El objetivo es trasladar las mejores prácticas en materia de seguridad para que adopten pautas de comportamiento seguro en los distintos entornos en los que desempeñan su actividad profesional. De esta forma mejora la cultura de seguridad de la organización, permitiendo que sean los mismos empleados y directivos quienes extiendan estas pautas tanto en su ámbito personal, como profesional.
Ingeniería social
Phishing
Redes sociales
Gestión de cuentas
Navegación segura
Redes WIFI inseguras
Copias de seguridad
…
1. El ABC de la CiberseguridadModelo de Gobierno
Modelo proactivo de seguridad
Estrategia corporativa
Políticas
Normativas y procedimientos
Requisitos
Estrategia
Tecnologías de la información
Misión y
procesos de
negocio
Organización
Métricas
Alineamiento con el negocio. La estrategia de TI debe cubrir las principales necesidades actuales y futuras del negocio, y consecuente con el rol que juega TI en la organización y con sus capacidades actuales.
Políticas y procedimientos
Formación y concienciación
Análisis de riesgos
Inventariado y gestión de
activos
Controles de seguridad
Gestión de vulnerabilidades
Respuesta e incidentes
Lecciones aprendidas
1. El ABC de la CiberseguridadRoadmap
Entender la situación actual de nuestro entorno
Definir nuestro perfil de riesgo
(análisis preliminar de riesgos)
Priorizar los riesgos
Entender la nuestra situación
actual (análisis detallado
de riesgos)
Identificar las
acciones de mejora
Priorizar y planificar
Coste
Foco
CiberejerciciosAuditorías y
Certificación
Diagnósticos
de Seguridad
Avanzado
Modelo
Evaluación de
Capacidades y
Planes Directores
1. El ABC de la Ciberseguridad¿Cómo identifico mi situación actual?
1. El ABC de la CiberseguridadDesafíos del 2019 para las PYMES
Evalúe su perfil de riesgo
Identificar y evaluar la postura de seguridad de una organización y trazar una estrategia de ciberseguridad en consecuencia.
Ofrecer formación continua sobre ciberseguridad a los empleados
Implemente una formación continua sobre ciberseguridad para garantizar que los trabajadores puedan estar al día de las últimas amenazas cibernéticas.
Realice simulaciones de phishing
Realice simulaciones regulares de ataques de phishing para aumentar el conocimiento de los diferentes métodos de phishing.
Desarrollar una estrategia de BYOD
Utilice una combinación de políticas de control de dispositivos, seguridad a nivel de dispositivo y formación en seguridad de la fuerza de trabajo móvil para
asegurarse de que los trabajadores puedan beneficiarse de las políticas de traer su propio dispositivo (BYOD) sin poner en peligro los datos confidenciales
de una organización.
Prepare un plan de respuesta ante incidentes que involucren información personal
Desarrolle un plan de respuesta que incluya a expertos en seguridad a los que llamar y un plan de comunicación para notificar a los clientes, a los
empleados y al público o clientes.
Realice copias de seguridad de los datos críticos
Realice copias de seguridad de los datos regularmente con datos duros y versiones fuera de línea.
1. El ABC de la CiberseguridadConclusiones
Es importante gestionar la seguridad como un proceso incluido en la gestión del riesgo corporativo.
Una organización ciber-resiliente combina las capacidades técnicas y organizativas para reaccionar con rapidez ante cualquier amenaza, lo que permite minimizar los daños y garantizar la continuidad de negocio.
Debemos adoptar las medidas técnicas y organizativasnecesarias para garantizar la continuidad de negocio incluso en situaciones de crisis.
En la actualidad el ánimo de lucro de los ciberdelincuentes y la rápida evolución de las amenazas hacen cada vez más difícil garantizar la seguridad de las empresas
Ciberseguridad Industrial
2. Ciberseguridad industrialOT vs IT
Sistemas de Control
Sistemas TI
IIoT IoT
Redes perimetrales
• Sistemas de control industrial (PLC, DCS, SCADA) & I/O
• Sensores (temperatura, presión, flujo, etc.)
• Cámaras, escáneres, etc.• Sistemas embebidos
(robots, analizadores, etc.)
Gestión de procesos físicos Gestión de información
• PC• Servidores• Dispositivos móviles• Etc.
• Alarmas• Climatización• Asistentes personales• Máquinas de vending• Sistemas de sonido• Etc.
2. Ciberseguridad industrialParticularidades de entornos OT frente a IT
Rendimiento
En tiempo real
Bajo ancho de banda
Los retrasos no son aceptables
Tiempos de respuesta ante
incidentes críticos
Disponibilidad
Es habitual disponer de
sistemas redundados
La gestión de vulnerabilidades no es prioritaria,
cualquier cambio o reinicio requiere planificación con mayor antelación
Gestión de riesgos
La seguridad de las personas es clave
La tolerancia a fallos puede ser
crítica
Riesgos regulatorios,
medioambientales, pérdida de vidas, equipamiento o
producción.
Flexibilidad
Los sistemas de control industrial
están habitualmente limitados en
cuanto a HW para soportar
características de seguridad
No es recomendable
realizar auditorías sobre sistemas en
producción.
Comunicaciones
Protocolos propietarios y
estándar
Mayor diversidad de tecnologías
Normativa
Normativas específicas y/o
sectoriales
Tiempo de vida
10-15 años
2. Ciberseguridad industrialProducción continua vs discreta
Las industrias manufactureras suelen estar ubicadas dentro de un área confinada centrada en una fábrica o planta, en comparación con las industrias de distribución que se encuentran geográficamente dispersas.
Las comunicaciones en las industrias manufactureras suelen realizarse utilizando tecnologías de red de área local (LAN) que suelen ser más fiables y de alta velocidad en comparación con las redes de área extendida (WAN) y las tecnologías inalámbricas/RF (radiofrecuencia) de comunicación a larga distancia utilizadas por las industrias de distribución.
Los sistemas de control industrial utilizados en las industrias de distribución están diseñados para manejar desafíos de comunicación de larga distancia tales como retrasos y pérdida de datos planteados por los diversos medios de comunicación utilizados. Los controles de seguridad pueden variar según el tipo de red.
2. Ciberseguridad industrialUna amenaza creciente
Los entornos industriales se han visto cada vez más amenazados en los últimos años, debido en gran parte a:
• La estandarización de tecnologías IT en el ámbito industrial
• Proliferación del acceso web a los sistemas SCADA
• Adopción de paradigmas como cloud, móvil, BYOD, IIoT, I40.0
• Hoy en día casi cualquier dispositivos dispone de conexión RJ45 y funciona bajo ethernet
• No siempre es posible desplegar las mismas contramedidas que en IT
Perímetro de red no definido
Puertos físicos accesibles
Seguridad por oscuridad
Configuraciones por defecto
Integración con IT
Virus
MalwareVulnerabilidades conocidas
Los sistemas de control y automatización industrial 4.0 comparten características con los sistemas TI
Problemas de seguridad de los sistemas de Automatización Industrial “tradicionales”
2. Ciberseguridad industrialUna amenaza creciente
• En Ucrania, un ataque a una empresa energética dejó sin electricidad a más de 80.000 personas.
• Otro incidente en una empresa gestora de agua, permitió a intrusos cambiar las niveles de los compuestos químicos utilizados para tratar el agua potable.
• En Polonia, un ataque dejó en tierra a más de 1.400 pasajeros del aeropuerto Frederic Chopin Airport.
• En Alemania, un grupo de hackers tomó el control del software de producción de una acería causando significativos daños materiales a las instalaciones aumenta.
2. Ciberseguridad industrialUna amenaza creciente
2. Ciberseguridad industrialUna amenaza creciente, también en España
• En 2018, se publicaron (incibe) 228 avisos de vulnerabilidad relacionados con el sector industrial, frente a los 199 de 2017.
• Las vulnerabilidades relacionadas con la obtención de información se mantienen como las más numerosas
• Es necesario destacar también los avisos producidos por vulnerabilidades relacionadas con el uso de hash de contraseña generado con esfuerzo computacional insuficiente y las peticiones directas a recursos web
• Muchos de los avisos hacen referencia a vulnerabilidades que son explotables de forma remota.
• España es el quinto país del mundo con más sistemas de control industrial conectados a internet (Shodan)
https://www.incibe-cert.es/blog/seguridad-
industrial-2018-cifras
2018
2. Ciberseguridad industrialUna amenaza creciente, también en España
• En 2016 se detectaron 479 incidentes de ciberseguridad en infraestructuras críticas situadas en España, un aumento del 357% respecto a 2015 según el Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC)
• Los incidentes más frecuentes son los que no dejan huella (por ejemplo, robo de información) que no descubrimos hasta pasados meses, años, o nunca
2. Ciberseguridad industrialPrincipales riesgos de los entornos OT
1 Arquitectura de red mal definida
2 Shadow OT, BYOD, medios extraíbles
3 Vulnerabilidades no parcheadas
4Protocolos, comunicaciones o mecanismos de autenticación inseguros
5 Configuraciones inseguras por defecto
1
2
3
6
4
6 Software o hardware de terceros comprometido
57 Conexiones remotas
7
8 Spear Phishing
2. Ciberseguridad industrialPrincipales medidas en entornos OT
Implementa un acceso remoto seguro (1%)
Monitoriza y responde (2%)
Gestiona la autenticación (4%)
Definir una arquitectura de red segura (9%)
Reducir la superficie de ataque (17%)
Gestión de vulnerabilidades (29%)
Whitelisting de aplicaciones (38%)
Percentage of ICS-CERT FY 2014 and FY 2015 Incidents Potentially Mitigated by Each Strategy
2. Ciberseguridad industrialPrincipales riesgos de los entornos OT
Hasta ahora hemos estado mirando hacia otro lado.
Estábamos seguros porque nuestras redes estaban aisladas. Y es lógico que alguno piense, que la solución es no conectarla. Pero todo lo contrario, debemos aprender a conectarla de forma segura para poder aprovechar las ventajas de la industria 4.0
2. Ciberseguridad industrialDefensa en profundidad
Gobierno y gestión de
riesgos
Seguridad Física
Arquitectura de red segura
Seguridad perimetral e
interna
Seguridad en los Host y
aplicaciones
Monitorización de la
seguridad
Gestión de proveedores
El elemento humano
La defensa en profundidad como concepto se originó en la estrategia militar de proporcionar barreras para impedir que los intrusos alcancen sus objetivos mientras monitorean su progreso y desarrollan e implementan respuestas al incidente con el fin de repelerlos.
La defensa en profundidad no es una sola cosa, sino una combinación de personas, procesos tecnología y conocimiento del adversario.
La aplicación de estrategias de defensa en profundidad a entornos ICS mejora la seguridad al aumentar el "coste" de una intrusión y, al mismo tiempo, la probabilidad de detección y la capacidad de defenderse frente un atacante.
2. Ciberseguridad industrialDefensa en profundidad: Gobierno y gestión de riesgos
Alineamiento con el negocio. La estrategia de TI debe cubrir las principales necesidades actuales y futuras del negocio, y consecuente con el rol que juega TI en la organización y con sus capacidades actuales.
Políticas y procedimientos
Formación y concienciación
Análisis de riesgos
Inventariado y gestión de
activos
Controles de seguridad
Gestión de vulnerabilidades
Respuesta e incidentes
Lecciones aprendidas
Modelo proactivo de seguridad
Estrategia corporativa
Políticas
Políticas y procedimientos
Requisitos
Estrategia
Tecnologías de la información
Misión y
procesos de
negocio
Organización
Métricas
2. Ciberseguridad industrialDefensa en profundidad: Seguridad Física
• Control de acceso a las instalaciones
• Control de acceso a la sala de servidores y a las instalaciones
• Acceso a la sala de servidores
• Autenticación de múltiples factores (por ejemplo, tarjeta de acceso, número de identificación personal y de tarjeta (PIN) o biométrico) para el acceso físico
• Monitoreo de instalaciones mediante cámaras, detectores de movimiento
• Alerta para la manipulación de dispositivos, como la extracción de la energía eléctrica, restablecimiento de dispositivos, cambio de cableado o la adición/uso de dispositivos de medios extraíbles
• Requisitos y procedimientos de escolta de visitantes.
• …
2. Ciberseguridad industrialDefensa en profundidad: Arquitecturas de red seguras
2. Ciberseguridad industrialDefensa en profundidad: Seguridad perimetral e interna
• Firewalls (IT/OT)
• Diodos unidireccionales
• Acceso remoto y autenticación
• Máquinas de salto
• …
2. Ciberseguridad industrialDefensa en profundidad: Seguridad en los Host y aplicaciones
• Gestión de identidades y accesos
• Desarrollo seguro
• Gestión de vulnerabilidades y parcheado
• Bastionado de equipos de planta o entornos virtuales
• Soluciones de protección: HIDS, antimalware, anti-exploit, firewall local etc.
• …
2. Ciberseguridad industrialDefensa en profundidad: Monitorización de la seguridad
• Sistemas de detección de intrusiones en red
• Registro y auditoría de logs
• Monitorización de eventos
• Gestión de incidentes
IEC 60870-5-104
2. Ciberseguridad industrialDefensa en profundidad: Monitorización de la seguridad
• Cambios en el Firmware de los PLC
• Latencia en las respuestas de los PLC
• Cambios en el Firmware del HMI
• Login fallido en el HMI
• Creación de cuentas de usuario en el Sistema Operativo
• Incremento del “payload” de los paquetes de datos
• Cambios de dispositivos HW en PLC/RTU
• Vigilancia de la exposición a Internet
• Accesos VPN fallidos
• Accesos VPN desde ubicaciones extrañas (Países del Este)
• Cambios en las reglas de FW
• …
Correlación de eventos
2. Ciberseguridad industrialDefensa en profundidad: Gestión de proveedores
• Análisis de riesgos
• Requerimientos, normativas, auditorías y certificaciones
• Monitorización de los contratos, servicios y productos
• Mitigación de riesgos
• Medición y reporting
2. Ciberseguridad industrialDefensa en profundidad: El elemento humano
Muchas organizaciones pasan por alto las actividades de formación ysensibilización en materia de seguridad con más frecuencia que muchasotras áreas de las operaciones de ICS.
Los propietarios y operadores de OT confían en su conocimiento íntimodel sistema y de los procesos para asegurar el funcionamiento adecuadodel sistema, y normalmente asignan tiempo y recursos de formación sólopara fines relacionados con las funcionalidades del sistema.
A medida que los SCI están más interconectados y aumentan lasamenazas cibernéticas y las vulnerabilidades, es de vital importancia quelas organizaciones se aseguren de que necesiten y apoyen la capacitaciónespecífica de seguridad del SCI. Los implementadores de TI y losoperadores de OT deben saber cómo son los indicadores de compromisopotencial y qué medidas deben tomar para garantizar el éxito de unainvestigación cibernética. La dirección de TI y de SIC también deberíasaber qué pueden hacer para que el sistema sea más seguro, de modoque puedan tomar decisiones informadas con respecto a loscostes/beneficios de las medidas de protección que ponen en práctica.
2. Ciberseguridad industrialModelo de seguridad proactiva
Al proteger cualquier infraestructura deinformación, las prácticas de seguridad sólidascomienzan con un modelo de seguridadproactivo
El desarrollo de una estrategia sólida deDefensa en Profundidad comienza con lagarantía de que existan políticas yprocedimientos para guiar los comportamientosesperados y establecer pautas para capacitar alas personas a fin de que puedan realizar sutrabajo de manera segura.
Políticas y procedimientos
Formación y concienciación
Análisis de riesgos
Inventariado y gestión de
activos
Controles de seguridad
Gestión de vulnerabilidades
Respuesta e incidentes
Lecciones aprendidas
Modelo proactivo de seguridad
2. Ciberseguridad industrialConclusiones
Aumento constante de la superficie de Ataque: incremento de los sistemas de automatización, acceso directo o remoto a los sistemas, nuevos canales de gestión y monitorización
Creciente interés de los ciberdelincuentes en el sector industrial: Una mayor rentabilidad y menores riesgos hacen que los ciberdelincuentes tengan como objetivo el sector industrial
Subestimamos el nivel de amenaza, la falta de información, la ausencia de concienciación en esta materia hacen que subestimemos la gravedad de la situación
Dificultad para la implantación de medidas de seguridad derivadas de la complejidad de los sistemas industriales hacen que estos, no siempre estén protegidos de forma adecuada
2. Ciberseguridad industrialDificultades
Cuando abordamos proyectos de ciberseguridadindustrial normalmente podemos encontrarnos algunas“dificultades”:
• Es complicado identificar a todas las áreas con las quees necesario entrevistarse.
• Los Ingenieros de Seguridad desconocen laterminología de los Ingenieros industriales (no hablanel mismo lenguaje).
• En ocasiones se oculta información o no se muestratoda por miedo a “reprimendas”.
• Aversión a los cambios. No todo el mundo estádispuesto a aceptar que se deben hacer cambios.
2. Ciberseguridad industrial¿Es complicado para un atacante encontrar dispositivos industriales?
2. Ciberseguridad industrial¿Es complicado para un atacante encontrar dispositivos industriales?
BMXP342020 processor module M340 - max
1024 discrete + 256 analog I/O - Modbus -
Ethernet
2. Ciberseguridad industrial¿Es complicado para un atacante encontrar dispositivos industriales?
BMXP342020
processor module M340
- max 1024 discrete +
256 analog I/O -
Modbus - Ethernet
1. Ciberseguridad en etornos ERPConoce a tu atacante
Ciberseguridad en entornos ERP
3. Ciberseguridad en entornos ERPIntroducción
En una organización el ERP es el corazón de cualquier empresa. Estas aplicaciones son aplicaciones de misión críticas ya que soportan procesos organizativos cruciales.
Cuando se trata de la seguridad de los sistemas ERP, la monitorización en tiempo real de las amenazas es la única forma de detectar brechas y responder de manera efectiva.
• Descubre si los usuarios están haciendo un mal uso de sus accesos.
• Detecta si un atacante está intentando acceder a tus sistemas SAP.
• Cumple con los requisitos de auditoría.• Al detectar un ataque, toma las medidas adecuadas
para bloquearlo e investigar el incidente de seguridad para evitar la recurrencia.
• Conecta los eventos de seguridad con otros sistemas
3. Ciberseguridad en entornos ERPEntornos SAP
3. Ciberseguridad en entornos ERPEntornos SAP
En los últimos años hemos observado como los ataques informáticos provocaban grandes pérdidas a conocidas empresas, a las que le robaron información de +500Mde registros.
Estos ataques no han sido hechos aislados, los estudios indican que los ataques no han hecho más que empezar.
Nuestro ERP también se puede ver afectado por vulnerabilidades y nuevos ataques. Ataque que pueden venir desde el exterior o desde el interior de nuestra organización (insiders) por esta razón debemos estar preparados.
3. Ciberseguridad en entornos ERPPrincipales riesgos
IT A
UD
IT A
REA
1
2
3
4
5
User – and authorization administration
Password Settings
Critical System Users
Authorization, development, test and release process
Development Controls
SAP S
YSTEM
6Development and programming
guidelines
Según la consultora KPMG en Alemania y después de realizar una gran cantidad de auditorías de seguridad podemos observar que los puntos de mejora son muy similares a cualquier entorno de TI.Por tanto, es de esperar que los atacantes intenten abordar primero estas vulnerabilidades.
Mediante una monitorización continua de SAP podríamos tener siempre un nivel aceptable de la seguridad, evitando así la gran mayoría de ataques comunes.
3. Ciberseguridad en entornos ERPPreocupación por la seguridad en entornos SAP
https://www.all-about-security.de/fileadmin/micropages/Studien/Trends_in_SAP_Cybersecurity_Final.pdf
No sólo los ataques a sistemas TI se están incrementando sino que están aumentando también contra los sistemas SAP.
Sin embargo, muchos altos ejecutivos están desestimando el riesgo que supone este aumento de ataques contra los sistemas SAP.
Tal y como se muestra en la figura siguiente, sólo el 21% de los encuestados están liderando alguna actividad relacionada con la seguridad de SAP.Al igual que, según el mismo informe, tampoco existe una persona responsable de velar por la seguridad de los sistemas SAP en las organizaciones.
3. Ciberseguridad en entornos ERPERP en entornos Cloud
3. Ciberseguridad en entornos ERPCiberdefensa en profundidad, aplicaciones
Cloud
Redes y comunicaciones
Puesto de trabajo
Aplicaciones
Infraestructura
Información
Go
bie
rno
3. Ciberseguridad en entornos ERPCiberdefensa en profundidad, aplicaciones
Gobierno
Operación
Configuración
Desarrollo
Infraestructura
Gobierno de la seguridad
AuditoríaCumplimiento
NormativoPolíticas
Gestión de usuarios Perfilado de usuariosAutenticación y single
sign-on
Monitorización y operación de la
seguridad
Configuración Segura Comunicaciones e integraciones Seguridad del dato
Mantenimiento de la seguridad del código de SAP Seguridad del código personalizado
Seguridad de Red Seguridad de SO y BBDD Seguridad del front-end
3. Ciberseguridad en entornos ERPOperación
OperaciónEl diseño de seguridad eficaz se logra a través de la convergencia 4 pilares fundamentales a nivel de operación:
1. Gestión de usuarios: procesos de alta baja y modificación de usuarios, gestión de usuarios privilegiados
2. Perfilado de usuarios: segregación de funciones y principio de mínimo privilegio.
3. Mecanismos de autenticación: seguridad de contraseñas, autenticación en 2 pasos, etc.
4. Monitorización y operación: monitorización de accesos, analítica de comportamiento, gestión de vulnerabilidades, etc.
3. Ciberseguridad en entornos ERPBastionado y arquitecturas seguras
Para evitar que los atacantes pongan en
peligro el sistema ERP se requiere un
enfoque holístico de la seguridad.
Este método requiere tener en cuenta
todas las capas del sistema ERP
La falta de seguridad de una capa podría
poner en peligro la seguridad de todo el
sistema.
Configuración Infraestructura
3. Ciberseguridad en entornos ERPConclusiones
Hay 3 áreas que deben tenerse en cuenta para proteger a una empresa de ataques de diferentes tipos. Desde este punto de vista, hay tres tipos de medidas defensivas, que se recomiendan como un enfoque gradual
PERSONAS CON INFORMACIÓN PRIVILEGIADA Y CONTROL DE ACCESO INADECUADO
1. Comprobaciones básicas de control de acceso y políticas de contraseñas
2. Segregación de las tareas de control
3. Monitorización de transacciones y análisis del comportamiento de los usuarios
LAS PUERTAS TRASERAS DEL SOFTWARE Y EL DESARROLLO INSEGURO
1. Separación de entornos de desarrollo, prueba y producción
2. Escaneo y corrección de código para vulnerabilidades y puertas traseras
3. Parcheo virtual y/o autocorrección para vulnerabilidades de código
VULNERABILIDADES Y ERRORES DE CONFIGURACIÓN DE LA PLATAFORMA
1. Evaluación de vulnerabilidades, pruebas de penetración o evaluación de seguridad
2. Monitorización continua de los problemas de seguridad: análisis en profundidad de la configuración y programa de gestión de vulnerabilidades con análisis de riesgos y soluciones.
3. Detección de amenazas y monitoreo de eventos
wwwwww.transformaciondigital.gob.es
