CCI presente en la Ciberseguridad Industrial Vasca

Una de las cosas que puede apreciarse, sin duda alguna, dentro del amplio tejido empresarial de la Comunidad Autónoma Vasca es la fuerte presencia industrial que existe en cualquiera de los tres territorios históricos. Automoción, máquina herramienta, metalurgia, centros de investigación, aeronáutica, fabricantes de componentes para el tratamiento de fluidos, metal, y parques tecnológicos, están presentes, entre muchos otros sectores y actividades, a lo largo y ancho de esta geografía. Coincide además, las distintas iniciativas por parte de Gobierno Vasco y Diputación Foral de Guipúzkoa no sólo en materia de Industria 4.0 sino en Ciberseguridad, siendo reflejo de ello la puesta en marcha del Centro Vasco de Ciberseguridad y el Centro Avanzado de Ciberseguridad Industrial.

El Centro de Ciberseguridad Industrial , primero de estas características nacido en marzo de 2013, sin subvenciones, independiente,  sin ánimo de lucro, y cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad Industrial, ha querido comenzar este 2018 llevando a cabo sus actividades en Euskadi no sólo por aquellas propias sino además como invitado en alguna otra.

Por orden cronológico, el día seis de marzo, estaré presente como Coordinador del País Vasco en el congreso “IndusSec: Ciberseguridad para la Industria”  dando una ponencia titulada “Aspectos diferenciales de la seguridad OT  respecto a la seguridad IT”. En ella abordaré las divergencias existentes entre las distintas aproximaciones y porqué han de ser abordadas bajo estrategias propias. El registro es gratuito y aforo limitado. Un auténtico placer ya que el año pasado acudimos como espectadores y en esta edición estaremos compartiendo las experiencias profesionales adquiridas a lo largo de estos años.

Ya dentro del programa de actividades propias para este 2018, el día 21 de marzo en horario de 08:00 a 14:00, se celebrará en Bilbao el encuentro “La Voz de la Industria Vasca” donde se presentarán los resultados preliminares del estudio sobre la ciberseguridad en la industria vasca, contando con la presencia del Director del Basque Cybersecurity Centre, Javier Diéguez. Luego empresas y colaboradores darán ponencias sobre temáticas diversas a todo los presentes. Más información aquí.

Coincidiendo con el evento anterior, además, se llevará a cabo un curso práctico dirigido a “Responsables de Ciberseguridad en Infraestructuras Críticas Industriales”. El mismo se celebrará el mismo día 21 en horario de 16:00 a 18:30 y el 22 de 08:30 a 17:40. Dentro del temario a impartir se abordarán temas como consecuencias de los riesgos tecnológicos, ciberseguridad industrial y protección de infraestructuras críticas, definiciones de estrategia, protección, entre otros. En esta ocasión será nuestro Director, José Valiente y Responsable de Gobierno Corporativo y Estrategia, Miguel García-Menéndez los encargados de impartir cada uno de los módulos.

Pero además de lo anterior no podía dejar pasar de citar la creación de la primera “Escuela Profesional de Ciberseguridad Industrial”, la cual nace con el doble objetivo de proporcionar una formación profesional de calidad con un enfoque práctico y la flexibilidad que necesitan los profesionales y sus organizaciones. Para mí es un orgullo, igualmente, formar parte del equipo de profesorado y sumarme a este excelente proyecto junto compañeros de profesión y amigos. Podéis encontrar toda la información aquí.

Así pues, tanto si residís en esta estupenda tierra como es Euskadi como si decidís venir a descubrirla, no os podéis perder alguno de los eventos en el mes de marzo se llevarán a cabo en materia de Ciberseguridad. ¡Os esperamos!

¡Un saludo!

IX Congreso Internacional de Ciberseguridad Industrial. Fortinet & Nozomi Networks.

Los pasados 4 y 5 de octubre se celebró en Madrid el IX Congreso Internacional de Ciberseguridad Industrial organizado por el Centro de Ciberseguridad Industrial. En él, un año más, se dieron cita profesionales, expertos e instituciones con el fin de compartir dos jornadas cargadas de puntos de vista, investigaciones, nuevas líneas de productos, casos de éxito, mesas redondas y momentos para el networking empresarial donde intercambiar y hacer nuevos contactos.

A diferencia de las dos ediciones anteriores, este año acudía no sólo como espectador sino, además, como ponente. Allá por el mes de mayo tuve la oportunidad de participar en “La voz de la Industria”, pero esta vez tocaba hacerlo con proyección internacional.

Dicha ponencia se hizo en conjunto con miembros del equipo de profesionales de  GrupoCMC,  Fortinet y Nozomi Networks siendo cada uno de ellos Jose Luis Laguna, Director Técnico de Fortinet Iberia; Antonio Navarrete, Ingeniero Pre-venta; y Edgar Capdevielle, como CEO de ésta última y un servidor como GrupoCMC.

El tema de nuestra presentación era “Demostración práctica de protección de un escenario de automatización industrial” donde simulamos el funcionamiento de una presa hidroeléctrica empleando para securizarla con equipos específicos como Fortinet Fortigate Rugged 90D y solución SCADAGuardian. Ahora bien, ¿cuál fue nuestro discurso para ver la necesidad de ambos? Comencemos.

Bajo mi punto de vista y basándome en lecciones aprendidas (prácticas, no teóricas) en proyectos planteamos que la actualización de equipamiento porque sea más seguros no es una prioridad. Las empresas no los cambian porque incorporen tal o cual medida de seguridad, lo hacen porque la función que realicen lo requiera. Además, puede no es fácil llevarlas a cabo ya que la implementación de unas u otras tecnologías puede necesitar ventanas de tiempo amplias. Por ejemplo, pensemos una migración de una arquitectura RS-485 a una Ethernet. En otro orden, por muy planificados que estén los trabajos, cualquier intervención no deja de introducir un riesgo que desemboque en un impacto en la actividad siendo éste inasumible.

Es por ello que la Seguridad Perimetral sigue siendo la primera medida. ¿Por qué? Porque permite reducir los riesgos en una primera instancia sin la necesidad de actuar sobre esos equipos finales desactualizados, sin soporte en algunos casos, sin compatibilidad con soluciones de seguridad, con largos ciclos de vida, que por su criticidad sea inviable actuar sobre ellos para aplicar parches, con desarrollo de aplicaciones propias, y un largo etcétera. Además, permite atajar la propagación de amenazas o incidentes a través de filtrado de tráfico junto con funciones avanzadas como Control de Aplicación, Antivirus, Filtrado Web o IDS/IPS. Sí filtrado web. Hay equipos que permiten ciertas funcionalidades a través de servidores web embebidos a los que les pueden afectar las mismas vulnerabilidades con la dificulta que, o no pueden ser corregidas, o supone la actualización completa de firmware o software.

Por supuesto, esto último respaldado con un buen diseño y arquitectura de red ya que de nada nos sirve incorporar un equipo último modelo, si luego tenemos una red plana o enrutada…

Aparte de lo anterior, otra de las necesidades que veíamos era la inclusión de medidas en materia de visualización y monitorización. No me refiero a solucione SCADA, sino a nivel de red. De tráfico.

La Industria 4.0 trae consigo una buena cantidad de beneficios no sólo por los avances tecnológicos como fabricación aditiva, robótica colaborativa, simulación, etc. sino la inclusión de las Tecnologías de Información para mejorar los procesos convirtiendo las fábricas en más productivas, competitivas, eficientes energéticamente, etc. Esto requiere tener una visión de lo que ocurre en nuestras instalaciones, consiguiéndose mediante la recolección de información tanto en tiempo real como en cortos espacios de tiempo y a partir de ahí corregir desviaciones o tomar otro tipo de medidas. Ahora bien, para alcanzar ese propósito los equipos deben de estar interconectados y en el momento que esto se produce, todos comienzan a estar expuestos. Y como bien sabemos, una medida para reducir los riesgos es reducir justamente el grado de exposición.

Junto con ello los flujos de tráficos deben ser un reflejo del proceso. Nada que no forme parte de la actividad propia, debe existir. Sólo lo estrictamente necesario.

La contextualización de la información también debe estar presente. Tenemos que tener una visión amplia de lo que sucede. Si hablamos de una fábrica de producción en serie, el fallo en un equipo instalado en una línea a priori no debería afectar a otra. Pero si ese problema no se resuelve dentro de los tiempos máximos podría dejar de suministrar piezas o material a esta última provocando unas consecuencias mayores.

Finalmente, conviene diferenciar entre información e inteligencia sobre amenazas. Debemos pararnos a pensar que no toda la información que obtenemos con esta monitorización puede ser del todo útil. Por ello cara a recolectar datos debemos analizar la calidad de la información; su origen; cantidad; relevancia para la organización, sistemas y entorno; capacidad para recolectar, correlar o analizar; y finalmente, cómo la aplico. Es decir, si no hago nada con ella, ¿para qué conseguirla?

Si sumamos ambos aspectos, por un lado, la seguridad perimetral y por otro la necesidad de monitorización, es que encontramos el beneficio de contar ambos productos destacando entre otros aspectos:

Fortinet Fortigate:

  • Gama productos específicos para entornos industriales.
  • Diseño rugerizado capaz de soportar entornos hostiles con polvo, humedad y temperatura muy superiores a entorno IT tradicional.
  • Electrónica de alto rendimiento.
  • Integración con soluciones de gestión centralizada.
  • Deep Packet Inspection sobre protocolos industriales.
  • Montaje sobre carril DIN y alimentación por fuentes de alimentación externas.

Nozomi SCADAguardian:

  • Solución diseñada para entornos industriales.
  • Identificación de activos y protocolos
  • Detección de anomalías en flujos y tipos de tráficos.
  • Instalación pasiva no introduciendo latencias adicionales.
  • Evaluación de vulnerabilidades a partir de información recolectada.
  • Detección de amenazas, riesgos e incidentes.
  • Variedad de paneles de control y generación de informes para análisis y labores forenses.

Sin embargo, el mayor de los beneficios está por anunciar. Y es que a pesar de los beneficios de ambos por separado, tanto Fortinet  como Nozomi Networks han alcanzado un grado de integración tal que, en caso de SCADAguardian detecte una anomalía a partir del análisis de tráfico, puede interactuar de forma automática con los equipos Fortigate configurando una regla en los firewalls que deniegue el tráfico anómalo identificado.

Esto introduce un grado adicional de protección ya que permite atajar cualquier incidente en el mismo instante que se produce reduciendo así el tiempo transcurrido desde que una amenaza es detectada, interpretada, valorado el alcance, puesta en marcha su mitigación, resolución y extraídas las conclusiones. Sin embargo, esto no es fácil ya que lleva aparejado una importante labor desde el punto de vista que debemos conocer qué activos y protocolos tenemos en nuestra organización para saber cuáles son legítimos o cuales no; definir tendencias y patrones; sopesar de qué forma SCADAguardian va interactuar con los Firewalls, esto es, bloquear IPs, cerrar sesiones, y un largo etcétera.

Como decía anteriormente para demostrar este valor añadido, ideamos una réplica de lo que podría ser una presa hidroeléctrica. En la imagen siguiente se ve el esquema de la simulación en la que aparece un taque donde se acumula el agua. Luego, se abre una electroválvula que, al abrirse, deja pasar el agua haciendo mover una turbina que es la que genera electricidad para  ser almacenada en el tanque inferior. Finalmente, se acciona una bomba que impulsa de nuevo el agua al tanque superior, para volver a repetir el proceso.

La lógica está gestionada por un equipo TRIDIUM JACE el cual cuenta con una interfaz web para labores de administración. Tanto la electroválvula como la bomba están conectadas al equipo TRIDIUM SEDONA el cual recibe las órdenes de abrir/cerrar y paro/arranque del JACE por medio del protocolo ModbusTCP.

Y todo ello en la realidad quedó en….

Así pues, lo que se hizo en vivo y en directo fue llevar a cabo un ataque sobre el TRIDIUM Sedona enviando paquetes específicos ModbusTCP desde un PC que provocada el paro de la bomba o el cierre de la electroválvula. Esto es posible debido a la falta de medidas de seguridad nativas de dicho protocolo.

Más tarde, para ver la efectividad de ambas soluciones trabajando conjuntamente se incorporó el equipo SCADAguardian el cual recibía el tráfico desde un puerto espejo de un FortiSwitch. Luego tras la integración de Fortigate Rugged 90D en aquél, se repitió nuevamente el ataque no teniendo éxito ya que al considerarse que provenía de un equipo no legítimo, SCADAguardian lo consideraba como “malicioso” enviando la orden al Firewall de la generación de una regla que lo cortase. Impedía así que llegase el paquete al TRIDIUM Sedona y por tanto evitando el cierre o paro de los dispositivos.

Obviamente este fue una prueba de concepto, sin embargo en un entorno real esta tarea llevaría más tiempo. Sería necesario dejar aprender durante unos días o semanas el comportamiento de la red para poder establecer qué tráficos son buenos y cuáles no. También la manera en la que queremos que se comporte el Cortafuegos, esto es, cortar sesiones, bloquear IP, etc. etc.

A continuación os dejo un video elaborado por Fortinet donde se explica todo ello. ¡Excelente!

Quedamos muy satisfechos con la exposición ya que aparte de lo original, práctico y puesta en escena todo salió muy bien. No quería pasar por alto agradecer a mis compañeros de GrupoCMC que diseñaron la interfaz gráfica y metieron horas para que todo saliese en esta línea. Sin ellos, su conocimiento, experiencia y sobre todo su actitud; esto no hubiera sido posible. Como no, a Jose Luis, Antonio y Edgar por los esfuerzos, trabajo e iniciativa; a Jose Valiente, Miguel García-Menéndez y Susana Asensio por la organización de este congreso de referencia; y finalmente a los asistentes que esperamos fuese de su agrado esta exposición en la que se invirtió tanto tiempo como ganas de haber proporcionado una forma automática, rápida y eficiente de proteger nuestros entornos de control y automatización industrial sea cual sea su naturaleza o criticidad.

Un abrazo!!

Nuevo evento Asociación «EuskalHack», 17/02/17

La Asociación de Seguridad Informática del País Vasco, «EuskalHack» aparte de su Congreso Anual celebra de forma periódica una serie de eventos gratuitos con el fin de promover la cultura de la seguridad informática, fomentando así la acción social entre profesionales, investigadores y demás personas interesadas en estos temas.

El próximo 17 de febrero, tendrá lugar el local «Espacio Keler» de San Sebastián (Ramón María Lili Pasealekua, 2) el primero de este 2017.

El programa se basará en la presentación del congreso para este año, que se prevé sea de dos días a diferencia del de año pasado de uno. Si te quedaste con ganas, puedes hacerte una idea de lo que fue en esta entrada «Cronica: I EuskaHack Security Congress». La cosa para este año promete, y mucho, teniendo en cuenta los 3 reconocidos investigadores de talla internacional  que ya, a estas alturas, están confirmados:

Halvar Flake (@halvarflake)

Alexander Ionescu (@aionescu)

Steve Lord (@stevelord)

Tras la parada para el «Networking» será Joxean Koret (@matalaz) quién nos hable de «Cosa Nostra, un toolkit de clusterización de malware open source». Joxean, miembro de la Asociación también fue ponente del año pasado y, al igual que Halvar, Alexander y Steve, lo podemos encontrar en otras de primer nivel dentro y fuera de fronteras.

Nuevamente una paradita, y para terminar será Jesús Lizarraga (@JL_picard) de «Mondragon Unibersitatea» quién nos expondrá un tema tan actual como interesante «Ciberseguridad en Industria 4.0 ¿Debemos preocuparnos?» Deber + Preocupación + , Pregunta , uhmmmm suena muy pero que muy bien.

En fin, por ahora toca esperar….

Si bien el evento es gratuito, es necesario registro previo. El mismo lo podéis hacer desde aqui aunque es en su página Web, en concreto en su área de «Activiades» dónde encontraréis esta y más información.

El programa, para el próximo  día 17 queda resumido de la siguiente manera:

  • [17.10] Recepción de Asistentes
  • [17.30] Presentación EuskalHack Security Congress II
  • [18.00] Networking
  • [18:15] Ponencia: «Cosa Nostra» Un toolkit de clusterización de malware open source. Joxean Koret (staff member)
  • [19.00] Networking
  • [19.15] Ponencia: Ciberseguridad en Industria 4.0 ¿Debemos preocuparnos?.  Jesús Lizarraga (Mondragon Unibersitatea)
  • [20.00] Cierre

Así que ya sabéis, si os queréis acercar para pasar un buen rato y conocer gente nueva que comparta tus inquietudes tecnológicas, este día tienes una estupenda oportunidad para hacerlo. Mientras tanto puedes estar atento sobre las novedades en @EuskalHack.

Acercate! No te lo puedes perder!

Un saludo!