Defensa en Profundidad OT

En la entrada anterior escribía sobre el concepto de Defensa en Profundidad en entornos IT (pincha aquí) y lo finalizaba haciendo un par de preguntas sobre si el mismo concepto sería aplicable a entornos OT y si se presentan las mismas necesidades. Así que hoy con esta entrada espero dar respuesta a estas y otras preguntas.

En esencia podemos decir que el concepto de “Defensa en Profundidad” es equiparable a ambos entornos, entendiéndolo como un modelo consistente en implementar una serie de medidas de seguridad con el fin de frenar la actividad de un usuario o software mal intencionado.

Estas medidas irán dirigidas en función de los activos que queramos proteger y que en el caso de IT y OT, son bien distintos. En el caso de entornos IT, lo principal es la información. Debemos evitar el robo, el acceso no autorizado, la pérdida, la confidencialidad, la integridad, etc. Sin embargo en entornos OT, nuestra premisa es garantizar la disponibilidad de nuestras instalaciones. Tendremos que impedir paradas en sistemas de producción, desastres medioambientales, accesos no autorizados a sistemas de control, etc. Desde un punto de vista gráfico sería:

El problema ha ido en aumento a medida que estas instalaciones han quedado expuestas a otras redes y entornos por el uso de buses de campo basados en Ethernet (Profinet, Ethernet/IP, Sercos, ModBus TCP, etc. ) o bien por el uso de tarjetas, o pasarelas, de otros basados por ejemplo en RS-485 (Profibus, DeviceNet, Canbus, etc.).

Otras de las razones, ha sido la necesidad de accesibilidad desde localizaciones remotas por medio de redes inseguras como Internet. Pensemos en RTUs (Remote Terminal Units) que recojan datos y que sean enviados un sistema SCADA para su tratamiento. O bien, que por cuestiones de mantenimiento sea necesario el acceso a un PLC para realizar algún tipo de cambio.

A esto hay que sumar la idea, de que estos dispositivos, autómatas programables, robots, maquinaria, estaciones de control, etc. han sido concebidos para ser útiles, no para ser seguros. Esta necesidad es relativamente reciente. Hasta la aparición de malware específico de este tipo de entornos e intrusiones en sistemas, no ha habido la necesidad ni de invertir ni de implementar medidas a este respecto. Sin embargo de un tiempo a esta parte, debido principalmente a medidas reactivas, no ha quedado más opción. Si bien distintos países han creado legislación para proteger sus Infraestructuras Críticas sobre distintos sectores aún queda un sector industrial que no entra dentro de esta definición pero que sin embargo no está exento de sufrir algún tipo de ataque. Sea como fuera, las redes industriales han ido quedando más visibles, tanto para lo bueno como para lo malo.

Así pues la estrategia para proteger instalaciones industriales implantando un modelo de distintas capas de protección quedaría representado gráficamente de la siguiente manera:

Dentro de este esquema, la organización deberá de seguir un proceso a través del cual se irán abordando distintas cuestiones, las cuales quedan resumidas en los siguientes puntos.

1.- Análisis de riesgos

Sin duda, es el primer paso a tomar. Un análisis de riesgos es el paso más importante cara a la administración de la seguridad tanto si hablamos de las instalaciones como de las máquinas en ella instaladas. Ayuda a la identificación y evaluación de los riesgos y peligros individuales. El contenido principal que todo análisis debe tener es:

  • Identificar los objetos amenazados.
  • Análisis del valor y daño potencial.
  • Análisis de amenazas y puntos débiles.
  • Identificación de medidas de seguridad ya implementadas.
  • Evaluación de riesgos.

2.-Definición de Roles y Procesos

Dentro de cada organización se han de finir una serie de figuras con unos roles en lo referente a la Gestión de la Seguridad. Se han de establecer responsabilidades y sobre todo los criterios bajo los cuales se basen decisiones como la aceptación de riesgos, importancia de eventos, coordinación de actores, evaluación de procesos, etc.

Estas personas han de pertenecer a distintos ámbitos, tanto de IT como de OT, componiendo un equipo donde cada cual aporte su experiencia y conocimiento. Trabajando coordinadamente y conjuntamente se reducirán las posibilidades de tener una brecha de seguridad.

3.-Seguridad de Planta

La seguridad de las instalaciones consiste principalmente en bloquear el acceso a dispositivos e instalaciones a personas no autorizadas. Alguna de estas pueden basarse en llaves físicas, tarjetas inteligentes, dispositivos biométricos, cámaras de seguridad, etc. Igualmente, se deben regular quién, de qué manera y si tiene que acceder, o no a tal o cuál espacio. Y tener los medios para trazar todo ello.

4.- Seguridad de red

Aquí dos conceptos básicos son los de la segmentación y separación de los entornos de Oficinas y Producción. Ambos deberán comunicarse, inicialmente, por medio de un firewall apoyado si es posible por un IDS/IPS. Para un nivel de seguridad efectivo deberíamos hablar de cortafuegos de próxima generación, NGFW.

Luego, en lo que respecta a las redes de “producción” se deberán segmentar en lo que en algunos casos se denomina “celdas”, “áreas de seguridad” y otros similares términos. Podemos entenderlas como unidades operativas e independientemente funcionales. Estas unidades podrán estar compuestas de un mayor o menor número de dispositivos y cada una de ellas tendrán sus propias políticas y equipos de seguridad que las proteja dentro del conjunto de redes de producción.

5.- Seguridad sobre sistemas y dispositivos

Este apartado se centra en la securización de los distintos elementos que se ubican en el área de producción, como pueden ser PLCs, PCs, HMIs, etc.

Entre las medidas a tomar estarían:

  • Control de acceso

El control de acceso debe aplicarse en tres direcciones. Una de ellas es el acceso a las configuraciones de los equipos, ya sean PLCs, estaciones de control, switches industriales gestionados, firewalls, etc. Otro, el “logon” al equipo; aunque sólo se necesite acceso a interfaces de sólo visualización o se desarrollen actividades aparentemente sin importancia. Finalmente, tendríamos el control a nivel de red como seguridad en puerto, control de MACs, sistemas NAC, etc. tanto a redes cableadas como inalámbricas.

  • Bastionado de los equipos.

En cuanto al bastionado de equipos lo podemos dirigir también en tres puntos clave. Por un lado reducir los servicios de red y aplicaciones a los estrictamente necesarios; dos, proteger las interfaces físicas como son los las tarjetas de red, puertos USB o interfaces Bluetooth; y tres las cuentas de usuario limitándose tanto en número como en permisos asociados a ellas. En cuanto a las aplicaciones una medida eficiente es la definición de una “Lista Blanca” donde se definan cuáles se pueden ejecutar y cuáles no. En resumen, lo que se denomina “WhiteListing”.

  • Gestión de Parches

En lo referente a este apartado deberíamos actualizar nuestros equipos, por un lado con las últimas versiones de Firmware, parches emitidos para los sistemas operativos (como norma general Microsoft Windows) y nuevas versiones de aplicaciones que puedan tener algún tipo de “bug” identificado. Cualquier cambio o actualización debe testearse en una primera instancia en un laboratorio o entorno de test antes de llevarse a producción.

  • Protección contra virus.

Este capítulo está dirigido a PCs. El uso de software antivirus supone una medida importante en lo que malware se refiere. Si por algún medio, código malicioso llegase a nuestros sistemas, podría ser eliminado siempre y cuando se encontrase en su base de firmas. Repito, si se encuentra en su base de firmas. Sin embargo puede no llegar a ser una solución eficiente, he aquí un artículo muy interesante.

  • Cifrado en las comunicaciones

Otras de las medidas que deberemos considerar es el cifrado en las comunicaciones. Dependiendo de las características de nuestra organización, podremos o deberemos implementarla. Todo depende qué nivel de confidencialidad o criticidad tendrá la información que viaje y si ésta lo hace a través de redes inseguras. El riesgo de no hacerlo, deberá ser evaluado y en función del resultado del análisis, se asumirá si el riesgo es aceptable, o no.

  • Monitorización

Este es otro de los puntos que ha de abordarse claramente. Deberemos diferenciar entre monitorizar la Disponibilidad y la Seguridad. En entornos industriales hemos de conocer el estado operativo de los equipos y en caso de fallo o anomalía tener el conocimiento de ello para poder remediarlo. Por ejemplo la ejecución de un “ping” puede ser suficiente para que en caso de no respuesta generar una alerta, y notificación. Sin embrago cuando hablamos de monitorización de la seguridad la cosa cambia. En este caso deberemos emplear soluciones de tipo SIEM. Este sistema se encarga de correlar los eventos generados por equipos de red y sistemas con el fin de detectar posibles anomalías referentes al estado de la seguridad. Estas soluciones conllevan una inversión importante con lo que estamos en las mismas circunstancias que en el caso del Cifrado de las Comunicaciones. Deberemos analizar el riesgo que supone su no implementación y si es asumible.

  • Revisión y mejoras

Una vez implementadas y puesto en marcha nuestro plan de seguridad, se han de realizar periódicamente revisiones de todas las medidas adoptadas.

La realización de auditorías internas es una obligación que los responsables han de llevar a cabo para reducir los riesgos ante nuevas amenazas y adoptar las medidas necesarias para mitigarlas. Aparte, se ha de tener en cuenta que las compañías pueden realizar cambios en cuanto a maquinaria, dispositivos y cualquier otro elemento, que deba ser incorporado dentro del plan y sometido a éste.

La seguridad, es un concepto “vivo”. El hecho de minimizar los riesgos a día de hoy no nos exime de ser objeto de un ataque mañana. Continuamente vemos cómo se descubren nuevas vulnerabilidades, se generan nuevos vectores de ataque o de como de se desarrollan nuevo malware para dispositivos de automatización y control industrial.

Como podemos comprobar existen muchas similitudes entre el concepto de “Defensa en Profundidad” entre los entornos IT y OT. En su esencia es el mismo para ambos, pero las medidas a adoptar no son las iguales. Por ejemplo, a un PLC no podremos instalarle ningún agente que nos supervise su comportamiento, algo que sí podremos hacer sobre PCs. Sobre estos últimos también hay que tener en cuenta la retrocompatibilidad de cierto tipo de software con sistemas operativos más antiguos.

Más adelante iremos adentrando más en alguno de estos puntos. Por ahora, tanto si te ha gustado la entrada, como si no, por favor deja un comentario. Te animas?

Un saludo, nos vemos en la siguiente.

Ciberseguridad Industrial, breve introducción…

Cuando hablamos de Ciberseguridad, generalmente lo hacemos desde el punto de vista tradicional de los entornos IT. Esto es, proteger de ciberamenazas, ciberdelincuentes, y demás términos de similar índole; la información contenida dentro de los sistemas información interconectados por medio de redes de comunicaciones de mayor o menor alcance. El objeto principal de custodia aquí es la información. Ésta puede venir de muy diversas maneras y formatos, desde un documento, hasta los registros en una Base de Datos, pasando por comprometedores correos electrónicos que por una razón u otra no interesa que salgan a luz.

Como decía, esto es el mundo IT. Ahora bien, ¿qué ocurre con los entornos OT? Aquí el principal activo no es la información sino la disponibilidad de las infraestructuras y la continuidad operacional de las instalaciones. Aquí los equipos a proteger no serán los servidores de ficheros, Bases de Datos, correo electrónico; sino los sistemas de Control y Automatización (IACS); Supervisión, Control y Adquisición de Datos (SCADA); Sensores, Actuadores, Autómatas Programables, etc. Aquí ya no es si se pierde o se compromete un dato; es qué pasa si las instalaciones dejan de funcionar por tal o cual motivo.

Así pues las “Operational Technologies”, o Tecnologías de Operación son los términos con los que nos referimos al conjunto de dispositivos, funcionalidades y procesos que participan en el desarrollo de la actividad de un determinado sector. Su indisponibilidad puede provocar no sólo un impacto significativo a la empresa que las posee y al entorno donde ésta pueda estar ubicada.

¿Por qué esto es así? Los Sistemas de Control y Automatización Industrial están presentes no sólo en fábricas de producción en serie de un determinado producto sino también en lo que conocemos como Infraestructuras Críticas. Entendiendo por estas últimas:

“Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. 

Dentro de la Legislación española se han definido 12 sectores estratégicos, los cuales son:

  1. Administración.
  2. Agua.
  3. Alimentación.
  4. Energía.
  5. Espacio.
  6. Industria Química.
  7. Industria Nuclear.
  8. Instalaciones de Investigación.
  9. Salud.
  10. Sistema Financiero y Tributario.
  11. Tecnologías de la Información y las Comunicaciones (TIC).
  12. Transporte.

Una indisponibilidad de una cadena de montaje como la que puede ser la del sector de la Automoción puede generar una pérdida económica de equis miles o millones de euros; sin embargo si esto sucede en una central nuclear las consecuencias pueden ser bien distintas. No sólo por la pérdida de servicio eléctrico sino por el impacto que puede tener sobre la población civil y medioambiental.

Así pues podríamos definir algunas posibles consecuencias:

  1. Reducción o pérdida de la producción.
  2. Daños en el equipamiento.
  3. Lesiones de personas.
  4. Liberación, desvío o robo de materiales peligrosos (tóxicos, combustibles, etc.)
  5. Daños ambientales.
  6. Violación de normativa y legislación vigente.
  7. Contaminación de productos y entornos.
  8. Responsabilidades legales, penales o civiles.
  9. Pérdida de información confidencial o de propiedad intelectual.
  10. Pérdida de imagen o de la confianza.

Estas consecuencias tendrán su origen en algún tipo de incidencia. Éstas podrán ser catalogadas como no intencionadas, esto es, fallo o anomalía natural en los dispositivos; o bien, de carácter intencionado, es decir por la acción hostil de un software o actividad humana sobre los equipos. A continuación se citan alguna de ellas:

  1. Denegación de Servicio en los servicios activos en las redes de control o causando cuellos de botella a la hora de transferir información.
  1. Cambios no autorizados realizados en instrucciones de programas en PLCs, RTUs, DCS o controladores SCADA, parámetros de alarmas, ejecución de comandos no autorizados en equipos de control que lleguen a dañar el propio equipo, paradas no contempladas en procesos o incluso deshabilitar el equipo de control.
  1. Falsificación de información y visualización incorrecta a los operadores encargados de controlar el sistema.
  1. Modificación de software, configuración y parámetros de sistemas.
  1. Introducción en el sistema de malware (por ejemplo virus, gusanos, troyanos).

 

Así pues urge la necesidad de proteger los procesos, dispositivos y elementos que intervienen en todos procesos de automatización y control, de esos riesgos y amenazas de las que pueden ser objeto.

Como todo elemento tecnológico pueden disponer de errores en su diseño, programación o instalación; poseyendo vulnerabilidades y “bugs” que faciliten enormemente el éxito de las operaciones.

El gusano Stuxnet hizo abrir los ojos a muchas Naciones y empresas en los distintos sector de los riesgos que corrían si no tomaban las precauciones necesarias y sin duda supuso un antes y un después:

Pero no ha sido el único, tiene otros hermanos con igual mala leche como Duqu, DragonFly, Havex, Black Energy, etc. y seguirán apareciendo más en los próximos meses. Esto va en aumento…

¿Quién puede tener interés en atacar esto tipo de entornos? Las respuestas pueden ser muy distintas, desde empleados descontentos, empresas de la competencia, grupos Hacktivistas, terroristas y delincuencia organizada, Agencias de Inteligencia, Gobiernos, etc. Obviamente hay un móvil y una razón por la cual llevar a cabo dichos propósitos.

Como contramedida a estos riesgos en materia de Infraestructuras Críticas existe por un lado el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), cuyo objetivo es  impulsar, coordinar y supervisar todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad del Ministerio del Interior en relación con la protección de las infraestructuras críticas españolas según la Ley 8/2011 y Real Decreto 704/2011

Además de ello existen otros organismos de carácter público y privado encargados de llevar a cabo distintas acciones sobre este ámbito. Algunos de ellos son:

España:

INCIBE, Instituto de Ciberseguridad de España.

CCI, Centro de Ciberseguridad Industrial

A nivel Europeo:

ENISA, European Union Agency for Network and Information Security

EE.UU:

ICS-CERT, Industrial Control System Cyber Emergency Response Team.

Así pues ya tenemos na primera aproximación a lo que conocemos como “Ciberseguridad Industrial” e iremos desarrollando en artículos sucesivos. Todo es empezar…

Un saludo.

Crónica de Curso “Ciberseguridad en IACS”

En esta ocasión la cosa no va a ir de temas técnicos sino más bien, va a ser una crónica de un curso que he realizado recientemente. Ha sido la primera edición, con lo que me parece positivo dar a conocerla para que más gente se anime y se haga eco de los nuevos cursos que están por venir, así más y más profesionales sigamos formándonos en distintas áreas .

El curos en cuestión se ha denominado bajo el nombre “Curso Avanzado de de Ciberseguridad y Sistemas de Control y Automatización Industrial” y ha sido impartido por INCIBE (Instituto Nacional de Ciberseguridad; lo que era antes INTECO”) vía ONLINE.

Llevo 4 años presando servicios como Técnico/Administrador de Redes y Seguridad en una fábrica dedicada al sector de la automoción, y muchas veces me ha tocado que resolver los problemas de conectividad de Robots, Autómatas, Controles de Soldadura, configurar reglas de firewall para sistemas SCADA, etc. Tenía mucho interés por aprender más sobre este tipo de dispositivos y puesto que todos ellos de una manera u otra se “conectan” a la infraestructura de comunicaciones, pues era mi oportunidad.

Dicho esto, a continuación os dejo el enlace del video promocional para que veáis la idea que se persigue y la forma que se imparte:

Enlace

El curso se divide en 7 Unidades, de las cuales haré un breve resumen general ya que no se desea revelar demasiada información sino despertar la curiosidad:

Unidad 0: Bienvenida al curso avanzado de ciberseguridad industrial

Una presentación del curso en general donde se explica el calendario, actividades, normativa, recursos, criterios, manuales, test, etc.

Unidad 1: Introducción a los sistemas de control y automatización

Aquí ya se empieza con la materia en sí. Se abordan temas como historia de la automatización, evolución, problemas de seguridad, particularidades, etc.

Unidad 2: Estudio detallado de los distintos dispositivos de control

Enumeración y descripción de los elementos que intervienen en el proceso de automatización industrial, configuración, parametrización y medidas de seguridad nativas.

Unidad 3: Conceptos fundamentales de las comunicaciones industriales

Propósitos de las comunicaciones, medios físicos, protocolos, tipos de comunicación.

Unidad 4: Sistemas SCADA, historiadores y otros aplicativos

Modelos de implantación, funcionalidades y campo de actuación de los sistemas SCADA, Historización, soluciones BATCH, MES y BII.

Unidad 5: Estudio detallado de amenazas y vulnerabilidades de seguridad 

Amenazas en entornos industriales, vulnerabilidades diseño, desarrollo, operación y mantenimiento; factores de riesgo; incidentes de seguridad. 

Unidad 6: Presentación de iniciativas, buenas prácticas y soluciones

Aproximación a la protección a los sistemas de automatización y control; iniciativas de seguridad a nivel mundial; métodos, modelos, técnicas de seguridad.

Unidad 7: Visita virtual y demostraciones prácticas de seguridad

Introducción a las redes de distribución eléctrica y “Smart Grids”

Evaluación final y encuesta de satisfacción

Examen final de todo el curso y encuesta de satisfacción.

Cada “Unidad” a su vez se subdivide en distintos “Apartados” que abordan de manera específica los temas a tratar. Todas las “Unidades” y “Apartados” cuentan con un documento en formato .pdf, siendo el contenido de estos últimos un resumen del de las respectivas unidades. Adicionalmente cada “Unidad” dispone de un video introductorio. Los “Apartados” también tienen el suyo donde se explica de manera audiovisual su contenido. En algunos casos los documentos y videos tienen contenido muy similar, pero no igual. Es material didáctico complementario y no excluyente. Ojo, a esto!!!

En general cada “Unidad” posee dos ejercicios, uno de investigación y otro práctico. El de investigación se basa en búsqueda, análisis, y desarrollo de información sobre temas propuestos. Los prácticos se basan por ejemplo, en la instalación de software de prueba o libre para realizar distintas actividades como simulación y análisis de cierto tipo de tráfico de comunicaciones industriales.

Aparte la plataforma cuenta con un Blog donde se deberán “subir” los ejercicios prácticos donde los distintos alumnos podrán ver su contenido y votar en consecuencia.

A la hora de evaluar cada, “Unidad” tiene un test final que, para obtener el diploma final, hay que aprobarlo junto con uno  el final. Adicionalmente cada “Apartado” tiene el suyo propio, cuyo objetivo es evaluar los conocimientos. Estos no puntúan, si se suspenden no pasa nada, aunque es muy recomendable hacerlos.

En dos casos, las actividades han de ser plasmadas en documento “Word” o “PDF” para que sean evaluadas por los propios compañeros y calificarlas del 0 al 100 según su propio criterio.

En general, he quedado muy contento con el curso y ha cumplido con mis expectativas. El contenido de los materiales es muy bueno y la inclusión de video ha dinamizado el aprendizaje ya que muchas veces los cursos se basan en documentación escrita que aburre un poco. Con los videos es distintos. Hay que valorar el esfuerzo que supone la edición y maquetación de los mismos.

Otro de los aspectos destacables son los ejercicios, tanto de investigación como prácticos ya que te obliga a trabajar y profundizar en los distintos temas. Esto marca la diferencia con otros cursos que te explican las cosas, te ponen un test y listo. Aquí tienes que “currártelo” más, y eso me parece positivo para el aprendizaje.

Sin embargo no todo ha sido perfecto. Como en todas las cosas que se hacen por primera vez se pueden cometer errores o mejorar ciertas cosas. Por ejemplo, al principio se estimaba que la duración era de 36 horas y luego que no. La organización amplió posteriormente esta cifra a 50. También algunas preguntas de test podían tener a mi juicio (otros alumnos se pronunciaron igual) más de una posible respuesta válida que repercutía en el fallo de la misma. Lo malo es que no se despejaba la duda con lo que te quedas con ella.

Pero bueno, estoy seguro que los responsables tomarán nota de esto último y lo corregirán para futuras ediciones.

En resumen, recomiendo a todo aquel que desee aprender sobre este campo que se apunte y que lo hagan ya que, en mi caso, he aprendido mucho sobre estos sistemas. Ahora queda seguir formándonos, leer, practicar y seguir mejorando.