Archivo de la etiqueta: ICS-CERT

CSET, Herramienta para evaluación de riesgos. Parte I.

Posted on por

Desde que me incorporé al ámbito de la Ciberseguridad Industrial he visto cómo a la hora de hablar sobre cómo proteger nuestras instalaciones lo hacemos principalmente refiriéndonos a las medidas tecnológicas que corrigen, o mitigan, amenazas, vulnerabilidades y vectores de ataque. Para ello basamos nuestros argumentos en base a las medidas Técnicas y Operacionales que puede marcar una estrategia de “Defensa en Profundidad”  y a la que hacen referencia las principales guías y buenas prácticas.

Sabemos que la seguridad al 100 % no existe, y lo que puede considerase como “seguro” hoy, mañana, ya no lo es. Por tanto, puesto que el nivel de seguridad puede ser variable o incluso subjetivo, el objetivo a alcanzar debe ser mitigar o reducir los riesgos a los que estamos expuestos hasta un punto que consideremos aceptable.  O bien, que los riesgos residuales sean asumibles.

Es por ello que en ese afán por concienciar sobre la necesidad de tomar medidas y centrarnos en el cómo y de qué manera, muchas veces dejamos pasar por alto una fase previa con una importancia mayor si cabe. Me refiero a la realización de un Análisis de Riesgos y GAP. Con ellos determinamos el estado en el que nos encpntramos y a partir de ahí buscar las mejores medidas para corregir las deficiencias existentes. Por tanto, deberemos por un lado, identificar todos nuestros activos, tecnologías y tráficos en nuestra red; y por otro, analizar los riesgos a que nos enfrentamos según su estado. Por ejemplo, no es lo mismo disponer de equipos HMI con sistema operativo Windows 7 aún con soporte por parte del fabricante, a tener Windows XP ya sin él. Es decir, no podemos tratar de securizar algo si no sabemos ni el número, cómo funciona, contra qué se comunica; y mucho menos encontrar la mejor solución técnico-económica para hacerlo.

Ahora bien, ¿cómo se lleva a cabo esto? ¿Qué preguntas debemos hacernos para calificar si un riesgo es más o menos grande? ¿Son los criterios iguales para una empresa manufacturera que para una de distribución de energía? ¿Cuáles son las medidas que debo considerar? Estas son algunas de las muchas preguntas que llegado el caso, podremos hacernos.

Sin embargo, contamos, con una aplicación pensada en concreto para los Sistemas de Control Industrial. Se trata de CSET, Cyber Security Evaluation Tool elaborada por el ICS-CERT.

 

Esta herramienta, hecha por el Departamento de Seguridad de la Patria del gobierno de Estados Unidos,  pretende ayudar a los usuarios a evaluar el estado de la seguridad de sus sistemas y redes mediante la realización de una serie de preguntas relacionadas tanto con los sistemas de control industrial como de las tecnologías de la información. El resultado es una lista de recomendaciones para mejorar el nivel de ciberseguridad de las organizaciones a partir de la base de datos de los estándares,  guías y buenas prácticas actuales. Cada recomendación cuenta con un enlace a una serie de acciones que deben de ser consideradas y aplicadas para mejorar los controles de seguridad.

La herramienta ha sido diseñada para instalarse fácilmente en un equipo de escritorio. Los estándares de los que hablábamos anteriormente proceden de organizaciones como el NIST, NERC, TSA, DoD entre otros. La operativa es sencilla, al seleccionar alguno de los estándares se realizan una serie de preguntas. Las respuestas son comparadas contra un nivel de seguridad elegido, generándose un informe que refleje las posibles mejoras potenciales. Esto proporciona una serie de beneficios como: 

  1. Ayudar a las distintas organizaciones en la Gestión de Riesgos y procesos.
  2. Incrementar el conocimiento y facilitar la toma de decisiones en materia de ciberseguridad.
  3. Revelar la presencia de vulnerabilidades y proporcionar recomendaciones para mitigarlas.
  4. Identificar áreas de mejora y recomendación de buenas prácticas.
  5. Proporcionar un método para comparar y monitorizar las mejoras en los sistemas.

CSET está disponible para su descarga desde el siguiente enlace. En este otro podremos encontrar los distintos métodos para utilizarla, recursos hardware, e incluso un canal con video tutoriales como el que sigue:

Hechas las presentaciones en la siguiente entrega iremos viendo paso por paso, las distintas opciones con las que cuenta. Por ahora toca descargarla e instalarla.

Nos vemos en la próxima!

Un saludo!

7 Pasos para una defensa efectiva de ICS según ICS-CERT

Posted on por

El pasado 29 de diciembre el ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) publicó un documento en el que se describen 7 estrategias para contrarrestar las debilidades más comúnmente explotables dentro de los Sistemas  de Control Industrial.

Las intrusiones en dichos entornos sucediendo cada vez con más frecuencia. Según esta organización, en el Año Fiscal Norteamericano del año 2015 (período comprendido entre el 1 de octubre de 2014 y el 30 de septiembre de 2015) fueron reportados un total de 295 incidentes, aparte claro está, de aquellos que no fueron informados o, mucho peor que aún, los no fueron detectados. Es indudable que las habilidades de los atacantes han ido en aumento pudiendo llevar a cabo acciones más complejas y, como decía al principio con mayor frecuencia. Esto ha obligado a los responsables de dichas infraestructuras o instalaciones a tomar nuevas medidas, o cambiar las estrategias de protección para poder contrarrestarlas.

Según se indica, la implementación de las estrategias descritas, y enumeradas a continuación, podrían haber reducido hasta en un 98% los incidentes reportados al ICS-CERT durante los años fiscales 2014 y 2015.

Dichas estrategias se centran en:

  1. Implementación de Listas Blancas sobre aplicaciones.
  2. Configuraciones seguras y gestión de parches
  3. Reducir la superficie de ataque.
  4. Creación de entornos defendibles
  5. Gestión de la autenticación.
  6. Implementación de acceso remoto seguro.
  7. Monitorización y respuesta.

Dicha información puede ser encontrada aquí:

Enlace

Documento

Elaborado conjuntamente con expertos de las organizaciones DHS (Department of Homeland Security), FBI (Federal Bureau of Investigation) y NSA (National Security Agency), el mismo pretende ser una referencia para mejorar en gran medida la seguridad en los entornos de Control Industrial, que cuyos sistemas como todos sabemos no lo han sido, son y serán, seguros al 100%.