Amenazas, Vulnerabilidades y Riesgos evaluados en el contexto de Ciberseguridad Industrial Autor: Anibal Pérez

11/15/2016

Tenaris 2

Agenda

• Contexto: Evento Diciembre 2014

• Procedimiento estándar para el análisis de riesgos

• Evolución de los sistemas de control industrial

• Amenazas en el contexto de interconectividad

• Fuentes del riesgo

• Evaluación del Impacto de un Incidente Informático

• Prácticas para la Detección de Vulnerabilidades

• Ejemplo de Encuesta en función de las Mejores Prácticas, Análisis, Impacto

• Evolución de los sistemas de control industrial: Segregación de redes

• Referencias

11/15/2016

Tenaris 3

Contexto: Evento Diciembre 2014

… Cuando en diciembre del 2014 en nuestra oficina de automación nos encontramos con el siguiente encabezado en el site de la BBC News, en el grupo de automación nos comenzamos a preguntar si estábamos haciendo lo suficiente…

11/15/2016

Fuente: http://www.bbc.com/news/technology-30575104

Tenaris 4

Contexto: Evento Diciembre 2014

German Federal Office for Information Security (BSI) reported:

“… the attackers used a "spear phishing" campaign aimed at particular individuals in the company to trick people into opening messages that sought and grabbed login names and passwords…”

…The phishing helped the hackers extract information they used to gain access to the plant's office network and then its production systems.

Once inside the steel mill's network, the "technical capabilities" of the attackers were evident, said the BSI report, as they showed familiarity with both conventional IT security systems but also the specialized software used to oversee and administer the plant…”

11/15/2016

Fuente: http://www.bbc.com/news/technology-30575104

Tenaris 5

Contexto: Diciembre 2014

11/15/2016

Fuente: http://ics-cert.us-cert.gov.http://ics-cert.us-cert.gov. Dependiente del Department of Homeland Security, DHS, USA

Tenaris 6

Procedimiento estándar para el análisis de riesgos

11/15/2016

Identificación de riesgos y vulnerabilida

des

Análisis

Plan de Acción

Monitoreo -

Auditoria

Toma de conciencia: Riesgos no gestionados?

Procedimientos de la compañía para la gestión de riesgos

Tenaris 7

Evolución de los sistemas de control industrial

Punto de partida: sistemas de control sobre variables físicas, originalmente basados en

controles analógicos, que fueron remplazados por controladores digitales.

Posteriormente, conformando una red local, a nivel proceso o planta, centralizando la

gestión a través de un sistema de supervisión (SCADA, comercial o legacy)

11/15/2016

Tenaris 8

Evolución de los sistemas de control industrial: Integración e Interconectividad

11/15/2016

El paso siguiente en la

evolución fue la

incorporación de

tecnologías típicas de IT.

Y mas recientemente,

conceptos como “Smart

Manufacturing”.

Relación costo-beneficio,

flexibilidad, eficiencia,

tiempo de ejecución fueron

los drivers.

De desarrollos a medida, a

productos de estantería:

disponibilidad y costos.

Tenaris 9

Amenazas en el contexto de interconectividad

Las fuentes de riesgos: las mismas del mundo IT,

El impacto no es el mismo que en el mundo IT: además de la integridad de los datos (IT) aparecen los efectos sobre el mundo físico: riesgos sobre las personas, las instalaciones, el medio ambiente y la comunidad, acorde a la escala de la planta bajo amenaza

11/15/2016

Tenaris 10

Fuentes del riesgo

Fuentes de riesgo:

Desde el interior de la misma planta:

Smart Cellphones and tablets

Wireless Laptops

PCs conectadas a la red interna

Dispositivos de control conectados a la red interna (wired or Wireless)

Cámaras y dispositivos de CCTV

11/15/2016

… O desde fuera de la planta: accesos remotos a través de la WEB, sea por personal propio con dispositivos comprometidos, o por terceros (hackers), sea por medio de mails (spear phishing!), o aprovechando debilidades en los mismos sistemas operativos.

Tenaris 11

Evaluación del Impacto de un Incidente Informático

El evento de disrupción de un proceso industrial por un ataque cibernético, puede generar, en secuencia: Impacto físico: como consecuencias directa de la disrupción,

incluyendo daños a las personas, al producto, a las instalaciones y al medio ambiente.

Impacto económico: no sólo por daños materiales sino por caída de la producción y capacidad operativa, y/o pérdida de información confidencial

Impacto Social: pérdida de imagen y confianza dentro de la comunidad Mas aún, implica potencial pérdida de confianza de los accionistas y clientes de la compañía

11/15/2016

Tenaris 12

Evaluación del Impacto de un Incidente Informático

El primer foco del análisis debe ser sobre los potenciales daños físicos a:

• La Seguridad física de las Personas • Las instalaciones, el producto y el proceso. (Ejemplo de esto último:

Stuxnet malaware que daño las centrifugadoras en las instalaciones de agua pesada Iraní)

• El Medio Ambiente, por posibles fugas o derrames desde el proceso

fuera de control • La Comunidad, según la escala del proceso (centrales térmicas,

gasoductos, plantas de gas)

11/15/2016

Tenaris 13

Prácticas para la Detección de Vulnerabilidades

Para la detección de vulnerabilidades de la infraestructura instalada: uso de herramientas disponibles en la industria, con origen en organizaciones con madurez en la gestión de eventos informáticos. Ejemplo:

Desarrollo de encuesta con base en el programa del departamente de

Homeland Security de USA: US-CERT Control Systems Security Program (CSSP). La encuesta arroja un resultado en términos de recomendaciones en base a las mejores prácticas de la industria, que permiten elaborar un plan de acción detallado.

Diseño de un test de penetración sobre la infraestructura del sistema de control en procesos claves de la planta. El resultado es concreto, ya que identifica directamente los puntos débiles, con lo cual el plan de acción puede ser inmediatamente puesto en marcha.

11/15/2016

Tenaris 14

Ejemplo de Encuesta en función de las Mejores Prácticas

1. Network Segmentation, Firewalls, and DMZs

2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS)

3. Seguridad en las conexiones Wireless

4. Uso de VPNs y Encriptado en la comunicación digital

5. Gestión y Configuración de accesos, usuarios y passwords

6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación

7. Requerimientos de Ciberseguridad de los Sistemas de Control

8. Gestión de Patches y disponibilidad de los sistemas industriales

11/15/2016

Se evalúa la infraestructura contra las mejores practicas de la industria:

Tenaris 15

Análisis de la encuesta

Cada uno de los objetivos de mejores practicas se resuelve en la encuesta con un conjunto de

preguntas. Cada pregunta tiene un peso de 0 a 3, según su grado de impacto:

Durante la etapa de análisis cada pregunta del cuestionario se evalúa de 1 a 5, puntaje que

representa los siguientes niveles de cumplimiento de la mejor práctica recomendada

1 – No se cumple

2 – Se cumple informalmente

3 – Se cumple con un nivel básico de formalidad

4 – Se cumple con un nivel avanzado de formalidad

5 – Se cumple logrando un nivel de mejora continua del proceso.

Valores de referencia: para 376 preguntas

Mínimo y Máximo puntajes de la encuesta:

1,522 Todas las respuestas en “1”

5,050 Alineación completa con las mejores practices recomendadas *

* Standard for Industrial Control Systems of ICS-CERT (2012)

http://ics-cert.us-cert.gov/Standards-and-References#estab

11/15/2016

Tenaris 16

Resultado de estimación de impacto

11/15/2016

Impact

5

4

3

2

1

Critical Level LOW MEDIUM HIGH EXTREME

Tenaris 17 11/15/2016

Modelo de Hallazgos / Recomendaciones

1. Network Segmentation, Firewalls, and DMZs

Presencia de Firewall entre el Sistema de Control y la red corporativa

Segmentación vía DMZ

Procedimientos actualizados y disponibles

2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS)

Sistemas IDS and IPS instalados

Procedimientos actualizados y disponibles

3. Seguridad en las conexiones Wireless

Verificación de implementación de protocolos seguros

4. Uso de VPNs y Encriptado en la comunicación digital

Uso de VPN para conexiones externas

No uso de protocolos intrinsicamente inseguros (telnet, ftp).

Procedimientos actualizados y disponibles

Tenaris 18 11/15/2016

5. Gestión y Configuración de accesos, usuarios y passwords

Los procedimientos están actualizados y disponibles

1. 6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación

Registro complete de usuarios activos. .

Programas de capacitación activos

7. Requerimientos de Ciberseguridad de los Sistemas de Control

Políticas y procedimientos de gestión de incidentes establecida y activa

Ciclo de análisis de vulnerabilidad implementado

Análisis de riesgo de necesidad de Disaster Recovery Plan (DRP) implementado.

8. Gestión de Patches y disponibilidad de los sistemas industriales

Procedimientos de gestión de Patch formalmente implementados.

Plan de contingencia documentado

Alimentación back up (via generador?) o alternativa existente.

Modelo de Hallazgos / Recomendaciones

Tenaris 19 11/15/2016

Evolución de los sistemas de control industrial: Segregación de redes

Tenaris 20 11/15/2016

Referencias

Referencia general, gráficos y conceptos, cuando no indicado al pie: tomados de la publicación NIST SPECIAL PUBLICATION 800-82 Revisión 2 : “Guide to Industrial Control Systems (ICS) Security – Mayo 2015