Tradicionalmente los sistemas de control y automati-zación de procesos industriales eran sistemas cerra-dos, propietarios, diseñados para operar en un entorno controlado y restringido.

Sin embargo, la creciente digitalización de estos sistemas, la introducción de tecnologías comerciales y estándares y la creciente interconexión con otros sistemas corporativos, ha traído aparejada la intro-ducción de nuevas vulnerabilidades y la exposición de éstas a nuevas amenazas para las que estos sistemas no están preparados. Por ello, la concien-ciación de las empresas y de las instituciones y la formación de profesionales son aspectos imprescin-dibles para la creación de una sólida estrategia de ciberseguridad.

ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRASISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL

www.s21sec.com SPAIN · MEXICO · BRAZIL · UK · USA

<<

El curso Estrategias de Defensa frente a Ciberataques contra Sistemas de Automatización y Control Industrial está enfocado a la formación de técnicos de seguridad de la información, personal de seguridad, ingenieros de red e integradores SCADA de empresas operadoras de infraes-tructuras industriales críticas y de ingenierías y/o integra-doras involucradas en su diseño, operación y/o manteni-miento.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

El curso está dividido en dos fases bien diferenciadas:

Primera fase: En una primera fase se abordan tanto la problemática de seguri-dad como las técnicas de puesta a prueba del nivel de seguri-dad de estas infraestructuras, tanto desde el interior como desde el exterior de las organizaciones. Se profundiza en el estudio de las principales vulnerabilidades a nivel de protocolos de control y automatización, de las arquitecturas de redes y sistemas, gestión y operación, así como en su diseño e imple-mentación.

Segunda fase: La segunda fase de la formación aborda las distintas estrate-gias y requisitos de seguridad para el desarrollo e implantación de aplicaciones y sistemas de automatización y control indus-trial seguros, teniendo en cuenta las buenas prácticas de ciber-seguridad industrial, así como las distintas tecnologías de prevención, monitorización y protección específicamente diseñadas para estos entornos.

Curso:

El objetivo principal de este curso es la formación técnica y práctica en los aspectos más relevantes en la protección de aplicaciones, sistemas, infraestruc-turas y redes de control y automatización industrial.

TEMARIO.

Introducción a la seguridad en Infraestructura Críticas (IC) y los sistemas deControl y Automatización Industrial (IACS)>> Entorno corporativo (IT) vs entorno industrial (OT).

www.s21sec.com SPAIN · MEXICO · BRAZIL · UK · USA

>> Objetivos de seguridad: CIA vs SRI.>> Introducción a los conceptos y sistemas de controly automatización.>> Evolución tecnológica de los sistemas de control y automatización de seguridad: CIA vs SRI.>> Perfil de las amenazas en los sistemas de control y automatización.>> Repaso a los principales incidentes de seguridad.

ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRASISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL

<<

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

DÍA 1

Sistemas de Control y Automatización: Arquitecturas, Componentes y Comunicaciones

>> Conceptos de automatización y control automático.

>> Arquitectura de tres capas en la automatización industrial>> Revisión de los sistemas de control y automatización más típicos: SCADA, DCS, EMS, DMS, MES, AMR,

AMI, ICS, BAS, etc.>> Controladores y sistemas embebidos: PLC, RTU, IED, DCS, controladores híbridos, control basado en PC.>> Sensórica, actuadores y redes de sensores: entradas y salidas digitales y analógicas, instrumentación inteli-

gente (redes en bus y redes inalámbricas de sensores). >> Tecnologías y protocolos de comunicaciones en el control y la automatización.

>> Prácticas: Configuración de servidor OPC, configuración de HMI, configuración de historizador, Señalesserie, análisis e interpretación.

Sistemas de Control y Automatización: Arquitecturas, Componentes y Comunicaciones

>> Vulnerabilidades comunes y factores de riesgo en los sistemas de control y automatización industrial: leccio-nes aprendidas de los incidentes de seguridad más comunes.

>> Profundización en los fallos de diseño a nivel de arquitecturas de comunicaciones de los sistemas en los sis-temas de control y automatización.

>> Problemas de seguridad en los protocolos y tecnologías de comunicaciones industriales.>> Deficiencias en la identificación y el control de accesos lógico y físico en sistemas de control y automatización.>> Deficiencias en el diseño y el ciclo de desarrollo de componentes y aplicaciones industriales.>> Los problemas de seguridad en la cadena de suministro de aplicaciones y equipos de automatización.

>> Deficiencias en la gestión del cambio en entornos de control y automatización: cambio de configuraciones, aplicación de parches, actualización de versiones, etc.

>> Deficiencias de trazabilidad y monitorización de seguridad.

>> Prácticas: Análisis de seguridad del protocolo Zigbee, análisis de seguridad del protocolo Modbus/TCP yModbus serie, ingeniería inversa de protocolos propietarios.

TEMARIO.

Entendiendo al enemigo: metodologías y técnicas de ataque utilizadas contra sistemasde control y automatización>> Análisis de vectores de ataque habituales.

www.s21sec.com SPAIN · MEXICO · BRAZIL · UK · USA

>> Las fases de un ataque: reconocimiento activo/pasivo, enumeración de vulnerabilidades, explotación de vul-nerabilidades y escalado de privilegios, harvesting, puertas traseras, copias de seguridad, eliminación del evidencias.

>> Salto entre segmentos de red para alcanzar los objetivos de un sistema de control y automatización.>> Revisión de algunas técnicas de ataque básicas (parte I):

- Labores de inteligencia: Whois, Samspade, Maltego, oogle hacking, Shodan.- Ataques DNS: DNS lookup, Netblock, transferencia de zona.- Ataques en comunicaciones basadas en Ethernet/IP: ARP spoofing, IP spoofing, SYN flood, ICMP flood, Pinf of Death, etc. - Ataques a bajo nivel en infraestructuras de comunicaciones cableadas: PLC, PRIME; RS/232, RS/422, RS/485; MPLS, etc.

ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRASISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL

<<

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

DÍA 2

>> Prácticas: Análisis y ejecución de herramientas de inteligencia, denegación de servicio en comunicaciones serie, captura, modificación e inyección de tráfico Modbus serie, captura y análisis de protocolo Modbus/TCP.

>> Descubrimiento de red Modbus/TCP.

Entendiendo al enemigo: metodologías y técnicas de ataque utilizadas contra sistemasde control y automatización (continuación)

>> Revisión de algunas técnicas de ataque básicas (parte II): - Ataques en comunicaciones inalámbricas: Zigbee/IEC 802.15.4, Wifi/IEC 802.11, telecontrol vía satélite, redes celulares (GPRS, UMTS, HSPA).- Ataques contra equipamiento de red: STP spoofing, VLAN hopping, FW bypass, port knocking, fragmentación, etc.- Ataques a nivel de aplicación: bypassing, desbordamientos de buffer, inyecciones de código, ataques CGI, RFI, etc. - Ataques dirigidos y automatización de ataques: suite metasploit, autoPWN, Fast-Track, aspectos básicos de la creación de exploits.

>> Prácticas: Creación de un exploit., Intrusión a un sistema SCADA desde el exterior: peligros asociados conun mal diseño, Intrusión interna a un sistema SCADA.

TEMARIO.

Tecnologías para la protección de sistemas de control y automatización

www.s21sec.com SPAIN · MEXICO · BRAZIL · UK · USA

>> Aproximación a la protección de los sistemas de control y automatización: factores limitantes en la adopciónde tecnologías clásicas de seguridad IT.

>> Métodos, modelos, técnicas y tecnologías de seguridad utilizadas en sistemas de control y automatización (parte I): - Cortafuegos, diodos de datos, IPS, segmentación por encriptación y redes virtuales- Autenticación y autorización de entidades.- Cifrado de comunicaciones: túneles/VPN, seguridad inalámbrica, etc.- Estándares de protocolos de control industriales seguros .- Registradores de eventos y SIEMs. - Honeypots y honeynets.

ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRASISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL

<<

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

DÍA 3

>> Prácticas: Configuración de firewall perimetral, instalación de un cortafuegos ModBus/TCP, instalación y configuración de un IDS Modbus/TCP

Tecnologías para la protección de sistemas de control y automatización (continuación)

>> Métodos, modelos, técnicas y tecnologías de seguridad utilizadas en sistemas de control y automatización(parte II):- Escáneres de vulnerabilidades- Antivirus y listas blancas.- Tecnologías de gestión de parches- DLPs

Estrategias de defensa de sistemas de control y automatización

>> Segmentación en sistemas de control y automatización:- Diseño de DMZs y de zonas/segmentos.- Recomendaciones del IEC 62443/ISA99 y la RG 5.71.- Buenas prácticas en el despliegue de cortafuegos: arquitecturas y reglas de filtrado.

>> Monitorización de seguridad en sistemas de control y automatización:- Despliegue, con�guración y mantenimiento de IDS/IPS de red y de host.- Despliegue de sistemas de monitorización y gestión de eventos: SNMP-to-OPC, Syslog, agregación de logs, arquitecturas.- Gestión de alertas, etc.- Honeynets y honeypots.

www.s21sec.com SPAIN · MEXICO · BRAZIL · UK · USA

ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRASISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL

<<

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

>> Control de accesos seguro:- Accesos remotos de empleados, contratistas y fabricantes.- Servidores de autenticación y control de accesos.- Autenticación y autorización de usuarios y equipos terminales.

>> Gestión de cambios y parches:- El ciclo de vida del software.- Responsabilidades del fabricante vs responsabilidades del propietario/operador de los sistemas de control y automatización.- Laboratorios de pruebas.

>> Aseguramiento de las comunicaciones:- Criptografía en sistemas de control y automatización.- Uso de VPNs en sistemas de control y automatización.

>> Aseguramiento de plataformas:- Protección frente a código malicioso: antivirus vs listas blancas.- Firewalls de host.- Seguridad física de plataformas.- Seguridad lógica en plataformas: hardening de servidores, estaciones cliente y de electrónica de red.

>> Auditorías y escaneo de vulnerabilidades- Objetivos, niveles de divulgación de resultados y fases.- Metodologías y aproximaciones técnicas: análisis activo vs análisis pasivo.- Escaneos automáticos vs escaneos manuales.- El rol de los test de intrusión en los entornos industriales.

>> Aseguramiento de las comunicaciones:- Criptografía en sistemas de control y automatización.- Uso de VPNs en sistemas de control y automatización.

>> Prácticas: Segmentación basada en VLAN, análisis y creación de arquitectura de red segmentada, configuraciónde un acceso remoto seguro, despliegue de un honeynet SCADA, monitorización de eventos de seguridad.

S21sec, con más de 4.000 alumnos y 10 años de experiencia, cuenta con el mayor número de espe-cialistas y profesionales de alto nivel reconocido a nivel mundial en materia de seguridad digital. Asimismo, cabe destacar que todos nuestros profe-sores compaginan su labor como formadores junto con la participación en proyectos de seguridad con clientes complementando de esta forma su capaci-tación teórico – práctica.

Nuestro equipo de expertos trabaja de forma activa en el desarrollo de las más innovadoras herramien-tas y metodologías de seguridad con el objetivo de dar respuesta a las necesidades actuales y futuras de empresas e instituciones. S21sec colabora en proyectos de investigación y desarrollo tanto a nivel nacional como europeo para la protección de siste-mas de control y automatización industrial.

S21sec viene realizando desde 2004 múltiples proyectos de análisis de vulnerabilidades en siste-mas de control y automatización en sectores tan complejos como el nuclear, el eléctrico y el gasista, y cuanta con un amplio conocimiento de las distintas guías de buenas prácticas y estándares de seguri-dad en entornos y sistemas OT.Por otra parte, S21sec cuenta con experiencia con-trastada en el ámbito industrial y de infraestructuras así como en áreas de telegestión y telemedida de contadores inteligentes y, de telecontrol de centros de transformación de distribuidoras eléctricas.S21sec realiza también la integración de soluciones de seguridad OT avanzadas y diseño de arquitectu-ras a fin de interconectar de manera segura los siste-mas TIC corporativos y las redes de control de procesos y garantizar un acceso sin riesgos desde cualquier ubicación.

www.s21sec.com SPAIN · MEXICO · BRAZIL · UK · USA

S21sec ha colaborado en distintos estudios especializados en sistemas de control y auto-matización:

- ENISA, “Industrial Control Systems Security: Re-commendations for Europe and Member States”.

- ENISA Smart Grid Recommendations.

- Redacción contenidos mínimo para los Planes de Seguridad de Operador y Protección Específicos para la adecuación a la Ley 8/2011 de Protección de infraestructuras Críticas y al RD 704/201.

S21SEC, EXPERIENCIA EN CIBERSEGURIDADPARA SU NEGOCIO

ESTRATEGIAS DE DEFENSA FRENTE A CIBERATAQUES CONTRASISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIAL

<<