Experiencias implementando un Centro de Operaciones de Ciberseguridad Industrial. Pablo Barreiro Gas Natura Fenosa Hiram Fernández - Deloitte

Transcripción

1 Experiencias implementando un Centro de Operaciones de Ciberseguridad Industrial Pablo Barreiro Gas Natura Fenosa Hiram Fernández - Deloitte

2 Según ICS-CERT el 87% de las vulnerabilidades en el sector Industrial durante este 2016, han sido calificadas como riesgo alto. Sobre el total, el 84% de las vulnerabilidades analizadas son explotables de forma remota. El dato más relevante es que el 47% de estas vulnerabilidades publicadas requieren de un nivel de conocimiento especializado de explotación bajo. 2

3 Contenidos Entendiendo los riesgos en los ICS 4 Visión global de la Seguridad 8 Experiencia Implementando un SOC Industrial 13 Objetivos 16 Integración física y lógica 17 Modelo de Servicios 18 Modelos de Relación Fase de diseño 19 Siguientes Pasos 21 Madurez 23 Integración IT/OT 24 3

4 Entendiendo los riesgos en los Sistemas de Control Industrial (ICS) Operational Technology 4

5 Sistemas de Control Industrial Retos La expectativa de producción es 24x7. No se pueden ver las amenazas y vulnerabilidades. No se puede controlar todo el entorno. Un solo incidente podría ser devastador. 5

6 Sistemas de Control Industrial Diferencias entre entornos IT y OT La seguridad en un entorno IT, está girando sobre el DATO La seguridad en un entorno OT está centrada en la DISPONIBILIDAD Convergencia 1.- Confidencialidad 2.- Integridad 3.- Disponibilidad 1.- Disponibilidad 2.- Integridad 3.- Confidencialidad 6

7 Sistemas de Control Industrial Evolución de los sistemas La conectividad conduce a la eficiencia y al valor Pero si está conectado, necesita estar protegido. 7

8 Visión Global Ataques entornos industriales 8

9 La comparación entre el número de vulnerabilidades publicadas por el ICS-CERT para un entorno IT son frente a las 136 para un entorno OT. Eso quiere decir, básicamente, que la mayor parte de las vulnerabilidades potenciales existentes en ICS están esperando todavía a ser descubiertas y constituyen, por tanto, una amenaza latente para los usuarios de estos sistemas y las organizaciones que dependen de ellos. 9

10 Visión Global Detección de vulnerabilidades en OT Tan sólo el 14% de las vulnerabilidades de los ICS son descubiertas por los propios fabricantes. Fabricante 14% Es importante tener esto en mente en un sector en el que, en muchos casos, los operadores de las infraestructuras temen las implicaciones de la intervención de terceros especialistas en ciberseguridad en las garantías y contratos de mantenimiento suscritos con los fabricantes. A la vista de los resultados, parece evidente que no cabe esperar que la solución provenga, exclusivamente, de los que diseñaron, implementaron y, en muchos casos, mantienen los sistemas como contrata externa. Empresa de seguridad 61% Investigador Independien te 20% Universidad 5% Avisos de 0day en entornos OT 2016 Source: Industrial Control System (ICS) Plant Operations, and Energy and Resources Industry Threat Acceleration Pack (itap) Note: itapics0216a Deloitte Industry Threat Accelerator Pack (itap) 10

11 Visión Global Alertas emitidas por el CERT de Industria Alertas por sector en el Administración Agua Alimentación Espacio Energía Sistema financiero Industria Nuclear Industria Química Inst. de investigación Transporte Otra Industria Source: CERT DE SEGURIDAD E INDUSTRIA Note: CERTSI - Seguridad industrial 2016 en cifras 11

12 Visión Global Objetivo: Reducir la exposición al riesgo Soporte de Dirección para aumentar la capacidad operativa de la Compañía al gestionar el ciclo de vida de la ciberseguridad en los Centros Industriales, Core del Negocio. PROACTIVO: Alto Riesgos Servicio orientado al negocio y sus procesos, el usuario final dispondrá de la información de Cybersecurity antes de la toma de decisiones. Gobierno de Servicio: Medición, Evolución y Madurez Bajo Evaluación Bajo Protección Prevención Alto REACTIVO: Madurez Coordinación con el CERT de INCIBE en caso de emergencia nacional. Gestión de <EMERGENCIAS> incidentes y seguimiento dentro del modelo de gestión de crisis de la compañía. Integrado en el modelo de Gestión de Crisis GAP Análisis de Riesgos. Adaptación a normativa. Control de accesos. Pruebas de Hacking Ético. Monitorización de eventos. Detección de anomalías. Inteligencia Avanzada 12

13 Experiencia implementando un SOC Industrial Objetivos y Detalle 13

14 Experiencia implementando un SOC Industrial Objetivo: Reducir la exposición al riesgo Identifica GAPS en entornos de Seguridad Industrial FASE DE DISEÑO SEGURIDAD INDUSTRIAL EVALUACIÓN Y CERTIFICACIÓN DE LA SEGURIDAD Evalúa el estado de la Infraestructura Industrial Integración Metodología y Gobierno OFICINA DE GOBIERNO OPERACIÓN (SOC INDUSTRIAL) Gestión de los servicios de seguridad OT/IT 14

15 Experiencia implementando un SOC Industrial Fase de diseño: El objetivo es obtener una visión del estado de la Seguridad Industrial. Evaluar las personas, la arquitectura y la tecnología para identificar las debilidades y las estrategias de mitigación. Los informes obtenidos mediante los distintos Análisis, destacarán las áreas que requieren evaluación adicional, ayudando así en la justificación de esfuerzos o inversión, en el área de Seguridad. Seguridad Física + Lógica Integración IT/OT Colaboración Público / Privada Hacia una sola seguridad Compartición de tareas Visión de extremo a extremo Trabajando sobre todas las tecnologías. Eliminando fronteras conceptuales. Monitorización y control en la gestión del cambio. Punto único de contacto Inteligencia compartida Compartición de información EN RESUMEN: Implementar un servicio capaz de detectar las oportunidades de integración y madurez en los tres factores indicados, llevarlo a la práctica (botton up), e integrarse en el ecosistemas donde se implante. 15

16 Experiencia implementando un SOC Industrial Oficina de Gobierno Dotará de los recursos y herramientas necesarias para el cumplimiento de las medidas de protección indicadas tanto por normativa interna, como por la legislación aplicable. Facilitando mediante indicadores, ayuda en la toma de decisiones. Adecuación y adaptación Integración de la seguridad OT Estandarización de criterios y necesidades específicas para cada Centro Industrial Planes de despliegue para la protección de entornos Industriales Coordinación entre distintos servicios Generación de Modelos de relación. Creación de equipos de trabajo multidisciplinares. EN RESUMEN: Obtener una visión conjunta del estado de la seguridad, generando una estrategia de seguridad acorde a su plan de dirección. Gestión Centralizada e Informes directivos Inclusión en el comité de Crisis Visión de extremo a extremo en Seguridad IT / OT KPI y Cuadros de mando de alta dirección 16

17 Experiencia implementando un SOC Industrial Evaluación y Certificación de la Seguridad Revisiones avanzadas de seguridad, de la red del entorno industrial y su entorno, para determinar el nivel de exposición del entorno ICS a los ciberriesgos, y detectar los puntos de mejora, realizada por un tercero: Revisión técnicas de la Seguridad Revisión avanzada de la Seguridad Investigaciones específicas en otros entornos Revisión externa de la parte expuesta de la compañía, al estilo de un atacante externo. Revisión de la red interna de la compañía, al estilo de un atacante interno. Revisión de la red industrial, así como de las instalaciones físicas. Revisión Arquitectura de Red. Análisis de vectores de intrusión Análisis vulnerabilidades Toma de control y elevación de privilegios Análisis en Smart Grids Evaluación de proveedores Evaluación de procedimientos de recuperación Investigación de amenazas avanzadas. EN RESUMEN: Evaluar el estado inicial de la seguridad, a fin de establecer los puntos de mejora continua y madurez en los Centros Industriales. 17

18 Experiencia implementando un SOC Industrial Servicios de Operación El objetivo principal de estos servicios, es aumentar la capacidad operativa de la Compañía para gestionar incidentes que puedan detectarse en los Centros Industriales, pudiendo operar independientemente o integrándose en un modelo de relación existente y colaborativo. Gestión del Servicio y Emergencias Automatización de la seguridad Inteligencia y madurez Servicio: Monitorización y Supervisión de Dispositivos de Seguridad Servicio: Prevención de Malware Servicio: Respuesta ante Incidentes Servicio: Gestión de Vulnerabilidades Servicio: Control de Accesos a Red Servicio: Correlación de Eventos Servicio: Inteligencia y madurez en escenarios de Seguridad Servicio: Inteligencia Distribuida EN RESUMEN: Ofrecer el control en la monitorización y accesos a los sistemas de Control Industrial, generando alarmas o alertas en caso necesario. 18

19 Aspectos clave Visión de extremo a extremo 19

20 Aspectos clave Visión de extremo a extremo IT/OT y control del cambio Cualquier contacto con el Centro Industrial podrá ser integrado con el sistema existente, monitorizando cualquier acceso, llegando a obtener una visión de extremo a extremo en la Seguridad Industrial PMO Oficina de Gobierno Centro Industrial SOC Industrial Heading in Verdana Regular Seg. Física Proveedores Área de sistemas Atención Usuarios Comunicaciones Seguridad SSII 20

21 Aspectos clave Seguimiento del proyecto Adecuar la organización a los procesos definidos Asegurar una óptima Gestión del Cambio a todos los niveles Gestión y mitigación de riesgos Alcance del proyecto Evitar cambios en el alcance planificando posibles nuevos requerimientos para fases posteriores. Formalizar roles y responsabilidades del Comité de Seguimiento y Dirección Sponsorización del proyecto Cumplir con los hitos del proyecto Dedicación del equipo Asignar el equipo requerido para el proyecto Asegurar la dedicación del equipo durante el proyecto Velar por el cumplimiento de los hitos del proyecto. 21

22 Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited ( DTTL ) (private company limited by guarantee, de acuerdo con la legislación del Reino Unido), y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página si desea obtener una descripción detallada de DTTL y sus firmas miembro. Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión del riesgo, tributación y otros servicios relacionados, a clientes públicos y privados en un amplio número de sectores. Con una red de firmas miembro interconectadas a escala global que se extiende por más de 150 países y territorios, Deloitte aporta las mejores capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la ayuda que necesitan para abordar los complejos desafíos a los que se enfrentan. Los más de profesionales de Deloitte han asumido el compromiso de crear un verdadero impacto. Esta publicación contiene exclusivamente información de carácter general, y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o entidades asociadas (conjuntamente, la Red Deloitte ), pretenden, por medio de esta publicación, prestar un servicio o asesoramiento profesional. Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación Deloitte Advisory, S.L. 22