Seguridad Cibernética de Sistemas de Operación para Compañías Eléctricas

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad Cibernética de Sistemas de Operación para Compañías Eléctricas"

Tomás Rodríguez Mora
hace 8 años
Vistas:

1 Seguridad Cibernética de Sistemas de Operación para Compañías Eléctricas Pedro Villanueva Septiembre 25, 2013 Seguridad Cibernética para Infraestructura Crítica

seguras, normas NERC CIP Productos: Seguridad cibernética con defensa en profundidad para redes empresariales y de

2 N-Dimension solutions Inc. Seguridad Cibernética para Infraestructura Crítica Servicios: Pruebas de penetración, planeación, diseños de redes seguras, normas NERC CIP Productos: Seguridad cibernética con defensa en profundidad para redes empresariales y de operación Servicio administrado de monitoreo de seguridad cibernética Enfocada a los mercados pequeños y medianos Cooperativas de generación, transmisión y distribución Municipalidades Fundada en 2002 Socios: - 2 -

3 Porque estamos aquí hoy? La seguridad cibernética se vuelve cada vez más preocupante en los Estados Unidos y en el resto del mundo. Muchas personas no están conscientes de las amenazas y piensan que no se encuentran en peligro. En lo Estados Unidos, hay muchos requerimientos regulatorios que han sido puestos en vigor con motivo de proteger la seguridad cibernética. Asimismo, las industrias eléctricas están obligadas a cumplir con ellos. Uno de los requerimientos es proveer seminarios de concientización a su personal Lo mas importante es que víctima de un ataque, puedes ser la siguiente aunque no lo quieras! - 3 -

En lo Estados Unidos, hay muchos requerimientos regulatorios que han sido puestos en vigor con motivo de proteger la seguridad cibernética.

Enfatizada en conferencias líderes en hackeo Por Heather Kelly, CNN A las 2:02 PM, Agosto 5, 2013 Los 5 hackeos mas alarmantes de la semana Instalaciones Industriales Autos

Múltiples demostraciones demostraron lo fácil que es hackear sistemas eléctricos en un pozo petrolero, el hackeo podría volverse una catástrofe ambiental, mencionaron los

4 Enfatizada en conferencias líderes en hackeo Por Heather Kelly, CNN A las 2:02 PM, Agosto 5, 2013 Los 5 hackeos mas alarmantes de la semana Instalaciones Industriales Autos controlados remotamente Celulares comprometidos Casas demasiado-inteligentes Hackeos personales los blancos más alarmantes fueron tema central de la conferencia. Múltiples demostraciones demostraron lo fácil que es hackear sistemas eléctricos en un pozo petrolero, el hackeo podría volverse una catástrofe ambiental, mencionaron los investigadores. Es posible apagar una instalación industrial completa a 40 millas de distancia No hay sistemas para distribuir actualizaciones de software como lo hay para computadoras personales - 4 -

5 Monetización de vulnerabilidades Algunas compañías ofrecen recompensas a cambio de vulnerabilidades Google paga hasta $20k NSA y otras naciones pagan más Vuln día-0 pagan $35k a $160k (NY Times 7/13/2013, Snowden) Varias compañías ofrecen catálogos de día-0 ReVuln, Vupen Hackeo es un negocio mundial muy bien remunerado!! - 5 -

día-0 pagan $35k a $160k (NY Times 7/13/2013, Snowden) Varias compañías ofrecen

6 Redes inteligentes emergentes Expansión de IP, Redes de control y empresarial conectadas a Internet Generación Transmisión Distribución Clientes AMI DSM Operadores de Sistemas Autoridades Regulatorias - 6 -

7 Disponibilidad, Integridad y Confidencialidad Redes empresariales requieren C-I-D Confidencialidad de propiedad intelectual es lo más importante SCI requiere D-I-C Disponibilidad e integridad de control es lo más importante Información de control tiene baja entropía poca confidencialidad Muchos fabricantes de SCI proveen % (6) de disponibilidad equipos tradicionales de red ofrecen % (5) Asegurar alta disponibilidad no es fácil Protección en contra de denegación de servicio (distribuido) Calidad de servicio, administración de recursos, redundancia - 7 -

confidencialidad Muchos fabricantes de SCI proveen 99.9999% (6) de disponibilidad equipos tradicionales de red ofrecen 99.

8 Riesgos típicos , web, facebook, torrents Seguridad muy básica Acceso de terceros Sistemas sin parches No anti-virus Sistemas modernos Redes planas Dial-up modems Mala author/authent Subestaciones sin personal - 8 -

parches No anti-virus Sistemas modernos Redes planas

9 Vulnerabilidades de seguridad Software comercial +IP +conectividad = muchas vulnerabilidades! Todas las de redes empresariales y más Worms and Viruses Legacy OSes and applications DOS and DDOS impairing availability Inability to limit access Unauthorized access Inability to revoke access Unknown access Unexamined system logs Unpatched systems Accidental misconfiguration Little or no use of anti-virus Improperly secured devices Limited use of host-based firewalls Improperly secured wireless Improper use of operations workstations Unencrypted links to remote sites Unauthorized applications Passwords sent in clear text Unnecessary applications Default passwords Open FTP, Telnet, SNMP, HTTP ports Password management problems Fragile control devices Default OS security configurations scans by IT staff Unpatched routers & switches Ver NISTIR 7628 Apéndice D! - 9 -

Unknown access Unexamined system logs Unpatched systems Accidental misconfiguration Little or no use of anti-virus Improperly secured devices Limited use of host-based firewalls Improperly secured

10 Ecuación de riesgo Riesgo Amenazas Recursos Vulnerabilidades Riesgo = Consecuencias x Amenazas x Vulnerabilidades

11 Adversarios Crackers Hackers Crimen organizado Empleados disgustados Competidores Terroristas Hacktivistas Eco-terroristas Estados nacionales Naciones

12 Los riesgos son reales Demostración INL National Lab Aurora, Marzo

13 Mitos 1. Solo un problema para empresas grandes Malware sin objetivo específico Empleados molestos o contratistas seguridad por oscuridad no funciona! 2. No somos un blanco/objetivo! Sitio web? Red inalámbrica? Software comercial? Acceso a terceros? 3. Tenemos cortafuegos, estamos seguros!! Memorias USB? Laptops? Malware puede salir a través del cortafuegos

contratistas seguridad por oscuridad no funciona! 2. No somos un blanco/objetivo! Sitio web?

14 Como asegurar sistemas de Control Apagarlo, recubrirlo de plomo, tirarlo en la fosa de las Marianas!!! O de manera alternativa

15 Defensa en profundidad Capas, modos de protección sobrepuestos y complementarios 1. Preventivos: para disuadir o alentar 2. Detectivos: para notificar 3. Mitigantes: para reparar o restablecer Como?? Que proteger? (activos) De que/quien? (amenazas) Escoger centro (activo principal) Colocar capas Ejemplo en subestación

Mitigantes: para reparar o restablecer Como?? Que proteger?

16 Amenazas reales (Stuxnet) Que es Stuxnet? Descubierto en 2010, pero puede haber existido desde un año antes Primer gusano para Windows que infecta y reprograma sistemas de control industrial Primer gusano que incluye un rootkit para un Utiliza 4 vulnerabilidades día-0 de Windows (2 para propagarse y 2 para aumentar privilegios) Drivers firmados con dos certificados robados(?) de dos compañías diferentes Se propaga por medio de memorias USB y otros dispositivos removibles Ataca productos Siemens

de control industrial Primer gusano que incluye un rootkit para un Utiliza 4 vulnerabilidades día-0 de Windows (2 para

17 Como procede el ataque Paso # 1 RTU SCADA Engineering Control System Management Console HMI Data Historian Iniciado por ataque Phishing o Spearphishing Modem Pool Vendor Web Enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

ataque Phishing o Spearphishing Modem Pool Vendor Web Enterprise

18 Como procede el ataque Paso # 2 RTU SCADA Engineering Control System Management Console HMI Data Historian Modem Pool Vendor Web Enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

Email Modem Pool Vendor Web Enterprise Enterprise

19 Como procede el ataque Paso # 2b RTU SCADA Engineering Control System Management Console HMI Data Historian Iniciado por memoria USB Modem Pool Vendor Web Enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

Iniciado por memoria USB Modem Pool Vendor Web Enterprise

20 Como procede el ataque Paso # 3 RTU SCADA Engineering Control System Management Console HMI Data Historian Modem Pool Vendor Web enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

21 Como procede el ataque Paso # 4 RTU SCADA Engineering Control System Management Console HMI Data Historian Modem Pool Vendor Web enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

22 Como procede el ataque Paso # 5 RTU SCADA Engineering Control System Management Console HMI Data Historian Modem Pool Vendor Web enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

23 Como procede el ataque Paso # 5b RTU SCADA Engineering Control System Management Console HMI Data Historian Initiated by Flash Drive on Control Modem Pool Vendor Web enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

24 Como procede el ataque Paso # 6 RTU SCADA Engineering Control System Management Console HMI Data Historian Modem Pool Vendor Web enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

25 Como procede el ataque Paso # 7 RTU SCADA Engineering Control System Management Console HMI Data Historian Modem Pool Vendor Web enterprise Enterprise Internet Business Database Domain Name (DNS) Attacker

26 Como procede el ataque Paso # 8 RTU SCADA Engineering Control System Management Console HMI Data Historian Modem Pool Vendor Web enterprise Enterprise Internet Business Database Domain Name (DNS) Command and Control

Modelo solución defensa en profundidad Separación de red de control Trafico de e/s muy controlado Accesos remotos muy controlados Conexiones de

27 Modelo solución defensa en profundidad Separación de red de control Trafico de e/s muy controlado Accesos remotos muy controlados Conexiones de terceros aseguradas Protección dentro de red de Control Monitoreo de seguridad Coms protegidas Coms protegidas Seguridad física Sitios remotos protegidos

28 Gestión unificada de amenazas (UTM) Protección periférica, IPS, VPN, AV Host IDS, Host AV DMZ Seguridad interior, IDS, VPN, AV Host IDS, Host AV IEEE P1711, IEC NAC Escaneo Monitoreo Administración Procesos IDS IPS DMZ VPN AV NAC Intrusion Detection System Intrusion Prevention System De-Militarized Zone Virtual Private (encrypted) Anti-Virus (anti-malware) Admission Control

29 Filosofía de seguridad cibernética Seguridad es un proceso, no un destino! Hackeo es un blanco en constante movimiento Nada es 100% seguro, se trata de controlar y mitigar riesgos Acaso el mejor conductor con el mejor auto esta a salvo de accidentes?? Utilizar un método conjunto Personas, procesos y tecnología

30 Siguiente reto: Redes inteligentes convergidas

31 Conclusiones Las redes eléctricas son un campo de juego para hackers Nuevas tecnologías (AMI) aumentan la superficie de ataque a las compañías eléctricas y por lo tanto el riesgo Proveer valor agregado a los consumidores puede involucrar sistemas interconectados, aumentando la superficie de ataque Pequeñas corporaciones pueden ser la puerta de entrada a grandes corporaciones (apagón del Noreste) Seguridad cibernética debe ser considerada desde el comienzo! Sesiones periódicas de concientización Independientemente del tamaño, el no hacer nada demuestra una falta de responsabilidad con los clientes y/o vecinos de la red eléctrica

32 Gracias Pedro Villanueva Líder de desarrollo N-Dimension Solutions Inc. Oficina: x228 URL:

Documentos relacionados

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial Presentada por: Julio César Ardita, CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento