II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas. Informe de Resultados

Transcripción

1 II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas Informe de Resultados Madrid febrero 26 marzo

2

3 ÍNDICE 1. INTRODUCCIÓN Objeto Ámbito Estructura Acrónimos REferencias II JORNADAS PSCIC Objetivo de las Jornadas Técnicas Formato Calendario Participantes Evolución de las Jornadas Evolución en los Participantes ESCENARIO Y PLATAFORMA Plataforma Pruebas de Conexión Escenario 1ª Sesión Práctica Escenario 2º Sesión Práctica Evolución de las jornadas CONTENIDO DE LAS SESIONES PRÁCTICAS ª Sesión: Gestión de un Incidente de Seguridad en una IC Introducción a la Seguridad en IC Caso Práctico Conclusiones ª Sesión: Análisis y Gestión de Riesgos Introducción al Análisis Y Gestión de Riesgos Caso Práctico conclusiones VALORACIÓN DE LOS PARTICIPANTES Consecución de los Objetivos Planteados ª Sesión: Gestión de un Incidente de Seguridad en una IC ª Sesión: Análisis y Gestión de Riesgos Organización de las Jornadas Conexión Remota Valoración del Contenido de las Sesiones Prácticas i

4 ÍNDICE ª Sesión: Gestión de un Incidente de Seguridad en una IC ª Sesión: Análisis y Gestión de Riesgos Valoración de las Tecnologías utilizadas ANÁLISIS DE LOS RESULTADOS Y LECCIONES APRENDIDAS Objetivos de las Jornadas Organización de las Jornadas Contenidos de las Sesiones Prácticas Participantes CONCLUSIONES ii

5 1. INTRODUCCIÓN 1.1. OBJETO El objeto del presente informe es presentar los resultados, las lecciones aprendidas y los análisis obtenidos tras la realización de las II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas (PSCIC), entre los días 5 de febrero y 26 de marzo de 2014, incluyendo una breve descripción de la estructura y contenidos de las mismas ÁMBITO Este informe presenta el análisis y los resultados obtenidos tras las respuestas dadas por los participantes en las sesiones prácticas mediante los cuestionarios, tanto técnicos como de valoración de las propias jornadas. También se han considerado los comentarios recibidos por los asistentes y en particular por los participantes, durante las sesiones presenciales de apertura y cierre de las jornadas. Se ha intentado mostrar los resultados de la forma más objetiva posible, en base a la información disponible ESTRUCTURA El informe está estructurado en los siguientes apartados: II Jornadas PSCIC o Introducción y resumen de las II Jornadas PSCIC, incluyendo la descripción de los objetivos de las mismas, así como su estructura o el detalle de los participantes. Escenarios y Plataforma o Descripción de la plataforma tecnológica utilizada y de los escenarios planteados para las sesiones prácticas. Contenido de las Jornadas o Descripción detallada del contenido y actividades de cada una de las sesiones prácticas las jornadas. Valoración de los Participantes o Presentación de los resultados de las valoraciones realizadas por los participantes en las sesiones prácticas. Análisis de los Resultados y Lecciones Aprendidas o Análisis de los resultados obtenidos, incluyendo las lecciones aprendidas Conclusiones o Conclusiones a tener en cuenta, tras la realización de las jornadas. 1

6 1.4. ACRÓNIMOS ACRONIMOS CCN CIISC-T2 CNCA CNPIC IC ISDEFE PSCIC SCADA SCI TIC Centro Criptológico Nacional Critical Infrastructure: Improvement of Security Control Against the Terrorist Threat Centro Nacional de Coordinación Antiterrorista Centro Nacional para la Protección de Infraestructuras Críticas Infraestructura Crítica Ingeniería de Sistemas para la Defensa de España Protección de Sistemas de Control en Infraestructuras Críticas Supervisory Control And Data Acquisition Sistema de Control Industrial Tecnologías de las Información y Comunicaciones Tabla 1 Acrónimos 2

7 1.5. REFERENCIAS REFERENCIAS [1] [2] [3] [4] Díptico I Jornadas PSCIC Visto en mayo de 2014 en: CIPS Grants awarded in Visto en mayo de 2014 en Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. BOE nº 102, 29 de abril de Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. BOE nº 121, 21 de mayo de 2011 [5] CCN-STIC-480x Seguridad en Sistemas SCADA. Centro Criptológico Nacional, [6] [7] [8] MAGERIT versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Hacienda y Administraciones Públicas NIST Special Publication rev 4. Security and Privacy Controls For Federal Information Systems and Organizations. NIST Commission Staff Working Document on a new approach to the European Programme for Critical Infrastructure Protection Making European Critical Infrastructures more secures. SWD (2013) 318 final Tabla 2 Referencias 3

8 2. II JORNADAS PSCIC Dentro de las prioridades estratégicas para la seguridad de las naciones se encuentra la protección de las Infraestructuras Críticas (IC), las cuales prestan servicios esenciales para el normal funcionamiento de la sociedad. Con el objetivo de continuar con las actividades prácticas de concienciación y adiestramiento en seguridad en IC a nivel europeo, Isdefe en colaboración con el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) ha organizado las II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas (PSCIC) Sector de Transporte, Energía, Nuclear y Agua, como continuación de las exitosas I Jornadas PSCIC celebradas en 2012 [1]. Esta nueva edición de las jornadas se realiza en el marco del proyecto europeo Critical Infrastructure: Improvement of Security Control Against the Terrorist Threat (CIISC-T2), que cuenta con la participación del Centro Nacional de Coordinación Antiterrorista (CNCA), CNPIC, Isdefe y KEMEA. El proyecto CIISC-T2 está financiado por el programa Prevention, Preparedness and Consequence Management of Terrorism and other Security-related Risks Programme [2] de la Comisión Europea OBJETIVO DE LAS JORNADAS TÉCNICAS Al igual que en la edición anterior de las Jornadas, se ha pretendido dar a conocer y concienciar acerca de las amenazas a las que se encuentran sometidas las IC dentro del plano de las Tecnologías de la Información y Comunicaciones (TIC), caracterizadas estas últimas por: La creciente interconexión de los Sistemas de Control Industrial (SCI) con los sistemas TIC corporativos en busca de sinergias y ahorro de costes. Uso de tecnología y productos a medida cuyas vulnerabilidades y modos de explotación son cada vez más conocidas. Uso cada vez mayor de funcionalidades y capacidades de acceso remoto en los productos utilizados en los SCI. Demanda en los propios sectores de IC de mayor interconectividad con redes de terceros (soporte, mantenimiento remoto, etc.). Para alcanzar los citados objetivos, durante las Jornadas Técnicas se trataron y presentaron los siguientes aspectos: 1) Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las IC [3]; Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las IC [4]; y normativa y guías desarrolladas por el Centro Criptológico Nacional (CCN-STIC familia 480) [5] para este ámbito. 2) Las herramientas reconocidas dentro de la Administración para su empleo en el análisis y gestión de riesgos. 3) Análisis de recientes y sofisticados ciberataques sufridos en diferentes IC. Se ilustró mediante el estudio de las técnicas de ciberataque utilizadas en estos incidentes, que permitieron a quienes los llevaron a cabo robar información industrial o sabotear y controlar remotamente IC en diferentes países. 4

9 4) Tecnologías y modelos donde los responsables de SCI se pueden apoyar para la protección efectiva de sus sistemas. Además, para incrementar la efectividad en los procesos de detección y gestión adecuada de incidentes de seguridad, se trabajó con herramientas colaborativas, las cuales permiten ejercitar el proceso de intercambio de información FORMATO Las Jornadas Técnicas han girado en torno a una serie de talleres prácticos, desarrollados en varias sesiones en distintos días, en el que se presentaron una serie de casos o simulacros cuya resolución permitió mejorar la concienciación y adiestramiento en materia de seguridad en SCI. Cada taller práctico constó de una serie de charlas teóricas que permitieron introducir los aspectos de seguridad en los que trabajar, seguidos de los casos prácticos, todo ello de forma remota a través de una plataforma virtual, accesible desde Internet, proporcionada por la organización de las Jornadas. Las Jornadas se estructuran en 4 sesiones: Sesión Inaugural o Dirigida a presentar las Jornadas y orientar en los aspectos prácticos de su desarrollo, proporcionando a cada equipo participante el material y la documentación adecuada para que puedan realizar las sesiones prácticas. Esta sesión ha sido una oportunidad para la divulgación y sensibilización de la cultura de seguridad entre los diferentes actores implicados en la protección de las IC.. 1ª Sesión Práctica: Gestión de un Incidente de Seguridad en una IC o Presentación de la tecnología, herramientas y buenas prácticas aplicables a SCI mediante la realización de ejercicios prácticos. El objetivo final de los ejercicios propuestos ha sido el de potenciar la mejora de los procesos de gestión y respuesta a incidentes de seguridad utilizados en los operadores de IC. 2ª Sesión Práctica: Análisis y Gestión de Riesgos TIC en IC o El objetivo principal de este segundo día ha sido dar a conocer el análisis de riesgos, su utilidad y su aplicación práctica en entornos cada vez más comunes donde conviven sistemas corporativos con SCI. De este modo, los participantes se familiarizaron con el proceso de análisis y la gestión del riesgo aplicado a cada uno de sus entornos, identificando los beneficios que proporciona. Sesión de Clausura o Encaminada a identificar y exponer las conclusiones principales extraídas del ejercicio así como recoger las impresiones y comentarios de los participantes. Cada sesión se desarrolló en un día diferente. Tanto la Sesión Inaugural como la de Clausura fueron presenciales, en las instalaciones de Isdefe, contando principalmente con la asistencia de los participantes en las Jornadas. Las sesiones prácticas, por el contrario, se realizaron de forma remota desde de las instalaciones propias de cada uno de los participantes. 5

10 2.3. CALENDARIO El calendario de las Jornadas ha sido el siguiente: CALENDARIO JORNADA 05 FEB FEB FEB MAR 2014 Sesión de Apertura 09:30-15:00 1ª Sesión Práctica 09:00 15:00 2ª Sesión Práctica 09:00 13:15 Sesión de Clausura 09:30-14:00 Tabla 3 Calendario de las II Jornadas PSCIC 2.4. PARTICIPANTES El público objetivo de esta Segunda Edición de las Jornadas Técnicas han sido los principales Operadores de Infraestructuras Estratégicas (IE) de los sectores nacionales de Transporte, Agua, Energía y Nuclear, así como los organismos sectoriales de supervisión, como son el Ministerio de Fomento, el Ministerio de Industria, Energía y Turismo, el Ministerio de Agricultura, el Ministerio de Sanidad y el Consejo de Seguridad Nuclear. Entrando más en detalle, en la realización de las sesiones prácticas de estas segundas jornadas, ha habido una participación de 16 equipos distintos, cada uno de los cuales ha estado compuesto por varias personas, alcanzando 9 o más personas en algunos casos. En el siguiente gráfico se muestra la relación participantes por sectores: Agua 6% Otros 6% Nuclear 25% Transporte 38% Energía 25% Figura 1 Participación en la Sesiones Prácticas, por Sectores 6

11 Y en la siguiente tabla muestra la relación de organismos y empresas de participantes en las sesiones prácticas: Participante ADIF AENA NAVEGACIÓN AÉREA BAHIA BIZKAIA GAS CANAL ISABEL II CERT DE SEGURIDAD E INDUSTRIA COFRENTES CONSEJO DE SEGURIDAD NUCLEAR CORES EDP ENERGÍA ENUSA INDUSTRIAS AVANZADAS ESTACIÓN DE AUTOBUSES MADRID SUR GAS NATURAL METRO DE BILBAO METRO DE SEVILLA MINISTERIO DE FOMENTO - PUERTOS DEL ESTADO NUCLENOR Tabla 4 Participantes Sesiones Prácticas 2.5. EVOLUCIÓN DE LAS JORNADAS Las I Jornadas PSCIC fueron organizadas por Isdefe en colaboración con el CNPIC entre los meses de abril y mayo de 2012 en la participaron 20 equipos de los Sectores Estratégicos de Energía, Nuclear y Transporte, incluyendo grandes compañías nacionales que operaban Infraestructuras Estratégicas en los citados sectores (16 equipos), así como algunos organismos con responsabilidades sectoriales en la Protección de las Infraestructuras Críticas: Ministerio de Fomento, Ministerio de Industria, Energía y Turismo, Consejo de Seguridad Nuclear y Centro Nacional de Inteligencia (4 equipos). Estas II Jornadas han sido una continuación de la primera edición, compartiendo sus objetivos principales, en las que a los sectores participantes de la edición anterior se ha añadido el Sector del Agua. Puesto que uno de los objetivos principales de ambas jornadas ha sido la concienciación se ha 7

12 buscado la participación de organismos y empresas distintas, a pesar de que haya sectores que repiten. Por su parte, la estructura y formato se ha mantenido uniforme en ambas jornadas EVOLUCIÓN EN LOS PARTICIPANTES En esta segunda edición, la mayoría de los participantes han sido nuevos. Tan solo ha habido unos pocos que han estado presentes ambas ediciones. Por este motivo, es difícil comparar y evaluar la posible evolución de los participantes tras su participación en las Jornadas. A pesar de esto, hay un aspecto muy importante que ha llamado la atención. En las I Jornadas, la 2ª sesión (Análisis y Gestión de Riesgos) se consideró más complicada que la 1ª Sesión (Gestión de un Incidente de Seguridad en una IC). Sin embargo, en estas II Jornadas, se ha dado un giro de 180º, donde los participantes han considerado más complicada la 1ª Sesión. Analizando la situación, el contexto y los participantes, podemos deducir que los principales motivos para esto son, entre otros, los siguientes: Antes se daba una mucha mayor importancia al componente técnico de la seguridad. La tendencia está cambiando y se ve la seguridad como un aspecto global que implica no solo elementos técnicos, sino también operativos, de gestión, procedimentales, normativos, etc. Hay más gente, y sobre todo, más perfiles involucrados en la seguridad, de ahí la mayor diversidad entre los participantes. No solo personal técnico. Por otra parte, el uso de las herramientas para la gestión de eventos de seguridad, está cada vez más extendido, con lo que hay más gente que las conoce, con lo que ha habido más participantes con conocimientos sobre dichas herramientas. 8

13 3. ESCENARIO Y PLATAFORMA 3.1. PLATAFORMA Como elemento esencial para la realización de estas Jornadas, Isdefe ha desarrollado una plataforma capaz de simular cualquier escenario complejo en el que poder reproducir multitud de sistemas y configuraciones de seguridad y ser, por tanto, una potente herramienta para la formación y el entrenamiento mediante el uso de la simulación en el ámbito de la ciberseguridad. Sobre esta plataforma, se han implementado los escenarios de cada una de las sesiones prácticas, habiendo incorporado cada uno de ellos un sistema Supervisory Control And Data Acquisition (SCADA) de alcance limitado, que incluye algunos componentes esenciales de un entorno de SCI como puede ser un Human Machine Interface (HMI) o un Programmable Logic Controller (PLC). El acceso de los participantes a esta plataforma se realiza de forma remota mediante estos dos elementos que se facilitaron a los participantes en la Sesión Inaugural: DVD auto arrancable (DVD Live) con las herramientas necesarias para el seguimiento remoto de las mismas. Memoria USB (pendrive) con los correspondientes certificados digitales (únicos para cada equipo participante) para garantizar el acceso seguro y la identificación de cada equipo, así como con toda la documentación necesaria para su puesta en funcionamiento. Figura 2 Elemento para el Acceso a la Plataforma En resumen, el participante tan solo tiene que arrancar el equipo, introducir el DVD y conectar la memoria USB. El sistema se configura y conecta automáticamente a la plataforma de Isdefe de forma totalmente transparente. 9

14 En la figura siguiente se puede observar la arquitectura de acceso a la plataforma Figura 3 Acceso a la Plataforma Cada participante se conecta mediante sus propios equipos (utilizando el DVD proporcionado) a la plataforma a través de Internet. Una vez establecida la conexión, tiene acceso a los servicios y herramientas proporcionados por la plataforma para el seguimiento de las sesiones prácticas. Del mismo modo, cada participante puede acceder al Aula Virtual en la que seguir en tiempo real las presentaciones que está realizando el tutor así como hacer preguntas públicas (visibles por todos los participantes) o privadas (visibles solo por el tutor). En esta Aula Virtual se alternan las charlas presenciales del tutor con la visualización de videos e imágenes en tiempo real de la plataforma. Para acceder a esta aula no es necesario el uso del DVD. Tan solo se precisa una conexión a internet y disponer de las apropiadas credenciales de acceso (facilitadas por la organización de las Jornadas durante la Sesión Inaugural) PRUEBAS DE CONEXIÓN Durante los días previos a la 1ª sesión prácticas se realizaron las Pruebas de Conexión cuyo objetivo era primero probar la conectividad de cada participante con la plataforma, y segundo, familiarizar a cada participante tanto con los herramientas que se iban a emplear en las prácticas como con la red corporativa de esta empresa. Todo ello, mediante la realización de un mini-reto que incluía actividades como: 10

15 Identificación de activos: Obtención datos, servicios, servidores, componentes de red, sistemas operativos. Descubrimiento de activos no documentados: Gestión e inventario de activos. Análisis de vulnerabilidades. Verificación de la configuración de firewalls, servidores, IDS, etc. Mediante estas pruebas, los participantes pudieron conocer la plataforma sobre la que se realizaron las sesiones prácticas posteriormente ESCENARIO 1ª SESIÓN PRÁCTICA Para esta sesión, la arquitectura presentada simula una configuración que podría estar presente a día de hoy en un operador de IC, en este caso se ha puesto un ejemplo de un sistema de control ferroviario de una empresa ficticia, llamada Stark Enterprises, en el que los sistemas TIC corporativos y los de control industrial (sistema SCADA) tienen un punto de interconexión (ver figura siguiente). El sistema SCADA controla el cambio de vías, y su correspondiente señalización, de un sistema ferroviario ficticio. Figura 4 Escenario 1ª Sesión Práctica 11

16 Como puede ser frecuente en una arquitectura de estas características, el sistema consta de una serie de bloques con roles y objetivos muy concretos, separados mediante dispositivos de protección de perímetro (por ejemplo, cortafuegos): Red DMZ, cuyo objetivo es proteger los sistemas internos de la compañía de sus conexiones exteriores (por ejemplo Internet). En esta red se incluyen los servicios que la compañía pone a disposición de usuarios externos (servicios Web y bases de datos de acceso de empleados, servicio DNS, herramientas de monitorización, etc.) Red MZ, que incluye los servicios internos de la compañía, como son los controladores de dominio, servidores de correo, bases de datos, estaciones de usuarios y herramientas de seguridad. En el caso de las herramientas, se incluyen aquellas de análisis y la gestión de eventos de seguridad de los servidores y equipos del Sistema. Red SCADA, que contiene elementos característicos de un SCI, como dispositivo HMI conectado a red LAN SCADA por Ethernet, dispositivos PLC y estaciones de trabajo de control y desarrollo del sistema SCADA. Este tipo de tecnologías SCADA es ampliamente utilizado en SCI de gran variedad de sectores estratégicos como Industria, Energía, Transporte, etc., para controlar y monitorizar procesos industriales, como por ejemplo los que hacen funcionar una central eléctrica o los que controlan las vías de un tren de alta velocidad. En las siguientes figuras se puede ver con detalle los elementos físicos reales de los que se compone la maqueta SCADA de la plataforma, así como el detalle del software de control diseñado e instalado en el HMI. Figura 5 Detalle de la maqueta SCADA 12

17 Figura 6 Detalle de HMI Es importante destacar que tanto el HMI como el PLC empleado son componentes reales, de modelos ampliamente utilizados en sistemas SCADA reales, concretamente: HMI Weintek (Modelo MT-8070iH) PLC Koyo Click (Modelo C0-00DR-D) 13

18 3.4. ESCENARIO 2º SESIÓN PRÁCTICA El escenario desarrollado para esta segunda sesión práctica se basa en el mismo que se utilizó en la primera sesión, pues el conocimiento previo de éste suponía una gran ventaja para una mejor compresión de las actividades a realizar. Figura 7 Escenario 2ª Sesión Práctica En este escenario, se puso a disposición de cada uno de los participantes un acceso a la zona virtual donde se encontraban instaladas las herramientas necesarias para la correcta realización de las prácticas (herramienta de análisis de riesgos, archivos de trabajo, plantillas de riesgos, etc.). Figura 8 Recursos adicionales para la 2ª Sesión Práctica 14

19 3.5. EVOLUCIÓN DE LAS JORNADAS En esta segunda edición, las sesiones prácticas han seguido la misma estructura y formato en el contenido. Sin embargo el contenido ha cambiado, especialmente en la primera sesión. En esta ocasión el escenario planteado giraba entorno una empresa (Stark Enterprises) encargada de la gestión y monitorización de un sistema ferroviario. El escenario de la primera edición se centró en una compañía de gas, en la que el SCADA controlaba la entrada y salida de una bomba de gas, como puede verse en la siguiente figura. Figura 9 Escenario I Jornadas PSCIC A nivel técnico, cabe destacar los siguientes cambios: Actualización del escenario y plataforma. o o o Mejoras en estabilidad y rendimiento. Mayor coherencia en el escenario planteado. Inclusión de nuevos ataques. Simplificación del proceso de conexión, filosofía Plug and Play. o o Arrancar DVD Live, conectar el USB y listo. No ha habido ningún incidente relativo a la configuración del acceso a la plataforma. Pruebas de conexión desatendidas. o Incluyen un mini-reto para familiarizarse con el entorno y las herramientas. Sustitución de la Wiki por una plataforma colaborativa para el intercambio de información 15

20 4. CONTENIDO DE LAS SESIONES PRÁCTICAS Cada una de las sesiones prácticas estuvo precedida por una charla teórica, a través del aula virtual de la plataforma, con el objetivo de introducir los conceptos y técnicas en los que se trabajaría, así como describir la propia práctica ª SESIÓN: GESTIÓN DE UN INCIDENTE DE SEGURIDAD EN UNA IC Los objetivos específicos de esta primera sesión han sido: Concienciar y sensibilizar sobre las amenazas existentes, impactos y riesgos asociados en SCI. Poner en práctica conceptos de diseños de arquitectura seguras: tecnologías de seguridad, sistemas de monitorización de eventos de seguridad y buenas prácticas en seguridad de la información. Fomentar la cooperación y el intercambio de información entre los distintos actores relacionados con la protección de las IC. La jornada se ha dividido en tres fases principales: introducción a la seguridad y a los casos prácticos, caso práctico y conclusiones INTRODUCCIÓN A LA SEGURIDAD EN IC En esta primera fase se dio una breve introducción teórica a la seguridad en IC, la normativa aplicable y una descripción de algunos casos reales de ataques a IC como STUXNET, Duqu y Flame. En esta sesión se trabajó sobre un sistema SCADA, siendo éste el que permite la monitorización y el control de dispositivos de campo en procesos industriales. Estos sistemas soportan procesos críticos en muchos sectores nacionales, como por ejemplo el control de la red eléctrica, el suministro de agua, las telecomunicaciones, el tráfico aéreo o las líneas de ferrocarril. En sentido, y con objeto de introducir el caso práctico, se lanzó la siguiente pregunta Por qué proteger los sistemas SCADA o SCI de las IC?. Las IC proveen servicios esenciales necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el transporte, el bienestar social y económico de la sociedad o el eficaz funcionamiento de las Administraciones Públicas, pero éstas dependen cada vez más de tecnologías como los sistemas SCADA que realizan la gestión y el control de procesos industriales CASO PRÁCTICO En el desarrollo del caso práctico se utilizó la herramienta de gestión de eventos Open Source Security Information Management (OSSIM), así como una plataforma colaborativa con objeto de fomentar el intercambio de información. Esta plataforma fue utilizada por los participantes para detallar los incidentes de seguridad durante el caso práctico y como medio de comunicación y colaboración entre ellos. Además, constituyó el repositorio de los guiones de cada una de las sesiones prácticas y los manuales de las herramientas que iban a utilizar los participantes. OSSIM es un conjunto de herramientas de seguridad que contiene un módulo de sistema Security Information and Event Management (SIEM), que constituye un gestor de monitorización de eventos de seguridad que permite ver de forma gráfica y unificada todos los eventos de seguridad que 16

21 transmiten los equipos y sondas de seguridad que estén desplegados en las redes y sistemas de la compañía. Figura 10 OSSIM - SIEM Las funciones principales de una herramienta SIEM son: Recolección de logs y eventos del sistema y almacenamiento a largo plazo. Agregación y correlación de eventos. Generación de alertas y gestión de incidencias. Los sistemas SIEM permiten además filtrar los eventos por diversos campos como por ejemplo el origen de los datos que queremos visualizar. Durante la sesión práctica los participantes tuvieron el rol de Administrador de Seguridad del sistema de la compañía ferroviaria, cuyo nombre era Stark Enterprises. El primer paso de los participantes, como administradores de seguridad, fue conocer la estructura y composición de la red de la empresa Stark Enterprises, para así poder protegerla y vigilarla (esta actividad se realizó durante las Pruebas de Conexión los días previos). La segunda parte de la sesión práctica se centró en la gestión de incidentes, a través de una serie de ejercicios guiados en los que los incidentes procedentes de un ataque al sistema se monitorizaban, evaluaban y gestionaban en tiempo real según iban apareciendo. El ataque en cuestión consistió en tres fases: 17

22 Fase I. Ataque a la DMZ El objetivo de esta fase del ataque era la subred DMZ, dado que en ella se ubicaban los equipos y servicios accesibles desde Internet. De estos equipos, el servidor sobre el que cabría esperar un ataque era el servidor Web que suministraba la página corporativa de Stark Enterprises. El atacante realizaba varios ataques de inyecciones SQL (SQL injection) 1 para acceder a información privada de los empleados y administradores, como las direcciones de correo y contraseñas de usuarios (hash 2 ), y ataques de Path Traversal 3 para acceder y descargar información restringida de la empresa Stark Enterprises. Fase II: Ataque a la MZ En esta fase el atacante se hacía con el control de un ordenador dentro de la red MZ utilizando la técnica Spear Phising 4. Una vez comprometido, realizó un escaneo de puertos de la red descubriendo el resto de equipos y servidores que la componen. Posteriormente el atacante se centró en el servidor de ficheros de Stark Enterprises, comprometiéndole con la técnica Pass the Hash 5 y obteniendo información confidencial sobre la red SCADA. Fase III: Ataque a la red SCADA En la última fase del ataque, el atacante utilizaba la máquina comprometida de la red interna MZ como punto de pivote para acceder a otras redes y zonas de la red corporativa. Una vez ganado acceso al ordenador de desarrollo de SCADA es sencillo poder hacer pequeñas modificaciones al firmware o acceder directamente a la consola del HMI. Durante cada una de estas fases, el tutor iba alternando sus presentaciones con videos detallados de cada uno de las fases e imágenes en tiempo real de la plataforma. Al finalizar cada fase, se pidió a los participantes que completasen un breve cuestionario técnico a modo de evaluación del conocimiento adquirido. Seguidamente, el tutor mostraba los pasos que deberían haber seguido los participantes. De forma continua, durante toda la sesión práctica, el tutor iba respondiendo a todas aquellas dudas o cuestiones planteadas por los participantes, ya fuera de forma pública o privada CONCLUSIONES En la última parte de la sesión se presentaron las conclusiones derivadas de la recepción de un ataque y su gestión. En este punto se destacó la importancia de identificar las medidas y los controles necesarios a implantar para evitar incidentes de seguridad como el sufrido durante el caso práctico. Además, se recordaron los conceptos más importantes de la sesión práctica y se indicó que la seguridad es un aspecto fundamental en la protección de sistemas de control en IC