comportamiento en infraestructuras crítica

Transcripción

1 Análisis Titulo de la presentación de Segunda Línea comportamiento en infraestructuras crítica Septiembre 2015 Nivel de Confidencialidad: 1 - Información Interna La información contenida en este documento es propiedad de itconic y va dirigida exclusivamente a los destinatarios. No se pueden realizar revisiones, copias, ni su difusión pública sin el permiso explícito escrito de itconic.

2 Infraestructuras críticas (IT+OT) Ataques a Sistemas Ciberfísicos Protección mediante análisis de comportamiento Índice 2

3 Infraestructuras críticas IT + OT Cargar imagen Confidential propierty of itconic 3

4 Infraestructuras críticas - ENISA Identificados 12 sectores críticos. En desarrollo 4

5 Protección de Infraestructuras críticas Protección de infraestructuras críticas en España Plan de Seguridad del Operador (PSO) Plan de Protección Específico (PPE) Planes Estratégicos Sectoriales (PES) / 2016 Alimentación Tecnologías Información y Comunicaciones Agua Administración Pública Espacio Investigación Salud Químico Transporte AGENTES PÚBLICOS Y PRIVADOS 5

6 Infraestructuras críticas Características únicas IT+OT Red IT Red OT 6

7 Infraestructuras críticas Características únicas IT+OT Syslog Windows events SNMP DNP3 OPC-DA Modbus/TCP MMS IEC 101/104 ICCP Tase 2 IEEE C (Synchrophasor) CSLib (ABB) DMS(ABB) Ethernet/IP IEC (MMS & Goose) VNC/SMB/RDP/A FP etc. 7

8 Infraestructuras críticas Características únicas IT+OT 8

9 Ataques a Sistemas Ciberfísicos Cargar imagen Confidential propierty of itconic 9

10 Sistemas Ciberfísicos 10

11 Tipos de ataques contemplados Daños sobre los equipos Tuberías y ductos (Oleoductos y agua) Reactores químicos Depósitos Generadores eléctricos Impacto en la cuenta de resultados Cambios en el proceso que disminuyen el producto final Disminución en la pureza del producto Incremento de los costes operacionales y de mantenimiento Deterioro del cumplimiento legal Normativa de seguridad Impacto al medio ambiente Incumplimientos contractuales 11

12 Características de los ataques Ataques Semánticos Ejecutados desde dentro de la red de control Usuarios y puestos legítimos Sobre protocolos no autenticados y con comandos válidos Permisos adecuados Equipos multidisciplinares Equipo IT (Redes y Sistemas) Equipo OT (SCADA) Ingenieros de procesos (Sector) 12

13 Impacto de los ataques Daños sobre los equipos Golpes de ariete Vacio en depósitos Ataques tipo Aurora Impacto en la cuenta de resultados Generación del monómero de Acetato de Vinilo Paracetamol Deterioro del cumplimiento legal Aumento de parámetros críticos Daño medioambiental Incumplimientos en fechas de entrega 13

14 Protección mediante análisis de comportamiento Cargar imagen Confidential propierty of itconic 14

15 Redes IT vs Redes OT Redes OT Redes IT Número de dispositivos IP Bajo Alto Servicios en ejecución Bajo Alto Protocolos utilizados Bajo Alto Exposición internet Baja Alta Número de amenazas Media Alta Prioridad de la disponibilidad Alta Baja Prioridad de la confidencialidad Baja Alta Prioridad de la integridad Alta Media Redes OT Menores en número de dispositivos y servicios. No debieran conectarse directamente a Internet. Bien definidas y diseñadas Ejecutan operaciones repetitivas. Sin posibilidad de instalación de Software de terceros Sin posibilidad de parcheado o actualización 15

16 Redes OT 16

17 Matriz de impacto en sistemas de control industrial 17

18 Taxonomía de IDS para control industrial NIDS DPBI Source: Taxonomy by Debar et al. 18

19 Monitorización mediante comportamiento de protocolo (DPBI) Aprendizaje desatendido Patrón de comportamiento Ajuste y personalización Inventariado Monitorización 19

20 Protección de redes de control mediante análisis de comportamiento Generación del patrón de comportamiento DPBI - Matriz de tráfico (Nodos y flujos) Inventario de protocolos (OT) OPC-DA, Modbus/TCP, MMS, IEC 101/104,ICCP Tase 2 IEEE C (Synchrophasor), CSLib (ABB),DMS(ABB) Ethernet/IP,IEC (MMS & Goose),VNC/SMB/RDP/AFP Inventario de mensajes por protocolo (OT) CALIDAD PATRÓN Distribución de valores dentro de los mensajes de los protocolos utilizados (DPBI) + 20

21 Protección de redes de control mediante análisis de comportamiento Generación avanzada del patrón de comportamiento S-NIDS (Sequence-Aware NIDS ) Control de secuencia o correlación operacional Permite la detección de ataques al proceso Detecta alteraciones en el orden de los comandos Permite la detección de secuencias de comandos en periodos temporales concretos Elimina el ruido introducido en el modelo por la interacción humana y los retrasos de la red 21

22 Protección de redes de control mediante análisis de comportamiento Arquitectura de un sistema S-NIDS 22

23 Ventajas únicas del uso de patrones de comportamiento avanzados Detección de amenazas internas Dispositivos desconocidos que inician comunicaciones Dispositivos conocidos que usan protocolos o servicios fuera del patrón Detección y alerta sobre cualquier actividad fuera del patrón Modificación de configuraciones sobre elementos de campo desde puestos legítimos (EWS) Detección de ataques externos a los procesos Ataques tipo Aurora Ataques de golpe de ariete y de baja presión Alteración de los productos finales Intentos de vertidos al medio ambiente 23

24 Enrique Martín García