Auditorías seguras en Sistemas de Control Taller 12 de infraestructuras críticas

Documentos relacionados
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Test de intrusión (Penetration Test) Introducción

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

JS solutions. Soluciones Tecnológicas al alcance de su negocio...

Security Health Check

Asesoramiento, programación y montaje integral de automatizaciones industriales.

Beneficios estratégicos para su organización. Beneficios. Características V

Centro Nacional de Referencia de Aplicación de las TIC basadas en fuentes abiertas. Un ejemplo práctico: Plataforma de Archivo electrónico

I INTRODUCCIÓN. 1.1 Objetivos

SEMANA 12 SEGURIDAD EN UNA RED

Improving performance, reducing risk. Proceso de Actualización Normas de Sistemas de Gestión ISO 9001 de Calidad ISO de Medio Ambiente

Servicios de Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Simplificación de la seguridad para sucursales

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

Monitorización y gestión de dispositivos, servicios y aplicaciones

3-ANÁLISIS DE VULNERABILIDADES

Tecnología en Seguridad Perimetral

Bechtle Solutions Servicios Profesionales

CURSO COORDINADOR INNOVADOR

servicios públicos establecer un plan director de almacenamiento

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

CAPITULO I. Introducción. En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y

Curso Online. System Security Auditor

ProtrainingLabs. Microsoft dirigidos al conocimiento. Formación TI. Le preocupa que la Formación de sus técnicos no sea de alta calidad?

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Ley Orgánica de Protección de Datos

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL

Riesgos asociados al CLOUD

White Paper Gestión Dinámica de Riesgos

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

Guía Rápida de Inicio

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos:

SEGURIDAD GESTIONADA

El cuadro de mando contiene indicadores e informes que deben actualizarse a partir de la información de su sistema informático.

Mejores prácticas para la segmentación y fortificación de redes industriales

Procedimiento de Sistemas de Información

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Plan Estratégico. Servicio de Informática

beservices 2015 Resumen de características técnicas

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

Presentación de la empresa. Soluciones informáticas a la medida de su empresa

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

SEGURIDAD DE LA INFORMACIÓN

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

Internet. Tecnología 3ºESO

Análisis forense técnico en entornos virtuales

MARCO DE COOPERACIÓN CON LAS UNIDADES DE INFORMÁTICA DISTRIBUIDAS

Principales Cambios de la ISO 9001:2015

Al completar el certificado, los estudiantes habrán adquirido los siguientes conocimientos y destrezas:

DIA 21 Taller: Implantación ISO en el entorno empresarial PYME

TUTORIAL: Cómo hacer más segura nuestra red MAC OS X

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

MACROPROCESO GESTIÓN TECNOLÓGICA

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Sistemas Operativos en Red. NIVEL: 2º Sistemas Microinformáticos y Redes

SOLUCIONES EN SEGURIDAD INFORMATICA

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS MADRID info@mope.

Informe de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte

CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO

Gestión completa del rendimiento

El Auditor y la organización

Gestión de la Configuración

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

COPIAS DE SEGURIDAD. Ver. 1.0

Charlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

Componentes de Integración entre Plataformas Información Detallada

1. Instala sistemas operativos en red describiendo sus características e interpretando la documentación técnica.

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Ciclo de vida del Software

Vocación de servicio Especialistas en sistemas.

2. Gestionar dispositivos de almacenamiento, describir los procedimientos efectuados y aplicar técnicas para asegurar la integridad de la información.

Antecedentes Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld)

NO TENGA ISLAS DE INFORMACIÓN EN SU EMPRESA ACCEDA A TODA LA INFORMACIÓN DE SU COMPAÑÍA Y ACIERTE EN LA TOMA DE DECISIONES

Proceso: AI2 Adquirir y mantener software aplicativo

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

CATÁLOGO SEIDOR PRINTING

Aseguramiento de la Calidad

GVisualPDA Módulo de Almacén

BOLETÍN OFICIAL DEL ESTADO

Javier Bastarrica Lacalle Auditoria Informática.

Visor de presupuestos en Android

Práctica de laboratorio Realización de análisis de vulnerabilidad

WHITE PAPER UNITRONICS MOBILITY SOLUTIONS. La solución para la nueva Oficina Virtual y el Nuevo Espacio de Trabajo de Unitronics

Aspectos Básicos en Gestión Documental,

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

1. Quién es Forware? Cronología Tecnologías Anti-fuga de Forware Solución Forware AntiLeak Suite 4

Guía de uso del Cloud Datacenter de acens

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

Transcripción:

Auditorías seguras en Sistemas de Control Taller 12 de infraestructuras críticas! Elyoenai Egozcue Investigador de seguridad SCADA S21sec Labs

Índice 1. Introducción 2. Concepto de auditoría segura 3. Nuevas metodologías y herramientas 4. Necesidad de innovación 5. INSPIRE 6. Conclusiones! 2

1 Introducción Un entorno de trabajo complejo Múltiples fabricantes Cada proceso es distinto y requiere una programación distinta Sistemas operativos y bases de datos de uso generalista Protocolos TIC clásicos o modernos (XML) y protocolos de control Comunicaciones inalámbricas del s. XXI y comunicaciones serie de los 70 Viejos PLC y remotas o redes de sensores inteligentes Conectividad, conectividad y más conectividad. Así son los sistemas de control que hoy en día están detrás de las infraestructuras críticas del país. 3

1 Introducción Vulnerabilidades por doquier Configuraciones por defecto Control de acceso inadecuado o inexistente Vulnerabilidades zero-day de SSOO y aplicaciones de uso generalista Seguridad por oscuridad de aplicativos SCADA Protocolos de comunicaciones inseguros Aplicaciones y servicios innecesarios Ausencia o no aplicación de parches Puertos físicos no asegurados Falta de gestión de logs Indefinición del perímetro de red Crimen organizado Estados enemigos Ciber terrorismo Espionaje Industrial Hackers Etc. Amenazas estructuradas 4

1 Introducción Marco regulador Programa europeo para la protección de las Infraestructuras Críticas Plan europeo de seguridad de operador Plan nacional de protección de Infraestructuras Críticas Catálogo nacional de Infraestructuras Estratégicas Proyecto de Real Decreto para la Protección de Infraestructuras Críticas Planes estratégicos sectoriales Plan de seguridad de operador Plan de protección específico para cada IC Política de seguridad para cada IC Análisis de riesgos para cada IC Auditorías (seguras) de seguridad en cada IC 5

2 Concepto de auditoría segura Limitaciones en las auditorías a sistemas de control Hacer pruebas en un entorno en producción es arriesgado Algunas pruebas pueden resultar agresivas Realizar paros periódicos en una central nuclear resulta difícil La duración de una auditoría es variable. Estamos dispuestos a realizar varios paros? Se podría utilizar un entorno de pruebas réplica del original Sería difícil y costoso replicar un entorno idéntico: proceso, entradas y salidas, cableado, programación, configuraciones, Ofrecería la posibilidad de realizar pruebas agresivas sin miedo a las consecuencias Se podrían realizar auditorías de riesgo nulo sobre el entorno de producción No conseguiríamos toda la información necesaria y/o lo suficientemente precisa. En consecuencia tendríamos limitaciones en los resultados Y qué pasa con el análisis y descubrimiento de vulnerabilidades tecnológicas? Es necesario un laboratorio específico y adecuadamente preparado 6

3 Metodologías de auditoría Análisis en entorno de producción Análisis de cada componente en operación Análisis pasivo y activo-no-intrusivo Ofrece resultados acerca de: La seguridad de la implantación Determinados aspectos de la seguridad del producto Análisis de entorno replicado Análisis de una copia de los componentes reales Análisis pasivo, activo-no-intrusivo y activo-intrusivo Ofrece resultados acerca de: Niveles de seguridad del producto Niveles de seguridad de la implantación Análisis de componente en el laboratorio Análisis más exhaustivo orientado a aplicativos y dispositivos Análisis activo-intrusivo Ofrece resultados acerca de: Evaluación de la seguridad del producto Determinados aspectos de seguridad de la implantación No hay una metodología perfecta. Una combinación de las tres es la mejor solución para obtener la mayor cantidad de información de forma segura. Durante una evaluación es posible realizar análisis paralelos basados en las tres metodologías garantizando así una temprana obtención de resultados. 7

4 Necesidad de herramientas innovadoras Llevar a la práctica estas metodologías propuestas presenta varios desafíos En la recolección de información (principalmente en auditorías de entorno real) En el procesado de la información (en las tres metodologías) Presentación de resultados y recomendaciones Recolección de información Capturas de tráfico real de puntos críticos: tráfico entre centros de control, tráfico interno al centro de control, etc. Archivos de configuración de aplicaciones, electrónica de red, y equipamiento de campo. Inventariado de centros de control y campo Documentación técnica de productos, programación específica del SCADA, etc. Múltiples repositorios de información de seguridad como fuente de información fundamental para trabajar. Procesado de información Necesario conocer tantos aplicativos SCADA como fabricantes, y varios modelos de remotas por fabricante. Pueden existir desde unos pocos autómatas hasta cientos de remotas repartidas en un área extensa. Redes WAN y MAN, con tecnologías tan variadas como MPLS, radioenlaces, etc. Protocolos de control propietarios y versiones extendidas de protocolos estándares. Tecnologías TIC tradicionales: aplicaciones web, routers, switches, servidores de AAA, directorio activo, UNIX, Windows, etc.. 8

4 Necesidad de herramientas innovadoras Presentación de resultados Listado y valoración de la criticidad de las vulnerabilidades encontradas Informes orientados a la valoración del cumplimiento con buenas prácticas y estándares de seguridad de IC: NERC-CIP, ISA, NIST, AGA, API, NRC, CFATS, etc. Presentación de recomendaciones apropiadas para sistemas de control: controles compensatorios, seguridad más estricta. 9

5 Proyecto INSPIRE Proyecto de investigación aplicada de dos años de me tamaño medio (STREP) El topic del Programa de Trabajo al que se presenta es: Objective ICT-SEC-2007.1.7: Critical Infrastructure Protection (CIP) Fecha de comienzo: 1 de noviembre de 2008 Fecha de finalización: Planficiada: 31 de octubre de 2010 Prevista: 31 de enero de 2010 Web: www.inspire-strep.eu ACADEMY Consorzio Interuniversitario Nazionale per l Informatica (Coordinator) (ITA) Technical University of Darmstadt (GER) INDUSTRY Elsag Datamat (ITA) Thales Communications (FRA) ITTI (SME) (POL) S21Sec Information Security labs (SME) (SPA) KITE Solutions (SME) (ITA) Centre for European Security Strategies (GER) 10

5 Proyecto INSPIRE SCADA System Security Expert / System Architect Discovery Tool Vulnerability Collector Ontology Handler Ontology Repository Decision Aid Tool Operator... INSPIRE Security Ontology 11

5 Proyecto INSPIRE Casos de Uso 1. Si tengo los activos A, B, C y D que dependen entre sí de una determinada manera, qué vulnerabilidades/debilidades les afectan? 2. Cuáles son las vulnerabilidades más críticas desde un punto de vista de negocio para mi sistema de control y en qué orden? 3. Qué tipo de ataques puedo esperar en base a dichas vulnerabilidades? 4. Qué probabilidad e impacto tendrían estos ataques en mi sistema de control? 5. Cuáles son las alternativas técnicas de seguridad disponibles para minimizar o eliminar dichas debilidades/vulnerabilidades? 6. Cuál es la mejor alternativa desde el punto de vista del riesgo para mi sistema de control? 7. Estoy pensando en añadir un nuevo elemento, E, en mi red. Se volverá mi sistema más vulnerable? En qué medida? 8. Si contara con los siguientes recursos y/o contramedidas, qué probabilidad existiría de sufrir un determinado ataque? y cuál sería el impacto sobre mi sistema? 12

6 Conclusiones El mundo de los sistemas de control es complejo Las amenazas son importantes El marco regulatorio empuja inexorablemente hacia las auditorías de seguridad de estos sistemas Las auditorías de seguridad deben ser seguras Planteamos un mix metodológico como la mejor solución: auditoría en entorno real, en entorno replicado y auditoría de componentes en laboratorio Se identifica la necesidad de desarrollar nuevas herramientas de auditoría segura o al menos innovar a partir de las ya existentes INSPIRE, un paso decidido hacia la evaluación del nivel de seguridad de los sistemas de control 13

Fin de la presentación Muchas gracias 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback