Auditorías seguras en Sistemas de Control Taller 12 de infraestructuras críticas! Elyoenai Egozcue Investigador de seguridad SCADA S21sec Labs
Índice 1. Introducción 2. Concepto de auditoría segura 3. Nuevas metodologías y herramientas 4. Necesidad de innovación 5. INSPIRE 6. Conclusiones! 2
1 Introducción Un entorno de trabajo complejo Múltiples fabricantes Cada proceso es distinto y requiere una programación distinta Sistemas operativos y bases de datos de uso generalista Protocolos TIC clásicos o modernos (XML) y protocolos de control Comunicaciones inalámbricas del s. XXI y comunicaciones serie de los 70 Viejos PLC y remotas o redes de sensores inteligentes Conectividad, conectividad y más conectividad. Así son los sistemas de control que hoy en día están detrás de las infraestructuras críticas del país. 3
1 Introducción Vulnerabilidades por doquier Configuraciones por defecto Control de acceso inadecuado o inexistente Vulnerabilidades zero-day de SSOO y aplicaciones de uso generalista Seguridad por oscuridad de aplicativos SCADA Protocolos de comunicaciones inseguros Aplicaciones y servicios innecesarios Ausencia o no aplicación de parches Puertos físicos no asegurados Falta de gestión de logs Indefinición del perímetro de red Crimen organizado Estados enemigos Ciber terrorismo Espionaje Industrial Hackers Etc. Amenazas estructuradas 4
1 Introducción Marco regulador Programa europeo para la protección de las Infraestructuras Críticas Plan europeo de seguridad de operador Plan nacional de protección de Infraestructuras Críticas Catálogo nacional de Infraestructuras Estratégicas Proyecto de Real Decreto para la Protección de Infraestructuras Críticas Planes estratégicos sectoriales Plan de seguridad de operador Plan de protección específico para cada IC Política de seguridad para cada IC Análisis de riesgos para cada IC Auditorías (seguras) de seguridad en cada IC 5
2 Concepto de auditoría segura Limitaciones en las auditorías a sistemas de control Hacer pruebas en un entorno en producción es arriesgado Algunas pruebas pueden resultar agresivas Realizar paros periódicos en una central nuclear resulta difícil La duración de una auditoría es variable. Estamos dispuestos a realizar varios paros? Se podría utilizar un entorno de pruebas réplica del original Sería difícil y costoso replicar un entorno idéntico: proceso, entradas y salidas, cableado, programación, configuraciones, Ofrecería la posibilidad de realizar pruebas agresivas sin miedo a las consecuencias Se podrían realizar auditorías de riesgo nulo sobre el entorno de producción No conseguiríamos toda la información necesaria y/o lo suficientemente precisa. En consecuencia tendríamos limitaciones en los resultados Y qué pasa con el análisis y descubrimiento de vulnerabilidades tecnológicas? Es necesario un laboratorio específico y adecuadamente preparado 6
3 Metodologías de auditoría Análisis en entorno de producción Análisis de cada componente en operación Análisis pasivo y activo-no-intrusivo Ofrece resultados acerca de: La seguridad de la implantación Determinados aspectos de la seguridad del producto Análisis de entorno replicado Análisis de una copia de los componentes reales Análisis pasivo, activo-no-intrusivo y activo-intrusivo Ofrece resultados acerca de: Niveles de seguridad del producto Niveles de seguridad de la implantación Análisis de componente en el laboratorio Análisis más exhaustivo orientado a aplicativos y dispositivos Análisis activo-intrusivo Ofrece resultados acerca de: Evaluación de la seguridad del producto Determinados aspectos de seguridad de la implantación No hay una metodología perfecta. Una combinación de las tres es la mejor solución para obtener la mayor cantidad de información de forma segura. Durante una evaluación es posible realizar análisis paralelos basados en las tres metodologías garantizando así una temprana obtención de resultados. 7
4 Necesidad de herramientas innovadoras Llevar a la práctica estas metodologías propuestas presenta varios desafíos En la recolección de información (principalmente en auditorías de entorno real) En el procesado de la información (en las tres metodologías) Presentación de resultados y recomendaciones Recolección de información Capturas de tráfico real de puntos críticos: tráfico entre centros de control, tráfico interno al centro de control, etc. Archivos de configuración de aplicaciones, electrónica de red, y equipamiento de campo. Inventariado de centros de control y campo Documentación técnica de productos, programación específica del SCADA, etc. Múltiples repositorios de información de seguridad como fuente de información fundamental para trabajar. Procesado de información Necesario conocer tantos aplicativos SCADA como fabricantes, y varios modelos de remotas por fabricante. Pueden existir desde unos pocos autómatas hasta cientos de remotas repartidas en un área extensa. Redes WAN y MAN, con tecnologías tan variadas como MPLS, radioenlaces, etc. Protocolos de control propietarios y versiones extendidas de protocolos estándares. Tecnologías TIC tradicionales: aplicaciones web, routers, switches, servidores de AAA, directorio activo, UNIX, Windows, etc.. 8
4 Necesidad de herramientas innovadoras Presentación de resultados Listado y valoración de la criticidad de las vulnerabilidades encontradas Informes orientados a la valoración del cumplimiento con buenas prácticas y estándares de seguridad de IC: NERC-CIP, ISA, NIST, AGA, API, NRC, CFATS, etc. Presentación de recomendaciones apropiadas para sistemas de control: controles compensatorios, seguridad más estricta. 9
5 Proyecto INSPIRE Proyecto de investigación aplicada de dos años de me tamaño medio (STREP) El topic del Programa de Trabajo al que se presenta es: Objective ICT-SEC-2007.1.7: Critical Infrastructure Protection (CIP) Fecha de comienzo: 1 de noviembre de 2008 Fecha de finalización: Planficiada: 31 de octubre de 2010 Prevista: 31 de enero de 2010 Web: www.inspire-strep.eu ACADEMY Consorzio Interuniversitario Nazionale per l Informatica (Coordinator) (ITA) Technical University of Darmstadt (GER) INDUSTRY Elsag Datamat (ITA) Thales Communications (FRA) ITTI (SME) (POL) S21Sec Information Security labs (SME) (SPA) KITE Solutions (SME) (ITA) Centre for European Security Strategies (GER) 10
5 Proyecto INSPIRE SCADA System Security Expert / System Architect Discovery Tool Vulnerability Collector Ontology Handler Ontology Repository Decision Aid Tool Operator... INSPIRE Security Ontology 11
5 Proyecto INSPIRE Casos de Uso 1. Si tengo los activos A, B, C y D que dependen entre sí de una determinada manera, qué vulnerabilidades/debilidades les afectan? 2. Cuáles son las vulnerabilidades más críticas desde un punto de vista de negocio para mi sistema de control y en qué orden? 3. Qué tipo de ataques puedo esperar en base a dichas vulnerabilidades? 4. Qué probabilidad e impacto tendrían estos ataques en mi sistema de control? 5. Cuáles son las alternativas técnicas de seguridad disponibles para minimizar o eliminar dichas debilidades/vulnerabilidades? 6. Cuál es la mejor alternativa desde el punto de vista del riesgo para mi sistema de control? 7. Estoy pensando en añadir un nuevo elemento, E, en mi red. Se volverá mi sistema más vulnerable? En qué medida? 8. Si contara con los siguientes recursos y/o contramedidas, qué probabilidad existiría de sufrir un determinado ataque? y cuál sería el impacto sobre mi sistema? 12
6 Conclusiones El mundo de los sistemas de control es complejo Las amenazas son importantes El marco regulatorio empuja inexorablemente hacia las auditorías de seguridad de estos sistemas Las auditorías de seguridad deben ser seguras Planteamos un mix metodológico como la mejor solución: auditoría en entorno real, en entorno replicado y auditoría de componentes en laboratorio Se identifica la necesidad de desarrollar nuevas herramientas de auditoría segura o al menos innovar a partir de las ya existentes INSPIRE, un paso decidido hacia la evaluación del nivel de seguridad de los sistemas de control 13
Fin de la presentación Muchas gracias 14