Amenazas, Vulnerabilidades y Riesgos evaluados en el contexto de Ciberseguridad Industrial Autor: Anibal Pérez
Agenda Contexto: Evento Diciembre 2014 Procedimiento estándar para el análisis de riesgos Evolución de los sistemas de control industrial Amenazas en el contexto de interconectividad Fuentes del riesgo Evaluación del Impacto de un Incidente Informático Prácticas para la Detección de Vulnerabilidades Ejemplo de Encuesta en función de las Mejores Prácticas, Análisis, Impacto Evolución de los sistemas de control industrial: Segregación de redes Referencias Tenaris 2
Contexto: Evento Diciembre 2014 Cuando en diciembre del 2014 en nuestra oficina de automación nos encontramos con el siguiente encabezado en el site de la BBC News, en el grupo de automación nos comenzamos a preguntar si estábamos haciendo lo suficiente Fuente: http://www.bbc.com/news/technology-30575104 Tenaris 3
Contexto: Evento Diciembre 2014 German Federal Office for Information Security (BSI) reported: the attackers used a "spear phishing" campaign aimed at particular individuals in the company to trick people into opening messages that sought and grabbed login names and passwords The phishing helped the hackers extract information they used to gain access to the plant's office network and then its production systems. Once inside the steel mill's network, the "technical capabilities" of the attackers were evident, said the BSI report, as they showed familiarity with both conventional IT security systems but also the specialized software used to oversee and administer the plant Fuente: http://www.bbc.com/news/technology-30575104 Tenaris 4
Contexto: Diciembre 2014 Fuente: http://ics-cert.us-cert.gov.http://ics-cert.us-cert.gov. Dependiente del Department of Homeland Security, DHS, USA Tenaris 5
Procedimiento estándar para el análisis de riesgos Toma de conciencia: Riesgos no gestionados? Identificación de riesgos y vulnerabilida des Procedimientos de la compañía para la gestión de riesgos Monitoreo - Auditoria Análisis Plan de Acción Tenaris 6
Evolución de los sistemas de control industrial Punto de partida: sistemas de control sobre variables físicas, originalmente basados en controles analógicos, que fueron remplazados por controladores digitales. Posteriormente, conformando una red local, a nivel proceso o planta, centralizando la gestión a través de un sistema de supervisión (SCADA, comercial o legacy) Tenaris 7
Evolución de los sistemas de control industrial: Integración e Interconectividad El paso siguiente en la evolución fue la incorporación de tecnologías típicas de IT. Y mas recientemente, conceptos como Smart Manufacturing. Relación costo-beneficio, flexibilidad, eficiencia, tiempo de ejecución fueron los drivers. De desarrollos a medida, a productos de estantería: disponibilidad y costos. Tenaris 8
Amenazas en el contexto de interconectividad Las fuentes de riesgos: las mismas del mundo IT, El impacto no es el mismo que en el mundo IT: además de la integridad de los datos (IT) aparecen los efectos sobre el mundo físico: riesgos sobre las personas, las instalaciones, el medio ambiente y la comunidad, acorde a la escala de la planta bajo amenaza Tenaris 9
Fuentes del riesgo Fuentes de riesgo: Desde el interior de la misma planta: Smart Cellphones and tablets Wireless Laptops PCs conectadas a la red interna Dispositivos de control conectados a la red interna (wired or Wireless) Cámaras y dispositivos de CCTV O desde fuera de la planta: accesos remotos a través de la WEB, sea por personal propio con dispositivos comprometidos, o por terceros (hackers), sea por medio de mails (spear phishing!), o aprovechando debilidades en los mismos sistemas operativos. Tenaris 10
Evaluación del Impacto de un Incidente Informático El evento de disrupción de un proceso industrial por un ataque cibernético, puede generar, en secuencia: Impacto físico: como consecuencias directa de la disrupción, incluyendo daños a las personas, al producto, a las instalaciones y al medio ambiente. Impacto económico: no sólo por daños materiales sino por caída de la producción y capacidad operativa, y/o pérdida de información confidencial Impacto Social: pérdida de imagen y confianza dentro de la comunidad Mas aún, implica potencial pérdida de confianza de los accionistas y clientes de la compañía Tenaris 11
Evaluación del Impacto de un Incidente Informático El primer foco del análisis debe ser sobre los potenciales daños físicos a: La Seguridad física de las Personas Las instalaciones, el producto y el proceso. (Ejemplo de esto último: Stuxnet malaware que daño las centrifugadoras en las instalaciones de agua pesada Iraní) El Medio Ambiente, por posibles fugas o derrames desde el proceso fuera de control La Comunidad, según la escala del proceso (centrales térmicas, gasoductos, plantas de gas) Tenaris 12
Prácticas para la Detección de Vulnerabilidades Para la detección de vulnerabilidades de la infraestructura instalada: uso de herramientas disponibles en la industria, con origen en organizaciones con madurez en la gestión de eventos informáticos. Ejemplo: Desarrollo de encuesta con base en el programa del departamente de Homeland Security de USA: US-CERT Control Systems Security Program (CSSP). La encuesta arroja un resultado en términos de recomendaciones en base a las mejores prácticas de la industria, que permiten elaborar un plan de acción detallado. Diseño de un test de penetración sobre la infraestructura del sistema de control en procesos claves de la planta. El resultado es concreto, ya que identifica directamente los puntos débiles, con lo cual el plan de acción puede ser inmediatamente puesto en marcha. Tenaris 13
Ejemplo de Encuesta en función de las Mejores Prácticas Se evalúa la infraestructura contra las mejores practicas de la industria: 1. Network Segmentation, Firewalls, and DMZs 2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS) 3. Seguridad en las conexiones Wireless 4. Uso de VPNs y Encriptado en la comunicación digital 5. Gestión y Configuración de accesos, usuarios y passwords 6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación 7. Requerimientos de Ciberseguridad de los Sistemas de Control 8. Gestión de Patches y disponibilidad de los sistemas industriales Tenaris 14
Análisis de la encuesta Cada uno de los objetivos de mejores practicas se resuelve en la encuesta con un conjunto de preguntas. Cada pregunta tiene un peso de 0 a 3, según su grado de impacto: Durante la etapa de análisis cada pregunta del cuestionario se evalúa de 1 a 5, puntaje que representa los siguientes niveles de cumplimiento de la mejor práctica recomendada 1 No se cumple 2 Se cumple informalmente 3 Se cumple con un nivel básico de formalidad 4 Se cumple con un nivel avanzado de formalidad 5 Se cumple logrando un nivel de mejora continua del proceso. Valores de referencia: para 376 preguntas Mínimo y Máximo puntajes de la encuesta: 1,522 Todas las respuestas en 1 5,050 Alineación completa con las mejores practices recomendadas * * Standard for Industrial Control Systems of ICS-CERT (2012) http://ics-cert.us-cert.gov/standards-and-references#estab Tenaris 15
Resultado de estimación de impacto Impact 5 4 3 2 1 Critical Level LOW MEDIUM HIGH EXTREME Tenaris 16
Modelo de Hallazgos / Recomendaciones 1. Network Segmentation, Firewalls, and DMZs Presencia de Firewall entre el Sistema de Control y la red corporativa Segmentación vía DMZ Procedimientos actualizados y disponibles 2. Sistemas de Detección de Intrusión y Prevención de Intrusiones (IDS and IPS) Sistemas IDS and IPS instalados Procedimientos actualizados y disponibles 3. Seguridad en las conexiones Wireless Verificación de implementación de protocolos seguros 4. Uso de VPNs y Encriptado en la comunicación digital Uso de VPN para conexiones externas No uso de protocolos intrinsicamente inseguros (telnet, ftp). Procedimientos actualizados y disponibles Tenaris 17
Modelo de Hallazgos / Recomendaciones 5. Gestión y Configuración de accesos, usuarios y passwords Los procedimientos están actualizados y disponibles 1. 6. Ciberseguridad en los Sistemas de Control: toma de conciencia y capacitación Registro complete de usuarios activos.. Programas de capacitación activos 7. Requerimientos de Ciberseguridad de los Sistemas de Control Políticas y procedimientos de gestión de incidentes establecida y activa Ciclo de análisis de vulnerabilidad implementado Análisis de riesgo de necesidad de Disaster Recovery Plan (DRP) implementado. 8. Gestión de Patches y disponibilidad de los sistemas industriales Procedimientos de gestión de Patch formalmente implementados. Plan de contingencia documentado Alimentación back up (via generador?) o alternativa existente. Tenaris 18
Evolución de los sistemas de control industrial: Segregación de redes Tenaris 19
Referencias Referencia general, gráficos y conceptos, cuando no indicado al pie: tomados de la publicación NIST SPECIAL PUBLICATION 800-82 Revisión 2 : Guide to Industrial Control Systems (ICS) Security Mayo 2015 Tenaris 20