seguridad en infraestructuras críticas

Agenda

2

¿Qué son las Infraestructuras?

Son redes de sistemas o procesos que operan colaborativamente y sinérgicamente para generar bienes o productos o asegurar su continua distribución.

Estos procesos serán:

• Independientes

• De carácter privado

• Hechos por el hombre

3

¿Qué tipos de infraestructuras hay?

Instalaciones civiles

• Aeropuertos, plantas refinadoras, edificios, parques solares, etc.

Entornos fabriles

• Cadenas de producción, control de automatismos, etc.

Defensa

• Comunicaciones, radares, etc.

4

¿Cuándo se puede considerar que estas infraestructuras son Críticas?

Son infraestructuras críticas aquellas cuya incapacitación podría conducir a un serio debilitamiento en el sistema nacional de defensa, económico o bienestar social.

Estas infraestructuras dependen de los sistemas IT para sus funcionalidades esenciales. Siendo fundamentales la fiabilidad y resistencia de estos sistemas que interconectan estas infraestructuras.

5

¿Qué infraestructuras son consideradas críticas?

Sistemas de Telecomunicación

Sistema de suministro eléctrico

Sistemas de suministro de Gas Natural y Combustibles basados en hidrocarburos

Bancos y sistemas financieros

Transporte

Sistemas de suministro de agua y gestión de residuos.

Servicios gubernamentales y judiciales. 6

los sistemas de emergencias, rescate y protección civil

Sistemas de suministro de alimentos (producción, almacenamiento y

distribución)

Sistemas de aeroespaciales

Productos estratégicos (Hierro, Acero, aluminio y algunos

productos manufacturados)

Sistema sanitario

Sistema Educativo.

Arquitectura deInfraestructuras

crítica

7

SCADA (Supervisory Control And Data Acquisition ).

Los SCADA son sistemas complejos, tolerantes a fallos, sujetos a restricciones de tiempo real y que también se les suele denominar sistemas de automatización, sistemas de control distribuido o sistemas de control de procesos.

8Escritura de Configuración

SCADA: OPC

El OPC (OLE. Object Linking and Embedding for Process Control) es un estándar de comunicación en el campo del control y supervisión de procesos.

De este modo se elimina la necesidad de que todos los dispositivos cuenten con drivers para dialogar con múltiples fuentes de datos, basta que tengan un driver OPC.

9

SCADA: OPC Lectura de datos

10



SCADA: OPC

En realidad OPC es un conjunto de protocolos entre los que podemos destacar los siguientes:

OPC-DA (Data Access).- para

intercambio de datos a tiempo

real entre servidores y

clientes.

OPC-AE (Alarms& Events)

OPC B (Batch).-Útil en procesos

discontinuos.

OPC DX (Data eXchange).-Proporciona

interoperabilidad entre varios servidores.

OPC HDA (Historical Data Access).- Acceso histórico a datos

OPC.

OPC S (Security).-Especifica cómo

controlar el acceso de los clientes a los servidores.

OPC XML-DA (XML Data

Access).- para intercambio de

datos como OPC-DA pero en vez de COM/DCOM utiliza mensajes

SOAP (sobre HTTP) con

documentos en XML.

OPC CD (ComplexData).- Permite a

los servidores exponer y

describir tipos de datos más

complicados en forma de

estructuras binarias y

documentos XML

11



SCADAOPC/DCOM Attack

SQL Injetion

BackDoor throughAccess PointMan in the Middle

BackDoor throughInternet

XSS

12

SCADAOPC/DCOM Attack

SQL Injetion

BackDoor throughAccess PointMan in the Middle


XSS

13

SCADABackDoor through

Access PointMan in the Middle

SQL Injetion

OPC/DCOM Attack


XSS

14

SCADABackDoor through

Access Point

SQL Injetion

OPC/DCOM Attack


Man in the Middle

XSS

15


SCADAMan in the Middle

SQL Injetion

OPC/DCOM Attack

BackDoor throughAccess Point

XSS

16


SQL Injetion

OPC/DCOM Attack



XSS

17


SQL Injetion

OPC/DCOM Attack



XSS

18

MES (Manufacturing Execution System)La

producciónPlanificación, administración de recursos, medidas de

rendimiento, gestión de ordenes,etc

El personal Control de presencia, control de accesos , etc

La calidadTQM (Total Quality Management), SPC (Statistical

Process Control), etc.

19

Son sistemas con consideraciones de tiempo real cuyos objetivos tienen

que ver con:

ERP (Enterprise Resource Planning)

20

Pero, ¿por qué son criticas?

21

Videos

..\Videos\lista.asx

ACCESO WEB

• Consecuencias de abrir los sistemas de control

22

Pero, ¿Por qué es necesario tratar de forma diferente a las infraestructuras

críticas?

Los administradores de los procesos de control deben mantener sus procesos en ejecución y mantener el control de ellos bajo cualquier circunstancia.

• De no ser así las pérdidas económicas puedes ser enormes, incluso el entorno o las personas podrían resultar dañadas.

23

Ejemplos de ataques

• En 2001, un australiano fue mandado a prisión por conseguir el acceso a un sistema de administración de residuos provocando que litros de aguas residuales sin tratar se vertieran por parques locales, ríos y los terrenos de hotel Hyat Regency de Queensland. El ataque se implementó aprovechando una red WIFI configurada en el SCADA.

24

Ejemplos de Ataques

• En 1999 una tubería de acero de 16 pulgadas de diametro, propiedad de la empresa Olympic Pipe Line, reventó y derramó cerca de 237.000 galones de gasolina en el cauce de un pequeño arroyo que discurría cerca del parque WhatcomFalls en Bellingham, Washington.

• Transcurridas una hora y media la gasolina inició su combustión.

• En el incendio dos chicos de 10 años de edad y un joven de 18 años murieron en el accidente. Estando documentados hasta 8 heridos, una residencia particular arrasada hasta los cimientos y la planta purificadora de agua de Bellinghams seriamente dañada. En definitiva daños por el valor de 45 millones de dolares.

25

Ejemplo de ataques.

• El sistema SCADA de Olympic Pipeline utilizaba el software Teledyne Brown Engineering20 SCADA Vector, ejecutado en dos servidores VAX Model 4000-300 con el sistema operativo VMS versión 7.1. Implementando además un sistema tolerante a fallos con la inclusión de una tercera máquina, en este caso Alpha 300, que se había configurado para ejecutar de forma independiente un software de detección de fallos en las tuberías.

• Un fallo en la medición de la presión del tramo de tubería que discurría cerca del parque facilitó una acumulación de gas altamente volátil , provocando la fuerte explosión.

26

Ob

jeti

vos

de

los

Ata

qu

es

Ataques al software de aplicación

Ataques de comunicaciones

Ataques a los usuarios

Ataques al hardware








Ataques al software de aplicaciónAtaques de

comunicaciones

27

Protección de Infraestructuras Críticas

En las infraestructuras críticas es preciso y altamente prioritario garantizar:

•Seguridad

•Continuidad

•Disponibilidad

28

Desventajas en la protección de infraestructuras críticasFormación de los operarios de planta y servicios de

mantenimiento demasiado especializada.

Necesidad de Continuidad

Falsa sensación de seguridad debido a la utilización de soluciones específicas.

Coste de los daños provocados por un ataque exitoso.

Información de carácter crítico y estratégico.

Interdependencias entre infraestructuras.29

Interdependencia entre Infraestructuras

Es imposible analizar de forma adecuada y comprender el comportamiento de una determinada infraestructura de forma aislada respecto a su entorno o a otras infraestructuras.

• Se debe plantear un análisis holístico que considere múltiples infraestructuras interconectadas y sus interconexiones como un sistema único.

• Lo que le suceda a una infraestructura puede afectar directamente o indirectamente a otras infraestructuras, impactar a grandes regiones geográficas y repercutir en la economía nacional o, incluso, global.

30

Interdependencias entre Infraestructuras

Serán relaciones bidireccionalesentre dos infraestructuras de formaque el estado de una de ellas afecta

al estado de la otra y viceversa.

31

Interdependencias entre Infraestructuras

Serán relaciones bidireccionalesentre dos infraestructuras de formaque el estado de una de ellas afecta

al estado de la otra y viceversa.

32

Ejemplo de fallo en cascada

33

Ejemplo de fallo en cascada

34

CIIP (Critical Information InfrastructureProtection)

En este contexto, ya de por sí heterogéneo y multidimensional, las infraestructuras de información críticas pueden verse amenazadas por catástrofes naturales, fallos técnicos, errores humanos, crimen internacional, terrorismo, etc.

Por todo ello es necesaria una aproximación holística y colaborativa para su protección, centrándose en tres objetivos fundamentales:

• Prevenir los ataques informáticos contra las infraestructuras de información críticas

• Reducir la vulnerabilidad nacional a los ciberataques

• Reducir al mínimo los daños y el tiempo de recuperación cuando estos ataques se producen.

35

CIIP

Existe un campo de investigación mucho más maduro, denominado InformationSecurity Management (ISM) que mantiene una relación muy estrecha con CIIP

36

CIIP

Existen múltiples propuestas de estándares, taxonomías y recomendaciones globales que persiguen igualar a los diferentes estándares en el área de seguridad de la información (ISM – Information Security Management), que sí están reconocidos internacionalmente.

Uno de los aspectos en los que sí parece que toda la comunidad investigadora en CIIP ha llegado a un acuerdo es en la utilización del modelo de referencia propuesto para ISM en el estándar ISO/IEC TR 13335, pero añadiéndole una capa más, la 0.

37

Modelo para CIIP (ISO/IEC TR 13335)

Capa 0 - Strategic Bussiness Layer

•En esta capa se deben garantizar la fiabilidad y el correcto funcionamiento de todas las infraestructuras de información críticas a nivel nacional e internacional. Está relacionada con la gestión global de todas las infraestucturas.

Capa 1 - Organizational Layer

•En este caso se debe garantizar la fiabilidad y el correcto funcionamiento de una infraestructura de información crítica individual, así como garantizar que se minimiza el riesgo que ésta sufre. Está relacionada con la organización de la infraestructura, sus procedimientos, su personal, etc.

Capa 2 - Cyber Layer

• En esta capa se minimiza el riesgo de los sistemas TIC de la infraestructura. Está relacionada con los sistemas de información, la arquitectura de comunicaciones, etc.

Capa 3 - Physical Layer

•En esta capa se deben garantizar la integridad, disponibilidad y confidencialidad de cada uno de los sistemas TIC individualmente. En este caso hay que tener en cuenta los dispositivos

38

Avances en CIIP

Investigación de las dependencias y los efectos de cascada. Para estos estudios la teoría de sistemas complejos y la simulación han demostrado ser herramientas potentes y efectivas.

Proposición de esquemas y procesos de colaboración que permitan compartir el conocimiento entre toda la comunidad de manera que la protección de una infraestructura se pueda hacer de manera mucho más eficiente aprovechando y reutilizando la información generada para otras infraestructuras similares en contextos parecidos.

Investigación en la seguridad de los sistemas SCADA. Algunos ejemplos son las nuevas normativas ISA99 e ISA100.

39

ISM como punto de partida para CIIP

Casi todas las herramientas que se utilizan en la actualidad en ISM se basan en la metodología PDCA (Plan-Do-Check-Act) o en alguna variación de ella.

Comparativa entre las herramientas más extendidas en ISM: http://rm-inv.enisa.europa.eu/comparison.html

• (Callio, Casis, Cobra, CounterMeasures, CRAMM, EAR/PILAR, EBios, GSTool, GxSGSI, ISAMM, MIGRA Tool, Modulo Risk Manager, Octave, Proteus, Ra2, Real ISMS, Resolver Ballot, Resolver Risk, Risicare, RiskWatch, RMStudio y Stream.)

40

Herramientas para CIIP

Estas herramientas no pueden utilizarse directamente en CIIP

• No pueden tener en cuenta la complejidad y heterogeneidad de las infraestructuras críticas

• No incorporan herramientas de simulación para modelar los efectos de cascada

• No suelen enriquecerse mediante la colaboración y las bases de datos de conocimiento

• No ayudan a tomar decisiones teniendo en cuenta las particularidades de cada infraestructura

Sin embargo, las técnicas que se emplean para la identificación y análisis de riesgos en ISM sí que pueden tomarse como punto de partida para desarrollar herramientas específicas de CIIP.

41

Herramientas para CIIP

De hecho existen herramientas "fronterizas" que se basan en métodos típicos de ISM pero que incorporan soluciones para algunos de los problemas típicos de CIIP.

• Análisis de riesgos

• Hazard and operability study (HAZOP)

• Fault Tree Analysis (FTA)

• Failure Mode and Effect Analysis (FMEA)

• Métodos basados en modelos de Markov y modelos ocultos de Markov

• CCTA Risk Analysis

• Detección de ataques en tiempo real

• Intelligent Event Processing (IEP)

42

Control Systems Security Program (CSSP) – CERT-US

• http://www.us-cert.gov/control_systems/

– Cyber Security Evaluation Tool (CSET)

43

http://www.us-cert.gov/control_systems/



Control Systems Security Program (CSSP) – CERT-US

– Secure Architecture Design

44

Referencias

• Security for Process Control Systems: An overview, M. Bradle and M.Naedele. IEEE Security and Privacy, 2008,

• Designing Secure SCADA Systems Using Security Patterns, E.B. Fernández, M.M.Larrondo-Petrie. IEEE Proceedings 43rd Hawaii International Conference on System Sciences, 2010.

• Leassons Learned From Cyber Security Assesments of SCADA and Energy Management Systems, R.K. Fink, D.F.Spenser and R. A. Wells, U.S. Department of Energy Office of ElectricityDelivery and Energy Reliability, 2006.

• Indentifying, Understanding and Analyzing Critical Infraestructure Interdependencies. S.M. Rinaldi,J. P- Peerenboom and T.K. Kelly. IEEE Control Systems Magazine, 2001.

• Trust but Verify Critical Infrastructure Cyber Security Solutions, D.K. Holstein, K. Stouffer. IEEE Proceedings 43rd Hawaii International Conference on System Sciences, 2010.

• The Myths and Facts behind Cyber Security Risk for Ïndustrial Control Systems, E.Byres and D.Hoffman. 2004

• Information Security Implementation Difficulties in Critical Infrastructures: Smart MeteringCase, L.O. AlAbdulkarim and Z. Lukszo. IEEE 2010.

• International Policy Framework for Protecting Critical Information Infrastructure: A Discussion Paper Outlining Key Policy Issues. Robert Bruce et al. TNO Report, 2005. http://www.ists.dartmouth.edu/library/158.pdf

• International CIIP handbook 2008/2009. An inventory of 25 national and 7 international CriticalInformation Infrastructure Protection Policies. Elgin Brunner and Manuel Suter. Center for Security Studies, ETH Zurich. CRN Handbooks, volume 4, issue 1. http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?id=91952&lng=en

• Wiley Handbook of Science and Technology for Homeland Security, 4 Volume Set. John G. Voeller(Editor).

45

http://www.gaapsoluciones.es–http://redindustria.blogspot.comhttp://www.gaapsoluciones.es/MISHSA /

http://www.ists.dartmouth.edu/library/158.pdf



http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?id=91952&lng=en





http://www.gaapsoluciones.es/

http://redindustria.blogspot.com/

http://www.gaapsoluciones.es/MISHSA /