2. AGENDA
• Ciberseguridad
• Ciberseguridad Industrial
• Estado del arte en España 2015
• Protección de Infraestructuras Críticas
• Un caso real: Ataque a un Data Center Crítico
• Próximos pasos: Hoja de ruta
4. 4
Property of Telvent Global Services
Ciberseguridad
Digital Security
DIGITAL SECURITY
CYBERSECURITY
INFORMATION SECURITY
IT SECURITY
OT SECURITY
PHYSICAL
SECURITY
IoT
SECURITY
Gartner - Junio 2015
“Cybersecurity is the governance, development, management and use of information security, OT
security, and IT security tools and techniques for achieving regulatory compliance, defending assets
and compromising the assets of adversaries.”
5. 5
Property of Telvent Global Services
Comprendiendo la Ciberseguridad
Conceptos básicos
➢ Seguridad como inexistencia de riesgo
➢ El riesgo está asociado a la probabilidad de que
nuestros activos sufran daños (Impacto)
➢Riesgo = Probabilidad * Impacto
➢ Es dificil modificar el impacto, luego debemos
enfocarnos en disminuir la probabilidad
➢ ¿Qué afecta a la probabilidad?
6. 6
Property of Telvent Global Services
➢ ¿Qué afecta a la probabilidad?
➢ Motivaciones
*source: Hackmageddon
Comprendiendo la Ciberseguridad
Conceptos básicos
7. 7
Property of Telvent Global Services
Comprendiendo la Ciberseguridad
Conceptos básicos
➢Dragonfly campaign
8. 8
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Conceptos básicos
➢Evolución de la producción
9. 9
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Conceptos básicos
➢Evolución de los precios
10. 10
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Conceptos básicos
*source: www.shodanhq.com
➢ ¿Qué afecta a la probabilidad?
➢ Visibilidad
11. 11
Property of Telvent Global Services
➢¿Qué afecta a la probabilidad?
➢ Facilidad (Explotabilidad & Repetibilidad)
*source: revuln.com
Comprendiendo la ciberseguridad
Conceptos básicos
12. 12
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Conceptos básicos
➢¿Qué afecta a la probabilidad?
➢ Preparación (Personal, Procedimientos & Tecnología)
•Procedural Guidance
•Design and Changes
•System Acquisition
•Roles and Functions
•Skills and Competence
•System Population
•Network Architecture
•Component Interaction
13. 13
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Seguridad vs Riesgo
➢ Seguridad significa disminuir el riesgo hasta
donde podamos/queramos
➢ El riesgo siempre existe por lo que no hay
“seguridad total”
➢En cualquier caso, debemos reducir el riesgo
para intentar mejorar nuestra Ciberseguridad
14. 14
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Mejorando la ciberseguridad - I
➢Minimizar riesgos significa:
1. Minimizar la visibilidad, la explotabilidad y la
repetibilidad (Superficie de ataque)
2. Mejorar la preparación de la organización:
➢ Formar a los usuarios
➢ Generar procedimientos y normas
➢ Desplegar la tecnología apropiada al entorno
3. Gestionar el riesgo de manera contínua
15. 15
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Mejorando la ciberseguridad - II
➢Reducción de la superficie de ataque
➢ Aumenta con la accesibilidad a los procesos y datos
➢ Aumenta con la accesibilidad a los protocolos de
comunicación
➢ Disminuye con la adopción de controles de acceso
16. 16
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Mejorando la ciberseguridad - V
➢ Mejora de la preparación
➢ Formación en concienciación a todo el personal
➢ Desarrollo de política y procedimientos básicos de seguridad
➢ Desplegando tecnologías apropiadas en todos los niveles
17. 17
Property of Telvent Global Services
Comprendiendo la ciberseguridad
Mejorando la ciberseguridad - VI
➢ Gestión continua del riesgo
➢ Revisiones periódicas de seguridad
➢ Monitorización integrada de eventos de seguridad
19. 19
Property of Telvent Global Services
Ciberseguridad Indistrial
Sistemas Ciberfísicos
Sistema de Control Industrial
20. 20
Property of Telvent Global Services
Ciberseguridad Industrial
El origen de todo
June 2010: discovery of Stuxnet,1st worm developed to target automation system (Siemens PCS7 and WinCC). 1/3 of the
centrifuges were destroyed. The Iranian nuclear program delayed by >2 years.
Source:http://www.spectrum.ieee.org
How Stuxnet worked
21. 21
Property of Telvent Global Services
Red IT
Red OT
Ciberseguridad industrial
Características únicas
22. 22
Property of Telvent Global Services
Ciberseguridad industrial
Vectores de ataque
Misconfigured firewall
& intrusion
Operator browsing
not recommended
websites
Compromised
USB flash drive
Malice
from internal
personnel
Virus -
Data compromised
Internet
Random
Modbus
Requests
Compromised
programing laptop
- Modification of PLC
program
Direct access
to maintenance
Internet
Phishing -
Data compromised
Laptop
Malware
spreading
23. 23
Property of Telvent Global Services
Data Center
➢ Edificio - BMS
➢ Centro de producción industrial - SCADA
➢ Banco de información – PCI-DSS, ISO 27001
➢ Nodo de comunicaciones – Criticidad
24. 24
Property of Telvent Global Services
Redes y sistemas de Control
Industrial
➢ Protocolos frecuentes en BMS:
➢ BACNet
➢ LonWorks
➢ Modbus
➢ RS-485 + IEC 101 + Device Net+ Hart + Fieldbus + Profibus
➢Sistemas de Control en BMS:
➢ DCS
➢ SCADA + RTU + PLC
26. 26
Property of Telvent Global Services
Sistemas de control - SCADA
NIST SP-800-82 Rev.2
Tendencias en la arquitectura: SCADA + RTU + PLC + Modbus/TCP + OPC
27. 27
Property of Telvent Global Services
Redes IT vs Redes OT
Redes OT Redes IT
Número de dispositivos IP Bajo Alto
Servicios en ejecución Bajo Alto
Protocolos utilizados Bajo Alto
Exposición internet Baja Alta
Número de amenazas Media Alta
Prioridad de la disponibilidadAlta Baja
Prioridad de la confidencialidad Baja Alta
Prioridad de la integridad Alta Media
➢ Redes OT
➢ Menores en número de dispositivos y servicios.
➢ No debieran conectarse directamente a Internet.
➢ Bien definidas y diseñadas
➢ Ejecutan operaciones repetitivas.
28. 28
Property of Telvent Global Services
Redes IT vs Redes OT
➢ Generación del patrón de comportamiento
➢ DPBI: Inspección Profunda de Comportamiento de Protocolo
➢ Detección más simple y efectiva
➢ Eventos internos y legítimos, 0 Days, Violaciones
operacionales, ataques tipo “Aurora”
29. 29
Property of Telvent Global Services
Matriz de impacto en sistemas de
control industrial
Source: ICS-CERT
30. 30
Property of Telvent Global Services
Arquitectura de seguridad
Necesidades de integración - Protocolos
➢ Syslog
➢ Windows events
➢ SNMP
➢ OPC-DA
➢ Modbus/TCP
➢ MMS
➢ IEC 101/104
➢ ICCP Tase 2
➢ IEEE C37.118
(Synchrophasor)
➢ CSLib (ABB)
➢ DMS(ABB)
➢ Ethernet/IP
➢ IEC 61850 (MMS &
Goose)
➢ VNC/SMB/RDP/AFP etc.
31. 31
Property of Telvent Global Services
Arquitectura de seguridad
Necesidades de integración – OSs
39. 39
Property of Telvent Global Services
Ciberamenazas a Infraestructuras
críticas (I)
➢ Sistemas de Control Industrial conectados a Internet (Junio 2015)
http://ics-radar.shodan.io
40. 40
Property of Telvent Global Services
Ciberamenazas a Infraestructuras
críticas (II)
¿Lo sabías?
41. 41
Property of Telvent Global Services
Ciberamenazas a
Infraestructuras críticas (III)
El Internet de “las cosas”
(30 de Junio 2014)
……….. ¿Qué cosas?
42. 42
Property of Telvent Global Services
Ciberamenazas a Infraestructuras
críticas (IV)
➢El Internet de “las cosas” (30 de Septiembre 2014)
Schneider Electric Web 2.X
43. 43
Property of Telvent Global Services
Ciberamenazas a Infraestructuras
críticas (V)
➢NSA al descubierto …
➢ http://leaksource.info/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-
major-software-hardware-firmware/
46. 46
Property of Telvent Global Services
Estado del arte
➢ Protección de infraestructuras críticas en España
➢ Plan de Seguridad del Operador (PSO)
➢ Plan de Protección Específico (PPE)
➢ Planes Estratégicos Sectoriales (PES)
• Electricidad
• Petróleo
• Gas
• Nuclear
• Finanzas
• Administración Tributaria
• Alimentación
• Tecnologías Información y
Comunicaciones
• Agua
• Administración Pública
• Espacio
• Investigación
• Salud
• Químico
• Transporte
2014 2015 / 2016
AGENTES PÚBLICOS Y PRIVADOS
47. 47
Property of Telvent Global Services
Estrategia de Ciberseguridad
➢Líneas de acción de la
ciberseguridad nacional
1. Capacidad de prevención, detección, respuesta y
recuperación ante las ciberamenazas
2. Seguridad de los Sistemas de Información y
Telecomunicaciones que soportan las Administraciones
Públicas
3. Seguridad de los Sistemas de Información y
Telecomunicaciones que soportan las Infraestructuras
Críticas
4. Capacidad de investigación y persecución del
ciberterrorismo y la ciberdelincuencia
5. Seguridad y resiliencia de las TIC en el sector privado
6. Conocimientos, Competencias e I+D+i
7. Cultura de ciberseguridad
8. Compromiso Internacional
48. 48
Property of Telvent Global Services
Ciberejercicios IICC
Primeras Jornadas PSCIC -2012
Segundas Jornadas PSCIC -2014
49. 49
Property of Telvent Global Services
Procedimiento
regulador IICC Identificación y valoración de las
infraestructuras
CNPIC - Operador
Operador Crítico:
Propietario o gestor de una
infraestructura crítica
Art. 2 Ley 08/2011 PIC
Proceso de designación como
Operador Crítico (OC):
RD 704/2011 Reglamento PIC
Art. 13
Responsabilidades del OC:
Obligaciones del OC como agente del
Sistema PIC
RD 704/2011 Reglamento PIC
Art. 13
Elaboración PSO.
(6 meses desde la designación OC)
RD 704/2011 Reglamento PIC
Art. 22
Elaboración PPE.
(4 meses desde la aprobación PSO)
RD 704/2011 Reglamento PIC
Art. 25
Operador Crítico: PSO y PPE
64. 64
Property of Telvent Global Services
Hoja de ruta ciberseguridad
1. Descubre cual es el nivel de ciberseguridad de tu
organización. (Revisión IT/OT) : QICSATM
2. Determina cual quieres que sea ese nivel. (Negocio)
3. Define un plan de acción (Programa)
Políticas,
procedimientos
y formación
Seguridad Física
Red
Sistema
Aplicación
Dispositivo
Defensa en Profundidad
65. 65
Property of Telvent Global Services
Hoja de ruta ciberseguridad
➢ Plan de acción:
➢ Organización de la Ciberseguridad GLOBAL
➢ Personas + Procedimientos
➢ Ejecución de plan de proyectos priorizado
➢ Bastionado
➢ Parcheado
➢ Consolidación de logs
➢ AV/AM/AWL
➢ HIDS + NIDS
➢ SIM-SIEM-SOC
➢ Revisión trimestral de resultados
Políticas,
procedimientos
y formación
Seguridad Física
Red
Sistema
Dispositivo
66. 66
Property of Telvent Global Services
Hoja de ruta de ciberseguridad
Cyber Security Bus
Corporate Server I
IT HIDS
IT NIDS
Cyber Security Bus TM
SIEM
Corporate Server II
IT HIDS
OT NIDS (SCAB)
SCADA Front
End/RT/Historian/HMI
OT HIDS
RTU/PLC Slave device
OSINT
CI INT
67. Gracias !!
Enrique Martín García
enrique.martingarcia@telvent.com
https://www.linkedin.com/in/enriquemartingarcia
@Kaostopper