3. 1. Terminología
2. Principales ciberataques en Sistemas de Control
Industrial
3. Caso Honda y Enel
4. Frameworks
5. SpaceX y el Cirrus Vision Jets
6. Labview
Agenda
Ciberseguridad Industrial 3
5. Sistema de control industrial(ICS)
Ciberseguridad Industrial 5
Es un término genérico que abarca varios tipos de sistemas de
control, incluidos los sistemas de control de supervisión y adquisición
de datos (SCADA), los sistemas de control distribuido (DCS) y otros
sistemas de control como los controladores lógicos programables
(PLC).
Estos sistemas de control se encuentran en fabricación discreta,
automatización de procesos, verticales de energía y transporte,
muchos de los cuales operan infraestructura crítica.
Un ICS consiste en combinaciones de componentes de control (p. Ej.,
Eléctricos, mecánicos, hidráulicos, neumáticos) que actúan juntos
para operar y controlar un proceso físico
6. Sistema de control industrial(ICS)
Ciberseguridad Industrial 6
A medida que los dispositivos ICS se conectan cada vez más a Ethernet, también
se vuelven cada vez más vulnerables.
En general, las organizaciones industriales no están preparadas para la
convergencia digital de sus entornos de TI y OT; la tasa de nuevos dispositivos
conectados está superando la tasa de seguridad de los dispositivos.
Los equipos físicos que alguna vez fueron mecánicos ahora están entrando en el
mundo de rápido crecimiento del Internet industrial de las cosas (IIoT). Tener
maquinaria inteligente mejora la eficiencia, pero, sin las precauciones adecuadas,
también ofrece a los ciberdelincuentes acceso remoto y oportunidades de ataque
que no tenían antes. Estos son solo algunos de los temas que exploraremos,
comenzando con los conceptos básicos de ciberseguridad de ICS y eventualmente
guiando a través de acciones paso a paso que puede tomar para proteger sus ICS
contra las amenazas cibernéticas emergentes más grandes de la actualidad. Esta
guía es simplemente una introducción de alto nivel, pero le dará una idea
fundamental de los problemas más importantes en ciberseguridad industrial.
9. Information Technologies (IT)
Ciberseguridad Industrial 9
Se refiere a equipos de
telecomunicaciones. La tecnología de la
información se centra en el
almacenamiento, recuperación,
transmisión, manipulación y protección
de datos.
11. IT y OT
IT Prioriza data
OT Prioriza procesos
Ciberseguridad Industrial 11
12. Information Technologies (IT) Vs Operational
Technologies (OT)
Ciberseguridad Industrial 12
Tradicionalmente, las Tecnologías de la Información (IT) han estado
separadas de las Tecnologías Operativas (OT)
Sin embargo, últimamente hemos visto cómo convergen estos dos
mundos.
Ambas están cada vez más interconectadas y también están cada vez
más conectadas a Internet.
13. HMI = Human MachineInterface
Ciberseguridad Industrial 13
Es el que permite a un operador
interactuar con un sistema de
automatización industrial (de
cualquier tipo).
Es básicamente todo lo que un ser
humano usa para interactuar,
manipular, monitorear y editar un
sistema de control.
14. RTU = Remote TerminalUnit
La RTU en sí es un microprocesador que
procesa E / S (entrada / salida) que está
conectada a dispositivos eléctricos y de
instrumentación de campo.
Ciberseguridad Industrial 14
15. DCS Sistema de controldistribuido
Ciberseguridad Industrial 15
Es un sistema de control industrial que utiliza múltiples
controladores (procesadores) ubicados en el punto más bajo dentro
del sistema para garantizar el máximo tiempo de actividad y
estabilidad durante una comunicación u otra falla.
Los controladores pueden estar en la misma habitación, pero
generalmente están ubicados estratégicamente en toda una
instalación industrial para permitir que el cableado de E / S de la
instrumentación y los dispositivos eléctricos se conecten a ella.
Los sistemas DCS de gama alta tienen dos o más controladores
redundantes y redes de comunicación (generalmente Ethernet) para
garantizar el máximo tiempo de actividad.
16. PLC Controlador lógico programable
Es más pequeño y ligeramente menos potente
que un sistema DCS, un PLC generalmente se
utiliza en un pequeño proceso independiente
donde no se necesita un DCS.
Las excepciones a esto son los paneles de control
suministrados por el proveedor que se venden
con equipos mecánicos para realizar la seguridad,
el arranque, la detención, la detención de
emergencia, el control del proceso especificados
por el proveedor dentro de los límites
establecidos, etc.
Ciberseguridad Industrial 16
21. ICS Insider
Ciberseguridad Industrial 21
Este es un ataque moderadamente sofisticado. Los técnicos de ICS
tienden a tener un buen conocimiento de cómo operar los
componentes del sistema de control para lograr objetivos específicos,
ingeniería fundamentales o sistemas de seguridad
como un apagado, pero menos conocimiento de conceptos de
diseñados en
procesos industriales.
Esta clase de incidentes con mayor frecuencia puede causar paradas
parciales o completas de la planta. Pueden ser posibles consecuencias
físicas más graves, dependiendo de la información privilegiada y de
los detalles del proceso industrial.
22. IT Insider
Este es un ataque poco sofisticado. Los expertos en TI generalmente
tienen poco conocimiento de los sistemas cibernéticos, los sistemas
de control o los procesos físicos, pero a menudo tienen
oportunidades de ingeniería social que pueden generar credenciales
capaces de iniciar sesión en las redes de sistemas de control.
Esta clase de incidente puede causar un cierre o puede causar
confusión. En el mejor de los casos, cada uno de estos incidentes
desencadena una revisión de ingeniería de la configuración en la
planta, para garantizar que ningún equipo físico quede mal
configurado y pueda causar un mal funcionamiento en el futuro.
Ciberseguridad Industrial 22
23. Ransomware común
Los autores de ransomware autónomo pueden ser muy cibernéticos,
produciendo malware que puede propagarse rápida y automáticamente a través
de una red, e incluso malware que puede evadir sistemas antivirus comunes y
otras medidas de seguridad. Sin embargo, dichos autores tienden a no
comprender los procesos industriales físicos o los sistemas de control industrial.
Con mayor frecuencia, el daño mínimo causado por este tipo de incidente es un
apagado no planificado que dura tantos días como sea necesario para restaurar el
sistema de control de las copias de seguridad y reiniciar el proceso industrial.
Típicamente 5-10 días de producción perdida.
Ciberseguridad Industrial 23
24. Ransomware dirigido
El atacante es ciber-sofisticado. Cada vez más, vemos organizaciones
del crimen organizado involucrarse con el ransomware. Estas
organizaciones tienen acceso a kits de herramientas y desarrolladores
de malware de nivel profesional y a operadores RAT de nivel
profesional.
La computadora, la red y otros equipos con firmware borrado
generalmente deben reemplazarse: el equipo ha sido "bloqueado" en
el lenguaje de los ataques cibernéticos. Nuevamente, un apagado de
emergencia puede dañar el equipo físico.
Ciberseguridad Industrial 24
25. Ransomware de día cero
Los ataques cibernéticos solo se vuelven más sofisticados con el tiempo.
Los investigadores de seguridad y otros descubren vulnerabilidades de día
cero, y se sabe que las agencias de inteligencia “pierden la pista” de los días
cero que descubrieron o compraron. Este ataque fue muy sofisticado desde
el punto de vista cibernético y poco sofisticado en cuanto a ingeniería.
Una vez más, el daño mínimo causado por este tipo de incidente es un
apagado no planificado que dura tantos días como sea necesario para
restaurar el sistema de control de las copias de seguridad y reiniciar el
proceso industrial, generalmente de 5 a 10 días de pérdida de producción.
Sin embargo, en el peor de los casos, los equipos importantes pueden
sufrir daños irreparables, lo que requiere un reemplazo costoso que puede
llevar semanas o meses adicionales.
Ciberseguridad Industrial 25
26. Ataque ucraniano
Este es un resumen de las técnicas de ataque utilizadas en el ataque
de 2016 contra varias empresas de distribución eléctrica de Ucrania.
Los atacantes tenían un buen conocimiento de los sistemas
cibernéticos, pero un conocimiento limitado de los procesos de
distribución eléctrica y los sistemas de control.
En el caso de los ataques contra Ucrania, se cortó el suministro
eléctrico a más de 200,000 personas, por hasta 8 horas. La energía
solo se restableció cuando los técnicos viajaron a cada una de las
subestaciones afectadas, desconectaron las computadoras del sistema
de control y volvieron a encender manualmente los flujos de energía.
Ciberseguridad Industrial 26
27. Ataque sofisticado ucraniano
Este grupo de atacantes es moderadamente sofisticado, tanto cibernético
como ingeniero.
Las consecuencias de este ataque son más serias. Muchos refrigeradores
grandes en las tiendas de comestibles han dejado de funcionar, las bombas
de agua grandes en los sistemas de distribución de agua están dañadas de
manera similar, y una gran cantidad de equipos más pequeños en los
hogares de los consumidores dejan de funcionar.
Los transformadores de alto voltaje deben reemplazarse en caso de
emergencia, lo que lleva más de una semana. No existe un inventario
mundial de dichos transformadores, por lo tanto, mientras se fabrican
transformadores de reemplazo, se obtienen reemplazos de emergencia al
reducir la redundancia y la capacidad en otras partes de la red eléctrica.
Ciberseguridad Industrial 27
28. Manipulación de mercado
La sofisticación cibernética de este ataque y estos atacantes es moderada:
no se utilizaron días cero y no se escribió ningún código. La sofisticación de
ingeniería de este ataque es alta.
Los atacantes necesitaban acceso a un ingeniero capaz de interpretar las
configuraciones del sistema de control, seleccionar el equipo físico para
apuntar, identificar el PLC que controla ese equipo, descargar el programa
existente de ese PLC y diseñar y cargar un nuevo programa capaz de
desgastar el físico objetivo equipo prematuramente, mientras informa a la
HMI que el equipo está funcionando normalmente.
Se genera una pérdida de producción de la planta y costos de reparación
de equipos de emergencia.
Ciberseguridad Industrial 28
29. Manipulación sofisticada del mercado
Ciberseguridad Industrial 29
La sofisticación cibernética de este ataque y estos atacantes es alta.
No se utilizaron días cero, pero los atacantes desarrollaron malware
personalizado con comunicaciones codificadas esteganográficamente.
La sofisticación de ingeniería, como el ataque de manipulación de
mercado, es alta.
Se general la pérdida de producción de la planta y costos de
reparación de equipos de emergencia.
30. WIFI para teléfono celular
Este ataque actualmente necesita un alto grado de sofisticación
cibernética, ya que los kits de herramientas que permiten este tipo de
pirateo WIFI oculto desde teléfonos celulares actualmente no existen
en Internet abierto, por lo que los atacantes deben escribir este
malware ellos mismos o comprarlo.
Una vez que tales herramientas de ataque estén ampliamente
disponibles al público, Esta clase de ataque vendrá dentro de los
medios de grupos hacktivistas molestos con las empresas industriales.
El ataque solo necesita una sofisticación de ingeniería muy baja.
Ciberseguridad Industrial 30
31. Secuestrado de dos factores
Actualmente esto requiere un alto nivel de sofisticación cibernética,
ya que no existe un kit de herramientas de acceso remoto que
derrote a los dos factores y que esté disponible para su descarga
gratuita en Internet abierto.
Para provocar una consecuencia física grave, dentro de un número
limitado de sesiones de acceso remoto, es probable que también se
requiera un alto grado de sofisticación de ingeniería.
Cualquier atacante dispuesto a invertir malware sofisticado y
personalizado en este tipo de ataque probablemente persistirá en el
ataque hasta que se logren resultados adversos significativos.
Ciberseguridad Industrial 31
32. Pivote IIoT
Estos atacantes son de moderada sofisticación cibernética. Pueden
descargar y usar herramientas de ataque público que pueden explotar
vulnerabilidades conocidas, pueden lanzar ataques de ingeniería
social y phishing, y pueden explotar permisos con credenciales
robadas. Los hacktivistas suelen tener un grado muy limitado de
sofisticación en ingeniería.
Genera consecuencias como paradas no planificadas, pérdida de
producción y posible daño al equipo.
Ciberseguridad Industrial 32
33. Sitio web del proveedor comprometido
Ciberseguridad Industrial 33
Este es un ataque de clase hacktivista, por atacantes de sofisticación
cibernética moderada y sofisticación de ingeniería limitada. Los atacantes
sabían lo suficiente sobre los sistemas informáticos para usar las
herramientas, permisos y vulnerabilidades existentes. Tenían suficiente
conocimiento para desempaquetar los productos del sistema de control y
comprender hasta cierto punto cómo funcionan, así como desempaquetar
y volver a empacar las actualizaciones de seguridad.
La mayoría de las veces, las consecuencias de esta clase de ataque es un
apagado no planificado. Sin embargo, si una parada simultánea afecta al
sistema de control suficiente, la falla puede desencadenar una parada
incontrolada que, en muchas industrias, puede dañar el equipo.
34. Sitio remoto comprometido
Este ataque requiere acceso físico a al menos uno de los sitios remotos, y
una inversión de riesgo físico, así como de equipos: la computadora
portátil. Se necesita experiencia cibernética de clase hacktivista para entrar
en el sitio remoto y el sitio central.
Las interrupciones en el movimiento de electricidad, gas natural, agua o
cualquier otra cosa que maneje la estación remota son la consecuencia
más simple de esta clase de ataque. Los discos duros borrados son otra
consecuencia simple. Los atacantes con un mayor grado de sofisticación en
ingeniería podrían reprogramar relés de protección u otros equipos de
protección de equipos, dañando equipos físicos como transformadores y
bombas. Una manipulación más sofisticada del equipo de la tubería,
especialmente en las tuberías de líquidos, puede dar como resultado ondas
de presión capaces de causar fugas y fugas en la tubería.
Ciberseguridad Industrial 34
35. Puerta de atrás del vendedor
Los ataques de clase hacktivista que han llevado a cabo este tipo de ataque son
fáciles de detener y eliminar los discos duros borrados. Los atacantes más
sofisticados en ingeniería pueden causar daños en el equipo y, a veces, incluso
poner en riesgo la seguridad de los trabajadores o la seguridad pública.
Para escribir la puerta trasera en el código fuente del producto del proveedor y
en el código fuente del sitio web de actualización, se requiere un grado
intermedio de sofisticación cibernética. Sin embargo, dicho código fuente está
dentro de las capacidades de los desarrolladores de software que trabajan para el
proveedor, ya que dichos desarrolladores generalmente son contratados para
producir código que es mucho más complejo de lo que se necesita para este tipo
de puerta trasera. Se requiere un grado moderado de sofisticación cibernética de
los hacktivistas que descubrieron la puerta de atrás. Solo se necesita una
sofisticación de ingeniería limitada para provocar el cierre de la planta. Se
necesita una mayor sofisticación para provocar daños en el equipo y escenarios
que afecten la seguridad.
Ciberseguridad Industrial 35
36. Stuxnet
Se cree que el sitio de enriquecimiento de uranio de Natanz al que apunta
Stuxnet ha sufrido varios meses de producción reducida o nula de uranio
enriquecido, debido a la interferencia del gusano Stuxnet en el proceso de
producción. También se estima que el sitio sufrió el envejecimiento
prematuro y la destrucción de 1000-2000 unidades de centrífuga de gas de
uranio. En términos más generales, esta clase de ataque puede pasar por
alto todo menos el equipo de protección y seguridad física, y podría
provocar la pérdida de vidas, riesgos de seguridad pública y daños costosos
en el equipo.
Esta clase de ataque exige un alto grado de sofisticación de ingeniería para
comprender el proceso físico y controlar los componentes del sistema, y
evitar los sistemas de protección y seguridad del equipo con un ataque. El
ataque exige un alto grado de sofisticación cibernética también.
Ciberseguridad Industrial 36
37. Cadena de suministro de hardware
Ciberseguridad Industrial 37
Sus consecuencias son las costosas fallas en los equipos y producción
de la planta muy por debajo de los objetivos.
Este es un ataque ser un adversario muy sofisticado.
Este atacante tiene los "pies en la calle" físicos para llevar a cabo
acciones encubiertas, como irrumpir en la camioneta de entrega y
desmontar, modificar, volver a armar y volver a empacar rápidamente
equipos comprometidos.
El atacante es ciber-sofisticado, mantiene una presencia a largo plazo
en la red de TI del objetivo y comprende el diseño de una variedad de
equipos informáticos lo suficiente como para comprender cómo
insertar sutilmente hardware adicional en ese equipo.
38. Compromiso criptográfico de estado-nación
Ciberseguridad Industrial 38
Sus consecuencias son los riesgos de seguridad pública y posible
pérdida de vidas, daños costosos a los equipos y pérdida de
producción.
Este es un adversario muy sofisticado capaz de vencer el cifrado, los
certificados, la firma y los hashes criptográficos que son la base de
muchos programas de seguridad.
39. Información privilegiada sofisticada de ICS
Ciberseguridad Industrial 39
Tuvo como consecuencias la pérdida de vidas, daños costosos en el
equipo y pérdida de producción.
Este es un atacante con un alto grado de sofisticación en las
operaciones físicas, para sobornar a la información privilegiada, un
alto grado de sofisticación de ingeniería para determinar qué ataque
cibernético no ha sido anticipado por los sistemas de protección de
seguridad y equipos del sitio, o para determinar cómo derrotar esas
protecciones y un alto grado de sofisticación cibernética para producir
malware indetectable, personalizado y autónomo.
41. Snake
Ciberseguridad Industrial 41
Honda y una filial de Enel, afectadas por
el 'ransomware' Snake: así ha sido el
ciberataque, según varios analistas de
ciberseguridad
46. IEC 62443
Ciberseguridad Industrial 46
La norma IEC 62443 es un conjunto de estándares que se basa en los
conceptos definidos por la norma ISA99, en la que a su vez se
proponen una serie de documentos que establecen mejores prácticas
y recomendaciones para incrementar la seguridad de los sistemas de
control industrial frente a amenazas cibernéticas (principalmente).
Con el propósito de alinear la nomenclatura de la ISA99 a la
propuesta realizada por la IEC, en el año 2010, la ISA99 pasa a ser
denominada ANSI/ISA-62443 o bien IEC 62443.
https://www.isasecure.org/en-US/
47. CIS Controls
El Centro de Seguridad de Internet
Controles Críticos de Seguridad para
la Defensa Cibernética Efectiva es
una publicación de pautas de
mejores prácticas para la seguridad
informática
https://www.cisecurity.org/controls/
Ciberseguridad Industrial 47
48. NERC CIP
La North American Electric
Reliability Corporation (NERC)
es una
organización reguladora
internacional que trabaja para
reducir los riesgos para la
infraestructura de red eléctrica.
Se realiza a través del
desarrollo continuo de un
conjunto de
estándares regulatorios
además de educación,
capacitación y certificaciones
para personal de la industria.
https://www.nerc.com/Pages/default.aspx
Ciberseguridad Industrial 48
49. NIST Cybersecurity Framework
El Marco de Seguridad Cibernética del
NIST proporciona un marco de
políticas de orientación de seguridad
informática sobre cómo las
organizaciones del sector privado en
los Estados Unidos pueden evaluar y
mejorar su capacidad para prevenir,
detectar y responder a los ataques
cibernéticos.
https://www.nist.gov/cyberframework
Ciberseguridad Industrial 49
50. 5. SpaceX y el Cirrus
Vision Jets
Ciberseguridad Industrial 50
51. SpaceX
Space Exploration Technologies
Corp., cuyo nombre comercial es
SpaceX, es una empresa
estadounidense de transporte
aeroespacial fundada en 2002 por
Elon Musk, quien es también
cofundador de PayPal, CEO y
presidente de Tesla Motors,
SolarCity, Hyperloop, The Boring
Company, Neuralink y OpenAI.
Ciberseguridad Industrial 51
53. Software SpaceX
Linux como sistema operativo
Lenguaje C / C++ para software de vuelo
HTML, JavaScript & CSS para las pantallas
Chromium
Labview
Ciberseguridad Industrial 53
60. Labview
Ciberseguridad Industrial 60
LabVIEW ofrece un enfoque de programación gráfica que le ayuda a
visualizar cada aspecto de su aplicación, incluyendo configuración del
hardware, datos de medidas y depuración.
Esta visualización simplifica la integración del hardware
Representa una lógica compleja en el diagrama, desarrolla algoritmos
de análisis de datos y diseña interfaces de usuario de ingeniería
personalizadas.