SlideShare una empresa de Scribd logo

seguridade

J
jessicasmoore29

cdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbdskdcdsjbdcjbd

Tecnología
1 de 46
Descargar para leer sin conexión
Agenda 2
¿Qué son las Infraestructuras? Son redes de sistemas o procesos que operan colaborativamente y sinérgicamente para generar bienes o productos o asegurar su continua distribución. Estos procesos serán: • Independientes • De carácter privado • Hechos por el hombre 3
¿Qué tipos de infraestructuras hay? Instalaciones civiles • Aeropuertos, plantas refinadoras, edificios, parques solares, etc. Entornos fabriles • Cadenas de producción, control de automatismos, etc. Defensa • Comunicaciones, radares, etc. 4
¿Cuándo se puede considerar que estas infraestructuras son Críticas? Son infraestructuras críticas aquellas cuya incapacitación podría conducir a un serio debilitamiento en el sistema nacional de defensa, económico o bienestar social. Estas infraestructuras dependen de los sistemas IT para sus funcionalidades esenciales. Siendo fundamentales la fiabilidad y resistencia de estos sistemas que interconectan estas infraestructuras. 5
¿Qué infraestructuras son consideradas críticas? Sistemas de Telecomunicación Sistema de suministro eléctrico Sistemas de suministro de Gas Natural y Combustibles basados en hidrocarburos Bancos y sistemas financieros Transporte Sistemas de suministro de agua y gestión de residuos. Servicios gubernamentales y judiciales. 6 los sistemas de emergencias, rescate y protección civil Sistemas de suministro de alimentos (producción, almacenamiento y distribución) Sistemas de aeroespaciales Productos estratégicos (Hierro, Acero, aluminio y algunos productos manufacturados) Sistema sanitario Sistema Educativo.
Arquitectura de Infraestructuras crítica 7
SCADA (Supervisory Control And Data Acquisition ). Los SCADA son sistemas complejos, tolerantes a fallos, sujetos a restricciones de tiempo real y que también se les suele denominar sistemas de automatización, sistemas de control distribuido o sistemas de control de procesos. 8 Escritura de Configuración
SCADA: OPC El OPC (OLE. Object Linking and Embedding for Process Control) es un estándar de comunicación en el campo del control y supervisión de procesos. De este modo se elimina la necesidad de que todos los dispositivos cuenten con drivers para dialogar con múltiples fuentes de datos, basta que tengan un driver OPC. 9
SCADA: OPC Lectura de datos 10 El OPC (OLE. Object Linking and Embedding for Process Control) es un estándar de comunicación en el campo del control y supervisión de procesos. De este modo se elimina la necesidad de que todos los dispositivos cuenten con drivers para dialogar con múltiples fuentes de datos, basta que tengan un driver OPC.
SCADA: OPC En realidad OPC es un conjunto de protocolos entre los que podemos destacar los siguientes: OPC-DA (Data Access).- para intercambio de datos a tiempo real entre servidores y clientes. OPC-AE (Alarms & Events) OPC B (Batch).- Útil en procesos discontinuos. OPC DX (Data eXchange).- Proporciona interoperabilidad entre varios servidores. OPC HDA (Historical Data Access).- Acceso histórico a datos OPC. OPC S (Security).- Especifica cómo controlar el acceso de los clientes a los servidores. OPC XML-DA (XML Data Access).- para intercambio de datos como OPC- DA pero en vez de COM/DCOM utiliza mensajes SOAP (sobre HTTP) con documentos en XML. OPC CD (Complex Data).- Permite a los servidores exponer y describir tipos de datos más complicados en forma de estructuras binarias y documentos XML 11 El OPC (OLE. Object Linking and Embedding for Process Control) es un estándar de comunicación en el campo del control y supervisión de procesos. De este modo se elimina la necesidad de que todos los dispositivos cuenten con drivers para dialogar con múltiples fuentes de datos, basta que tengan un driver OPC.
SCADA OPC/DCOM Attack SQL Injetion BackDoor through Access Point Man in the Middle BackDoor through Internet XSS 12
SCADA OPC/DCOM Attack SQL Injetion BackDoor through Access Point Man in the Middle BackDoor through Internet XSS 13
SCADA BackDoor through Access Point Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Internet XSS 14
SCADA BackDoor through Access Point SQL Injetion OPC/DCOM Attack BackDoor through Internet Man in the Middle XSS 15
BackDoor through Internet SCADA Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Access Point XSS 16
SCADA Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Access Point BackDoor through Internet XSS 17
SCADA Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Access Point BackDoor through Internet XSS 18
MES (Manufacturing Execution System) La producción Planificación, administración de recursos, medidas de rendimiento, gestión de ordenes,etc El personal Control de presencia, control de accesos , etc La calidad TQM (Total Quality Management), SPC (Statistical Process Control), etc. 19 Son sistemas con consideraciones de tiempo real cuyos objetivos tienen que ver con:
ERP (Enterprise Resource Planning) 20
Pero, ¿por qué son criticas? 21 Videos
ACCESO WEB • Consecuencias de abrir los sistemas de control 22
Pero, ¿Por qué es necesario tratar de forma diferente a las infraestructuras críticas? Los administradores de los procesos de control deben mantener sus procesos en ejecución y mantener el control de ellos bajo cualquier circunstancia. • De no ser así las pérdidas económicas puedes ser enormes, incluso el entorno o las personas podrían resultar dañadas. 23
Ejemplos de ataques • En 2001, un australiano fue mandado a prisión por conseguir el acceso a un sistema de administración de residuos provocando que litros de aguas residuales sin tratar se vertieran por parques locales, ríos y los terrenos de hotel Hyat Regency de Queensland. El ataque se implementó aprovechando una red WIFI configurada en el SCADA. 24
Ejemplos de Ataques • En 1999 una tubería de acero de 16 pulgadas de diametro, propiedad de la empresa Olympic Pipe Line, reventó y derramó cerca de 237.000 galones de gasolina en el cauce de un pequeño arroyo que discurría cerca del parque Whatcom Falls en Bellingham, Washington. • Transcurridas una hora y media la gasolina inició su combustión. • En el incendio dos chicos de 10 años de edad y un joven de 18 años murieron en el accidente. Estando documentados hasta 8 heridos, una residencia particular arrasada hasta los cimientos y la planta purificadora de agua de Bellinghams seriamente dañada. En definitiva daños por el valor de 45 millones de dolares. 25
Ejemplo de ataques. • El sistema SCADA de Olympic Pipeline utilizaba el software Teledyne Brown Engineering20 SCADA Vector, ejecutado en dos servidores VAX Model 4000-300 con el sistema operativo VMS versión 7.1. Implementando además un sistema tolerante a fallos con la inclusión de una tercera máquina, en este caso Alpha 300, que se había configurado para ejecutar de forma independiente un software de detección de fallos en las tuberías. • Un fallo en la medición de la presión del tramo de tubería que discurría cerca del parque facilitó una acumulación de gas altamente volátil , provocando la fuerte explosión. 26
Objetivos de los Ataques Ataques al software de aplicación Ataques de comunicaciones Ataques a los usuarios Ataques al hardware Ataques al software de aplicación Ataques de comunicaciones Ataques de comunicaciones Ataques a los usuarios Ataques al software de aplicación Ataques de comunicaciones Ataques a los usuarios Ataques al software de aplicación Ataques de comunicaciones 27
Protección de Infraestructuras Críticas En las infraestructuras críticas es preciso y altamente prioritario garantizar: •Seguridad •Continuidad •Disponibilidad 28
Desventajas en la protección de infraestructuras críticas Formación de los operarios de planta y servicios de mantenimiento demasiado especializada. Necesidad de Continuidad Falsa sensación de seguridad debido a la utilización de soluciones específicas. Coste de los daños provocados por un ataque exitoso. Información de carácter crítico y estratégico. Interdependencias entre infraestructuras. 29
Interdependencia entre Infraestructuras Es imposible analizar de forma adecuada y comprender el comportamiento de una determinada infraestructura de forma aislada respecto a su entorno o a otras infraestructuras. • Se debe plantear un análisis holístico que considere múltiples infraestructuras interconectadas y sus interconexiones como un sistema único. • Lo que le suceda a una infraestructura puede afectar directamente o indirectamente a otras infraestructuras, impactar a grandes regiones geográficas y repercutir en la economía nacional o, incluso, global. 30
Interdependencias entre Infraestructuras Serán relaciones bidireccionales entre dos infraestructuras de forma que el estado de una de ellas afecta al estado de la otra y viceversa. 31
Interdependencias entre Infraestructuras Serán relaciones bidireccionales entre dos infraestructuras de forma que el estado de una de ellas afecta al estado de la otra y viceversa. 32
Ejemplo de fallo en cascada 33
Ejemplo de fallo en cascada 34
CIIP (Critical Information Infrastructure Protection) En este contexto, ya de por sí heterogéneo y multidimensional, las infraestructuras de información críticas pueden verse amenazadas por catástrofes naturales, fallos técnicos, errores humanos, crimen internacional, terrorismo, etc. Por todo ello es necesaria una aproximación holística y colaborativa para su protección, centrándose en tres objetivos fundamentales: • Prevenir los ataques informáticos contra las infraestructuras de información críticas • Reducir la vulnerabilidad nacional a los ciberataques • Reducir al mínimo los daños y el tiempo de recuperación cuando estos ataques se producen. 35
CIIP Existe un campo de investigación mucho más maduro, denominad o Information Security Management (ISM) que mantiene una relación muy estrecha con CIIP 36
CIIP Existen múltiples propuestas de estándares, taxonomías y recomendaciones globales que persiguen igualar a los diferentes estándares en el área de seguridad de la información (ISM – Information Security Management), que sí están reconocidos internacionalmente. Uno de los aspectos en los que sí parece que toda la comunidad investigadora en CIIP ha llegado a un acuerdo es en la utilización del modelo de referencia propuesto para ISM en el estándar ISO/IEC TR 13335, pero añadiéndole una capa más, la 0. 37
Modelo para CIIP (ISO/IEC TR 13335) Capa 0 - Strategic Bussiness Layer •En esta capa se deben garantizar la fiabilidad y el correcto funcionamiento de todas las infraestructuras de información críticas a nivel nacional e internacional. Está relacionada con la gestión global de todas las infraestucturas. Capa 1 - Organizational Layer •En este caso se debe garantizar la fiabilidad y el correcto funcionamiento de una infraestructura de información crítica individual, así como garantizar que se minimiza el riesgo que ésta sufre. Está relacionada con la organización de la infraestructura, sus procedimientos, su personal, etc. Capa 2 - Cyber Layer • En esta capa se minimiza el riesgo de los sistemas TIC de la infraestructura. Está relacionada con los sistemas de información, la arquitectura de comunicaciones, etc. Capa 3 - Physical Layer •En esta capa se deben garantizar la integridad, disponibilidad y confidencialidad de cada uno de los sistemas TIC individualmente. En este caso hay que tener en cuenta los dispositivos 38
Avances en CIIP Investigación de las dependencias y los efectos de cascada. Para estos estudios la teoría de sistemas complejos y la simulación han demostrado ser herramientas potentes y efectivas. Proposición de esquemas y procesos de colaboración que permitan compartir el conocimiento entre toda la comunidad de manera que la protección de una infraestructura se pueda hacer de manera mucho más eficiente aprovechando y reutilizando la información generada para otras infraestructuras similares en contextos parecidos. Investigación en la seguridad de los sistemas SCADA. Algunos ejemplos son las nuevas normativas ISA99 e ISA100. 39
ISM como punto de partida para CIIP Casi todas las herramientas que se utilizan en la actualidad en ISM se basan en la metodología PDCA (Plan-Do-Check-Act) o en alguna variación de ella. Comparativa entre las herramientas más extendidas en ISM: http://rm-inv.enisa.europa.eu/comparison.html •(Callio, Casis, Cobra, CounterMeasures, CRAMM, EAR/PILAR, EBios, GSTool, GxSGSI, ISAMM, MIGRA Tool, Modulo Risk Manager, Octave, Proteus, Ra2, Real ISMS, Resolver Ballot, Resolver Risk, Risicare, RiskWatch, RMStudio y Stream.) 40
Herramientas para CIIP Estas herramientas no pueden utilizarse directamente en CIIP • No pueden tener en cuenta la complejidad y heterogeneidad de las infraestructuras críticas • No incorporan herramientas de simulación para modelar los efectos de cascada • No suelen enriquecerse mediante la colaboración y las bases de datos de conocimiento • No ayudan a tomar decisiones teniendo en cuenta las particularidades de cada infraestructura Sin embargo, las técnicas que se emplean para la identificación y análisis de riesgos en ISM sí que pueden tomarse como punto de partida para desarrollar herramientas específicas de CIIP. 41
Herramientas para CIIP De hecho existen herramientas "fronterizas" que se basan en métodos típicos de ISM pero que incorporan soluciones para algunos de los problemas típicos de CIIP. • Análisis de riesgos • Hazard and operability study (HAZOP) • Fault Tree Analysis (FTA) • Failure Mode and Effect Analysis (FMEA) • Métodos basados en modelos de Markov y modelos ocultos de Markov • CCTA Risk Analysis • Detección de ataques en tiempo real • Intelligent Event Processing (IEP) 42
Control Systems Security Program (CSSP) – CERT-US • http://www.us-cert.gov/control_systems/ – Cyber Security Evaluation Tool (CSET) 43
Control Systems Security Program (CSSP) – CERT-US – Secure Architecture Design 44
Referencias • Security for Process Control Systems: An overview, M. Bradle and M.Naedele. IEEE Security and Privacy, 2008, • Designing Secure SCADA Systems Using Security Patterns, E.B. Fernández, M.M.Larrondo-Petrie. IEEE Proceedings 43rd Hawaii International Conference on System Sciences, 2010. • Leassons Learned From Cyber Security Assesments of SCADA and Energy Management Systems, R.K. Fink, D.F.Spenser and R. A. Wells, U.S. Department of Energy Office of Electricity Delivery and Energy Reliability, 2006. • Indentifying, Understanding and Analyzing Critical Infraestructure Interdependencies. S.M. Rinaldi,J. P- Peerenboom and T.K. Kelly. IEEE Control Systems Magazine, 2001. • Trust but Verify Critical Infrastructure Cyber Security Solutions, D.K. Holstein, K. Stouffer. IEEE Proceedings 43rd Hawaii International Conference on System Sciences, 2010. • The Myths and Facts behind Cyber Security Risk for Ïndustrial Control Systems, E.Byres and D.Hoffman. 2004 • Information Security Implementation Difficulties in Critical Infrastructures: Smart Metering Case, L.O. AlAbdulkarim and Z. Lukszo. IEEE 2010. • International Policy Framework for Protecting Critical Information Infrastructure: A Discussion Paper Outlining Key Policy Issues. Robert Bruce et al. TNO Report, 2005. http://www.ists.dartmouth.edu/library/158.pdf • International CIIP handbook 2008/2009. An inventory of 25 national and 7 international Critical Information Infrastructure Protection Policies. Elgin Brunner and Manuel Suter. Center for Security Studies, ETH Zurich. CRN Handbooks, volume 4, issue 1. http://www.isn.ethz.ch/isn/Digital- Library/Publications/Detail/?id=91952&lng=en • Wiley Handbook of Science and Technology for Homeland Security, 4 Volume Set. John G. Voeller (Editor). 45 http://www.gaapsoluciones.es – http://redindustria.blogspot.com http://www.gaapsoluciones.es/MISHSA /
seguridade

Recomendados

Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticasEventos Creativos
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasMateo Martinez
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESAMiguel Cabrera
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Vega_Opazo_Darwin_Antonio.pdf
Vega_Opazo_Darwin_Antonio.pdfVega_Opazo_Darwin_Antonio.pdf
Vega_Opazo_Darwin_Antonio.pdfMarioFernandoApazaJi1
 
Monitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA SecurityMonitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA SecurityManuel Santander
 
Presentación high availability servers
Presentación high availability serversPresentación high availability servers
Presentación high availability serversAlan Velasquez
 
SCADAS COMERCIALES
SCADAS COMERCIALESSCADAS COMERCIALES
SCADAS COMERCIALESacpicegudomonagas
 

Recomendados

Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticasEventos Creativos
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasMateo Martinez
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESAMiguel Cabrera
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Vega_Opazo_Darwin_Antonio.pdf
Vega_Opazo_Darwin_Antonio.pdfVega_Opazo_Darwin_Antonio.pdf
Vega_Opazo_Darwin_Antonio.pdfMarioFernandoApazaJi1
 
Monitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA SecurityMonitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA SecurityManuel Santander
 
Presentación high availability servers
Presentación high availability serversPresentación high availability servers
Presentación high availability serversAlan Velasquez
 
SCADAS COMERCIALES
SCADAS COMERCIALESSCADAS COMERCIALES
SCADAS COMERCIALESacpicegudomonagas
 
Curso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingCurso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingJack Daniel Cáceres Meza
 
SGEPCI-Unidad VI
SGEPCI-Unidad VISGEPCI-Unidad VI
SGEPCI-Unidad VIgparra989
 
Industrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringIndustrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringItconic
 
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Enrique Martin
 
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxEXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxGustavoVelderrain
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
Apuntes de legislación y administración de centros iii
Apuntes de legislación y administración de centros iiiApuntes de legislación y administración de centros iii
Apuntes de legislación y administración de centros iiiIsrael Hernández Lezama
 
Unidad iv tema 2 - rtu
Unidad iv tema 2 - rtuUnidad iv tema 2 - rtu
Unidad iv tema 2 - rtuUDO Monagas
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
Red telematica-etapa 3
Red telematica-etapa 3Red telematica-etapa 3
Red telematica-etapa 3john bustos
 
mapa mental - previo 2.pptx
mapa mental - previo 2.pptxmapa mental - previo 2.pptx
mapa mental - previo 2.pptxMauricioArceBolados1
 
TA2_1
TA2_1TA2_1
TA2_1David Lopez
 
Control total 2017 abril - Hermos S.A. de C.V.
Control total 2017 abril - Hermos S.A. de C.V.Control total 2017 abril - Hermos S.A. de C.V.
Control total 2017 abril - Hermos S.A. de C.V.Mariana Isabel
 
KSCS_U3_A1_ADGP.pdf
KSCS_U3_A1_ADGP.pdfKSCS_U3_A1_ADGP.pdf
KSCS_U3_A1_ADGP.pdfAntonioAranda28
 
18188206 sistema-scada
18188206 sistema-scada18188206 sistema-scada
18188206 sistema-scadaUniversidad Telesup
 
2.1. infraestructura de ti y tecnologías
2.1. infraestructura de ti y tecnologías2.1. infraestructura de ti y tecnologías
2.1. infraestructura de ti y tecnologíasAlexis Gils
 
Curso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesCurso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesJack Daniel Cáceres Meza
 
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...MariaBarradas17
 
Arquitectura de software
Arquitectura de softwareArquitectura de software
Arquitectura de softwareGary Araujo Viscarra
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Más contenido relacionado

Similar a seguridade

Curso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingCurso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingJack Daniel Cáceres Meza
 
SGEPCI-Unidad VI
SGEPCI-Unidad VISGEPCI-Unidad VI
SGEPCI-Unidad VIgparra989
 
Industrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringIndustrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringItconic
 
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Enrique Martin
 
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxEXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxGustavoVelderrain
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
Apuntes de legislación y administración de centros iii
Apuntes de legislación y administración de centros iiiApuntes de legislación y administración de centros iii
Apuntes de legislación y administración de centros iiiIsrael Hernández Lezama
 
Unidad iv tema 2 - rtu
Unidad iv tema 2 - rtuUnidad iv tema 2 - rtu
Unidad iv tema 2 - rtuUDO Monagas
 
Red telematica-etapa 3
Red telematica-etapa 3Red telematica-etapa 3
Red telematica-etapa 3john bustos
 
Control total 2017 abril - Hermos S.A. de C.V.
Control total 2017 abril - Hermos S.A. de C.V.Control total 2017 abril - Hermos S.A. de C.V.
Control total 2017 abril - Hermos S.A. de C.V.Mariana Isabel
 
2.1. infraestructura de ti y tecnologías
2.1. infraestructura de ti y tecnologías2.1. infraestructura de ti y tecnologías
2.1. infraestructura de ti y tecnologíasAlexis Gils
 
Curso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesCurso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesJack Daniel Cáceres Meza
 
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...MariaBarradas17
 

Similar a seguridade (20)

Curso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingCurso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computing
 
SGEPCI-Unidad VI
SGEPCI-Unidad VISGEPCI-Unidad VI
SGEPCI-Unidad VI
 
Industrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringIndustrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoring
 
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
 
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxEXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scada
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scada
 
Apuntes de legislación y administración de centros iii
Apuntes de legislación y administración de centros iiiApuntes de legislación y administración de centros iii
Apuntes de legislación y administración de centros iii
 
Unidad iv tema 2 - rtu
Unidad iv tema 2 - rtuUnidad iv tema 2 - rtu
Unidad iv tema 2 - rtu
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Red telematica-etapa 3
Red telematica-etapa 3Red telematica-etapa 3
Red telematica-etapa 3
 
mapa mental - previo 2.pptx
mapa mental - previo 2.pptxmapa mental - previo 2.pptx
mapa mental - previo 2.pptx
 
TA2_1
TA2_1TA2_1
TA2_1
 
Control total 2017 abril - Hermos S.A. de C.V.
Control total 2017 abril - Hermos S.A. de C.V.Control total 2017 abril - Hermos S.A. de C.V.
Control total 2017 abril - Hermos S.A. de C.V.
 
KSCS_U3_A1_ADGP.pdf
KSCS_U3_A1_ADGP.pdfKSCS_U3_A1_ADGP.pdf
KSCS_U3_A1_ADGP.pdf
 
18188206 sistema-scada
18188206 sistema-scada18188206 sistema-scada
18188206 sistema-scada
 
2.1. infraestructura de ti y tecnologías
2.1. infraestructura de ti y tecnologías2.1. infraestructura de ti y tecnologías
2.1. infraestructura de ti y tecnologías
 
Curso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesCurso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redes
 
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...
Diseño de un sistema de microcontroladores maestro-esclavo mediante el uso de...
 
Arquitectura de software
Arquitectura de softwareArquitectura de software
Arquitectura de software
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Último (15)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

seguridade

  • 1.
  • 3. ¿Qué son las Infraestructuras? Son redes de sistemas o procesos que operan colaborativamente y sinérgicamente para generar bienes o productos o asegurar su continua distribución. Estos procesos serán: • Independientes • De carácter privado • Hechos por el hombre 3
  • 4. ¿Qué tipos de infraestructuras hay? Instalaciones civiles • Aeropuertos, plantas refinadoras, edificios, parques solares, etc. Entornos fabriles • Cadenas de producción, control de automatismos, etc. Defensa • Comunicaciones, radares, etc. 4
  • 5. ¿Cuándo se puede considerar que estas infraestructuras son Críticas? Son infraestructuras críticas aquellas cuya incapacitación podría conducir a un serio debilitamiento en el sistema nacional de defensa, económico o bienestar social. Estas infraestructuras dependen de los sistemas IT para sus funcionalidades esenciales. Siendo fundamentales la fiabilidad y resistencia de estos sistemas que interconectan estas infraestructuras. 5
  • 6. ¿Qué infraestructuras son consideradas críticas? Sistemas de Telecomunicación Sistema de suministro eléctrico Sistemas de suministro de Gas Natural y Combustibles basados en hidrocarburos Bancos y sistemas financieros Transporte Sistemas de suministro de agua y gestión de residuos. Servicios gubernamentales y judiciales. 6 los sistemas de emergencias, rescate y protección civil Sistemas de suministro de alimentos (producción, almacenamiento y distribución) Sistemas de aeroespaciales Productos estratégicos (Hierro, Acero, aluminio y algunos productos manufacturados) Sistema sanitario Sistema Educativo.
  • 8. SCADA (Supervisory Control And Data Acquisition ). Los SCADA son sistemas complejos, tolerantes a fallos, sujetos a restricciones de tiempo real y que también se les suele denominar sistemas de automatización, sistemas de control distribuido o sistemas de control de procesos. 8 Escritura de Configuración
  • 9. SCADA: OPC El OPC (OLE. Object Linking and Embedding for Process Control) es un estándar de comunicación en el campo del control y supervisión de procesos. De este modo se elimina la necesidad de que todos los dispositivos cuenten con drivers para dialogar con múltiples fuentes de datos, basta que tengan un driver OPC. 9
  • 10. SCADA: OPC Lectura de datos 10 El OPC (OLE. Object Linking and Embedding for Process Control) es un estándar de comunicación en el campo del control y supervisión de procesos. De este modo se elimina la necesidad de que todos los dispositivos cuenten con drivers para dialogar con múltiples fuentes de datos, basta que tengan un driver OPC.
  • 11. SCADA: OPC En realidad OPC es un conjunto de protocolos entre los que podemos destacar los siguientes: OPC-DA (Data Access).- para intercambio de datos a tiempo real entre servidores y clientes. OPC-AE (Alarms & Events) OPC B (Batch).- Útil en procesos discontinuos. OPC DX (Data eXchange).- Proporciona interoperabilidad entre varios servidores. OPC HDA (Historical Data Access).- Acceso histórico a datos OPC. OPC S (Security).- Especifica cómo controlar el acceso de los clientes a los servidores. OPC XML-DA (XML Data Access).- para intercambio de datos como OPC- DA pero en vez de COM/DCOM utiliza mensajes SOAP (sobre HTTP) con documentos en XML. OPC CD (Complex Data).- Permite a los servidores exponer y describir tipos de datos más complicados en forma de estructuras binarias y documentos XML 11 El OPC (OLE. Object Linking and Embedding for Process Control) es un estándar de comunicación en el campo del control y supervisión de procesos. De este modo se elimina la necesidad de que todos los dispositivos cuenten con drivers para dialogar con múltiples fuentes de datos, basta que tengan un driver OPC.
  • 12. SCADA OPC/DCOM Attack SQL Injetion BackDoor through Access Point Man in the Middle BackDoor through Internet XSS 12
  • 13. SCADA OPC/DCOM Attack SQL Injetion BackDoor through Access Point Man in the Middle BackDoor through Internet XSS 13
  • 14. SCADA BackDoor through Access Point Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Internet XSS 14
  • 15. SCADA BackDoor through Access Point SQL Injetion OPC/DCOM Attack BackDoor through Internet Man in the Middle XSS 15
  • 16. BackDoor through Internet SCADA Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Access Point XSS 16
  • 17. SCADA Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Access Point BackDoor through Internet XSS 17
  • 18. SCADA Man in the Middle SQL Injetion OPC/DCOM Attack BackDoor through Access Point BackDoor through Internet XSS 18
  • 19. MES (Manufacturing Execution System) La producción Planificación, administración de recursos, medidas de rendimiento, gestión de ordenes,etc El personal Control de presencia, control de accesos , etc La calidad TQM (Total Quality Management), SPC (Statistical Process Control), etc. 19 Son sistemas con consideraciones de tiempo real cuyos objetivos tienen que ver con:
  • 20. ERP (Enterprise Resource Planning) 20
  • 21. Pero, ¿por qué son criticas? 21 Videos
  • 22. ACCESO WEB • Consecuencias de abrir los sistemas de control 22
  • 23. Pero, ¿Por qué es necesario tratar de forma diferente a las infraestructuras críticas? Los administradores de los procesos de control deben mantener sus procesos en ejecución y mantener el control de ellos bajo cualquier circunstancia. • De no ser así las pérdidas económicas puedes ser enormes, incluso el entorno o las personas podrían resultar dañadas. 23
  • 24. Ejemplos de ataques • En 2001, un australiano fue mandado a prisión por conseguir el acceso a un sistema de administración de residuos provocando que litros de aguas residuales sin tratar se vertieran por parques locales, ríos y los terrenos de hotel Hyat Regency de Queensland. El ataque se implementó aprovechando una red WIFI configurada en el SCADA. 24
  • 25. Ejemplos de Ataques • En 1999 una tubería de acero de 16 pulgadas de diametro, propiedad de la empresa Olympic Pipe Line, reventó y derramó cerca de 237.000 galones de gasolina en el cauce de un pequeño arroyo que discurría cerca del parque Whatcom Falls en Bellingham, Washington. • Transcurridas una hora y media la gasolina inició su combustión. • En el incendio dos chicos de 10 años de edad y un joven de 18 años murieron en el accidente. Estando documentados hasta 8 heridos, una residencia particular arrasada hasta los cimientos y la planta purificadora de agua de Bellinghams seriamente dañada. En definitiva daños por el valor de 45 millones de dolares. 25
  • 26. Ejemplo de ataques. • El sistema SCADA de Olympic Pipeline utilizaba el software Teledyne Brown Engineering20 SCADA Vector, ejecutado en dos servidores VAX Model 4000-300 con el sistema operativo VMS versión 7.1. Implementando además un sistema tolerante a fallos con la inclusión de una tercera máquina, en este caso Alpha 300, que se había configurado para ejecutar de forma independiente un software de detección de fallos en las tuberías. • Un fallo en la medición de la presión del tramo de tubería que discurría cerca del parque facilitó una acumulación de gas altamente volátil , provocando la fuerte explosión. 26
  • 27. Objetivos de los Ataques Ataques al software de aplicación Ataques de comunicaciones Ataques a los usuarios Ataques al hardware Ataques al software de aplicación Ataques de comunicaciones Ataques de comunicaciones Ataques a los usuarios Ataques al software de aplicación Ataques de comunicaciones Ataques a los usuarios Ataques al software de aplicación Ataques de comunicaciones 27
  • 28. Protección de Infraestructuras Críticas En las infraestructuras críticas es preciso y altamente prioritario garantizar: •Seguridad •Continuidad •Disponibilidad 28
  • 29. Desventajas en la protección de infraestructuras críticas Formación de los operarios de planta y servicios de mantenimiento demasiado especializada. Necesidad de Continuidad Falsa sensación de seguridad debido a la utilización de soluciones específicas. Coste de los daños provocados por un ataque exitoso. Información de carácter crítico y estratégico. Interdependencias entre infraestructuras. 29
  • 30. Interdependencia entre Infraestructuras Es imposible analizar de forma adecuada y comprender el comportamiento de una determinada infraestructura de forma aislada respecto a su entorno o a otras infraestructuras. • Se debe plantear un análisis holístico que considere múltiples infraestructuras interconectadas y sus interconexiones como un sistema único. • Lo que le suceda a una infraestructura puede afectar directamente o indirectamente a otras infraestructuras, impactar a grandes regiones geográficas y repercutir en la economía nacional o, incluso, global. 30
  • 31. Interdependencias entre Infraestructuras Serán relaciones bidireccionales entre dos infraestructuras de forma que el estado de una de ellas afecta al estado de la otra y viceversa. 31
  • 32. Interdependencias entre Infraestructuras Serán relaciones bidireccionales entre dos infraestructuras de forma que el estado de una de ellas afecta al estado de la otra y viceversa. 32
  • 33. Ejemplo de fallo en cascada 33
  • 34. Ejemplo de fallo en cascada 34
  • 35. CIIP (Critical Information Infrastructure Protection) En este contexto, ya de por sí heterogéneo y multidimensional, las infraestructuras de información críticas pueden verse amenazadas por catástrofes naturales, fallos técnicos, errores humanos, crimen internacional, terrorismo, etc. Por todo ello es necesaria una aproximación holística y colaborativa para su protección, centrándose en tres objetivos fundamentales: • Prevenir los ataques informáticos contra las infraestructuras de información críticas • Reducir la vulnerabilidad nacional a los ciberataques • Reducir al mínimo los daños y el tiempo de recuperación cuando estos ataques se producen. 35
  • 36. CIIP Existe un campo de investigación mucho más maduro, denominad o Information Security Management (ISM) que mantiene una relación muy estrecha con CIIP 36
  • 37. CIIP Existen múltiples propuestas de estándares, taxonomías y recomendaciones globales que persiguen igualar a los diferentes estándares en el área de seguridad de la información (ISM – Information Security Management), que sí están reconocidos internacionalmente. Uno de los aspectos en los que sí parece que toda la comunidad investigadora en CIIP ha llegado a un acuerdo es en la utilización del modelo de referencia propuesto para ISM en el estándar ISO/IEC TR 13335, pero añadiéndole una capa más, la 0. 37
  • 38. Modelo para CIIP (ISO/IEC TR 13335) Capa 0 - Strategic Bussiness Layer •En esta capa se deben garantizar la fiabilidad y el correcto funcionamiento de todas las infraestructuras de información críticas a nivel nacional e internacional. Está relacionada con la gestión global de todas las infraestucturas. Capa 1 - Organizational Layer •En este caso se debe garantizar la fiabilidad y el correcto funcionamiento de una infraestructura de información crítica individual, así como garantizar que se minimiza el riesgo que ésta sufre. Está relacionada con la organización de la infraestructura, sus procedimientos, su personal, etc. Capa 2 - Cyber Layer • En esta capa se minimiza el riesgo de los sistemas TIC de la infraestructura. Está relacionada con los sistemas de información, la arquitectura de comunicaciones, etc. Capa 3 - Physical Layer •En esta capa se deben garantizar la integridad, disponibilidad y confidencialidad de cada uno de los sistemas TIC individualmente. En este caso hay que tener en cuenta los dispositivos 38
  • 39. Avances en CIIP Investigación de las dependencias y los efectos de cascada. Para estos estudios la teoría de sistemas complejos y la simulación han demostrado ser herramientas potentes y efectivas. Proposición de esquemas y procesos de colaboración que permitan compartir el conocimiento entre toda la comunidad de manera que la protección de una infraestructura se pueda hacer de manera mucho más eficiente aprovechando y reutilizando la información generada para otras infraestructuras similares en contextos parecidos. Investigación en la seguridad de los sistemas SCADA. Algunos ejemplos son las nuevas normativas ISA99 e ISA100. 39
  • 40. ISM como punto de partida para CIIP Casi todas las herramientas que se utilizan en la actualidad en ISM se basan en la metodología PDCA (Plan-Do-Check-Act) o en alguna variación de ella. Comparativa entre las herramientas más extendidas en ISM: http://rm-inv.enisa.europa.eu/comparison.html •(Callio, Casis, Cobra, CounterMeasures, CRAMM, EAR/PILAR, EBios, GSTool, GxSGSI, ISAMM, MIGRA Tool, Modulo Risk Manager, Octave, Proteus, Ra2, Real ISMS, Resolver Ballot, Resolver Risk, Risicare, RiskWatch, RMStudio y Stream.) 40
  • 41. Herramientas para CIIP Estas herramientas no pueden utilizarse directamente en CIIP • No pueden tener en cuenta la complejidad y heterogeneidad de las infraestructuras críticas • No incorporan herramientas de simulación para modelar los efectos de cascada • No suelen enriquecerse mediante la colaboración y las bases de datos de conocimiento • No ayudan a tomar decisiones teniendo en cuenta las particularidades de cada infraestructura Sin embargo, las técnicas que se emplean para la identificación y análisis de riesgos en ISM sí que pueden tomarse como punto de partida para desarrollar herramientas específicas de CIIP. 41
  • 42. Herramientas para CIIP De hecho existen herramientas "fronterizas" que se basan en métodos típicos de ISM pero que incorporan soluciones para algunos de los problemas típicos de CIIP. • Análisis de riesgos • Hazard and operability study (HAZOP) • Fault Tree Analysis (FTA) • Failure Mode and Effect Analysis (FMEA) • Métodos basados en modelos de Markov y modelos ocultos de Markov • CCTA Risk Analysis • Detección de ataques en tiempo real • Intelligent Event Processing (IEP) 42
  • 43. Control Systems Security Program (CSSP) – CERT-US • http://www.us-cert.gov/control_systems/ – Cyber Security Evaluation Tool (CSET) 43
  • 44. Control Systems Security Program (CSSP) – CERT-US – Secure Architecture Design 44
  • 45. Referencias • Security for Process Control Systems: An overview, M. Bradle and M.Naedele. IEEE Security and Privacy, 2008, • Designing Secure SCADA Systems Using Security Patterns, E.B. Fernández, M.M.Larrondo-Petrie. IEEE Proceedings 43rd Hawaii International Conference on System Sciences, 2010. • Leassons Learned From Cyber Security Assesments of SCADA and Energy Management Systems, R.K. Fink, D.F.Spenser and R. A. Wells, U.S. Department of Energy Office of Electricity Delivery and Energy Reliability, 2006. • Indentifying, Understanding and Analyzing Critical Infraestructure Interdependencies. S.M. Rinaldi,J. P- Peerenboom and T.K. Kelly. IEEE Control Systems Magazine, 2001. • Trust but Verify Critical Infrastructure Cyber Security Solutions, D.K. Holstein, K. Stouffer. IEEE Proceedings 43rd Hawaii International Conference on System Sciences, 2010. • The Myths and Facts behind Cyber Security Risk for Ïndustrial Control Systems, E.Byres and D.Hoffman. 2004 • Information Security Implementation Difficulties in Critical Infrastructures: Smart Metering Case, L.O. AlAbdulkarim and Z. Lukszo. IEEE 2010. • International Policy Framework for Protecting Critical Information Infrastructure: A Discussion Paper Outlining Key Policy Issues. Robert Bruce et al. TNO Report, 2005. http://www.ists.dartmouth.edu/library/158.pdf • International CIIP handbook 2008/2009. An inventory of 25 national and 7 international Critical Information Infrastructure Protection Policies. Elgin Brunner and Manuel Suter. Center for Security Studies, ETH Zurich. CRN Handbooks, volume 4, issue 1. http://www.isn.ethz.ch/isn/Digital- Library/Publications/Detail/?id=91952&lng=en • Wiley Handbook of Science and Technology for Homeland Security, 4 Volume Set. John G. Voeller (Editor). 45 http://www.gaapsoluciones.es – http://redindustria.blogspot.com http://www.gaapsoluciones.es/MISHSA /