SlideShare una empresa de Scribd logo

Protección de infraestructuras críticas

Enrique Martin
Enrique Martin

Uso de los patrones de comportamiento en las redes de control para detectar anomalías de seguridad o funcionamiento

Tecnología
1 de 22
Protección de Infraestructuras Críticas Gestión de Comportamiento de redes industriales Por Enrique Martín García Agosto 2014 Resumen Ejecutivo El nivel de seguridad de las Infraestructuras que proporcionan servicios esenciales para la sociedad debe ser revisado y monitorizado de manera continua. Esta revisión se debe basar en la selección de un conjunto de indicadores que permitan establecer valores objetivos y sostenibles en el tiempo, dado el diseño robusto y a largo plazo que estas infraestructuras deben presentar. En este documento nos centraremos en los primeros indicadores a definir y gestionar relacionados con el correcto comportamiento de las redes de control industrial (SCADA), existentes en las infraestructuras designadas como críticas.
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 2 2 Índice INTRODUCCIÓN ...................................................................................................................... 3 MARCO LEGAL ....................................................................................................................... 3 EEUU: CYBERSECURITY FRAMEWORK FEBRERO 2014 – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) ....................................................................................................... 3 EEUU: ES-C2M2 V1.1 FEBRUARY 2014 – DEPARTMENT OF ENERGY – DEPARTMENT OF HOMELAND SECURITY ............................................................................................................. 6 FRANCIA AGENCIA NACIONAL PARA LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (ANSSI) 7 LEY 8/2011, DE 28 DE ABRIL, POR LA QUE SE ESTABLECEN MEDIDAS PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS. ................................................................................................ 9 RIPE – ROBUST ICS PLANNING & EVALUATION ............................................................... 10 INDICADORES ....................................................................................................................... 13 CONSTRUCCIÓN DEL INVENTARIO ........................................................................................... 16 CALIDAD DEL INVENTARIO ...................................................................................................... 18 REPRESENTACIÓN DE LA CONEXIÓN DE LOS ACTIVOS .............................................................. 18 INTERACCIÓN DETALLADA ENTRE LOS MISMOS ........................................................................ 20 CONCLUSIÓN ........................................................................................................................ 21 REFERENCIAS ...................................................................................................................... 22 SIGLAS ................................................................................................................................... 22 ACERCA DEL AUTOR ........................................................................................................... 22
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 3 3 Introducción En los últimos tres años se han impulsado de manera importante las estrategias de protección de Infraestructuras Críticas tanto en Europa, como en Estados Unidos. Este impulso se ha materializado en la elaboración de un conjunto de normas, estándares, guías y marcos de referencia de Ciber Seguridad en los sectores que proporcionan servicios esenciales para la sociedad de cada país. Así mismo, se han desarrollado nuevos marcos legislativos y regulatorios que definen los controles y medidas de seguridad a adoptar en este tipo de instalaciones y los mecanismos de seguimiento de dichos controles y medidas. En todos ellos, así como en normas más antiguas y vinculadas con la Seguridad del mundo de las Tecnologías de Información (TI), se solicita la implantación de mecanismos de gestión del inventario de los activos tecnológicos del Operador Crítico (OC) que proporciona servicios esenciales desde sus Infraestructuras Críticas (IC). Además, y dadas las propiedades de las redes de control industrial, también se solicita la monitorización continua de las anomalías de comportamiento en las mismas. Para poder gestionar de manera efectiva las anomalías de comportamiento, se debe partir del establecimiento de una línea base de la red de control que contemple todos los activos de información, su interconexión y también las operaciones habituales que se desarrollan entre ellos (Matriz de tráfico y operacional). Dada la diversidad de clasificaciones de sectores críticos y de legislación en los países Europeos, en este documento nos centraremos en el caso de España. Marco Legal Para poner en contexto las métricas relacionadas con el inventario de los activos y de la supervisión del comportamiento que los distintos marcos de referencia y normas proponen, haré un breve repaso de alguna de las últimas actualizaciones producidas hasta la fecha de hoy. EEUU: Cybersecurity Framework Febrero 2014 – National Institute of Standards and Technology (NIST) En este marco de referencia, la necesidad de mantener un inventario de activos tecnológicos se encuentra recogida en la primera función definida por el Marco de Referencia: Identificar. Bajo la función de Identificar(Identify - ID) se encuentra la categoría de Gestión de activos (Asset Management – AM) , y bajo esta, se establecen seis sub categorías de gestión:  ID.AM-1: Los dispositivos y sistemas de la organización están inventariados  ID.AM-2: Las aplicaciones y plataformas Software de la organización están inventariadas  ID.AM-3: Las comunicaciones y los flujos de datos están recogidos en diagramas.
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 4 4  ID.AM-4: Los sistemas de información externos están catalogados  ID.AM-5: Los recursos (Sistemas, dispositivos, aplicaciones, etc.) están jerarquizados según su clasificación, criticidad y valor para el negocio.  ID.AM-6: Los Roles y responsabilidades de Ciber Seguridad para todos los empleados y terceras partes están implantados. De todos estos inventarios, el de comunicaciones y flujos suele ser el más difícil de conseguir en el OC, debido a las actualizaciones que las redes de control industrial han sufrido en los últimos años por la convergencia en las comunicaciones (TCP/IP) y su conexión, más o menos segura, a otras redes de negocio del OC. La necesidad de mantener un inventario actualizado de comunicaciones y flujos de información, se encuentra en las siguientes normas:  CCS CSC 1  COBIT 5 DSS05.02  ISA 62443-2-1:2009 4.2.3.4  ISO/IEC 27001:2013 A.13.2.1  NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8 FIGURA 1: FUNCIÓN 1 DEL NIST CYBERSECURITY FRAMEWORK En lo referente a la detección de anomalías de comportamiento, se encuentra recogida en la tercera función definida por el Marco de Referencia: Detectar. Bajo la función de Detectar (Detect - DE) se encuentra la categoría de Anomlías y eventos (Anomalies and events – AE) , y bajo esta, se establecen cinco sub categorías de gestión:  DE.AE-1: Una línea base de operaciones de red y flujos de datos para usuarios y dispositivos existe y es gestionada.  DE.AE-2: Los eventos detectados son analizados para entender los objetivos de los ataques y los métodos.
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 5 5  DE.AE-3: Los eventos recogidos de múltiples fuentes y sensores son agregados y correlados.  DE.AE-4: El impacto de los eventos está asignado  DE.AE-5: Los rangos de las alertas para los incidentes está, establecidos La necesidad de detectar anomalías en la red de control, se encuentra en las siguientes normas:  COBIT 5 DSS03.01  ISA 62443-2-1:2009 4.4.3.3  NIST SP 800-53 Rev. 4 AC-4, CA-3, CM-2, SI-4 FIGURA 2: FUNCIÓN 3 DEL NIST CYBERSECURITY FRAMEWORK
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 6 6 EEUU: ES-C2M2 v1.1 February 2014 – Department of Energy – Department of Homeland Security Definido de manera equivalente también para el sector Oil & Natural Gas (ONG), este modelo de madurez, también establece la necesidad de mantener el inventario de activos, tanto IT, como OT: FIGURA 3: INVENTARIO EN EL MODELO DE MADUREZ DE CIBERSEGURIDAD PARA EL SECTOR ELÉCTRICO EN EEUU También establece la necesidad de documentar apropiadamente el comportamiento de las comunicaciones, ya que más adelante establece la necesidad de monitorizar anomalías de tráfico en las redes IT y OT.
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 7 7 FIGURA 4: MONITORIZACIÓN DEL COMPORTAMIENTO EN EL MODELO DE MADUREZ DE CIBERSEGURIDAD PARA EL SECTOR ELÉCTRICO EN EEUU Francia Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI) La Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI), ha publicado en Agosto de 2014 una metodología de clasificación de organizaciones usuarias de sistemas de información de control industrial y una serie detallada de medidas de seguridad a adoptar por cada de dichas organizaciones en función de su clasificación. FIGURA 5: GUÍA DE MEDIDAS DE CIBERSEGURIDAD DETALLADAS PARA LAS ORGANIZACIONES USUARIAS DE SISTEMAS DE CONTROL INDUSTRIAL
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 8 8 Entre las medidas de Ciberseguridad a adoptar, se encuentra el mantenimiento sistemático del inventario de activos de control industrial en el que se deben reflejar todas las interconexiones, diagramas y flujos entre ellos, y la monitorización de los mismos: FIGURA 6: INDICE DE MEDIDAS DE CIBERSEGURIDAD DETALLADAS PARA LAS ORGANIZACIONES USUARIAS DE SISTEMAS DE CONTROL INDUSTRIAL
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 9 9 Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. En España, la Ley PIC 8/2011 plantea la necesidad de que las organizaciones que sean designadas Operadores de Infraestructura crítica por el CNPIC desarrollen un Plan de Seguridad del Operador y un Plan de Protección Específico en los que se reflejen de manera detallada los inventarios de elementos que componen su red de control industrial, entre otros activos. En particular el punto 3.1 del Plan de Protección Específico del Operador, “Datos Generales de la Infraestructura”, contempla la inclusión de, al menos, la siguiente información:  “Sobre los sistemas TIC que gestionan la IC y su arquitectura (mapa de red, mapa de comunicaciones, mapa de sistemas, etc.).” En el punto 3.2 del mismo Plan, “Activos/Elementos de la IC”, contempla la inclusión de, al menos, la siguiente información:  “Los sistemas informáticos (hardware y software) utilizado.”  “Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para dicha IC.” FIGURA 7: CONTENIDOS MÍNIMOS DEL PLAN DE PROTECCIÓN ESPECÍFICO (PPE) En resumen, se solicita toda la información necesaria para establecer el comportamiento normal de la red de control.
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 10 10 A la vista de todo lo anterior, parece evidente que la necesidad de que el inventario de activos contemple el establecimiento de una línea base de comportamiento, permitirá definir indicadores sobre su cumplimiento. Estas dos realidades hacen natural diseñar un conjunto de métricas basadas en el inventario y gestión de comportamiento de redes industriales. (ICS Network Behavior Management TM). En los siguientes puntos describiremos la metodología y la solución propuesta para definir y mantener estas métricas. RIPE – Robust ICS Planning & Evaluation El marco de referencia Robust ICS Planning and Evaluation (RIPE1 2013), establece un modelo de gestión basado en calidad de procesos definidos en sistemas de control industrial críticos, y en la línea de la propuesta de INTECO2 para la medición de la Ciberresiliencia. Este modelo descansa en la definición de tres grandes bloques:  Bloque Tecnológico (Sistemas IT y OT)  Bloque Organizativo (Personas)  Bloque Operacional (Procesos y procedimientos) FIGURA 8: DIAGRAMA DE CONTEXTO DEL MODELO
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 11 11 En este marco de referencia se miden de manera periódica y con un bajo impacto económico, las métricas de cumplimiento en ocho Áreas de la Infraestructura crítica:  Inventario de activos: Para cada instalación/planta se deben documentar y revisar de manera periódica, todos los activos que participan en la prestación de un servicio esencial o que lo protegen. Este inventario recogerá para cada IC todos los elementos integrados en la Seguridad Física y lógica.  Diagrama de conexión de los activos: Es fundamental documentar y revisar la conectividad existente entre los activos inventariados en el punto anterior, para poder establecer la interdependencia de todos los activos entre sí y la jerarquización de los mismos a la hora de agruparse en la prestación de un servicio esencial.  Interacción entre los activos: Con la información recolectada en los puntos anteriores, construiremos los diagramas de flujos operativos entre dispositivos, lo que permitirá completar la descripción de la interdependencia de los servicios esenciales y la posterior supervisión de la seguridad de la planta/instalación.  Roles y funciones del personal: El personal es el primer activo a proteger y la parte más fundamental en cualquier estrategia de defensa de la planta/instalación. Se debe mantener una información actualizada de todo el personal de la IC y revisarla periódicamente para garantizar su validez. Esta información es fundamental para la implementación de cualquier política de accesos físicos y lógicos.  Desarrollo de las aptitudes y conocimientos del personal: El nivel de seguridad de la planta/instalación se debe entender dentro del ciclo de la mejora continua de los servicios esenciales prestados. Es fundamental que las personas que operan y garantizan la seguridad de estos servicios posean el grado de formación necesario para la ejecución de sus funciones. El control periódico del cumplimiento de los planes de formación y aprovechamiento en cada planta facilita el seguimiento de los objetivos periódicos establecidos por el CSMS.  Guías y procedimientos de operación: La integridad de los servicios esenciales puede verse interrumpida por una operación errónea o no probada y autorizada. Para evitar este tipo de problemas, se debe mantener un conjunto actualizado de guías de operación que se revisen periódicamente y que minimicen los problemas en la prestación de los servicios esenciales por parte de la planta/instalación.  Planificación de diseño y cambios: En la línea del punto anterior, cualquier nuevo elemento dentro de la IC o cualquier nuevo proceso industrial, debe estar debidamente documentado y autorizado por los responsables de explotación. La revisión de este proceso y documentación asociada, permitirá minimizar riesgos en la continuidad de los Servicios esenciales y el correcto mantenimiento del CSMS.  Adquisición de activos: Los requisitos de seguridad en los activos a desplegar en las plantas/instalaciones se deben contemplar desde la fase de adquisición de dichos activos. El control de los procesos de adquisición en lo que se refiere a estos requisitos, facilitará la integración de los mismos en la gestión continua de la seguridad de la planta/instalación. El control de estas ocho áreas permitirá la realización del análisis de impacto sobre los servicios esenciales de la planta/instalación que soportan, siendo acorde con la Política de Seguridad definida por el OC en temas tan importantes como la gestión de la Seguridad, la formación del personal y la gestión de la continuidad
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 12 12 Cada una de estas Áreas se evalúa según dos criterios de calidad para obtener porcentajes de cumplimiento objetivos:  Grado de cumplimentación  Exactitud de la información cumplimentada En el caso del inventario de activos, por ejemplo, se aplicarían los siguientes criterios: RIPE Calidad del inventario de activos Calidad Grado de cumplimentación y exactitud en el Inventario de activos de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de activos recogidos en el inventario, frente a los identificados por inspección física. Exactitud Porcentaje de activos recogidos correctamente en el inventario, frente a los identificados por inspección física. TABLA 1: CRITERIOS DE VALORACIÓN DE LOS INDICADORES En un ejemplo concreto, y tras aplicar la valoración de estos criterios en las ocho Áreas de dos plantas/instalaciones concretas, obtenemos los siguientes valores: FIGURA 9: DIAGRAMA DE CUMPLIMIENTO DE DOS PLANTAS DIFERENTES
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 13 13 En el caso de la planta representada por la línea roja, observamos un cumplimiento mucho mayor en Áreas como el inventario de activos y del personal que en la planta representada por la línea azul. Esto permitiría a la organización aprovecharse de los procedimientos operativos de la primera planta para desplegarlos en la segunda, logrando la mejora de los niveles de seguridad en un corto espacio de tiempo. En el punto siguiente trataremos los indicadores a definir y gestionar del Bloque Tecnológico del RIPE para las redes de control industrial y que definen el patrón de comportamiento esperado de dichas redes:  Inventario de activos  Representación de la conexión de los activos  Interacción detallada entre los mismos Indicadores El cálculo de los indicadores definidos por el marco de referencia anterior, debe ser generado y actualizado con el menor esfuerzo posible. Para ello vamos a proponer el uso de la solución SCAB (Security Control Awareness Box) para sistemas SCADA y basada en la tecnología de inspección profunda de comportamiento de protocolos de control. (DPBI). SCAB es un sistema de monitorización y detección de anomalías que analiza el tráfico de red y detecta los eventos inusuales de dicha red (por ejemplo, ataques cibernéticos o errores operativos) por medio de tecnología de detección no basada en firmas, mediante la construcción del patrón de comportamiento de la red de manera automática y desatendida. El patrón de comportamiento construido por la solución, define:  Los modelos de conexión  Protocolos utilizados  Tipos de mensajes de los protocolos  Campos de los mensajes  Valores de los campos de los mensajes Este conjunto de información define la Lista Blanca de las operaciones en nuestra red de control. A día de hoy, SCAB permite la supervisión e inspección de los siguientes protocolos: Protocolos Deep Protocol Behavior Inspector Perfil de conexión MMS   Modbus/TCP   OPC-DA   IEC 101/104   DNP3  
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 14 14 Protocolos Deep Protocol Behavior Inspector Perfil de conexión IEC 61850   ICCP TASE.2   CSLib (ABB)   DMS (ABB)   S7 (Siemens)   SMB/CIFS   RPC/DCOM   PVSS  LDAP  NetBIOS  HTTP  FTP  SSH  SSL  SMTP  IMAP  POP3  VNC/RFB  RTSP  AFP  TABLA 2: PROTOCOLOS SOPORTADOS POR SCAB
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 15 15 La arquitectura de la solución SCAB es la siguiente: FIGURA 10: ARQUITECTURA DE LA SOLUCIÓN SCAB El Centro de mando recoge la inteligencia de los diferentes sensores de monitorización, y cuenta con:  Un interfaz de usuario basada en web (navegadores soportados: Google Chrome, Mozilla Firefox, Internet Explorer (≥ 9), Safari)  Amplio conjunto de filtros de alertas  Un motor de flujo de trabajo extensible para el procesamiento de alertas entrantes y envío a distintos sistemas (por ejemplo, SIM / SIEM ) mediante reglas definidas por el usuario  Un motor de tareas extensible para la programación de tareas, tales como el envío de informes, la sincronización del reloj interno, la optimización de la base de datos interna, etc ;  Control de acceso basado en roles para los usuarios. En los entornos de producción, múltiples sensores de monitorización pueden ser usados para controlar diferentes segmentos de red e informar del tráfico observado y de las amenazas detectadas a un único Centro de mando.
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 16 16 La conexión entre el Centro de mando y los sensores está protegida y encriptada, garantizando la confidencialidad e integridad de la misma. Construcción del inventario Después de conectar los sensores del SCAB a la red, en un punto en el que tengamos total visibilidad de los paquetes TCP que circulen por ella, podemos empezar la fase de aprendizaje. En esta fase, SCAB construye de manera autónoma nuestro patrón de comportamiento de red. El flujo que sigue es mostrado a continuación: FIGURA 11: CREACIÓN DEL PATRON DE COMPORTAMIENTO DE LA RED DE CONTROL Podemos personalizar el patrón de comportamiento si es necesario con solo añadir, modificar o borrar conexiones utilizando un editor de textos. Todos los cambios sobre dichos patrones es auditada y almacenada en el propio sensor de manera segura. FIGURA 12: EDITOR DE LA MATRIZ DE CONEXIONES
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 17 17 Después de la finalización de la fase de aprendizaje, tenemos el perfil de la comunicación de la red de control. En este momento SCAB, conoce cada tupla permitido en la red de control. Src IP,Src Port -> Dest. IP,Dest Port Esto es algo difícil de conseguir en una Red Local multipropósito sin tener varios cambios (Alertas) por hora. Desde este instante, podemos detectar y ser alertados por:  Nuevos dispositivos en la red fuera de inventario  Dispositivos intentando conectarse a nuestro modelo y fuera de inventario  Dispositivos recibiendo información de fuera de nuestro modelo e inventario
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 18 18 Calidad del inventario Como ya vimos en el ejemplo inicial, este indicador se calcularía de la siguiente forma: RIPE Calidad del inventario de activos Calidad Grado de cumplimentación y exactitud en el Inventario de activos de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de activos recogidos en el inventario, frente a los identificados por uso del SCAB. Exactitud Porcentaje de activos recogidos correctamente en el inventario, frente a los identificados por uso del SCAB. TABLA 3: INDICADOR DE CALIDAD DE INVENTARIO Representación de la conexión de los activos A partir de la información recogida por SCAB en su fase de aprendizaje, es sencillo representar de manera gráfica las interacciones de los nodos de la red de control, y construir así un diagrama fácilmente actualizable. RIPE Calidad del diagrama de conexiones Calidad Grado de cumplimentación y exactitud en el Inventario de conexiones de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de conexiones recogidas en el inventario, frente a las identificadas por uso del SCAB. Exactitud Porcentaje de conexiones recogidas correctamente en el inventario, frente a las identificadas por uso del SCAB TABLA 4: INDICADOR DE CALIDAD DE CONEXIONES Un ejemplo podría ser el siguiente grafo dirigido de conexiones entre los nodos de la red:
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 19 19 FIGURA 12: GRAFO DE CONEXIONES RECOGIDAS POR SCAB
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 20 20 Interacción detallada entre los mismos FIGURA 13: MATRIZ DE FUNCIONES DE MANDO APRENDIDAS POR SCAB Entre la información recogida en el patrón de comportamiento de red de control autogenerado podemos ver que, no solamente se recogen las conexiones entre dispositivos y puertos siguiendo un determinado protocolo, sino también que mensajes y valores (Funciones de control) se están utilizando en nuestra red. En el caso recogido arriba, el Servidor SCADA se conecta con los PLCs utilizando el protocolo MODBUS TCP y ejecutando únicamente las funciones 3 y 16. De esta manera, podemos establecer el cumplimiento de este indicador de manera periódica, además de detectar en tiempo real operaciones de control no usuales o maliciosas. RIPE Calidad del inventario de interacciones (Funciones de mando) Calidad Grado de cumplimentación y exactitud en el Inventario de interacciones de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de funciones de mando recogidas en el inventario, frente a las identificadas por uso del SCAB. Exactitud Porcentaje de funciones de mando recogidas correctamente en el inventario, frente a las identificadas por uso del SCAB TABLA 5: INDICADOR DE CALIDAD DE INVENTARIO DE INTERACCIONES
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 21 21 Conclusión Parece clara la necesidad de revisar el nivel de ciber seguridad de una IC, pero dicha revisión no debe basarse exclusivamente en evidencias de auditoría documental, sino también en criterios objetivos de calidad que garanticen su seguimiento y permitan la mejora continua de la propia IC. El uso de indicadores sobre la calidad del Inventario de activos, la correcta representación de la conexión y la Interacción operacional actualizada entre los mismos, nos permitirá la supervisión del comportamiento de la red de control que presta los servicios esenciales y la de la seguridad de la planta o instalación. La solución SCAB permite el fácil mantenimiento de estos tres indicadores y la monitorización continua mediante la inspección profunda de comportamiento de protocolos industriales, permitiendo así mantener el nivel de seguridad requerido para nuestra IC.
Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 22 22 Referencias [1]: The RIPE Framework: A Process-Driven Approach towards Effective and Sustainable Industrial Control System Security – 2013 Ralph Langner: http://www.langner.com/en/wp-content/uploads/2013/09/The-RIPE-Framework.pdf [2] “Ciber-Resiliencia: Aproximación a un marco de medición” – 2014 INTECO: http://www.inteco.es/extfrontinteco/img/File/Estudios/int_ciber_resiliencia_marco_medicion. pdf [3]: Monitoring Industrial Control Systems to improve operations and security - 2013: http://www.secmatters.com/sites/www.secmatters.com/files/documents/whitepaper_monitoring_EU.pdf Siglas SCAB Security Control Awareness Box Behavioral Blueprint Patrón de comportamiento ICS Industrial Control Systems HMI Human Machine Interface RTU Remote Terminal Unit SMB Server Message Block PLC Programmable Logic Controller LPIC Ley de Protección de Infraestructuras Críticas Acerca del autor Enrique Martín García es Director del Centro de Excelencia de Ciber Seguridad dentro de la División IT Consulting & Integration Services de Global Solutions en Schneider Electric. Tiene más de 25 años de experiencia en el mundo de las Tecnologías de la Información, muchos de los cuales ha estado vinculado a los proyectos de diseño e implantación de soluciones de seguridad. Desde 2013 se ha encargado del diseño del portfolio de servicios y soluciones de Ciberseguridad de ITC, participando en distintos congresos en los que ha impartido distintas ponencias sobre las soluciones avanzadas de protección de redes de control con protocolos industriales.

Recomendados

Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticasEventos Creativos
 
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Enrique Martin
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridadEventos Creativos
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012Ricardo Cañizares Sales
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Miguel A. Amutio
 

Recomendados

Seguridad en infraestructuras críticas
Seguridad en infraestructuras críticasSeguridad en infraestructuras críticas
Seguridad en infraestructuras críticasEventos Creativos
 
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Enrique Martin
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridadEventos Creativos
 
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012
Eulen Seguridad Protección de Infraestructuras Criticas - Septiembre 2012Ricardo Cañizares Sales
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Miguel A. Amutio
 
Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOT
Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOTRetos de la Ciberseguridad Industrial para el Sector Energitico: IIOT
Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOTFairuz Rafique
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"Miguel A. Amutio
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAfauscha
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Diego Martín Arcos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFelipe Zamora
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informaticaMaria de Jesus Reyes Betancourt
 
Fasciculo 3
Fasciculo 3Fasciculo 3
Fasciculo 3rubendario_10
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras CríticasS2 Grupo · Security Art Work
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...aghconsultoria
 
Tema3 instalacionesestrategicas
Tema3 instalacionesestrategicasTema3 instalacionesestrategicas
Tema3 instalacionesestrategicasaghconsultoria
 

Más contenido relacionado

La actualidad más candente

Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOT
Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOTRetos de la Ciberseguridad Industrial para el Sector Energitico: IIOT
Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOTFairuz Rafique
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"Miguel A. Amutio
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAfauscha
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Diego Martín Arcos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFelipe Zamora
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 

La actualidad más candente (20)

Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOT
Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOTRetos de la Ciberseguridad Industrial para el Sector Energitico: IIOT
Retos de la Ciberseguridad Industrial para el Sector Energitico: IIOT
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
Conocer y categorizar las vulnerabilidades de un entorno industrial publica...
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
 
Fasciculo 3
Fasciculo 3Fasciculo 3
Fasciculo 3
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 

Destacado

Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...aghconsultoria
 
Tema3 instalacionesestrategicas
Tema3 instalacionesestrategicasTema3 instalacionesestrategicas
Tema3 instalacionesestrategicasaghconsultoria
 
Transporte de fondos y valores para vigilantes
Transporte de fondos y valores para vigilantesTransporte de fondos y valores para vigilantes
Transporte de fondos y valores para vigilantesCENPROEX
 
Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Victorino Moya
 
Presentaciontemariosvb
PresentaciontemariosvbPresentaciontemariosvb
Presentaciontemariosvbaghconsultoria
 
Formacion especifica vigilante centro comercial
Formacion especifica vigilante centro comercialFormacion especifica vigilante centro comercial
Formacion especifica vigilante centro comercialraiden_87
 
Tema1 instalacionesestrategicas
Tema1 instalacionesestrategicasTema1 instalacionesestrategicas
Tema1 instalacionesestrategicasaghconsultoria
 
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...Ricardo Cañizares Sales
 
MANUAL SEGURIDAD DE DIGNATARIOS 2013
MANUAL SEGURIDAD DE DIGNATARIOS 2013MANUAL SEGURIDAD DE DIGNATARIOS 2013
MANUAL SEGURIDAD DE DIGNATARIOS 2013VILCAÑAUPA NEGOCIOS
 
Manual del Escolta & Guardaespaldas
Manual del Escolta & Guardaespaldas Manual del Escolta & Guardaespaldas
Manual del Escolta & Guardaespaldas alvisegperu
 

Destacado (15)

Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
 
Tema3 instalacionesestrategicas
Tema3 instalacionesestrategicasTema3 instalacionesestrategicas
Tema3 instalacionesestrategicas
 
Transporte de fondos y valores para vigilantes
Transporte de fondos y valores para vigilantesTransporte de fondos y valores para vigilantes
Transporte de fondos y valores para vigilantes
 
Plan Director de Seguridad Corporativa
Plan Director de Seguridad CorporativaPlan Director de Seguridad Corporativa
Plan Director de Seguridad Corporativa
 
Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)
 
Transptema1 escoltas
Transptema1 escoltasTransptema1 escoltas
Transptema1 escoltas
 
Presentaciontemariosvb
PresentaciontemariosvbPresentaciontemariosvb
Presentaciontemariosvb
 
escoltas 1
escoltas 1escoltas 1
escoltas 1
 
Formacion especifica vigilante centro comercial
Formacion especifica vigilante centro comercialFormacion especifica vigilante centro comercial
Formacion especifica vigilante centro comercial
 
Tema1 instalacionesestrategicas
Tema1 instalacionesestrategicasTema1 instalacionesestrategicas
Tema1 instalacionesestrategicas
 
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
 
MANUAL SEGURIDAD DE DIGNATARIOS 2013
MANUAL SEGURIDAD DE DIGNATARIOS 2013MANUAL SEGURIDAD DE DIGNATARIOS 2013
MANUAL SEGURIDAD DE DIGNATARIOS 2013
 
Manual del Escolta & Guardaespaldas
Manual del Escolta & Guardaespaldas Manual del Escolta & Guardaespaldas
Manual del Escolta & Guardaespaldas
 
Seguridad fisica
Seguridad fisicaSeguridad fisica
Seguridad fisica
 
seguridad física
seguridad física seguridad física
seguridad física
 

Similar a Protección de infraestructuras críticas

Tgs wp-data centercip rv01
Tgs wp-data centercip rv01Tgs wp-data centercip rv01
Tgs wp-data centercip rv01Itconic
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Industrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringIndustrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringItconic
 
Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
El ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadEl ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadMiguel A. Amutio
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacionislenagarcia
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Miguel A. Amutio
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ensMiguel A. Amutio
 
Proyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTGProyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTGFrancesc Perez
 
Nuevo documento de microsoft word
Nuevo documento de microsoft wordNuevo documento de microsoft word
Nuevo documento de microsoft wordAle Flores
 
Memoria auditoria
Memoria auditoriaMemoria auditoria
Memoria auditoriawarraf
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 

Similar a Protección de infraestructuras críticas (20)

Tgs wp-data centercip rv01
Tgs wp-data centercip rv01Tgs wp-data centercip rv01
Tgs wp-data centercip rv01
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Industrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoringIndustrial Control Network Cyber Security continuous monitoring
Industrial Control Network Cyber Security continuous monitoring
 
Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)
 
El ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadEl ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridad
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
Auditoria1
Auditoria1Auditoria1
Auditoria1
 
Introducción
IntroducciónIntroducción
Introducción
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
 
Administracion redes
Administracion redesAdministracion redes
Administracion redes
 
Proyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTGProyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTG
 
Nuevo documento de microsoft word
Nuevo documento de microsoft wordNuevo documento de microsoft word
Nuevo documento de microsoft word
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
Definiciones
DefinicionesDefiniciones
Definiciones
 
alianza nuevo.pdf
alianza nuevo.pdfalianza nuevo.pdf
alianza nuevo.pdf
 
Memoria auditoria
Memoria auditoriaMemoria auditoria
Memoria auditoria
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 

Último

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 

Último (12)

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Protección de infraestructuras críticas

  • 1. Protección de Infraestructuras Críticas Gestión de Comportamiento de redes industriales Por Enrique Martín García Agosto 2014 Resumen Ejecutivo El nivel de seguridad de las Infraestructuras que proporcionan servicios esenciales para la sociedad debe ser revisado y monitorizado de manera continua. Esta revisión se debe basar en la selección de un conjunto de indicadores que permitan establecer valores objetivos y sostenibles en el tiempo, dado el diseño robusto y a largo plazo que estas infraestructuras deben presentar. En este documento nos centraremos en los primeros indicadores a definir y gestionar relacionados con el correcto comportamiento de las redes de control industrial (SCADA), existentes en las infraestructuras designadas como críticas.
  • 2. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 2 2 Índice INTRODUCCIÓN ...................................................................................................................... 3 MARCO LEGAL ....................................................................................................................... 3 EEUU: CYBERSECURITY FRAMEWORK FEBRERO 2014 – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) ....................................................................................................... 3 EEUU: ES-C2M2 V1.1 FEBRUARY 2014 – DEPARTMENT OF ENERGY – DEPARTMENT OF HOMELAND SECURITY ............................................................................................................. 6 FRANCIA AGENCIA NACIONAL PARA LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (ANSSI) 7 LEY 8/2011, DE 28 DE ABRIL, POR LA QUE SE ESTABLECEN MEDIDAS PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS. ................................................................................................ 9 RIPE – ROBUST ICS PLANNING & EVALUATION ............................................................... 10 INDICADORES ....................................................................................................................... 13 CONSTRUCCIÓN DEL INVENTARIO ........................................................................................... 16 CALIDAD DEL INVENTARIO ...................................................................................................... 18 REPRESENTACIÓN DE LA CONEXIÓN DE LOS ACTIVOS .............................................................. 18 INTERACCIÓN DETALLADA ENTRE LOS MISMOS ........................................................................ 20 CONCLUSIÓN ........................................................................................................................ 21 REFERENCIAS ...................................................................................................................... 22 SIGLAS ................................................................................................................................... 22 ACERCA DEL AUTOR ........................................................................................................... 22
  • 3. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 3 3 Introducción En los últimos tres años se han impulsado de manera importante las estrategias de protección de Infraestructuras Críticas tanto en Europa, como en Estados Unidos. Este impulso se ha materializado en la elaboración de un conjunto de normas, estándares, guías y marcos de referencia de Ciber Seguridad en los sectores que proporcionan servicios esenciales para la sociedad de cada país. Así mismo, se han desarrollado nuevos marcos legislativos y regulatorios que definen los controles y medidas de seguridad a adoptar en este tipo de instalaciones y los mecanismos de seguimiento de dichos controles y medidas. En todos ellos, así como en normas más antiguas y vinculadas con la Seguridad del mundo de las Tecnologías de Información (TI), se solicita la implantación de mecanismos de gestión del inventario de los activos tecnológicos del Operador Crítico (OC) que proporciona servicios esenciales desde sus Infraestructuras Críticas (IC). Además, y dadas las propiedades de las redes de control industrial, también se solicita la monitorización continua de las anomalías de comportamiento en las mismas. Para poder gestionar de manera efectiva las anomalías de comportamiento, se debe partir del establecimiento de una línea base de la red de control que contemple todos los activos de información, su interconexión y también las operaciones habituales que se desarrollan entre ellos (Matriz de tráfico y operacional). Dada la diversidad de clasificaciones de sectores críticos y de legislación en los países Europeos, en este documento nos centraremos en el caso de España. Marco Legal Para poner en contexto las métricas relacionadas con el inventario de los activos y de la supervisión del comportamiento que los distintos marcos de referencia y normas proponen, haré un breve repaso de alguna de las últimas actualizaciones producidas hasta la fecha de hoy. EEUU: Cybersecurity Framework Febrero 2014 – National Institute of Standards and Technology (NIST) En este marco de referencia, la necesidad de mantener un inventario de activos tecnológicos se encuentra recogida en la primera función definida por el Marco de Referencia: Identificar. Bajo la función de Identificar(Identify - ID) se encuentra la categoría de Gestión de activos (Asset Management – AM) , y bajo esta, se establecen seis sub categorías de gestión:  ID.AM-1: Los dispositivos y sistemas de la organización están inventariados  ID.AM-2: Las aplicaciones y plataformas Software de la organización están inventariadas  ID.AM-3: Las comunicaciones y los flujos de datos están recogidos en diagramas.
  • 4. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 4 4  ID.AM-4: Los sistemas de información externos están catalogados  ID.AM-5: Los recursos (Sistemas, dispositivos, aplicaciones, etc.) están jerarquizados según su clasificación, criticidad y valor para el negocio.  ID.AM-6: Los Roles y responsabilidades de Ciber Seguridad para todos los empleados y terceras partes están implantados. De todos estos inventarios, el de comunicaciones y flujos suele ser el más difícil de conseguir en el OC, debido a las actualizaciones que las redes de control industrial han sufrido en los últimos años por la convergencia en las comunicaciones (TCP/IP) y su conexión, más o menos segura, a otras redes de negocio del OC. La necesidad de mantener un inventario actualizado de comunicaciones y flujos de información, se encuentra en las siguientes normas:  CCS CSC 1  COBIT 5 DSS05.02  ISA 62443-2-1:2009 4.2.3.4  ISO/IEC 27001:2013 A.13.2.1  NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8 FIGURA 1: FUNCIÓN 1 DEL NIST CYBERSECURITY FRAMEWORK En lo referente a la detección de anomalías de comportamiento, se encuentra recogida en la tercera función definida por el Marco de Referencia: Detectar. Bajo la función de Detectar (Detect - DE) se encuentra la categoría de Anomlías y eventos (Anomalies and events – AE) , y bajo esta, se establecen cinco sub categorías de gestión:  DE.AE-1: Una línea base de operaciones de red y flujos de datos para usuarios y dispositivos existe y es gestionada.  DE.AE-2: Los eventos detectados son analizados para entender los objetivos de los ataques y los métodos.
  • 5. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 5 5  DE.AE-3: Los eventos recogidos de múltiples fuentes y sensores son agregados y correlados.  DE.AE-4: El impacto de los eventos está asignado  DE.AE-5: Los rangos de las alertas para los incidentes está, establecidos La necesidad de detectar anomalías en la red de control, se encuentra en las siguientes normas:  COBIT 5 DSS03.01  ISA 62443-2-1:2009 4.4.3.3  NIST SP 800-53 Rev. 4 AC-4, CA-3, CM-2, SI-4 FIGURA 2: FUNCIÓN 3 DEL NIST CYBERSECURITY FRAMEWORK
  • 6. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 6 6 EEUU: ES-C2M2 v1.1 February 2014 – Department of Energy – Department of Homeland Security Definido de manera equivalente también para el sector Oil & Natural Gas (ONG), este modelo de madurez, también establece la necesidad de mantener el inventario de activos, tanto IT, como OT: FIGURA 3: INVENTARIO EN EL MODELO DE MADUREZ DE CIBERSEGURIDAD PARA EL SECTOR ELÉCTRICO EN EEUU También establece la necesidad de documentar apropiadamente el comportamiento de las comunicaciones, ya que más adelante establece la necesidad de monitorizar anomalías de tráfico en las redes IT y OT.
  • 7. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 7 7 FIGURA 4: MONITORIZACIÓN DEL COMPORTAMIENTO EN EL MODELO DE MADUREZ DE CIBERSEGURIDAD PARA EL SECTOR ELÉCTRICO EN EEUU Francia Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI) La Agencia Nacional para la Seguridad de los Sistemas de Información (ANSSI), ha publicado en Agosto de 2014 una metodología de clasificación de organizaciones usuarias de sistemas de información de control industrial y una serie detallada de medidas de seguridad a adoptar por cada de dichas organizaciones en función de su clasificación. FIGURA 5: GUÍA DE MEDIDAS DE CIBERSEGURIDAD DETALLADAS PARA LAS ORGANIZACIONES USUARIAS DE SISTEMAS DE CONTROL INDUSTRIAL
  • 8. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 8 8 Entre las medidas de Ciberseguridad a adoptar, se encuentra el mantenimiento sistemático del inventario de activos de control industrial en el que se deben reflejar todas las interconexiones, diagramas y flujos entre ellos, y la monitorización de los mismos: FIGURA 6: INDICE DE MEDIDAS DE CIBERSEGURIDAD DETALLADAS PARA LAS ORGANIZACIONES USUARIAS DE SISTEMAS DE CONTROL INDUSTRIAL
  • 9. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 9 9 Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. En España, la Ley PIC 8/2011 plantea la necesidad de que las organizaciones que sean designadas Operadores de Infraestructura crítica por el CNPIC desarrollen un Plan de Seguridad del Operador y un Plan de Protección Específico en los que se reflejen de manera detallada los inventarios de elementos que componen su red de control industrial, entre otros activos. En particular el punto 3.1 del Plan de Protección Específico del Operador, “Datos Generales de la Infraestructura”, contempla la inclusión de, al menos, la siguiente información:  “Sobre los sistemas TIC que gestionan la IC y su arquitectura (mapa de red, mapa de comunicaciones, mapa de sistemas, etc.).” En el punto 3.2 del mismo Plan, “Activos/Elementos de la IC”, contempla la inclusión de, al menos, la siguiente información:  “Los sistemas informáticos (hardware y software) utilizado.”  “Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para dicha IC.” FIGURA 7: CONTENIDOS MÍNIMOS DEL PLAN DE PROTECCIÓN ESPECÍFICO (PPE) En resumen, se solicita toda la información necesaria para establecer el comportamiento normal de la red de control.
  • 10. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 10 10 A la vista de todo lo anterior, parece evidente que la necesidad de que el inventario de activos contemple el establecimiento de una línea base de comportamiento, permitirá definir indicadores sobre su cumplimiento. Estas dos realidades hacen natural diseñar un conjunto de métricas basadas en el inventario y gestión de comportamiento de redes industriales. (ICS Network Behavior Management TM). En los siguientes puntos describiremos la metodología y la solución propuesta para definir y mantener estas métricas. RIPE – Robust ICS Planning & Evaluation El marco de referencia Robust ICS Planning and Evaluation (RIPE1 2013), establece un modelo de gestión basado en calidad de procesos definidos en sistemas de control industrial críticos, y en la línea de la propuesta de INTECO2 para la medición de la Ciberresiliencia. Este modelo descansa en la definición de tres grandes bloques:  Bloque Tecnológico (Sistemas IT y OT)  Bloque Organizativo (Personas)  Bloque Operacional (Procesos y procedimientos) FIGURA 8: DIAGRAMA DE CONTEXTO DEL MODELO
  • 11. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 11 11 En este marco de referencia se miden de manera periódica y con un bajo impacto económico, las métricas de cumplimiento en ocho Áreas de la Infraestructura crítica:  Inventario de activos: Para cada instalación/planta se deben documentar y revisar de manera periódica, todos los activos que participan en la prestación de un servicio esencial o que lo protegen. Este inventario recogerá para cada IC todos los elementos integrados en la Seguridad Física y lógica.  Diagrama de conexión de los activos: Es fundamental documentar y revisar la conectividad existente entre los activos inventariados en el punto anterior, para poder establecer la interdependencia de todos los activos entre sí y la jerarquización de los mismos a la hora de agruparse en la prestación de un servicio esencial.  Interacción entre los activos: Con la información recolectada en los puntos anteriores, construiremos los diagramas de flujos operativos entre dispositivos, lo que permitirá completar la descripción de la interdependencia de los servicios esenciales y la posterior supervisión de la seguridad de la planta/instalación.  Roles y funciones del personal: El personal es el primer activo a proteger y la parte más fundamental en cualquier estrategia de defensa de la planta/instalación. Se debe mantener una información actualizada de todo el personal de la IC y revisarla periódicamente para garantizar su validez. Esta información es fundamental para la implementación de cualquier política de accesos físicos y lógicos.  Desarrollo de las aptitudes y conocimientos del personal: El nivel de seguridad de la planta/instalación se debe entender dentro del ciclo de la mejora continua de los servicios esenciales prestados. Es fundamental que las personas que operan y garantizan la seguridad de estos servicios posean el grado de formación necesario para la ejecución de sus funciones. El control periódico del cumplimiento de los planes de formación y aprovechamiento en cada planta facilita el seguimiento de los objetivos periódicos establecidos por el CSMS.  Guías y procedimientos de operación: La integridad de los servicios esenciales puede verse interrumpida por una operación errónea o no probada y autorizada. Para evitar este tipo de problemas, se debe mantener un conjunto actualizado de guías de operación que se revisen periódicamente y que minimicen los problemas en la prestación de los servicios esenciales por parte de la planta/instalación.  Planificación de diseño y cambios: En la línea del punto anterior, cualquier nuevo elemento dentro de la IC o cualquier nuevo proceso industrial, debe estar debidamente documentado y autorizado por los responsables de explotación. La revisión de este proceso y documentación asociada, permitirá minimizar riesgos en la continuidad de los Servicios esenciales y el correcto mantenimiento del CSMS.  Adquisición de activos: Los requisitos de seguridad en los activos a desplegar en las plantas/instalaciones se deben contemplar desde la fase de adquisición de dichos activos. El control de los procesos de adquisición en lo que se refiere a estos requisitos, facilitará la integración de los mismos en la gestión continua de la seguridad de la planta/instalación. El control de estas ocho áreas permitirá la realización del análisis de impacto sobre los servicios esenciales de la planta/instalación que soportan, siendo acorde con la Política de Seguridad definida por el OC en temas tan importantes como la gestión de la Seguridad, la formación del personal y la gestión de la continuidad
  • 12. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 12 12 Cada una de estas Áreas se evalúa según dos criterios de calidad para obtener porcentajes de cumplimiento objetivos:  Grado de cumplimentación  Exactitud de la información cumplimentada En el caso del inventario de activos, por ejemplo, se aplicarían los siguientes criterios: RIPE Calidad del inventario de activos Calidad Grado de cumplimentación y exactitud en el Inventario de activos de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de activos recogidos en el inventario, frente a los identificados por inspección física. Exactitud Porcentaje de activos recogidos correctamente en el inventario, frente a los identificados por inspección física. TABLA 1: CRITERIOS DE VALORACIÓN DE LOS INDICADORES En un ejemplo concreto, y tras aplicar la valoración de estos criterios en las ocho Áreas de dos plantas/instalaciones concretas, obtenemos los siguientes valores: FIGURA 9: DIAGRAMA DE CUMPLIMIENTO DE DOS PLANTAS DIFERENTES
  • 13. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 13 13 En el caso de la planta representada por la línea roja, observamos un cumplimiento mucho mayor en Áreas como el inventario de activos y del personal que en la planta representada por la línea azul. Esto permitiría a la organización aprovecharse de los procedimientos operativos de la primera planta para desplegarlos en la segunda, logrando la mejora de los niveles de seguridad en un corto espacio de tiempo. En el punto siguiente trataremos los indicadores a definir y gestionar del Bloque Tecnológico del RIPE para las redes de control industrial y que definen el patrón de comportamiento esperado de dichas redes:  Inventario de activos  Representación de la conexión de los activos  Interacción detallada entre los mismos Indicadores El cálculo de los indicadores definidos por el marco de referencia anterior, debe ser generado y actualizado con el menor esfuerzo posible. Para ello vamos a proponer el uso de la solución SCAB (Security Control Awareness Box) para sistemas SCADA y basada en la tecnología de inspección profunda de comportamiento de protocolos de control. (DPBI). SCAB es un sistema de monitorización y detección de anomalías que analiza el tráfico de red y detecta los eventos inusuales de dicha red (por ejemplo, ataques cibernéticos o errores operativos) por medio de tecnología de detección no basada en firmas, mediante la construcción del patrón de comportamiento de la red de manera automática y desatendida. El patrón de comportamiento construido por la solución, define:  Los modelos de conexión  Protocolos utilizados  Tipos de mensajes de los protocolos  Campos de los mensajes  Valores de los campos de los mensajes Este conjunto de información define la Lista Blanca de las operaciones en nuestra red de control. A día de hoy, SCAB permite la supervisión e inspección de los siguientes protocolos: Protocolos Deep Protocol Behavior Inspector Perfil de conexión MMS   Modbus/TCP   OPC-DA   IEC 101/104   DNP3  
  • 14. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 14 14 Protocolos Deep Protocol Behavior Inspector Perfil de conexión IEC 61850   ICCP TASE.2   CSLib (ABB)   DMS (ABB)   S7 (Siemens)   SMB/CIFS   RPC/DCOM   PVSS  LDAP  NetBIOS  HTTP  FTP  SSH  SSL  SMTP  IMAP  POP3  VNC/RFB  RTSP  AFP  TABLA 2: PROTOCOLOS SOPORTADOS POR SCAB
  • 15. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 15 15 La arquitectura de la solución SCAB es la siguiente: FIGURA 10: ARQUITECTURA DE LA SOLUCIÓN SCAB El Centro de mando recoge la inteligencia de los diferentes sensores de monitorización, y cuenta con:  Un interfaz de usuario basada en web (navegadores soportados: Google Chrome, Mozilla Firefox, Internet Explorer (≥ 9), Safari)  Amplio conjunto de filtros de alertas  Un motor de flujo de trabajo extensible para el procesamiento de alertas entrantes y envío a distintos sistemas (por ejemplo, SIM / SIEM ) mediante reglas definidas por el usuario  Un motor de tareas extensible para la programación de tareas, tales como el envío de informes, la sincronización del reloj interno, la optimización de la base de datos interna, etc ;  Control de acceso basado en roles para los usuarios. En los entornos de producción, múltiples sensores de monitorización pueden ser usados para controlar diferentes segmentos de red e informar del tráfico observado y de las amenazas detectadas a un único Centro de mando.
  • 16. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 16 16 La conexión entre el Centro de mando y los sensores está protegida y encriptada, garantizando la confidencialidad e integridad de la misma. Construcción del inventario Después de conectar los sensores del SCAB a la red, en un punto en el que tengamos total visibilidad de los paquetes TCP que circulen por ella, podemos empezar la fase de aprendizaje. En esta fase, SCAB construye de manera autónoma nuestro patrón de comportamiento de red. El flujo que sigue es mostrado a continuación: FIGURA 11: CREACIÓN DEL PATRON DE COMPORTAMIENTO DE LA RED DE CONTROL Podemos personalizar el patrón de comportamiento si es necesario con solo añadir, modificar o borrar conexiones utilizando un editor de textos. Todos los cambios sobre dichos patrones es auditada y almacenada en el propio sensor de manera segura. FIGURA 12: EDITOR DE LA MATRIZ DE CONEXIONES
  • 17. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 17 17 Después de la finalización de la fase de aprendizaje, tenemos el perfil de la comunicación de la red de control. En este momento SCAB, conoce cada tupla permitido en la red de control. Src IP,Src Port -> Dest. IP,Dest Port Esto es algo difícil de conseguir en una Red Local multipropósito sin tener varios cambios (Alertas) por hora. Desde este instante, podemos detectar y ser alertados por:  Nuevos dispositivos en la red fuera de inventario  Dispositivos intentando conectarse a nuestro modelo y fuera de inventario  Dispositivos recibiendo información de fuera de nuestro modelo e inventario
  • 18. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 18 18 Calidad del inventario Como ya vimos en el ejemplo inicial, este indicador se calcularía de la siguiente forma: RIPE Calidad del inventario de activos Calidad Grado de cumplimentación y exactitud en el Inventario de activos de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de activos recogidos en el inventario, frente a los identificados por uso del SCAB. Exactitud Porcentaje de activos recogidos correctamente en el inventario, frente a los identificados por uso del SCAB. TABLA 3: INDICADOR DE CALIDAD DE INVENTARIO Representación de la conexión de los activos A partir de la información recogida por SCAB en su fase de aprendizaje, es sencillo representar de manera gráfica las interacciones de los nodos de la red de control, y construir así un diagrama fácilmente actualizable. RIPE Calidad del diagrama de conexiones Calidad Grado de cumplimentación y exactitud en el Inventario de conexiones de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de conexiones recogidas en el inventario, frente a las identificadas por uso del SCAB. Exactitud Porcentaje de conexiones recogidas correctamente en el inventario, frente a las identificadas por uso del SCAB TABLA 4: INDICADOR DE CALIDAD DE CONEXIONES Un ejemplo podría ser el siguiente grafo dirigido de conexiones entre los nodos de la red:
  • 19. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 19 19 FIGURA 12: GRAFO DE CONEXIONES RECOGIDAS POR SCAB
  • 20. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 20 20 Interacción detallada entre los mismos FIGURA 13: MATRIZ DE FUNCIONES DE MANDO APRENDIDAS POR SCAB Entre la información recogida en el patrón de comportamiento de red de control autogenerado podemos ver que, no solamente se recogen las conexiones entre dispositivos y puertos siguiendo un determinado protocolo, sino también que mensajes y valores (Funciones de control) se están utilizando en nuestra red. En el caso recogido arriba, el Servidor SCADA se conecta con los PLCs utilizando el protocolo MODBUS TCP y ejecutando únicamente las funciones 3 y 16. De esta manera, podemos establecer el cumplimiento de este indicador de manera periódica, además de detectar en tiempo real operaciones de control no usuales o maliciosas. RIPE Calidad del inventario de interacciones (Funciones de mando) Calidad Grado de cumplimentación y exactitud en el Inventario de interacciones de la IC Cálculo: (Exactitud * Cumplimentación) / 100 Cumplimentación Porcentaje de funciones de mando recogidas en el inventario, frente a las identificadas por uso del SCAB. Exactitud Porcentaje de funciones de mando recogidas correctamente en el inventario, frente a las identificadas por uso del SCAB TABLA 5: INDICADOR DE CALIDAD DE INVENTARIO DE INTERACCIONES
  • 21. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 21 21 Conclusión Parece clara la necesidad de revisar el nivel de ciber seguridad de una IC, pero dicha revisión no debe basarse exclusivamente en evidencias de auditoría documental, sino también en criterios objetivos de calidad que garanticen su seguimiento y permitan la mejora continua de la propia IC. El uso de indicadores sobre la calidad del Inventario de activos, la correcta representación de la conexión y la Interacción operacional actualizada entre los mismos, nos permitirá la supervisión del comportamiento de la red de control que presta los servicios esenciales y la de la seguridad de la planta o instalación. La solución SCAB permite el fácil mantenimiento de estos tres indicadores y la monitorización continua mediante la inspección profunda de comportamiento de protocolos industriales, permitiendo así mantener el nivel de seguridad requerido para nuestra IC.
  • 22. Gestión de Comportamiento de redes industriales Enrique Martín García Agosto 2014 22 22 Referencias [1]: The RIPE Framework: A Process-Driven Approach towards Effective and Sustainable Industrial Control System Security – 2013 Ralph Langner: http://www.langner.com/en/wp-content/uploads/2013/09/The-RIPE-Framework.pdf [2] “Ciber-Resiliencia: Aproximación a un marco de medición” – 2014 INTECO: http://www.inteco.es/extfrontinteco/img/File/Estudios/int_ciber_resiliencia_marco_medicion. pdf [3]: Monitoring Industrial Control Systems to improve operations and security - 2013: http://www.secmatters.com/sites/www.secmatters.com/files/documents/whitepaper_monitoring_EU.pdf Siglas SCAB Security Control Awareness Box Behavioral Blueprint Patrón de comportamiento ICS Industrial Control Systems HMI Human Machine Interface RTU Remote Terminal Unit SMB Server Message Block PLC Programmable Logic Controller LPIC Ley de Protección de Infraestructuras Críticas Acerca del autor Enrique Martín García es Director del Centro de Excelencia de Ciber Seguridad dentro de la División IT Consulting & Integration Services de Global Solutions en Schneider Electric. Tiene más de 25 años de experiencia en el mundo de las Tecnologías de la Información, muchos de los cuales ha estado vinculado a los proyectos de diseño e implantación de soluciones de seguridad. Desde 2013 se ha encargado del diseño del portfolio de servicios y soluciones de Ciberseguridad de ITC, participando en distintos congresos en los que ha impartido distintas ponencias sobre las soluciones avanzadas de protección de redes de control con protocolos industriales.