SlideShare una empresa de Scribd logo

Respuesta a incidentes en sistemas de transmisión y distribución de energía

M
Manuel Santander

Presentación realizada en el evento "Infraestructuras Críticas, un desafío de Ciberseguridad para Colombia"

Tecnología
1 de 24
Descargar para leer sin conexión
RESPUESTA A INCIDENTES EN SISTEMAS DE TRANSMISIÓN Y DISTRIBUCIÓN DE ENERGÍA Manuel Humberto Santander Peláez Gerencia Tecnología de Información
Agenda / Temas Respuesta a incidentes en sistemas de Tranmisión y Distribución de Energía o Introducción o Metodología Respuesta a Incidentes o Conclusiones
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional (2)
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional (3)
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Red SCADA Sistema Eléctrico
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Ataques disponibles para cualquier persona • Exploits: o http://www.packetstormsecurity.org o http://www.securityfocus.org o http://www.exploit-db.com • Herramientas para análisis de vulnerabilidades o http://www.nessus.org o http://www.openvas.org o http://www.metasploit.com o Distribuciones para análisis de vulnerabilidades o http://www.kali.org o http://www.backbox.org o http://www.matriux.com
Agenda / Temas Equipo Respuesta a Incidentes de Seguridad Grupo EPM o Introducción o Metodología respuesta a incidentes de seguridad o Conclusiones
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Manejo Incidentes Seguridad Antes Durante Después Preparación para incidentes de seguridad e investigaciones Respuesta a incidentes Investigación Forense Informática
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Ciclo de vida respuesta a incidentes Preparación Detección y Análisis Contención, Erradicación y Recuperación Actividades PostIncidente
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Preparación de incidentes • Preparación: Involucra el establecimiento de las capacidades básicas de respuesta a incidentes, las cuales corresponden a: o Procedimientos de interacción claramente establecidos entre los mundos de Tecnología de Información (TI) y Tecnología de Operación (TO). o Obtención de infraestructura tecnológica necesaria para la protección de riesgos de la infraestructura tecnológica del sistema SCADA o Ejecución de pruebas de simulacro de incidentes periódicas para afinar habilidades y proceso • Constitución del equipo de respuesta a incidentes o Único equipo de respuesta a incidentes para la organización o Involucra miembros de los mundos de TI y TO o Se rige bajo los lineamientos de operación del sistema de Transmisión y Distribución de Energía o Interfaz con la gerencia del negocio para la toma de decisiones que afecten la disponibilidad y recuperación del sistema
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Preparación de incidentes (2) • Los riesgos de seguridad deben estar adecuadamente minimizados o No es procedente iniciar respuesta a incidentes de seguridad sin tener todos los riesgos controlados adecuadamente o Los recursos son escasos y es necesario enfocarlos a incidentes reales y que se constituyan en riesgos que se asumen o que no es posible controlar o La infraestructura SCADA de transmisión y distribución de energía posee numerosas vulnerabilidades por defecto y realizar respuesta a incidentes sin los respectivos controles de seguridad previos pierde efectividad, no agrega valor y no hace la diferencia • Obtención de Hardware y software necesario para respuesta a incidentes o Analizadores de protocolos o DVD para copias de seguridad de registros encontrados o Software para obtención de imágenes de seguridad (HMI) o Software para transferencia de configuraciones de IED, RTU y UAD
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Modelo de Seguridad SCADA Energía
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis • Involucra la recepción de una alerta o reporte de un hecho anormal que se está dando actualmente, la cual debe ser confirmada antes de convocar el equipo de respuesta a incidentes • Se considera un incidente de seguridad cualquier evento que ocurra y vaya en contra de las políticas de seguridad de la información de la compañía • Las políticas de seguridad deben incluir los ambientes de infraestructura crítica • Debe existir un Security Operation Center (SOC) que se encargue de monitorear todos los eventos que provengan de los controles de seguridad dispuestos en toda la infraestructura de Transmisión y Distribución de Energía • Existen varios tipos de controles de seguridad: o Application Whitelisting: Se filtran todas aquellas aplicaciones que no sean permitidas
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (2) • Existen varios tipos de controles de seguridad: o Network Intrusion Prevention System: Permite monitorear ataques hacia los dispositivos o secuencia de comandos anormales sobre el protocolo de control dirigidos hacia los generadores y las subestaciones o Secure Traffic Flow: Especialmente diseñado para aquella porción del sistema SCADA que necesita reportar directamente a la red corporativa de la compañía o Integrity Control: Permite controlar cualquier tipo de modificación no autorizada al sistema de archivos de los HMI y por tanto preserva la configuración e integridad contra software malicioso o Firewall: Permite el control de acceso entre las distintas VLAN de la red SCADA • Una vez se determine que ocurrió un incidente de seguridad, debe categorizarse, con el fin de determinar el siguiente curso de acción
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (3) • Algunos dispositivos que funcionan bien asegurando sistemas SCADA: o Tippingpoint: Permite monitorear protocolos como IEC101/104, DNP3 y Modbus-TCP o Checkpoint: Su módulo de application control permite realizar filtrado puntual por reglas de protocolos y tomar decisiones al respecto o Mcafee Integrity Control: Permite bloquear modificaciones no autorizadas a los programas, memoria o al sistema de archivos de los dispositivos HMI e IFS. o Tofino: Es una herramienta fácil de implementar para definir zonas de seguridad en las subestaciones. o Waterfall: Los sistemas de control necesitan realizar reportes periódicos a sistemas de información corporativos. Este dispositivo permite la comunicación en una sola vía, evitando ingresos de atacantes a la red de control. • Una vez se determine que ocurrió un incidente de seguridad, debe categorizarse, con el fin de determinar el siguiente curso de acción
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (4) • Las siguientes categorías aplican a la infraestructura crítica de transmisión y distribución de energía: o Denial of service: Los dispositivos SCADA se caracterizan por su pobre manejo de tráfico en redes de datos, por lo que ataques básicos al protocolo de comunicaciones puede causar interrupción del servicio. También pueden ser causados por ataques a dispositivos que no tengan implementados parches de seguridad. o Acceso no autorizado: Corresponde al acceso no autorizado a los distintos componentes del sistema SCADA. o Uso inapropiado: Dicho incidente se materializa cuando un usuario debidamente autorizado efectúe extralimitaciones en los privilegios sobre el sistema o Suplantación: Este incidente se materializa al efectuar la suplantación de un operador o de una entidad SCADA en la red, con el fin de proceder a ejecutar comandos con impactos negativos en el sistema.
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Contención, erradicación y recuperación • Se llevan a cabo las tareas necesarias para evitar que el incidente siga aumentando la cobertura de impacto: o La disponibilidad en los servicios de transmisión y distribución de energía es vital, por lo que debe procurarse la recuperación inmediata del servicio • La infraestructura SCADA siempre es redundante, por lo cual debe iniciarse por realizar contención y erradicación de la porción inicial del sistema que permita recuperar la gestión de la red de transmisión y distribución de energía o Se eliminan todos aquellos elementos que posibilitaron el incidente de los equipos o Toma de evidencia con imágenes de los dispositivos HMI o Recolección de logs en los dispositivos IED, UAD y RTU o Se procede a recuperar el servicio y la gestión de la red de transmisión y distribución de energía
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Contención, erradicación y recuperación (2) • Las pruebas de recuperación son altamente sensibles o Los dispositivos SCADA pierden rápidamente sincronía, por lo que debe disponerse de personal que vaya directamente a las subestaciones a hacer reinicio de los dispositivos, en caso de ser necesario o La latencia debe ser menor a 12 milisegundos, con el fin de asegurar la operación en tiempo real y la recuperación total del sistema o Al restaurar copias de seguridad de la configuración, debe realizarse desde un repositorio confiable y que no haya sido comprometido o Los controles de seguridad presentes en el sistema SCADA deben incluir las modificaciones de configuración y disposición necesarias para evitar la materialización nuevamente del incidente
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Actividades Post-Incidente • Se procede a realizar un reporte del incidente de seguridad: o Debe ser entendible por personas que no tengan un conocimiento técnico o Debe incluir el detalle completo de todos los hechos ocurridos y la evidencia recolectada • Se procede a socializar las lecciones aprendidas del incidente de seguridad. Allí se responden a las siguientes preguntas: • ¿Qué componentes fallaron para la materialización del incidente de seguridad? • ¿Qué plan de acción vamos a seguir para que dicho incidente de seguridad no vuelva a ocurrir? • ¿Es necesario evolucionar algún componente de nuestro modelo de seguridad? • ¿Qué competencias y capacidades necesitamos desarrollar para evitar que el incidente de seguridad vuelva a materializarse?
Agenda / Temas Equipo Respuesta a Incidentes de Seguridad Grupo EPM o Introducción o Metodología respuesta a incidentes de seguridad o Conclusiones
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Conclusiones • Los sistemas SCADA pueden tener esquemas de seguridad que no intervengan con la funcionalidad del sistema o Deben tener visto bueno del proveedor, para propósitos de garantía y soporte sobre la solución o Cualquier evolución sobre el esquema de seguridad, debe ser probado numerosas veces en laboratorio antes de ser puesto en producción • Los sistemas SCADA NO funcionan como la infraestructura común de TI: o Aunque muchos procesos establecidos en ITIL funcionan, las herramientas y parametrizaciones no son las mismas y, por tanto, no pueden ser administrados con los mismos procedimientos y normatividad o Los esquemas de recuperación de incidentes de seguridad para sistemas SCADA deben involucrar el proceso de operación del sistema de transmisión y distribución de energía.
Contacto o Manuel Humberto Santander Peláez manuel.santander@epm.com.co Teléfono: +57-4 380 7837 http://manuel.santander.name @manuelsantander

Recomendados

Red telematica-etapa 3
Red telematica-etapa 3Red telematica-etapa 3
Red telematica-etapa 3john bustos
 
Tecnologoa scada
Tecnologoa scadaTecnologoa scada
Tecnologoa scadaVictor M. Alvarez
 
Dcs tema 10 - unidad ii
Dcs tema 10 - unidad iiDcs tema 10 - unidad ii
Dcs tema 10 - unidad iiUDO Monagas
 
Control automatico
Control automaticoControl automatico
Control automaticoricrodriguez
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosYatziriGarciaSibaja
 
Nuevo documento de microsoft word
Nuevo documento de microsoft wordNuevo documento de microsoft word
Nuevo documento de microsoft wordAle Flores
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Unidad v tema 9 dcs
Unidad v tema 9 dcsUnidad v tema 9 dcs
Unidad v tema 9 dcsacpicegudomonagas
 

Recomendados

Red telematica-etapa 3
Red telematica-etapa 3Red telematica-etapa 3
Red telematica-etapa 3john bustos
 
Tecnologoa scada
Tecnologoa scadaTecnologoa scada
Tecnologoa scadaVictor M. Alvarez
 
Dcs tema 10 - unidad ii
Dcs tema 10 - unidad iiDcs tema 10 - unidad ii
Dcs tema 10 - unidad iiUDO Monagas
 
Control automatico
Control automaticoControl automatico
Control automaticoricrodriguez
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosYatziriGarciaSibaja
 
Nuevo documento de microsoft word
Nuevo documento de microsoft wordNuevo documento de microsoft word
Nuevo documento de microsoft wordAle Flores
 
Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Monitorización continua de seguridad en redes de control industrial utilizand...
Monitorización continua de seguridad en redes de control industrial utilizand...Enrique Martin
 
Unidad v tema 9 dcs
Unidad v tema 9 dcsUnidad v tema 9 dcs
Unidad v tema 9 dcsacpicegudomonagas
 
Implementacion de una plataforma de monitoreo en linux
Implementacion de una plataforma de monitoreo en linuxImplementacion de una plataforma de monitoreo en linux
Implementacion de una plataforma de monitoreo en linuxAndres Ldño
 
planificacion wireless -c2
planificacion wireless -c2planificacion wireless -c2
planificacion wireless -c2Jonathan Dender
 
proteccionescapitulo1
proteccionescapitulo1proteccionescapitulo1
proteccionescapitulo1Sebastian J
 
Subsistema adq. de datos y control2020
Subsistema adq. de datos y control2020 Subsistema adq. de datos y control2020
Subsistema adq. de datos y control2020 u.c.v.
 
Intro gestion redes
Intro gestion redesIntro gestion redes
Intro gestion redesjose Casado
 
Implementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaImplementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaXavier Espinoza
 
Intro gestion redes
Intro gestion redesIntro gestion redes
Intro gestion redesYordys Escorcia Vasquez
 
Capitulo2
Capitulo2Capitulo2
Capitulo2erikita Sol
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOGiovani Roberto Gómez Millán
 
Sistema_SCADA.pptx
Sistema_SCADA.pptxSistema_SCADA.pptx
Sistema_SCADA.pptxDennisQuiroz6
 
1. introduccion a sistemas scada
1. introduccion a sistemas scada1. introduccion a sistemas scada
1. introduccion a sistemas scadaJorgeSantiago653953
 
Sistema scada
Sistema scadaSistema scada
Sistema scadaUniversidad Telesup
 
Artículo sistema scada
Artículo sistema scadaArtículo sistema scada
Artículo sistema scadasistemascada20
 
Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Andresrz
 
Scada, DCS
Scada, DCSScada, DCS
Scada, DCSDocumentosAreas4
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESAMiguel Cabrera
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
Scada2
Scada2Scada2
Scada2Angela Giraldo
 
TEORIA BASICA DE PROTECCIONES GENERALES
TEORIA BASICA DE PROTECCIONES GENERALESTEORIA BASICA DE PROTECCIONES GENERALES
TEORIA BASICA DE PROTECCIONES GENERALESHernanGeovanny
 
Arquitectura sistema scada p1
Arquitectura sistema scada p1Arquitectura sistema scada p1
Arquitectura sistema scada p1Eduard Rodriguez
 

Más contenido relacionado

La actualidad más candente

Implementacion de una plataforma de monitoreo en linux
Implementacion de una plataforma de monitoreo en linuxImplementacion de una plataforma de monitoreo en linux
Implementacion de una plataforma de monitoreo en linuxAndres Ldño
 
planificacion wireless -c2
planificacion wireless -c2planificacion wireless -c2
planificacion wireless -c2Jonathan Dender
 
proteccionescapitulo1
proteccionescapitulo1proteccionescapitulo1
proteccionescapitulo1Sebastian J
 
Subsistema adq. de datos y control2020
Subsistema adq. de datos y control2020 Subsistema adq. de datos y control2020
Subsistema adq. de datos y control2020 u.c.v.
 
Intro gestion redes
Intro gestion redesIntro gestion redes
Intro gestion redesjose Casado
 
Implementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaImplementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaXavier Espinoza
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 

La actualidad más candente (10)

Implementacion de una plataforma de monitoreo en linux
Implementacion de una plataforma de monitoreo en linuxImplementacion de una plataforma de monitoreo en linux
Implementacion de una plataforma de monitoreo en linux
 
planificacion wireless -c2
planificacion wireless -c2planificacion wireless -c2
planificacion wireless -c2
 
proteccionescapitulo1
proteccionescapitulo1proteccionescapitulo1
proteccionescapitulo1
 
Subsistema adq. de datos y control2020
Subsistema adq. de datos y control2020 Subsistema adq. de datos y control2020
Subsistema adq. de datos y control2020
 
Intro gestion redes
Intro gestion redesIntro gestion redes
Intro gestion redes
 
Implementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámicaImplementación sistema scada en eurocerámica
Implementación sistema scada en eurocerámica
 
Intro gestion redes
Intro gestion redesIntro gestion redes
Intro gestion redes
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 

Similar a Respuesta a incidentes en sistemas de transmisión y distribución de energía

1. introduccion a sistemas scada
1. introduccion a sistemas scada1. introduccion a sistemas scada
1. introduccion a sistemas scadaJorgeSantiago653953
 
Artículo sistema scada
Artículo sistema scadaArtículo sistema scada
Artículo sistema scadasistemascada20
 
Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Andresrz
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESAMiguel Cabrera
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scadaEdomar AR
 
TEORIA BASICA DE PROTECCIONES GENERALES
TEORIA BASICA DE PROTECCIONES GENERALESTEORIA BASICA DE PROTECCIONES GENERALES
TEORIA BASICA DE PROTECCIONES GENERALESHernanGeovanny
 
Arquitectura sistema scada p1
Arquitectura sistema scada p1Arquitectura sistema scada p1
Arquitectura sistema scada p1Eduard Rodriguez
 
Monitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA SecurityMonitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA SecurityManuel Santander
 
Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.UDO Monagas
 
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxEXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxGustavoVelderrain
 
Sistema Automatico
Sistema AutomaticoSistema Automatico
Sistema Automaticofirgau
 
Descripción de un scada
Descripción de un scadaDescripción de un scada
Descripción de un scadaRobie Torres
 

Similar a Respuesta a incidentes en sistemas de transmisión y distribución de energía (20)

Sistema_SCADA.pptx
Sistema_SCADA.pptxSistema_SCADA.pptx
Sistema_SCADA.pptx
 
1. introduccion a sistemas scada
1. introduccion a sistemas scada1. introduccion a sistemas scada
1. introduccion a sistemas scada
 
Sistema scada
Sistema scadaSistema scada
Sistema scada
 
Artículo sistema scada
Artículo sistema scadaArtículo sistema scada
Artículo sistema scada
 
Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)Sy ti 2015-a_trabajo_ (1)
Sy ti 2015-a_trabajo_ (1)
 
Scada, DCS
Scada, DCSScada, DCS
Scada, DCS
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESA
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scada
 
Sistemas scada
Sistemas scadaSistemas scada
Sistemas scada
 
Scada2
Scada2Scada2
Scada2
 
TEORIA BASICA DE PROTECCIONES GENERALES
TEORIA BASICA DE PROTECCIONES GENERALESTEORIA BASICA DE PROTECCIONES GENERALES
TEORIA BASICA DE PROTECCIONES GENERALES
 
Arquitectura sistema scada p1
Arquitectura sistema scada p1Arquitectura sistema scada p1
Arquitectura sistema scada p1
 
Guion sistema scada
Guion sistema scadaGuion sistema scada
Guion sistema scada
 
Control por contactos
Control por contactosControl por contactos
Control por contactos
 
Monitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA SecurityMonitoring Emerging Threats: SCADA Security
Monitoring Emerging Threats: SCADA Security
 
Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.Cam unidad 4 - tema 1 - scada y dcs.
Cam unidad 4 - tema 1 - scada y dcs.
 
SCADA 01.pptx
SCADA 01.pptxSCADA 01.pptx
SCADA 01.pptx
 
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptxEXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
EXPOSICION CONTROL DIGITAL.pptx [Autoguardado].pptx
 
Sistema Automatico
Sistema AutomaticoSistema Automatico
Sistema Automatico
 
Descripción de un scada
Descripción de un scadaDescripción de un scada
Descripción de un scada
 

Más de Manuel Santander

Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaManuel Santander
 
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation PlantsAvoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation PlantsManuel Santander
 
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónManuel Santander
 
Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...Manuel Santander
 
Cisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designsCisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designsManuel Santander
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Manuel Santander
 

Más de Manuel Santander (6)

Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casa
 
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation PlantsAvoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
Avoiding Cyberterrorism Threats Inside Hydraulic Power Generation Plants
 
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
 
Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...Authentication Issues between entities during protocol message exchange in SC...
Authentication Issues between entities during protocol message exchange in SC...
 
Cisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designsCisco Malware: A new risk to consider in perimeter security designs
Cisco Malware: A new risk to consider in perimeter security designs
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
 

Último

Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 

Último (15)

Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 

Respuesta a incidentes en sistemas de transmisión y distribución de energía

  • 1.
  • 2. RESPUESTA A INCIDENTES EN SISTEMAS DE TRANSMISIÓN Y DISTRIBUCIÓN DE ENERGÍA Manuel Humberto Santander Peláez Gerencia Tecnología de Información
  • 3. Agenda / Temas Respuesta a incidentes en sistemas de Tranmisión y Distribución de Energía o Introducción o Metodología Respuesta a Incidentes o Conclusiones
  • 4. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional
  • 5. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional (2)
  • 6. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional (3)
  • 7. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Red SCADA Sistema Eléctrico
  • 8. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Ataques disponibles para cualquier persona • Exploits: o http://www.packetstormsecurity.org o http://www.securityfocus.org o http://www.exploit-db.com • Herramientas para análisis de vulnerabilidades o http://www.nessus.org o http://www.openvas.org o http://www.metasploit.com o Distribuciones para análisis de vulnerabilidades o http://www.kali.org o http://www.backbox.org o http://www.matriux.com
  • 9. Agenda / Temas Equipo Respuesta a Incidentes de Seguridad Grupo EPM o Introducción o Metodología respuesta a incidentes de seguridad o Conclusiones
  • 10. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Manejo Incidentes Seguridad Antes Durante Después Preparación para incidentes de seguridad e investigaciones Respuesta a incidentes Investigación Forense Informática
  • 11. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Ciclo de vida respuesta a incidentes Preparación Detección y Análisis Contención, Erradicación y Recuperación Actividades PostIncidente
  • 12. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Preparación de incidentes • Preparación: Involucra el establecimiento de las capacidades básicas de respuesta a incidentes, las cuales corresponden a: o Procedimientos de interacción claramente establecidos entre los mundos de Tecnología de Información (TI) y Tecnología de Operación (TO). o Obtención de infraestructura tecnológica necesaria para la protección de riesgos de la infraestructura tecnológica del sistema SCADA o Ejecución de pruebas de simulacro de incidentes periódicas para afinar habilidades y proceso • Constitución del equipo de respuesta a incidentes o Único equipo de respuesta a incidentes para la organización o Involucra miembros de los mundos de TI y TO o Se rige bajo los lineamientos de operación del sistema de Transmisión y Distribución de Energía o Interfaz con la gerencia del negocio para la toma de decisiones que afecten la disponibilidad y recuperación del sistema
  • 13. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Preparación de incidentes (2) • Los riesgos de seguridad deben estar adecuadamente minimizados o No es procedente iniciar respuesta a incidentes de seguridad sin tener todos los riesgos controlados adecuadamente o Los recursos son escasos y es necesario enfocarlos a incidentes reales y que se constituyan en riesgos que se asumen o que no es posible controlar o La infraestructura SCADA de transmisión y distribución de energía posee numerosas vulnerabilidades por defecto y realizar respuesta a incidentes sin los respectivos controles de seguridad previos pierde efectividad, no agrega valor y no hace la diferencia • Obtención de Hardware y software necesario para respuesta a incidentes o Analizadores de protocolos o DVD para copias de seguridad de registros encontrados o Software para obtención de imágenes de seguridad (HMI) o Software para transferencia de configuraciones de IED, RTU y UAD
  • 14. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Modelo de Seguridad SCADA Energía
  • 15. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis • Involucra la recepción de una alerta o reporte de un hecho anormal que se está dando actualmente, la cual debe ser confirmada antes de convocar el equipo de respuesta a incidentes • Se considera un incidente de seguridad cualquier evento que ocurra y vaya en contra de las políticas de seguridad de la información de la compañía • Las políticas de seguridad deben incluir los ambientes de infraestructura crítica • Debe existir un Security Operation Center (SOC) que se encargue de monitorear todos los eventos que provengan de los controles de seguridad dispuestos en toda la infraestructura de Transmisión y Distribución de Energía • Existen varios tipos de controles de seguridad: o Application Whitelisting: Se filtran todas aquellas aplicaciones que no sean permitidas
  • 16. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (2) • Existen varios tipos de controles de seguridad: o Network Intrusion Prevention System: Permite monitorear ataques hacia los dispositivos o secuencia de comandos anormales sobre el protocolo de control dirigidos hacia los generadores y las subestaciones o Secure Traffic Flow: Especialmente diseñado para aquella porción del sistema SCADA que necesita reportar directamente a la red corporativa de la compañía o Integrity Control: Permite controlar cualquier tipo de modificación no autorizada al sistema de archivos de los HMI y por tanto preserva la configuración e integridad contra software malicioso o Firewall: Permite el control de acceso entre las distintas VLAN de la red SCADA • Una vez se determine que ocurrió un incidente de seguridad, debe categorizarse, con el fin de determinar el siguiente curso de acción
  • 17. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (3) • Algunos dispositivos que funcionan bien asegurando sistemas SCADA: o Tippingpoint: Permite monitorear protocolos como IEC101/104, DNP3 y Modbus-TCP o Checkpoint: Su módulo de application control permite realizar filtrado puntual por reglas de protocolos y tomar decisiones al respecto o Mcafee Integrity Control: Permite bloquear modificaciones no autorizadas a los programas, memoria o al sistema de archivos de los dispositivos HMI e IFS. o Tofino: Es una herramienta fácil de implementar para definir zonas de seguridad en las subestaciones. o Waterfall: Los sistemas de control necesitan realizar reportes periódicos a sistemas de información corporativos. Este dispositivo permite la comunicación en una sola vía, evitando ingresos de atacantes a la red de control. • Una vez se determine que ocurrió un incidente de seguridad, debe categorizarse, con el fin de determinar el siguiente curso de acción
  • 18. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (4) • Las siguientes categorías aplican a la infraestructura crítica de transmisión y distribución de energía: o Denial of service: Los dispositivos SCADA se caracterizan por su pobre manejo de tráfico en redes de datos, por lo que ataques básicos al protocolo de comunicaciones puede causar interrupción del servicio. También pueden ser causados por ataques a dispositivos que no tengan implementados parches de seguridad. o Acceso no autorizado: Corresponde al acceso no autorizado a los distintos componentes del sistema SCADA. o Uso inapropiado: Dicho incidente se materializa cuando un usuario debidamente autorizado efectúe extralimitaciones en los privilegios sobre el sistema o Suplantación: Este incidente se materializa al efectuar la suplantación de un operador o de una entidad SCADA en la red, con el fin de proceder a ejecutar comandos con impactos negativos en el sistema.
  • 19. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Contención, erradicación y recuperación • Se llevan a cabo las tareas necesarias para evitar que el incidente siga aumentando la cobertura de impacto: o La disponibilidad en los servicios de transmisión y distribución de energía es vital, por lo que debe procurarse la recuperación inmediata del servicio • La infraestructura SCADA siempre es redundante, por lo cual debe iniciarse por realizar contención y erradicación de la porción inicial del sistema que permita recuperar la gestión de la red de transmisión y distribución de energía o Se eliminan todos aquellos elementos que posibilitaron el incidente de los equipos o Toma de evidencia con imágenes de los dispositivos HMI o Recolección de logs en los dispositivos IED, UAD y RTU o Se procede a recuperar el servicio y la gestión de la red de transmisión y distribución de energía
  • 20. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Contención, erradicación y recuperación (2) • Las pruebas de recuperación son altamente sensibles o Los dispositivos SCADA pierden rápidamente sincronía, por lo que debe disponerse de personal que vaya directamente a las subestaciones a hacer reinicio de los dispositivos, en caso de ser necesario o La latencia debe ser menor a 12 milisegundos, con el fin de asegurar la operación en tiempo real y la recuperación total del sistema o Al restaurar copias de seguridad de la configuración, debe realizarse desde un repositorio confiable y que no haya sido comprometido o Los controles de seguridad presentes en el sistema SCADA deben incluir las modificaciones de configuración y disposición necesarias para evitar la materialización nuevamente del incidente
  • 21. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Actividades Post-Incidente • Se procede a realizar un reporte del incidente de seguridad: o Debe ser entendible por personas que no tengan un conocimiento técnico o Debe incluir el detalle completo de todos los hechos ocurridos y la evidencia recolectada • Se procede a socializar las lecciones aprendidas del incidente de seguridad. Allí se responden a las siguientes preguntas: • ¿Qué componentes fallaron para la materialización del incidente de seguridad? • ¿Qué plan de acción vamos a seguir para que dicho incidente de seguridad no vuelva a ocurrir? • ¿Es necesario evolucionar algún componente de nuestro modelo de seguridad? • ¿Qué competencias y capacidades necesitamos desarrollar para evitar que el incidente de seguridad vuelva a materializarse?
  • 22. Agenda / Temas Equipo Respuesta a Incidentes de Seguridad Grupo EPM o Introducción o Metodología respuesta a incidentes de seguridad o Conclusiones
  • 23. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Conclusiones • Los sistemas SCADA pueden tener esquemas de seguridad que no intervengan con la funcionalidad del sistema o Deben tener visto bueno del proveedor, para propósitos de garantía y soporte sobre la solución o Cualquier evolución sobre el esquema de seguridad, debe ser probado numerosas veces en laboratorio antes de ser puesto en producción • Los sistemas SCADA NO funcionan como la infraestructura común de TI: o Aunque muchos procesos establecidos en ITIL funcionan, las herramientas y parametrizaciones no son las mismas y, por tanto, no pueden ser administrados con los mismos procedimientos y normatividad o Los esquemas de recuperación de incidentes de seguridad para sistemas SCADA deben involucrar el proceso de operación del sistema de transmisión y distribución de energía.
  • 24. Contacto o Manuel Humberto Santander Peláez manuel.santander@epm.com.co Teléfono: +57-4 380 7837 http://manuel.santander.name @manuelsantander