El documento presenta información sobre la protección de redes operativas (OT) en centrales hidroeléctricas. Explica los conceptos de ciberseguridad, ciberdefensa y ciberinteligencia. Luego describe las infraestructuras críticas de diferentes países y los riesgos para las redes OT en centrales hidroeléctricas debido a su alta conectividad. Finalmente, ofrece recomendaciones para mejorar la seguridad, incluyendo la implementación de controles en capas, checklists, planes de ciberseguridad y alertas de
1. 2020
CIBERSEGURIDAD INDUSTRIAL
Protección de redes OT en Centrales Hidroeléctricas
__________________________________________________________________________________________________________________________
MSc. Ing. Mateo Martínez
CISSP, C|EH, ISO 27001 LI, ISO 27032, ITIL.
mmartinez@kmhcorp.com
www.kmhcorp.com
2. Mateo Martinez
Cursando Doctorado en Ciencias Informáticas en la Universidad Nacional de la Plata en Argentina. Máster en Seguridad Informática. Ingeniero en
Sistemas computacionales. Cuenta con las certificaciones internacionales CISSP (Certified Information Systems Security Professional) de
(ISC)2, CEH (Certified Ethical Hacker) de EC-Council, ISO 27001 Lead Implementer de PECB, ISO 27032 Lead Cybersecurity Manager, e ITIL.
Docente del Diplomado en Ciberseguridad de la Universidad ORT Uruguay, Docente del Máster en Ciberseguridad de UTH Florida (Estados
Unidos), Docente del Diplomado en Ciberseguridad de UCOM (Paraguay). Docente de Hacking Ético en Universidad ORT Uruguay. Coordinador
del Centro de Ciberseguridad Industrial (CCI) para Uruguay.
2
Presentación
4. www.kmhcorp.com 4
Conceptos
En 2012 Putin y Obama firman un
acuerdo de colaboración en
ciberseguridad.
https://www.files.ethz.ch/isn/178418/
terminology2.pdf
6. www.kmhcorp.com 6
Diferencias
• Infraestructuras críticas protegidas vs no protegidas no se diferencian en el
ciberespacio
• Infraestructuras críticas humanitarias no tienen forma de ser “marcadas” en el
ciberespacio
• Diferenciar objetivos civiles vs militares también es muy complejo
• Actores no estatales puede obtener alto poder en el ciberespacio
• Las ciberarmas poseen atributos no contemplados en leyes de guerra
• El desarrollo de ciberarmas se mantiene en secreto
• Las ciberoperaciones pueden mantenerse secretas e indetectables
9. 9
Infraestructuras Críticas
• Una falla en los sistemas de Infraestructuras Críticas puede tener consecuencias
catastróficas.
• Al aumentar las dependencias entre los diferentes sistemas, como por ejemplo, el
suministro de agua depende de la electricidad para las estaciones de bombeo, la banca
moderna que depende de las TIC y los servicios de bomberos que dependen del suministro
de agua.
• Los efectos en cascada de una avería en un sistema en otros sistemas interconectados
también deben contemplarse.
• Surge de la necesidad de minimizar las interrupciones críticas del servicio, los accidentes y,
en particular, las fallas en cascada.
10. 10
Contexto Internacional
En febrero, CISA publicó un informe que describe un ataque de ransomware en una instalación de
compresión de gas natural, que provocó el cierre de las operaciones en la instalación.
11. 11
Contexto Internacional
"el aumento de las capacidades y la actividad de adversarios, la
importancia crítica para la seguridad nacional de EE. UU. Y la
vulnerabilidad de los sistemas OT, la infraestructura civil se convierte
en objetivos atractivos para los actores extranjeros".
12. 12
Contexto Internacional
El 23 de diciembre de
2015, tres empresas
regionales de distribución
de electricidad de Ucrania,
Kyivoblenergo,
Prykarpattyaoblenergo y
Chernivtsioblenergo,
sufrieron cortes de energía
debido a un ciberataque.
15. 15
Infraestructuras Críticas
por País
• Banca y Finanzas
• Gobierno Central y sus Servicios
• Comunicaciones y TICs
• Servicios de Emergencia y Rescate
• Energía/Electricidad
• Servicios de Salud
• Alimentos
• Transporte/Logística/Distribución
• Suministro de Agua
Australia
16. 16
Infraestructuras Críticas
por País
• Banca y Finanzas
• Gobierno Central y sus Servicios
• Comunicaciones y TICs
• Aviación
• Trenes
• Energía/Electricidad
• Gas
• Servicios de Salud
• Transporte/Logística/Distribución
• Suministro de Agua
•
Japón
Crearon en 2017 el Industrial Cyber Security Center of Excellente: https://www.ipa.go.jp
17. 17
Infraestructuras Críticas
por País
• Químicos
• Unidades Comerciales
• Comunicaciones
• Manufactura Crítica
• Represas Hidroeléctricas
• Bases de Defensa Industrial
• Servicios de Emergencia
• Energía
• Servicios Financieros
• Comida y Agricultura
• Gobierno
• Salud
• TICs
• Reactores nucleares, materiales y deshechos
• Sistemas de Transporte
• Suministro de Agua y Limpieza de Aguas
Estados Unidos
National Infrastructure Protection Plan:
https://www.dhs.gov/sites/default/files/publications/national-infrastructure-protection-plan-2013-508.pdf
18. 18
Línea de Tiempo
Época de Oscuridad
Existe la vulnerabilidad
pero nadie la conoce
Zero-Day
La vulnerabilidad es
conocida y algunos ya
conocen como explotarla
Zero-Day Exploit disponible
La forma de explotar la
vulnerabilidad se hace pública
Parche Disponible
Se disponibiliza un parche en
el mercado que corrige la
vulnerabilidad
Parche Aplicado
Se aplicar un parche para
corregir la vulnerabilidad en
los sistemas
100% Responsabilidad de la
organización
(Administradores + Management)
Ventana de completa
de exposición al riesgo
23. www.kmhcorp.com 23
Necesidades
Acompañamiento Cibernético de Operaciones
Operaciones Defensivas
Operaciones Ofensivas
Protección y Defensa de Infraestructuras Críticas
Preparación y entrenamiento en ciberarmas
Investigación y Desarrollo
Colaboración con Ciberinteligencia
24. www.kmhcorp.com
Una de las secciones más importantes de las centrales
hidroeléctricas es la sección de la presa. Las partes que
componen la presa son las siguientes:
a) un cuerpo
b) Relleno y compuerta
c) Derivación
d) Salida de residuos
e) Secciones de transmisión de energía
24
Empresas
Hidroeléctricas
25. www.kmhcorp.com
Las centrales hidroeléctricas se dividen en 3 grupos según el
cuerpo y la estructura de su presa.
Estos son:
Rellenar presas (presas de relleno de rocas)
Presas de hormigón (hechas de hormigón)
Presas de tipo mixto (tienen tanto relleno como cuerpo de
hormigón)
25
Empresas
Hidroeléctricas
26. www.kmhcorp.com
¿Qué más?
- Toma de agua
- Tubos presurizados
- Válvulas de seguridad
- Filtros
- Turbinas
26
Empresas
Hidroeléctricas
27. www.kmhcorp.com
- Falso concepto de Aislamiento
- Multi-vendors
- Falta de controles base en dispositivos industriales
- SIEMENS para dar conectividad usa unos módulos que
trae un linux recortado
- Disponibilidad de equipos en el mercado para pruebas y
aprendizaje
- Antes los equipos no podían ser investigados por los
costos o la falta de disponibilidad, hoy en dia podes
comprarlos
- Controles de acceso físico y lógico
- control de proveedores
- Sistema de aperturade vertedero aislado
27
Empresas
Hidroeléctricas
28. www.kmhcorp.com 28
Riesgos
Alto nivel de conectividad
Soporte Remoto, accesos VPN
Protocolos inseguros
Control de acceso y de dispositivos limitado
Acceso remoto permitido y publicación de servicios
Sin especialistas de ciberseguridad industrial
Sin centros de respuesta a incidentes especializados
31. www.kmhcorp.com 31
Plan Template de
Ciberseguridad
Largo Plazo
(3 años)
CSIRT Especializado
Planes de Respuesta optimizados
Controles de Integridad
Auditorías de Hardening
Data Loss Prevention
WAF
Dashboard de Seguridad
SAST & DAST
Database Security
Malware Sandboxing
Software Defined Perimeter
Honeypots y Ciberinteligencia
Corto Plazo
(menos de 1 año)
Segmentar la Red con Firewall
Acceso Remoto Controlado
Autenticación Robusta (MFA)
Políticas y Procedimientos
Inventario
Gestión de Riesgos
Escaneo de Vulnerabilidades
Virtual Patching
Detección de Malware
Detectores de Intrusos
SIEM
Gestión de Incidentes
Mediano Plazo
(1 año)
Modelado de Amenazas
Threat Hunting
Monitoreo Continuo (SOC)
Playbooks de Incidentes
SOAR
GRC
IPS especializado en OT
Gestión de Vulnerabilidades
Pentesting de red OT
Auditorías internas y externas
Plan de Mejora Continua
Contratos con Seguridad
34. www.kmhcorp.com 34
Checklist
Plan de Resiliencia en OT
Hardening
Mapa completo de red OT
Evaluar ciber riesgos en activos de la red OT
Implementar sistema de monitoreo y vigilancia continuo
NSA y CISA emitieron AA20-205A
recomendando acciones inmediatas
para reducir la exposición en
tecnologías operativas y sistemas de
control.
36. www.kmhcorp.com 36
Conclusiones
La exposición actual de las redes industriales es un problema común
Soluciones de Firewall, Acceso remoto y Threat Hunting ya existen en IT
Falta de inversión en ciberseguridad en redes industriales
Muchas veces sin un plan u hoja de ruta de tecnologías de ciberseguridad
Modas de pentesting en OT solo dan una foto en un momento
Desconfianza a la hora de auditorías de seguridad y monitoreo
Alta dependencia en el soporte de las marcas de equipamiento
Es necesario obtener mayor visibilidad y control
Se deben analizar riesgos y aplicar controles necesarios
Prepararse con Planes de Respuesta a Incidentes en TI y OT