Este documento describe las diferentes categorías de vulnerabilidades que pueden afectar a un entorno industrial, incluyendo vulnerabilidades de gestión, operacionales, funcionales y técnicas. Explica las relaciones entre amenazas y vulnerabilidades, y cómo la combinación de probabilidad y gravedad de un daño crea un riesgo. También identifica vulnerabilidades comunes como sistemas sin actualizar, técnicas de programación inseguras, y el uso de protocolos como OPC que no son seguros.
MÉTODO INTEGRADOR FORMATIVO COMUNAL PARA LA GESTIÓN DE RIESGOS DENTRO DE LA DIVISIÓN DE PREPARACIÓN COMUNITARIA (DIPRECOM) DEL CUERPO DE BOMBEROS DEL DISTRITO CAPITAL DIRIGIDA AL CONSEJO COMUNAL RODILLA EN TIERRA, PARROQUIA ANTÍMANO.
MÉTODO INTEGRADOR FORMATIVO COMUNAL PARA LA GESTIÓN DE RIESGOS DENTRO DE LA DIVISIÓN DE PREPARACIÓN COMUNITARIA (DIPRECOM) DEL CUERPO DE BOMBEROS DEL DISTRITO CAPITAL DIRIGIDA AL CONSEJO COMUNAL RODILLA EN TIERRA, PARROQUIA ANTÍMANO.
Preparada para el Taller sobre Planes de Contingencia ante Alertas de Eventos Adversos para el Fortalecimiento del componente de Gestión del Riesgo frente a Desastres en el departamento de Arauca, Colombia, realizado del 15 al 17 de febrero de 2011
Preparada para el Taller sobre Planes de Contingencia ante Alertas de Eventos Adversos para el Fortalecimiento del componente de Gestión del Riesgo frente a Desastres en el departamento de Arauca, Colombia, realizado del 15 al 17 de febrero de 2011.
PaloAlto Networks is world’s Cyber Security leader. Their technologies give 65,000 enterprise customers the power to
protect billions of people worldwide.
Cortex, Demisto & Prisma are the few flagship products to prevent attacks with industry-defining enterprise security platforms. Tightly integrated innovations, cloud delivered and easy to deploy and operate.
La (in)seguridad de los sistemas de control de procesos publicado en 2013 Diego Martín Arcos
Debido a las amenazas existentes, la ciberseguridad se ha convertido en una prioridad para los entornos de control. Originariamente, los sistemas de control de procesos fueron creados como sistemas independientes y aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con la estandarización de Internet y el uso de los protocolos IP, el diseño ha cambiado hasta el punto de que, en muchos casos, la red de control ha pasado a ser una extensión protegida de la red corporativa, siendo potencialmente accesible desde Internet y vulnerable a los riesgos que esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un entorno seguro para reducir las amenazas existentes.
Impacto del cloud computing en los entornos de control publicado en 2012Diego Martín Arcos
El aumento de información y sistemas a administrar ha convertido las infraestructuras de TI en un activo demasiado complejo con un gasto corporativo elevado. Según uno de los grandes fabricantes de virtualización, el 70% de la inversión actual de TI se centraliza en el mantenimiento, dejando pocos recursos para la innovación.
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
Debido a las amenazas existentes, la ciberseguridad se ha convertido en
una prioridad para los entornos de control. Originariamente, los sistemas
de control de procesos fueron creados como sistemas independientes y
aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con
la estandarización de Internet y el uso de los protocolos IP, el diseño
ha cambiado hasta el punto de que, en muchos casos, la red de control
ha pasado a ser una extensión protegida de la red corporativa, siendo
potencialmente accesible desde Internet y vulnerable a los riesgos que
esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un
entorno seguro para reducir las amenazas existentes.
32 Ways a Digital Marketing Consultant Can Help Grow Your BusinessBarry Feldman
How can a digital marketing consultant help your business? In this resource we'll count the ways. 24 additional marketing resources are bundled for free.
Preparada para el Taller sobre Planes de Contingencia ante Alertas de Eventos Adversos para el Fortalecimiento del componente de Gestión del Riesgo frente a Desastres en el departamento de Arauca, Colombia, realizado del 15 al 17 de febrero de 2011
Preparada para el Taller sobre Planes de Contingencia ante Alertas de Eventos Adversos para el Fortalecimiento del componente de Gestión del Riesgo frente a Desastres en el departamento de Arauca, Colombia, realizado del 15 al 17 de febrero de 2011.
PaloAlto Networks is world’s Cyber Security leader. Their technologies give 65,000 enterprise customers the power to
protect billions of people worldwide.
Cortex, Demisto & Prisma are the few flagship products to prevent attacks with industry-defining enterprise security platforms. Tightly integrated innovations, cloud delivered and easy to deploy and operate.
La (in)seguridad de los sistemas de control de procesos publicado en 2013 Diego Martín Arcos
Debido a las amenazas existentes, la ciberseguridad se ha convertido en una prioridad para los entornos de control. Originariamente, los sistemas de control de procesos fueron creados como sistemas independientes y aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con la estandarización de Internet y el uso de los protocolos IP, el diseño ha cambiado hasta el punto de que, en muchos casos, la red de control ha pasado a ser una extensión protegida de la red corporativa, siendo potencialmente accesible desde Internet y vulnerable a los riesgos que esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un entorno seguro para reducir las amenazas existentes.
Impacto del cloud computing en los entornos de control publicado en 2012Diego Martín Arcos
El aumento de información y sistemas a administrar ha convertido las infraestructuras de TI en un activo demasiado complejo con un gasto corporativo elevado. Según uno de los grandes fabricantes de virtualización, el 70% de la inversión actual de TI se centraliza en el mantenimiento, dejando pocos recursos para la innovación.
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
Debido a las amenazas existentes, la ciberseguridad se ha convertido en
una prioridad para los entornos de control. Originariamente, los sistemas
de control de procesos fueron creados como sistemas independientes y
aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con
la estandarización de Internet y el uso de los protocolos IP, el diseño
ha cambiado hasta el punto de que, en muchos casos, la red de control
ha pasado a ser una extensión protegida de la red corporativa, siendo
potencialmente accesible desde Internet y vulnerable a los riesgos que
esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un
entorno seguro para reducir las amenazas existentes.
32 Ways a Digital Marketing Consultant Can Help Grow Your BusinessBarry Feldman
How can a digital marketing consultant help your business? In this resource we'll count the ways. 24 additional marketing resources are bundled for free.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Diagrama de flujo - ingenieria de sistemas 5to semestre
Conocer y categorizar las vulnerabilidades de un entorno industrial publicado en nov2014
1. 70
Automática e Instrumentación Noviembre 2014 / n.º 467
Soluciones CIBERSEGURIDAD
Ciberseguridad
Conocer y categorizar
las vulnerabilidades
de un entorno industrial
P
roteger un entorno en la
automatización industrial
y control de procesos es
un reto que no solo deben resolver
las comunicaciones y datos tradi-
cionales de un entorno IT, ya que
en el entorno de la automatización
entran en juego procesos en tiem-
po real con un impacto mayor en
el entorno. Este impacto incluye
costes de producción por paradas
no programadas y las consecuencias
que ello supone.
Años atrás, la red industrial y la
red IT estaban técnicamente aisla-
das. Con la integración de ambas
redes se han conseguido muchas
mejoras, pero a su vez el riesgo ha
incrementado exponencialmen-
te debido a que se han quedado
expuestas a los mismos riesgos y
amenazas sin tener las mismas
seguridades.
Un error típico es pensar que una
red aislada es una red segura. No
importa cuántas zonas de seguridad
se creen ni cuantos firewalls peri-
metrales se instalen; siempre habrá
un acceso, tanto de entrada como
de salida, que puede facilitar un
ataque. La disposición para aceptar
las amenazas como una constante
en todas las actividades ayudará a
entender el riesgo y, por tanto, a
mitigarlo.
La amenaza más común a un en-
torno de control es la producida por
un daño colateral desde un sistema
vulnerable con visibilidad a la red
industrial. Los dispositivos de cam-
po, debido a su difícil acceso desde
el exterior, pueden ser atacados de
forma indirecta a través de sistemas
comprometidos dentro de una red
interconectada, los cuales tienen
sistemas operativos y aplicaciones
vulnerables.
Hay mucho que aprender de la
seguridad IT, entre otras cosas
porque su recorrido es mucho más
extenso. La gestión y evaluación de
riesgos y amenazas también está
mucho más desarrollada; sin em-
bargo, esta evaluación no siempre
se puede aplicar a nuestro entorno
debido al impacto que ello puede
suponer sobre el mismo.
¿Cuál es la relación entre
amenazas y vulnerabilidades?
Las amenazas pueden ser ocasio-
nadas por el propio sistema o por
la interacción humana. Muchas
organizaciones tienen un conoci-
miento limitado sobre el origen y
objeto de una amenaza, ya que la
percepción tradicional suele estar
ligada a una incidencia mecánica
y no a la lógica del proceso.
Una vulnerabilidad es un fallo en
el proceso o en el sistema del cual
se aprovecha una amenaza con
objeto de comprometerlo. Cuanto
más vulnerable sea un sistema,
mayor será el riesgo al que nos
enfrentamos.
Conocer los procesos o disciplinas necesarias que permitan identificar las
acciones intencionadas que pueden desencadenar un fallo en la seguridad
de un entorno es un primer paso para diseñar una infraestructura más
segura y robusta, que ayude a asegurar la disponibilidad de los sistemas
críticos.
2. 71
Noviembre 2014 / n.º 467 Automática e Instrumentación
SolucionesCIBERSEGURIDAD
Las vulnerabilidades o amenazas,
por separado, no representan un pe-
ligro, pero si se juntan entra en juego
el factor riesgo: la combinación de la
probabilidad de que ocurra un daño
y la gravedad de este daño.
A continuación se identifican
los procesos o disciplinas nece-
sarias que permitirán identificar
las acciones intencionadas que
puedan desencadenar un fallo en
la seguridad de un entorno. Cono-
cer estos fallos es un primer paso
para diseñar una infraestructura
más segura y robusta, que ayude
a asegurar la disponibilidad de los
sistemas críticos.
¿Cómo categorizar, entender y
gestionar las vulnerabilidades?
Desde el punto de vista de la gestión
de riesgo, es posible dividir las vul-
nerabilidades en 4 tipos:
• Vulnerabilidades de gestión.
• Vulnerabilidades de operación.
• Vulnerabilidades funcionales.
• Vulnerabilidades técnicas.
Vulnerabilidades
de gestión
• Gestión del riesgo: La gestión
del riesgo es una práctica que debe
documentar los riesgos críticos del
negocio para poder diseñar una
estrategia de seguridad adecuada.
No sirve de nada tener las contrame-
didas más avanzadas y robustas del
mercado si estas no están alineadas
con los riesgos del negocio.
•Presupuestosadhoc:Laseguridad
se debe enfocar como un programa a
seguir de forma continua y no como
un ejercicio puntual, ya que hay que
estar continuamente adaptándose al
ritmo al cual avanza. Una solución
de seguridad que no se adapte a las
amenazas existentes no cumplirá
con los objetivos para la cual ha sido
diseñada.
• Formación: Debido a que cada
día aparecen nuevas vulnerabilida-
des, un aspecto crítico a tener en
cuenta es la formación del personal
que gestiona cualquier ámbito de la
seguridad.
Vulnerabilidades operacionales
• Separar el tráfico de red: Mu-
chas organizaciones tienen la red
industrial como una extensión de
la red IT debido a la necesidad de
acceder a los datos en cualquier
momento. Es recomendable separar
el tráfico de ambas redes dedicando
las electrónicas de red para cada
entorno.
• Gestión de cuentas: En redes
industriales, con frecuencia la efi-
ciencia administrativa implica una
carencia en prácticas de seguridad.
Por ejemplo, compartir la cuenta de
administrador o tener contraseñas
comunes a varios usuarios suele ser
una práctica común. En caso de un
accidente, un análisis forense se
convierte en una tarea difícil, ya que
no hay una trazabilidad legible.
• Procedimientos de acceso remo-
to: Controlar el acceso, las cuentas
de usuario utilizadas, las direccio-
nes IP que pueden acceder, los
permisos, auditar la seguridad del
proveedor que se conecta y restrin-
gir el acceso por zonas entre otros
es una tarea obligatoria.
• Despliegue de sistemas wireless:
El acceso a estas redes es mucho
más fácil que a una red física. Son
mucho más fáciles de detectar y
suelen tener una arquitectura de
seguridad menos robusta.
• Procedimiento de detección de
incidentes: En la gran mayoría de
casos no existe un procedimiento
específico para detectar amenazas.
Aunque un sistema comprometido
es difícil de diagnosticar, es posible
basarse en otro tipo de indicadores
que muestren un funcionamiento
anómalo del sistema, como puede
ser el uso excesivo de recursos del
sistema o picos en el uso de red.
• Gestión del cambio: Una gestión
del cambio inexistente o no rigurosa
representa un alto riesgo. Una ges-
tión del cambio pobre en el entorno
IT es otra vulnerabilidad para una
red industrial. Por ejemplo: una
modificación en la configuración
de un switch u otra electrónica que
se comparta con la red industrial
o un switch dedicado para nuestra
red gestionado por IT debido a su
fragilidad.
Vulnerabilidades funcionales
Los dispositivos de campo suelen es-
tar formados por dos interfaces, una
conectada a la red IP desde la cual le
llegan órdenes de un servidor scada,
y la interface de E/S, la cual controla
las funciones físicas de producción.
Si un atacante puede alcanzar de
formalógicaundispositivodecampo,
es posible diferenciar 6 clases de
impactos funcionales:
• Denegación de visión y pérdida
de visión: Resultado de un fallo
temporal o permanente de las co-
municaciones en la tarjeta IP. La
afectación funcional es la pérdida
de la información en el proceso de
producción.
• Manipulación de visión: Modifi-
cación de los datos que el operador
visualiza para provocar una acción
inapropiada. En este caso no hay
impacto en la funcionalidad de la
interfaz IP o la de IO.
• Denegación de control y pérdida
3. 72
Automática e Instrumentación Noviembre 2014 / n.º 467
Soluciones CIBERSEGURIDAD
de control: Denegación temporal
o permanente del control sobre la
interfaz de E/S.
• Manipulación de control: In-
tercepta las funciones que envía el
operadoraldispositivoparamodificar
el código causando reacciones que
afecten al proceso de producción.
Vulnerabilidades técnicas
Hay una lista muy extensa de vul-
nerabilidades relacionadas con soft-
ware, hardware o la red y, debido
a la gran cantidad de fallos que se
publican cada día, esta lista sería
incompleta. Hay varias páginas con
todaslasvulnerabilidadespublicadas,
como por ejemplo www.cvdetails.
com o www.mitre.org.
Vulnerabilidades comunes
Las vulnerabilidades más comunes
en un entorno industrial son:
• Sistemas sin actualizar: Debido
al ciclo de vida de los sistemas de
control, muchos sistemas ejecutan
firmwares y sistemas operativos sin
actualizar, los cuales tienen vulnera-
bilidadespublicadas.Lagranmayoría
de sistemas de control utilizan los
mismos sistemas operativos que
un departamento IT con las misma
vulnerabilidades, pero sin el mismo
nivel de parcheado. Normalmente,
el proceso de actualización es un
proceso manual que suele llevar un
tiempo a ser aplicado.
• Técnicas de programación inse-
guras: Debido a los requerimientos
de complejidad inherentes a un
entorno de control, muchas implan-
taciones están desarrolladas con có-
digo inseguro. Por otro lado, muchas
aplicaciones han sido desarrolladas
por personal sin nociones sobre
seguridad, lo que puede llevar a un
sistema a sufrir ataques derivados
de esta vulnerabilidad.
• Dispositivos IT en redes indus-
triales: Dispositivos como portátiles
y servidores son un elemento común
en las redes industriales. Estos ele-
mentos tienen sistemas operativos
con vulnerabilidades conocidas, los
cuales pueden causar daños colate-
rales en la red industrial.
• Defectos en la red: Las redes ac-
tuales, en especial las de los sistemas
de control, tienen funcionalidades
que han sido desplegadas sin un
análisis de seguridad suficiente y
puedenofreceraccesoalosatacantes
una vez descubiertos.
• Protocolo OPC: El protocolo
OPC es un protocolo inseguro. Está
basado en la tecnología DCOM de
Microsoft, cuya seguridad se ha
visto comprometida hasta el punto
de que ya no se utiliza en entornos
IT. Si bien es cierto que el protocolo
OPC UA soluciona las carencias de
seguridad del protocolo OPC, en el
90% de las instalaciones todavía se
utiliza OPC.
• Ataques a bases de datos: Los
servidores de bases de datos se han
convertidoenlasaplicacionescentra-
les de un sistema de control debido
a la información que almacenan.
Estos deben seguir las prácticas de
seguridad adecuadas.
• Capacidad de memoria y proce-
samiento limitada: Los dispositivos
de campo están diseñados con una
capacidad de procesamiento y me-
moria limitada al fin para el cual han
sido diseñados. Este diseño tiene
como ventajas un diseño robusto
que soporta un ciclo de vida más
largo y un coste de implantación y
4. 73
Noviembre 2014 / n.º 467 Automática e Instrumentación
SolucionesCIBERSEGURIDAD
mantenimiento mucho menor. Ade-
más, al tener opciones limitadas, la
probabilidaddeunerrordeseguridad
por parte del operador también es
limitada. Por otro lado, el coste de
dicha simplicidad conlleva que estos
dispositivos –en la gran mayoría de
casos– no se puedan actualizar o
parchear. Su software y hardware
no soportan la instalación de mejoras
de seguridad.
• Procedimientos de ciberseguri-
dad: Con la integración de las redes
y el aumento de la complejidad de
las operaciones, el personal que
tiene acceso a la red también ha
aumentado. Se deben desarrollar y
mantener alineados con el negocio
unos procedimientos de cibersegu-
ridad robustos.
• Tecnologías de seguridad IT en
entornos industriales: Las solucio-
nes de seguridad IT se caracterizan
por añadir una capa adicional de
software a los dispositivos u otro
dispositivo a la red, por ejemplo, un
firewall o un sistema de detección
de intrusiones. Este tipo de solucio-
nes no son fácilmente aplicables, ya
que acostumbran a añadir estrés
al proceso y, por lo tanto, afectan
al funcionamiento, ya sea por la
latencia que dichos dispositivos ge-
neran o porque añadir dispositivos
intermedios puede ser un motivo de
peso para que el proveedor deje de
proporcionarnos soporte.
A modo de conclusión
Los incidentes en ciberseguridad se
producen constantemente. Cuando
analizamos una incidencia ocasiona-
da en un cliente, en muchos casos
vemos que se trata de un error tecno-
lógico, ya sea un bug en el proceso o
un error malintencionado producido
por cualquier tipo de malware. Un
entorno que no conoce sus vulne-
rabilidades es un entorno que no
se ha sometido a un diagnóstico en
profundidad.
Diego Martín Arcos
IT Manager en Sistel Control
www.sistelcontrol.es
Bibliografía
• Auerbach Publications (2011). Cybersecurity for industrial control
systems.
• Process control and SCADA security. [En línea] www.cpni.gov.
uk/Documents/Publications/2008/2008031-GPG_SCADA_Securi-
ty_Good_Practice.pdf