10/29/2018
1
Desafíos para asegurar la automatizatiónIndustrial, Procesos y Systemas de Control
“Cuentos Industriales”
Situación del Mercado Una Tormenta Perfecta…
Cambio Rápido en el Ambientede la Amenaza de Ciberseguridad
PERSONA ENTERADA
ESTADOS DE LA NACIÓN CRIMINALES
TERRORISTAS
Proliferación de
Dispositivos Inteligentes
Conectividad
Masiva
Baja Prioridad y Presupuesto
Mínima Seguridad en la Tecnología de
Operaciones
+ =Copyright Claroty 2018 – All Rights Reserved
Convergencia de la red de Tecnología de Operaciones con la Red de Tecnología
de Información
10/29/2018
Copyright Claroty 2018 – All Rights Reserved3
Cronograma de Ataques
Campañas Ataques Frecuencia
Enfocado en Sistemas de Control
Incidentes reportados solo en
los Estados Unidos
STUXNETGusano con el objetivo a SCADA y modificación de
PLCs
OperaciónAurora
Amenaza avanzada y persistente – Ataque
cibernético a mas de 20 compañías de alta
tecnología, seguridad y defensa
NIGHT DRAGON
Amenaza avanzada y persistente con el
objetivo a empresas de energía global
DUQUGusano con el objetivo
de obtener y robar información en redes de
control industrial
SHAMOONVirus con el objetivo al
sector energético –Mayor ataque de
barrido
FLAMEVirus con el objetivo de
de espionaje cibernético en el Medio Oriente
GAUSSMalware para robar
información
RED OCTOBEREspionaje cibernético
malware con el objetivo a organizaciones de investigación y del
gobierno
HAVEXTrojan para el robo de información al acceso
remoto de Sistemas de control industrial
HEARTBLEEDError de seguridad y
vulnerabilidad explotada por atacadores
BLACKENERGYMalware inyectado a las redes de compañías de
energía, atacadores cortaron la energía en las regiones afectadas
BLACKENERGYMalware inyectado a las redes de compañías de
energía, atacadores cortaron la energía en las regiones afectadas
OP GHOULCampaña spear-phising
con el objetivo a Organizaciones
industriales en el Medio Oriente
NOTPETYARansomware Malware basado en las técnicas robadas del NSA que impactan sistemas de
control industrial
INDUSTROYERMalware con el objetivo a
compañías eléctricas –usada en el ataque a la red eléctrica de Ucrania
en el 2016
WANNACRYRansomware que impactó a los sistemas de control
industrial
HATMANTenía como objetivo
dispositivos de los sistemas de control
industrial con la habilidad de controlar
remotamente los sistemas de seguridad
4 Copyright Claroty 2018 – All Rights Reserved
ERP Correo Ventas
Firewall
BIServidores de Archivos
PLC
Bomba Válvula
RTU
Ventilador
Servidor SCADA
HMI
RTU
Válvula
PLC
Bomba Ventilador
ServidorSCADA
HMI
Estación de Ingeniería Estación de Aplicación Datos Históricos Estación del Operador Servidor WSUS
¿Cómo se protege una red que es invisible?Recursos Humanos Finanzas
Nivel 4TI Empresarial
Nivel 3Operaciones
Nivel 2Red de Procesos
Nivel 1Red de Control
Nivel 0Dispositivos de
Campo I/O
S
Sensor
M
Actuador
10/29/2018
5 Copyright Claroty 2018 – All Rights Reserved
¿Por dónde empezar con la ciberseguridad industrial?
Activo
Pasivo
Hibrido
Monitoreo de Amenazas
Integración al Centro de Operaciones de Seguridad
Sensor / EquiposImplementación
Inspección Profunda de Paquetes
?
Detección de Anomalías
Vectores de Ataques
6 Copyright Claroty 2018 – All Rights Reserved
¿Está preparada su organización para el desafío de ciberseguridad?
¿Cómo apoyar múltiples equipos y Circunstancias?
Centro de operaciones de seguridad (SOC)
Planta/Equipos de operaciones TO
Operaciones de TI
Auditoría de seguridad
Política de seguridad y gestión de riesgos
?
¿Cómo apoyar múltiples equipos y Circunstancias?
10/29/2018
7 Copyright Claroty 2018 – All Rights Reserved
Caso #1: exploración y perforación petrolífera offshore
Proteja $700m en plataformas de perforación, recipientes y equipos de amenazas de ciberseguridad, internas y externas
8 Copyright Claroty 2018 – All Rights Reserved
Proyecto de alta complejidad: plataformas, buques, suplidores, aplicaciones
Objetivos y conductores• Aumentar la seguridad del buque y la tripulación
• Cumplir con los requisitos contractuales existentes (= $Financiamiento)
• Cero impacto en las operaciones
• Proporcionar el cumplimiento de las regulaciones anticipadas
• Crear estructura y capacitación para la ciberseguridad del TO
Red de prevención de escape –Se utiliza para sellar, para controlar y para supervisar el aceite y el lanzamiento incontrolado del petróleo crudo o del gas natural de un pozo
Red de control de perforación –Controla las operaciones de perforación del buque
Control del propulsor Posicionamiento dinámico Administración de energía Sistemas de control deperforación
Prevención de Escape
Red de generación y
distribución de energía –proporciona electricidad a todo el sistema del buque
Red de posicionamiento
dinámico –Mantiene la posición y el rumbo de un buque utilizando sus propias hélices y propulsores
10/29/2018
Copyright Claroty 2018 – All Rights Reserved9
Equipo de proyecto de interfuncionalidad
“Una de las mejores decisiones que hemos tomado”
• Clave – Dirigido por TO
• Partes interesadas para ayudar a impulsar los requisitos y enfoque
• Miembros del equipo• TO
• Gerencia
• TI - “Persuadido” para Unirse
• Proveedores
• Personal de seguridad física incluido
• Decidido como un equipo para crear un Centro de Operaciones de Seguridad para la TO
Copyright Claroty 2018 – All Rights Reserved10
Estado del pre-proyecto Resultados después del proyecto
• No coherent policies/procedures for OT security
• No way to enforce the policies/procedures
• No visibility into OT cyber risks - multi-vendor assets, communications and networks on vessels
• No control over remote access to ICS and other assets on rigs or vessels by our guys or our vendors
• Not sure about what services or tools were available in market…
• Liderado por TO-equipo Cross-funcional creado
• 55 páginas de políticas/procedimientos para OT SOC
• Creación del centro de operaciones de seguridad en Houston
• Sistema de control industrial servicio de seguridad administrado
• 24x7x365 en los barcos de todo el mundo
• “Siga el sol” solución de monitorización continua
• Sistema de monitoreo y detección de seguridad avanzada
• Consola de monitoreo en tiempo real
• Acceso remoto seguro (vendedores y empleados)
10/29/2018
11 Copyright Claroty 2018 – All Rights Reserved‹Nº› Copyright Claroty 2018 – All Rights Reserved
Un mundo ideal: Islas Aisladas
“Manejando el proceso”
Normalmente no conectado al Internet
DCSControla el proceso
durante el Funcionamiento
Normal en forma segura
SISMueve el proceso a un estado
seguro cuando una emergencia u otra condición anormal
ocurre
Control Monitoreo y OperaciónSegura
Proceso
Conectado a Internet
“Ejecución del negocio”
12 Copyright Claroty 2018 – All Rights Reserved‹Nº› Copyright Claroty 2018 – All Rights Reserved
Mientras tanto, en el mundo real...
TI TO
• Mantenimiento remoto
• “Combinar Esfuerzos” puntos de interés
• Integración and planeamiento de
recursos
• IA y Analíticas predictivas
10/29/2018
Desafíos
Organizacionales
Obligaciones
No hay una clara
responsabilidad
para la
ciberseguridad de la
TO
Responsabilida
dLa
responsabilidad
distribuida mata
la obligación y
la colaboración
…
Administrador de
seguridad de la TI
(responsable de la
seguridad de la red de
TI)
VP de Operaciones
…
…
Gerente de Operaciones de
TO (Asegura que las redes
de TO continúen en
funcionamiento – la
seguridad no es una
prioridad)
CEO
COOCIO
CISO
NEW REALITY
CISO responsable
por los dos TI y
TO
Implica
presupuestos para
la ciberseguridad
de TO
Obligaciones
Responsabilida
d
…
Administrador de
seguridad de la TI
(responsable de seguridad
de la red de TI y TO)
VP de Operaciones
…
…
Gerente de Operaciones de
TO (Responsable de la
optimización de la
producción)
CEO
COOCIO
CISO
10/29/2018
15 Copyright Claroty 2018 – All Rights Reserved
El desafío del SOC para redes de TO
El desafío real – Entender el Contexto
• Acceso a la Experiencia en TO
• Entender y validar el riesgo – misión imposible?
Experiencia en TO
• Alerta –• Anomalía entre dos
dispositivos • ¿Se puede acceder
remotamente y obtener registros
• Se ha resuelto el problema? Puede causar algún daño?
• Como probarlo? Se entienden los síntomas? Validar el riesgo?
Qué hacer y Cuándo?
• El mayor problema: “¿Debo arreglarlo si no está roto?”
• Permitiría la intervención en las redes de TO si se esta operando correctamente?
• Balance entre seguridad y operaciones
• Se identifico la amenaza, entonces que hacer?
• Como se valida el riesgo a las operaciones porque hay una amenaza de seguridad
Operaciones Balanceadas/ Seguridad
16 Copyright Claroty 2018 – All Rights Reserved
Entonces, ¿cuál es el contexto adecuado del SOC en la TO?
El ejemplo de Triton (2017)
Ataque selectivo al sistema de seguridad de Schneider
Alternativa 1: Solución estándar de detección de anomalías• Alerta: IP xxx IP yyy anomalía
encontrada• …Que sigue? ¿Debo detener la
producción?
Alternativa 2: Solución de detección de anomalías en la red de TO• Alerta: Estación Triconix PLC descarga
de configuración - anomalía encontrada• Eso está mejor – pero, ¿es suficiente?
Alternativa 3: Solución de detección de anomalías de Claroty• Alerta: Estación Triconix PLC anomalía
encontrada, ¡Sistemas de seguridad desactivados! (con el valor exacto de la diferencia del código)
• Diferencia exacta en el código y contexto –marca la diferencia
10/29/2018
17 Copyright Claroty 2018 – All Rights Reserved
Caso #2: Empresa Global de gestión de proceso del ciclo de agua
Proteger las operaciones globales incluyendo negocios municipales, industriales, regulados y no regulados
Caso #2: Empresa global de gestión de proceso del ciclo de agua, aislada debido a adquisiciones y deferencias multinacionales
(detalles omitidos por anonimidad)
• Organización conglomerada, actividades en más de 24 países
• Presente en América del norte y del sur, Europa y Asia
• 25.6 m hogares atendidos
• Ingresos-$ 187B (USD)
• Las operaciones incluyen
–Municipal
– Industrial
–Regulada
–No regulada
10/29/2018
Gestión completa del ciclo de vida del agua desde la colección hasta el cliente1. Abstracción de agua no tratada y
producción de agua potable
2. Almacenamiento y distribución del agua potable
3. Recolección de aguas residuales
3. tratamiento de aguas residuales y restitución al medio ambiente
Extraídas de fuentes superficiales y subterráneas
100% de cobertura en agua potable
El agua se transporta a los tanques de regulación para asegurar una presión aceptable y fuente continuaRed de distribución de 14980km
Las aguas residuales se desechan a través de alcantarillas a las plantas de saneamientoRed de la colección: 12234km98% cobertura de recogida de aguas residuales
El agua tratada es devuelta a su entorno natural en condiciones óptimas
Cobertura del tratamiento de aguas residuales:
87% (2011)100% (2012)
Primer proyectoAlcance de la implementación
•Enfoque – protegiendo el saneamiento confiable
•3 plantas metropolitanas de agua/de aguas residuales y plantas de tratamiento de aguas residuales
•11 plantas menores
•Estaciones de bombeo remotas
•Nueva construcción y expansión
•Actualización de la red
10/29/2018
Copyright Claroty 2018 – All Rights Reserved21
Estado del pre-proyecto Resultados después del proyecto
• Envejecimiento de la Infraestructura, aumentando la población
• Saneamiento y pureza del agua en los mercados emergentes
• Escasa visibilidad en aislados, plantas multinacionales • Falta de responsabilidad• Muchos suplidores de equipos • No hay normas claras, una supervisión regional débil e
incoherente• Falta de entendimiento de TO por parte de TI• No estaba preparada para el cambio• Arquitectura existente de la red (o falta de ella)• Ciber-amenazas con el objetivo a las plantas de aguas
• Creado un equipo interdisciplinario e internacional
• Retardo de ataque a través de endurecimiento de dispositivos, firewall y segmentación de redes
• Reducción de la cantidad de ataques (estiman por lo menos 40%) y tiempo de detección (de días/meses a minutos)
• Respuesta de incidentes ciberseguridad mejorada con contexto y relevancia
• El SOC local se hizo visible al equipo de NOC corporativo
• Continúa la expansión
22 Copyright Claroty 2018 – All Rights Reserved
Plataforma de ClarotySoporta múltiples equipos y Circunstancias
Centro de operaciones de seguridad (SOC)
• Nivel 1 Monitoreo de amenazas• Nivel 2 Análisis• Nivel 3 Investigaciones y captura de
amenazas
Planta/Equipos de operaciones TO
• Inventario de equipos en tiempo real• Acatamiento de las normas• Auditoría de sesiones de acceso
remoto – Validación de cambios
Operaciones de TI
• Gestión de equipos• Gestión de cambios y configuraciones
Auditoría de seguridad
• Auditoría de derechos de acceso remoto• Auditoría de sesiones de acceso remoto • Acatamiento de regulacionesPolítica de seguridad y gestión de riesgos
• Gestión de vulnerabilidades y actualizaciones• Administración de empleados y políticas de
acceso remoto de terceros • Proceso de solicitudes de acceso remoto
10/29/2018
Copyright Claroty 2018 – All Rights Reserved23
Las cinco primeras observaciones de las implementaciones de campoIndustria, tipo de planta y sectores escépticos
• Vulnerabilidades no actualizadas – 5-20% de los dispositivos no han sido actualizados, la mayoría, pero no todos los Windows/HMI CVEs – muchos son relacionados a los sistemas de control industrial, los operadores no quieren arriesgar las posibles consecuencias.
• Comunicaciones externas comprometidas - por lo general, las estaciones de trabajo de ingeniería y PLCs, comúnmente los atacantes toman control para secuestrar las comunicaciones y comprometer el equipo, múltiples protocolos (por ejemplo, syslog, Modbus, RPC, DNS, SMB, http, UDP, etc.), a menudo es por el resultado de configuraciones erróneas.
• Protocolos inseguros – en uso con estaciones de trabajo de ingeniería/HMIS y PLCs, más comúnmente visto-Telnet, SNMP, LanMan, NetBIOS-NAME, SMTP, SMB, FTP, observado hasta y mas que 1/3 de todo el tráfico utilizando protocolos inseguros, y, finalmente, datos de texto sin formato, transferencias de credenciales, criptografía débil, y WannaCry descubrió y planteó el mayor riesgo para los operadores.
• Operaciones de escritura anormales – principalmente HMIS innecesariamente escribiendo a varios PLCs, superando las normas típicamente necesarias para controlar un proceso, y los detalles de base revelan comunicaciones de adquisición de datos innecesarias. Durante pruebas, se encontraron procedimientos y controles de acceso con privilegios mínimos.
• Puertos abiertos – Ventanas para conectar sistemas y servicios, en nuestra experiencia no es inusual encontrar que más de la mitad de los dispositivos tengan puertos abiertos. Simplemente cerrar y mantener puertos no es suficiente para eliminar una amenaza – pero elevará las barreras de entrada y, dependiendo del actor y su acceso, podría crear un retraso significativo o elevar el costo de la campaña.
Recomendaciones resumidas & Mejores prácticas
Aceptar la realidad que su organización tiene redes de TO que a menudo tienen valor estratégico a los adversarios
Asignar responsabilidad para monitorear y evaluar continuamente los riesgos
Reconocer puntos ciegos y orientar la postura defensiva para identificarlos y endurecerlos
No siempre es ciencia de cohetes, empieza con lo básico
Evaluar y analizar los riesgos de ciber-seguridad industrial con un equipo con inter-funciones
10/29/2018
Siguientes Pasos
Haz tus redes visibles
Priorizar segmentación de red
Expandir estrategias y reglas que incluyan redes de sistemas de control industrial y TO
Educar operadores, ejecutivos y directivos
Copyright Claroty 2018 – All Rights Reserved
Thank YouEmail: [email protected]
Title: Senior ICS Consultant
@Claroty
www.claroty.com
Gracias
10/29/2018
27 Copyright Claroty 2018 – All Rights Reserved
Diapositivas Adicionales
28 Copyright Claroty 2018 – All Rights Reserved
Claroty – Un enfoque distinto en el ambiente de TO
Plataforma de punto a punto
Detección continua de vulnerabilidades
Monitoreo continuo de amenazas
Acceso remoto seguro
Evaluación de la postura de seguridad
10/29/2018
Copyright Claroty 2018 – All Rights Reserved29
Control del propulsor Posicionamiento dinámico Administración de energía Sistemas de control deperforación
Prevención de Escape
Proyectos complejos – Plataformas, Buques, Suplidores, Aplicaciones
30 Copyright Claroty 2018 – All Rights Reserved
Nivel 4TI Empresarial
Nivel 3Operaciones
Nivel 2Red de Procesos
Nivel 1Red de Control
Nivel 0Dispositivos de
Campo I/O
ERP Correo Ventas
Firewall
Servidor de Archivos
Bomba Válvula Ventilador
Servidor Scada HMI
Válvula Bomba Ventilador
Servidor Scada HMI
Estación de Ingeniería Estación de Aplicación Datos Históricos Estación del Operador Servidor de WSUS
Plataforma de Claroty – Referencia Arquitectural Enterprise Management
Console
Continuous Threat & Detection
Security Posture
Assessment
PCAP
PortSPAN
Secure Remote Access Site
Secure RemoteAccess Central
SIEM Log Mgt. Analytics
Centro de Operaciones de Seguridad (SOC)
S
Sensor
M
Actuador
PLC RTU RTU PLC
10/29/2018
Copyright Claroty 2018 – All Rights Reserved31
Case #1: Elementos Finales
• 55 páginas de políticas y procedimientos
• Creación de un Centro de Operaciones de Seguridad (SOC) en Houston
• Servicio para la administración de dispositivos de
sistemas de control industrial
• 24x7x365 en 5 barcos alrededor del mundo• Solución de monitoreo continuo
• Monitoreo avanzado de seguridad y sistema de detección• Consola de monitoreo en tiempo real• Access remoto seguro (para suplidores o terceros)
Comunicación que monitoreamosConexiones de dispositivos dentro del ecosistemaAbierto/protocolos propietarios utilizados (CIP, S7,S7+,Ovation,Modbus, Vnet/IP, etc.)• Comandos que el dispositivo
envía y recive:• Adquisición de datos• Progrmación• Operación• Diagnóstico• Alarma y Eventos• Autenticación• y más
Información de dispositivos que descubrimos• Dirección IP• Dirección MAC • Equipos de terceros• Tipo de equipos (PLC, HMI,
Estación de Ingeniería, Switches, etc.)
• Número de modelo• Número de Serial• Versión del Firmware instalada
en el dispositivo• Detalles Físicos (rack slots)• Y más
Plataforma de Claroty
Más extensa covertura de protocolos
10/29/2018
Oil & Gas
• Emerson ROC
• ABB TotalFlow
Safety
• Triconex
• Yokogawa ProSafe
Distributed Control Systems
• Honeywell Experion
• FTE (Honeywell)
• Emerson Ovation DCS protocols
• Emerson DeltaV DCS protocols
• Yokogawa VNet/IP
• GE Mark6e (SDI)
• Schneider Foxboro
New• Omniflow – Added Telnet Support
• Hirschmann Eagle
• GE QuickPanel TRAPI
• ABB Spirit
Automation & Production • OMRON Fins• Plus-S7/S7• Siemens IP/EtherNet• Rockwell including (CIP extension)• CSPv4/PCCC • Compresson Controls Corporation (CCC)• OPTO Control Technology Inc (CTI)• Lantronix • GE-SRTP• GE QuickPanel• GE EGD • GE PAC8000 • Mitsubishi Melsec/Melsoft• Sattbus • OPC DA/AE/UA • Profinet-DCP• Profibus • Modbus • Modbus Schneider • Modbus Altivar • Modbus Concept/Momentum• Modbus RTU• OSISoft Pi• Schneider SCADAPack• Schneider Magelis • GE Mark 6e
Plataforma de Claroty
Protocolos soportados en el sistemas de control industrial
Electric & Distribution
• ABB 800xA DCS protocols
• ABB Bailey
• MMS (including ABB extension)
• ICCP TASE.2
• IEC104/101
• DNP3
• GOOSE
• Schweitzer
• Brüel & Kjær Vibro (BKV)
• Bently Nevada
Building Management Systems
• Siemens P2
• Bacnet
• Niagara fox
Full list of Supported Protocols: https://cdn2.hubspot.net/hubfs/2553528
/ProtocolUpdateDataSheet.pdf
• TCP/IP
• SNMP
• SSH
• HTTP / HTTPS
• Telnet
• FTP
• SMB / CIFS
• DNS
• ICMP
• IGMP
• Browser
• FTP
• SMB2
• CDP
• LLDP
• DCE/RPC
• DHCP V4/V6
• ARP
• VNC
• TFTP
• NTP
• RDP
• SSL
• NTLMSSP
• ATSVC
• SMB-PIPE
Plataforma de Claroty
Protocolos soportados en el sector de Tecnología de información
10/29/2018
Copyright Claroty 2018 – All Rights Reserved
Thank YouGracias