1"

Los"SCI"desnudos"en"el"paraíso"de"Internet"Centro"de"Ciberseguridad"Industrial"(CCI)""

WWW.CCI:ES.ORG"!

“Ciberseguridad,Industrial,es,el,conjunto,de,prác6cas,,procesos,y,tecnologías,,diseñadas,para,ges6onar,el,riesgo,del,ciberespacio,derivado,del,uso,,procesamiento,,almacenamiento,y,transmisión,de,información,u6lizada,en,las,organizaciones,e,infraestructuras,industriales,,u6lizando,las,perspec6vas,de,personas,,procesos,y,tecnologías”,

Ecosistema"del"CCI"

TIC"

Industrial"

Org."Industriales"e"infraestructuras"críCcas"

Consultoras"

Integradores"

Proveeodres"TIC"y"de"Ciberseguridad"

Proveedores"industriales"

Gobierno"

Ingenierías"EPC"

I+D+D+i"

Academia"

Centros"de""invesCgación"

ISAC

3"

Ecosistema"del"CCI"

Usuario!final!29%!

Ins0tuciones!públicas!5%!

Asociaciones!14%!

Centros!tecnológicos!3%!

Ingenierias!e!integradores!industriales!

6%!

Consultoras!e!Integradores!TIC!

26%!

Fabricantes!Industriales!5%!

Fabricantes!Ciberseguridad!

12%!

4"

Contexto:"Sistemas"IT"vs"OT"

DMZ" Red"corporaCva"

Acceso"Internet"

Red"operación"Centro""de"control"

Alto!Bajo!

Internet!

Fuga de información del ERP Fallo del servidor web

2 horas sin correo

Daño personal Interrupción de la producción Alteración de calidad producto

IMPACTO!

Internet!

Mantenimiento!

5"

Contexto:"Sistemas"IT"vs"OT"

DMZ"

CONFIDENCIALIDAD

INTEGRIDAD MENSAJES

DISPONIBILIDAD

CRITICIDAD DEL TIEMPO

SKILLS EN SEGURIDAD

CICLO DE VIDA SISTEMAS

RECURSOS COMPUTADOR

PROTOCOLOS DE RED

ALTA

BAJA, MODERADA

ALTA

TOLERANCIA DE RETRASO

BUENOS

3 A 5 AÑOS

ILIMITADOS

TCP/IP, UDP

BAJA

MUY ALTA

MUY ALTA

MUY CRÍTICO

MUY POBRES

MÁS DE 15 AÑOS

MUY LIMITADOS

MODBUS, DNP,PROFIBUS,.

TI ATRIBUTOS OT

Red"corporaCva" Red"operación"Centro""de"control"

6"

Documentos"

7"

Documentos"

8"

Documentos"

2009!

SHODAN"

9"

Documentos" SHODAN"

http://212.170.177.123

10"

Proyecto"Internet"Census"2010:2012"

420"millones"de"IPs"respondieron"a"las"solicitudes"de"ping""165"millones"de"IPs"tenían"uno"o"más"puertos"abiertos"141"millones"de"IPs"eran"cortafuegos"

4"simples"contraseñas"pueden"dar"acceso"a"cientos"de"miles"

de"equipos"

11"

Proyecto"Shine"2010:2013"

Se!iden0fican!entre!2.000!y!8.000!disposi0vos!diarios!

Se!han!descubierto!+!2.000.000!disposi0vos!

12"

Proyecto"Shine"2010:2013"

Fuente: Informe 2014 Proyecto Shine

13"

Proyecto"Shine"2010:2013"

Fuente: Informe 2014 Proyecto Shine

14"

h^ps://Icsmap.shodan.io"

15"

h^ps://Icsmap.shodan.io"

Contenido!del!fichero!modbus.json!!

+!19.000!registros!como!este!

16"

IRAM"2013"

h^p://www.scadacs.org/iram.html"

17"

Industrial"Risk"Assesment"Map"–"IRAM"2013"

h^p://www.scadacs.org/iram.html"

Tipos"de"sistemas" CanCdad"

HMI:!Human!Machine!Interface! 295!

UPS:!Uninterrupible!Power!Suply! 664!

ERP:!Enterprise!Resource!Planning! 1.222!

SCADA:!Supervisory!Control!&!Data!Adquisi0on!

3.258!

PLC!Network!device! 9.772!

PLC:!Programable!Logic!Controller! 20.501!

BMS:!Building!Management!Systems! 47.764!

18"

Estado"de"la"ciberseguridad"industrial"en"España"2013"

¿Tiene!los!SCI!!acceso!remoto?!

¿Tiene!los!SCI!!conexión!a!internet?!

19"

Documentos"

20"

Mapa"de"Ciberataques"Kaspersky"

21"

Ejemplos"de"Malware"descubiertos"

Jun"2010"Stuxnet" Sept"2011"Duqu"

Dic"2013"Careto"May"2012"Flame"

22"

Documentos"

23"

Project"BaseCamp"2012"

SCADA"Security"ScienCfic"Symposium"(S4)!

24"

2014"Project"Robus:"Master"Serial"Killer"

•  ObjeCvo:"Análisis"de"vulnerabilidades"en"la"Implementación"de"Protocolos"Industriales"(1º"DNP3)"

•  DNP3:"15"avisos,"28"Cckets"reportados"•  Técnicas"de"Fuzzing"•  Todos"los"disposiCvos"analizados"son"vulnerables,"solo"2"ok!"

•  Implementaciones"se"limitan"a"garanCzar"funcionalidad,"pero"no"la"seguridad"

•  Cientos"de"Miles"de"DisposiCvos"Vulnerables:"muchos"de"ellos"conectados"a"Internet"

25"

Documentos"

26"

Mapa"de"ruta"de"la"ciberseguridad"industrial"2013"–"2018""

• Cu

ltura"

• Protección

"

CONSORCIO INDEPENDIENTE

EVENTOS PERIÓDICOS

FOMENTAR PARTICIPACIÓN DESARROLLAR DOCUMENTA

SOLUCIONES PARA PIC

DESARROLLO DE TESTBEDS

•  Medir"y"analizar"el"riesgo"•  Detección"y"gesCón"de"incidentes"

•  Colaboración"y"coordinación"•  InvesCgación"

27"

Algunas"Recomendaciones"a"Corto"Plazo"

1.   Nombrar"a"un"responsable"CI."

2.   DiagnósCco"técnico"y"organizaCvo."1.   Inventario"de"acCvos"2.   Análisis"de"riesgos"3.   Priorizar"medidas:"

•  Control"de"acceso"•  GesCón"de"configuración"•  Monitorizar"accesos"•  Normas/procedimientos"de"uso"•  Concienciación"y"formación"

28"

Dos"recomendaciones"inmediatas"