cybersecurity in industry 4 - s2rforum.esen una planta de acero en alemania • aplicando métodos...
TRANSCRIPT
CYBERSECURITY IN INDUSTRY 4.0 SR2
© 2016
Ataque dirigido en una planta de acero en Alemania • Aplicando métodos avanzados de
spear phishing, atacantes consiguen infiltrarse en los sistemas de la planta y manipular componentes de control.
• Como consecuencia un alto horno no pudo ser apagado en condiciones y sufrió graves daños.
• Los atacantes tenían avanzadas capacidades técnicas y experiencias en seguridad TI, junto con un detallado conocimiento de los procesos de fabricación utilizados.
• La motivación detrás del ataque es desconocida por las autoridades
Ciber-ataques: Algunos ejemplos
Fuente: Bundesamt für Sicherheit in der Informationstechnik
© 2016
Planta nuclear infectada con virus El Secretario del Ministerio del Interior Alemán, Klaus Vitt, confirma en una conferencia de ciberseguridad nacional que la Oficina Federal de Seguridad de Información tiene información que corrobora que el virus detectado en la planta nuclear de Gundremmingen ha sido introducido en un equipo que controla las barras de combustible nuclear, y que estaba aislado de otros sistemas (air gap), a través de una memoria USB.
Ciber-ataques: Algunos ejemplos
© 2016
Ciber-ataques: Algunos ejemplos
© 2016
Notificaciones de incidencias por año Creciente número de exploits
0
50
100
150
200
250
300
0
5
10
15
20
25
2010 2011 2012 2013 2014 2015
Ciber-amenazas en Industria 4.0
Evolución de incidencias en Industria 4.0
Fuente: scadahacker.com Fuente: recordedfuture.com Stuxnet descubierto
© 2016
Incidencias por sector en 2015
Manufactura crítica 39%
Presas 2%
Defensa 1% Energía
3% Financiero
1% Gobierno
7%
Salud 5%
TIC 8%
Transporte 9%
Agua 10%
Desconocido 11%
Químico 2%
Comercio 1% Alimentos y
agricultura 1%
Ciber-amenazas en Industria 4.0
Fuente: ICS-CERT
© 2016
Evolución
Sistemas de control industrial
Fuente: 2014 SANS™ Institut
Protocolos Fieldbus Foundation (DeviceNet, ControlNet, Profibu
1900
1950
1960
1970
1980
1990
2000
2015
Control numérico con cinta perforada
Interruptor de relé electromecánico
MODular DIgital CONtroller 084 (primer PLC)
Introducción del protocolo Modbus para la comunicación entre PLCs
PLC conectado a PC
Conectividad Ethernet y TCP/IP para PLCs
Convergencia de ICS y TI corporativo
PLC con servidor web integrado
Stuxnet / Duqu
Primeras infecciones y ataques (Troyanos, gusanos, virus, amenazas internas)
APTs diseñados específicamente para ICS
© 2016
Particularidades de Sistemas de Control Industrial (ICS) Histórico Seguridad por aislamiento (air-gap) Seguridad por oscuridad (protocolos propietarios)
Tendencias Integración con redes corporativas y/o conexión directa a Internet Aplicación de la pila del protocolo TCP/IP Integración de servidores web en dispositivos finales (ej. RTU)
Sistemas objetivo de ataque
Los ICS son cada vez más vulnerables a ataques cibernéticos
© 2016
Un mundo lleno de bichos… Spam Spyware Adware Phishing Troyano Virus Gusano Ransomware RootKit APT
Vulnerabilidades, amenazas y riesgos
© 2016
Vías de infección Sitios Web maliciosos Ingeniería social Responder a phishing mails Ejecutar programas infectados A través de redes conectadas A través de dispositivos conectados USB BYOD
A través de acceso físico
Vulnerabilidades, amenazas y riesgos
© 2016
Dirigidas Accidentales / efecto secundario
Ataque centrado en conseguir objetivo concreto Puede utilizar otras áreas o
dispositivos como “trampolín”
Infección propagada desde otro área Malware
Errores humanos
Vulnerabilidades, amenazas y riesgos
Tipos de amenazas
© 2016
Desde el “script-kiddie” a estados-nación
Ciber Espionaje: Explotación paciente, persistente y creativa para conseguir ventajas estratégicas en los ámbitos económicos, políticos y militar
Tipos de adversarios y sus motivaciones
Ciber Guerra: Operaciones cibernéticas con el fin de destruir o degradar las infraestructuras de un país
Ciber Crimen: Actividades criminales con el fin de obtener beneficios económicos
Ciber Terrorismo: Convergencia del ciberespacio y del terrorismo, causando pérdida de vidas o graves daños económicos
Ciber Activismo: Ciberataques que tratan de influir en la opinión y / o reputación de las organizaciones, afiliaciones o causas específicas
Ciber Malicia: Ataques arbitrarios de aficionados, causando molestias y daños menores
© 2016
HAVEX Países más afectados por el malware que busca activamente servidores OPC en sistemas SCADA
España 27%
EEUU 24%
Francia 9%
Italia 8%
Alemania 7%
Turquía 6%
Polonia 5%
Romania 5%
Grecia 5%
Serbia 4%
Fuente: InfoPLC.net
Tipos de adversarios y sus motivaciones
© 2016
Tipos de adversarios y sus motivaciones
© 2016
Amenazas internas Amenazas internas son las que ocurren con menor frecuencia y las que causan los mayores daños y perjuicios
Tipos de adversarios y sus motivaciones
© 2016
“El mantra de cualquier buen ingeniero de seguridad es: "La seguridad no es un producto, sino un proceso." Es algo más que diseñar sólidos algoritmos criptográficos. Es el diseño de todo el sistema de tal manera que todas las medidas de seguridad, incluyendo la criptografía, trabajan en conjunto.” Bruce Schneier
© 2016
Seguridad Integral Modelo de Evaluación integral de una instalación completa y
su sistema de seguridad, evaluando: riesgos y medidas –procesos, personas y tecnologías-, sus “elementos críticos” y Analizando intra-dependencias (otros EC) e inter-dependencias
(otras IC)
Técnicas y estrategias de protección y prevención
© 2016
Defensa en profundidad
Técnicas y estrategias de protección y prevención
Perímetro físico Perímetro virtual
Arquitectura de red
Protocolos
Servidores
Aplicaciones
Dispositivos de campo
© 2016
Perímetro físico combinación de controles de acceso físico cerraduras lectores de tarjetas sistemas biométricos
registros de todos los accesos autorizados protección de interfaces físicamente accesibles (puertos de serie,
USB, etc.)
Técnicas y estrategias de protección y prevención
© 2016
Técnicas y estrategias de protección y prevención
© 2016
Mantenimiento de la funcionalidad en condiciones adversas Redundancia de cada componente Evitar fallos en cadena Aislamiento de componentes en caso de fallo
para evitar efectos segundarios en otros elementos
Degradación elegante Operación de emergencia Operación manual
Restauración del sistema Copias de seguridad Tiempo de recuperación
Roles y responsabilidades
Plan de respuesta a incidentes
Técnicas y estrategias de protección y prevención
© 2016
Objetivo principal
Industria 4.0 resiliente Resiliencia: en sistemas tecnológicos, capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones
Conclusiones
© 2016
La seguridad total no existe !! El grado de defensa de un sistema está definido por su nivel de resiliencia – o capacidad de supervivencia
Conclusiones
© 2016
© 2016
www.tecnalia.com
blogs.tecnalia.com
http://www.cyberssbytecnalia.com/content/blog