Ciberseguridad en la Industria 4.0 Desafíos y Estrategias · DSI-EIE-FCEIA Ciberseguridad en...

1

Ciberseguridad en la Industria 4.0Desafíos y Estrategias

Ing. José Luis SimónDepartamento de Sistemas e

InformáticaEIE - FCEIA

DSI-EIE-FCEIA Ciberseguridad en Industria 4.0 2

Agenda

● Industria 4.0: contexto tecnológico● Riesgos y amenazas● Incidentes notables● Estrategias● El modelo ISA IEC 62443● Firewalls, IDS e IPS● Conclusiones


Que es Industria 4.0?

“…automatización, autonomía, fexibilidad e individualización, donde una completa interrelación y un sostenido incremento de la productividad y

efciencia son factores característicos.

El núcleo de la industria 4.0 es la fábrica inteligente, operada por un sistema ciber-físico consistente en componentes físicos que reciben entradas virtuales y

accionamientos industriales robóticos, conectada a su ecosistema”


Que es Industria 4.0?

● Digitalización e integración vertical y horizontal de las cadenas de valor

● Digitalización de la oferta de productos

● Modelo de negocios y acceso del cliente digitalizados

● Tiempo real

● Conectada


Industria 4.0: contexto

● Enteramente digital

● Alineamiento con la demanda: "customization"

● Monitoreo de la experiencia del cliente

● Integración de la cadena de suministros

● Manufactura flexible

● Distribución organizacional


Industria 4.0: contexto (ii)

● Interoperabilidad M2M, S2M, H2M

● Virtualización: capacidad de crear un modelo preciso de planta a partir de los datos de campo en tiempo real

● Asistencia técnica que habilite las interacciones H2M bidireccionales

● Toma de decisiones descentralizada, para permitir procesos o subprocesos auto mantenidos


Industria 4.0: contexto tecnológico

● IoT

● Big Data

● B2B, C2B, M2M

● Conectividad y acceso universal

● Reputación

● Persistencia de sistemas legados, no soportados ni actualizables


Ciberseguridad industrial: de donde venimos

● La Industria 3.0 descansa mayoritariamente en dos estrategias de seguridad informática:

– Especificidad de sistemas, representación de datos y protocolos: "seguridad por oscuridad"

– Desconexión física con el mundo exterior: "air gap"


Donde estamos hoy

● Confluencia con los estándares abiertos de representación de datos, protocolos e interacciones en tiempo real entre sistemas ICS y sistemas corporativos (ERP, HR, MES, CRM,...)

● Conectividad omnipresente, basada en estándares (TCP, Ethernet, ...)

● Internet, IoT, IIoT

● Integración de sistemas heterogéneos via APIs estándar (WebServices, REST, XML,…) al interior y el exterior de la fábrica


Ciberseguridad actual

La concepción de seguridad informática de la Industria 3.0 es absolutamente insuficiente


Riesgos


Espionaje sobre la propiedad intelectual

● El conocimiento de los procesos de producción está expuesto a los riesgos de seguridad informática

● La propiedad intelectual es el activo mas valioso de la industria 4.0

● Una intrusión que permita acceder a este tipo de información no solo daña por competencia, sino especialmente por reputación


Denegación de servicios

● Se requiere de un elevado grado de estabilidad y confiabilidad, en especial en las interacciones entre sistemas computacionales y componentes físicos de los procesos industriales

● La interconexión creciente introduce nuevos "puntos oscuros" donde no llega el control tradicional

● La "cadena de producción" de un servicio de planta incorpora actores no directamente supervisados


Ataques a la cadena de suministros

● Cadenas integradas producen dependencias vinculadas

● Las fronteras pueden ser difusas

● Si los estándares de seguridad son disímiles se aumenta la exposición del conjunto

● El riesgo mayor es la denegación de servicio "end to end"


"Advanced Persistent Threats"

● En forma creciente, y en particular en los últimos diez años, se verifica un número significativo de incidentes asignables a ataques contra la seguridad informática en ambientes industriales:

– Stuxnet (2009-2010) https://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet (Siemens Step7)

– Petya-Not Petya: Sistema eléctrico de Ucrania, Maersk, Rosnoft, ... – WannaCry: ransomware ligado a Corea del Norte, sistema de salud NHS en el

Reino Unido– Ataque a la petrolera Saudi Aramco:

https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html (Schneider Electric Triconex)

– Empresa de energía de Alemania EnBW: https://www.reuters.com/article/us-germany-energy-cyber/german-prosecutors-probing-hack-of-energy-firm-last-year-idUSKCN1IH1QD

https://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet

https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html

https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html

https://www.reuters.com/article/us-germany-energy-cyber/german-prosecutors-probing-hack-of-energy-firm-last-year-idUSKCN1IH1QD

https://www.reuters.com/article/us-germany-energy-cyber/german-prosecutors-probing-hack-of-energy-firm-last-year-idUSKCN1IH1QD


Ciber terrorismo

● La infraestructura crítica, por ejemplo una red eléctrica como el Sistema Interconectado Nacional es objetivo militar, tal como lo demuestra el "blackout" de mas de 24 horas producido en Ucrania durante la disputa por Crimea en 2016, afectando mas de 250.000 usuarios en Kiev

● Grupos para estatales y organizaciones terroristas muestran gran actividad

● En 2017 el grupo "Shadow Brokers" develó en internet un arsenal cibernético de la agencia NSA de EEUU


"Ingeniería social"

● Uno de los vectores de ataque mas usados a escala mundial, aprovecha las violaciones de políticas de seguridad cometidas por personas con acceso a instalaciones críticas

● La no observancia (o carencia) de políticas fuertes de seguridad es origen de gran número de incidentes graves


Clasificación de amenazas

● El estándar IETF-7416 establece una clasificación de las amenazas a la seguridad de los sistemas de control industrial (ICS) basada en los objetivos del ataque:

– Amenazas a la disponibilidad– Amenazas a la integridad– Amenazas a la confiabilidad– Amenazas de autenticación/autorización


Amenazas a la disponibilidad

● Sustracción física o lógica de dispositivos

● Anulación de segmentos de red

● Ataque DoS

– Relays

– Forwarding selectivo

– Botnets

– ...


Amenazas a la integridad

● Sabotaje del equipamiento industrial

● Inyección de malware

● Modificación de operación de dispositivos

● Alteración o supresión de tráfico real

● Impersonation y spoofing


Amenazas a la confiabilidad

● Robo de datos sensibles mediante análisis pasivo de tráfico

● Inyección de código XSS o SQL

● Obtener o corromper las acciones del control

● Vectores


Amenazas de autenticación/autorización

● Obtención de credenciales

● Escalamiento de privilegios

● Uso de vulnerabilidades, en especial las tipo "zero-day"


Datos sobre incidentes

● Compilada a 2015, la base de datos RISI:

http://www.risidata.com/Database

● ICS-CERT: base de datos del gobierno de EEUU:

https://ics-cert.us-cert.gov/

● SANS: “The State of Security in Control Systems Today”:

www.sans.org/reading-room/whitepapers/analyst/state-security-control-systems-today-36042

http://www.risidata.com/Database


http://www.sans.org/reading-room/whitepapers/analyst/state-security-control-systems-today-36042


Datos sobre incidentes (2016)

Informe del National Cybersecurity andCommunications Integration Center, NSA, USA

Year_in_Review_FY2016_IR_Pie_Chart_S508C.pdf


Estrategias


Estrategias DHS

● "Lista blanca" de aplicaciones

● Administración de configuración y parches

● Reducción de la superficie de ataque expuesta

● Diseño de un entorno defendible

● Control de autenticación y contextos

● Acceso remoto seguro

● Estrategia de monitoreo y respuesta pre planeada


"Lista blanca" de aplicaciones

● En casos donde el software de un ICS es de naturaleza "estática" puede prevenirse la ejecución de malware inyectado verificando las signaturas de componentes y permitiendo sólo la ejecución de aplicaciones de una "lista blanca"

● En el escenario de Industria 4.0 su aplicación es muy limitada, sino imposible


Administración de configuración y parches

● Uno de los vectores mas explotados por los atacantes son las vulnerabilidades de software de infraestructura o de aplicación: sistemas operativos, aplicaciones muy difundidas, etc.

● Es imprescindible tener en vigencia una política estricta de certificación/aplicación de parches y configuraciones

● Problema: a veces los parches contienen nuevas vulnerabilidades


Reducción de la superficie de ataque expuesta

● Aislar componentes críticas del ICS, en especial de internet

● Inhabilitar servicios innecesarios

● "hardening" de sistemas operativos

● Permitir conectividad en tiempo real si y sólo si hay una función de control activa

● "Diodo de datos"


Diseño de un entorno defendible

● Limitar el daño de eventuales violaciones de perímetros ⇿ defensas concéntricas

● Segmentar redes y restringir las comunicaciones host-to-host a lo estrictamente imprescindible

● Evitar configuraciones que permitan el escalamiento de privilegios


Control de autenticación y contextos

● Obtener credenciales válidas, en especial las de usuarios con altos privilegios se ha convertido en uno de los vectores de ataque mas utilizados

– Implementar autenticación multifactor

– Reducir privilegios al mínimo imprescindible para la tarea

– Implementar una política de caducidad y fortaleza de contraseñas

– Verificar contextos


Acceso remoto seguro

● El vector favorito de los atacantes

● El software actual está plagado de "backdoors"

● Debe limitarse el uso del AR a los casos imprescindibles

● Implementar "diodo de datos" por sobre accesos de "sólo lectura"

● Monitorear login y logout en forma independiente

● Implementar pistas de auditoría


Estrategia de monitoreo y respuesta pre planeada

● Verificar el tráfico IP en las fronteras del ICS vía firewalls

● Monitorear el tráfico de la red interior usando "deep inspection" vía IDS/IPS

● Analizar actividad de login/logout a la búsqueda de patrones anómalos de actividad

● Siempre contar con un plan prediseñado de respuesta que prevea escalamiento, acciones de remediación y aislamientos preventivos


Mitigación

● Autenticación adaptativa

● Análisis dinámico del comportamiento

● Administración de la privacidad

● Protección de datos y funciones por sobre las zonas


Defensa multinivel

● Propuesta por el estándar ISA IEC

62443, basada en "zonas" de

dispositivos con requerimientos

comunes de seguridad y

"conductos" que contienen y

controlan la comunicación entre

zonas


Modelo ISA IEC 62443 (ISA 99)

International Society of Automation (ISA)

International Electrotechnical Comission (IEC)

Zonas y Conductos


ISA IEC 62443: aspectos técnicos

● El estándar IEC 62443-3-1 provee una descripción de las tecnologías disponibles para la protección de ICS, sus ventajas y limitaciones

● El estándar IEC 62443-3-2 describe como las organizaciones deben segmentar su red en zonas y conductos, agrupando sistemas de similar funcionalidad, propósito y/o localización, llevando a cabo un análisis de riesgo y definiendo requerimientos de seguridad por zonas. A cada zona se le asigna un nivel objetivo de seguridad en una escala 1 a 4, dependiente de la criticidad de la zona para la operación del proceso productivo

● El estándar 62443-3-3 describe los requerimientos generales de seguridad en términos de identificación y autenticación, confidencialidad de datos, e integridad del sistema, especificando cómo difieren de las redes de TI. En particular, el estándar destaca que la performance y disponibilidad del sistema no deben ser afectadas para cumplir estos requerimientos


ISA IEC 62443: aspectos técnicos

● El estándar IEC 62443-4-1 define un proceso de desarrollo orientado a reducir el número de vulnerabilidades en el ICS, basado en mejores prácticas y diseño seguro

● El estándar IEC 62443-4-2 define los requerimientos técnicos para asegurar componentes individuales de una red industrial, basados en la seguridad sistémica especificada por IEC 62443-3-3:– Disponibilidad– Protección de planta– Operaciones de planta– Respuesta en tiempos críticos– Restricciones de flujo de datos para obtener adecuada segmentación de la red– Particionamiento de aplicaciones– Aislamiento de la función de seguridad – Protection de límites


Firewalls y zonas

● Los firewalls industriales establecen delimitación física y lógica entre zonas del modelo propuesto, mediante la inspección de paquetes de datos en tránsito desde y hacia la zona protegida aplicando reglas que determinan si el paquete continua su tránsito, es rechazado o descartado

● Un modelo de zonas estricto requiere que el firewall sea capaz de inspeccionar los paquetes no sólo en términos de origen-destino, sino en cuanto a protocolos y comandos aceptados, incluyendo Modbus/Tcp, por ejemplo


Tipos de firewalls

● Funcionalmente pueden identificarse los tipos:

– Borde

– WAN

– De campo

● En todos los casos, el firewall delimita la frontera entre zonas del modelo e implementa los conductos especificados


IDS/IPS

Sistemas de detección/prevención deintrusiones


IDS/IPS: técnicas

● Los IDS/IPS actúan mediante la detección de patrones de comportamiento anómalos en el ICS:

– Una variante intenta detectar "signaturas", o grupos de bytes reconocidos como característicos de un ataque

– Otra es la detección de anomalías en el estado y el comportamiento del ICS consistentes con la presencia de un ataque

– Involucran análisis estadísticos, técnicas heurísticas y aprendizaje automatizado


Que son?

● Un IDS es un software capaz de detectar comportamientos anómalos en un ICS, compatibles con una vulneración de las políticas de seguridad informática. Produce alertas pre planeadas

● Un IPS incluye la funcionalidad IDS pero además toma acciones tendientes a aislar la amenaza y mitigarla


IDS: técnicas

● Los IDS actúan mediante la detección de patrones de comportamiento anómalos en el ICS:

– Una variante intenta detectar "signaturas", o grupos de bytes reconocidos como característicos de un ataque

– Otra es la detección de anomalías en el estado y el comportamiento del ICS consistentes con la presencia de un ataque

– En general involucran análisis estadísticos

– Hoy se están empleando técnicas del campo de la Inteligencia Artificial, en especial Deep Learning


Conclusiones

● La seguridad no es una elección, sino un prerrequisito

● Es un esfuerzo continuo y cotidiano, que demanda recursos humanos y materiales

● Siempre es un blanco móvil

● Protege activos invaluables de la organización

● No es un negocio, sino una condición para hacer negocios


Conclusiones

● La Seguridad Informática es una inversión sin ROI (retorno de inversión) a corto plazo

● Debe analizarse en el contexto de mitigación de riesgos

● Los riesgos son multidimensionales

● La confianza de los stakeholders debe ser uno de los ejes críticos


Material y lecturas adicionales

● www.secmatters.com● https://ics-cert.us-cert.gov ● https://www.nics.uma.es/publications● www.sans.org● cdn2.hubspot.net

http://www.secmatters.com/


https://www.nics.uma.es/publications

http://www.sans.org/

Ciberseguridad en la Industria 4.0 Desafíos y Estrategias · DSI-EIE-FCEIA Ciberseguridad en...

Documents

Transcript of Ciberseguridad en la Industria 4.0 Desafíos y Estrategias · DSI-EIE-FCEIA Ciberseguridad en...