Segunda Jornada del V Congreso Internacional de Ciberseguridad Industrial

Cybserseguridad-Industrial-2.jpg

El dia 7 de octubre se celebró en Madrid la segunda jornada del congreso organizado por el Centro de Ciberseguridad Industrial (CCI). Al igual que el primer día del congreso, la reunión tuvo un alto nivel de participación, y un conjunto de ponentes de excelente categoría. A continuación se destacan las ponencias de algunos de ellos.

De la Teoría a la práctica: Hacking en el mundo industrial

Este día abrió el turno de presentaciones Gabriel González García, de la empresa IOActive, quien expuso algunas debilidades de la seguridad de los sistemas embebidos. En concreto explicó cómo se puede realizar un ataque a un satélite de comunicaciones, y cómo manipular los contadores eléctricos inteligentes (smart meters).

A través de una explicación teórica, Gabriel mostró que cierto modelo de satélite puede ser vulnerado mediante la ejecución de comandos sin permisos (inyección de código), y que se puede extraer la contraseña del administrador con herramientas sencillas.

b2ap3_thumbnail_smart-meter.jpg

El segundo caso de hacking estaba dirigido al entorno de las Smart Grids; término inglés con el que se conoce a las redes eléctricas inteligentes. Una red inteligente se compone de distintos elementos desplegados. Desde el punto de acceso al consumo, donde se encuentra el contador inteligente, pasando por la red de distribución y comunicaciones, hasta el centro de gestión donde se realiza la tarificación, y el control de suministro. Uno de los puntos más delicados de la red es precisamente el contador inteligente; el cual está expuesto a distintas amenazas como son el fraude en la tarificación, el corte del suministro, ataques a gran escala, y sabotajes de la infraestructura física. Gabriel describió cómo teniendo acceso físico al contador, y con unos conocimientos básicos de electrónica, se puede realizar un ataque de ingeniería inversa que intercepte las comunicaciones del contador (bus interno); lo cual puede facilitar el fraude en la medida del contador o en el tipo de tarifa.

Virtual patching en sistemas DCS y SCADA

José Luis Laguna, director técnico de Fortinet con la ayuda de Antonio Navarrete de CMC hablaron sobre la problemática de la gestión de parches en el entorno industrial; y de cómo las soluciones de Fortinet ayudan a solventarlo.

Aunque Fortinet es un fabricante de seguridad global, no especializado específicamente en los entornos industriales, si que implementa en sus equipos Fortigate algunas características que lo hacen muy adecuado para ciertos casos concretos del mundo industrial. Una de estas funcionalidades es el Virtual Patching; el cual facilita la aplicación de actualizaciones de software sin modificar el programa/aplicación que se está ejecutando. Existen buenas razones para aplicar esta técnica en los sistemas DCS y SCADA; entre las que se pueden nombrar sistemas operativos sin soporte del fabricante, muy pocos antivirus, vulnerabilidades conocidas, coste de actualizaciones, equipos conectados directamente a Internet.

Otras características interesantes de Fortigate son la posibilidad de crear firmas de malware manuales, la capacidad para crear áreas de seguridad dentro de la red OT, o la facultad de crear redes privadas virtuales de acceso remoto y seguro al mantenimiento de los equipos industriales.

b2ap3_thumbnail_Patching.png

Para finalizar esta ponencia, Antonio Navarrete realizo una demostración práctica de cómo mediante un Fortigate rugerizado se puede proteger un brazo robótico controlado por un PC industrial. Para ello desarrolló una prueba de concepto en la que mostraba un ataque al PC industrial que controlaba el robot. En la prueba de concepto se aprovechaba una vulnerabilidad del protocolo SMB que se estaba ejecutando en el PC industrial; y que como muchos equipos, aún seguía ejecutando Windows XP. Para finalizar, Antonio enseñó que aplicando el antivirus y las técnicas IDS del Fortigate era capaz de frenar el ataque.

 Ciberataques dirigidos en infraestructuras críticas

Los famosos ataques avanzados persistentes (APT) desgraciadamente también se manifiestan en las infraestructuras críticas; y sobre ello centró su exposición Enrique Martín del grupo tecnológico GMV.

La ponencia comenzó con la definición de “infraestructura crítica” como servicio esencial para los ciudadanos; y cuyo funcionamiento y disponibilidad debe estar garantizado. De ahí la enorme importancia de una gestión adecuada de los ataques avanzados persistentes en este tipo de sistemas críticos; como son el transporte, las industrias química, petrolífera, y nuclear, o la distribución de aguas, gas y electricidad.

b2ap3_thumbnail_CyberAttack.jpg

Enrique Martín hizo un repaso del concepto del ataque avanzado persistente, insistiendo en que se trata de una acción dirigida objetivos concretos. Este tipo de ataques se caracterizan por su capacidad de sobrepasar las protecciones habituales de seguridad, porque permanecen ocultos en los sistemas incluso durante años, y porque van dirigidos a objetivos estratégicos normalmente con un propósito económico.

Como solución para intentar frenar este tipo de amenazas, GMV propone la tecnología de la “inteligencia de amenazas. La cual mediante el conocimiento del comportamiento externo y de las tácticas de los atacantes, permite identificar y bloquear las acciones antes de que lleguen al objetivo. Además proponen un ciclo de gestión de amenazas basado en la realización de tareas de detección, respuesta y protección.

Barreras para un mejor avance en la protección de infraestructuras críticas

Maria Pilar Torres, responsable de proyectos de cibersguridad en la compañía Everis, hizo un repaso del estado de la ciberseguridad en 2015, y aportó su punto de vista sobre los impedimentos que encuentran actualmente tanto la propia industria, como las empresas de servicios de seguridad para aplicar la cibersguridad.

b2ap3_thumbnail_Mapi.jpg

La primera de las barreras encontradas ha sido que la formación y concienciación no obtenían los resultados esperados debido a su carácter demasiado teórico; por lo que se aconseja introducir más elementos prácticos, tales como los simulacros de crisis. Dentro del tema formativo, también se ha encontrado una carencia de conocimientos en los profesionales; y por ello se propone la creación de un nuevo esquema de certificaciones ICS/SCADA; y que el desarrollo de la documentación sea diferenciada por sectores industriales.

Por otro lado, dentro de la propia organización se echa en falta en muchas compañías el suficiente apoyo desde la dirección hacia el CISO (Chief Information Security Officer). Esta figura es el responsable de una gran cantidad de actividades como son la definición y seguimiento de las políticas de seguridad, del análisis y gestión de riesgos, del apoyo al plan estratégico de seguridad, del cumplimiento de las leyes LOPD y PIC, de la implantación del sistema de continuación del negocio. La ejecución adecuada de estas tareas tiene una consecuencia directa sobre los procesos de la organización, y sobre el servicio que proporciona; por lo que en algunos casos al CISO se le puede llegar a considerar como un superhombre.

Maria Pilar Torres propuso algunas prácticas para reforzar la ciberseguridad industrial como la contratación de ciberpólizas para manejar las crisis, las auditorías de seguridad, la creación de entornos virtualizados para la realización de pruebas o pentesting, el despliegue de honey-pots, y el empleo de herramientas de simulación como Tacyt.

 Estado Actual del Estándar ISA 99 (IEC-62443)

Dentro de las normativas o guías de buenas prácticas de seguridad en la automatización industrial, destaca el estándar ISA 99. Aunque de origen norteamericano, esta normativa está cada vez más introducida en Europa; siendo el capítulo español de la organización ISA uno de los más activos. En España disponen de un amplio calendario de actividades; en las que predominan la impartición de cursos y la celebración de reuniones técnicas.b2ap3_thumbnail_ISA-Espaa.jpg

Héctor Puyosa y Ragnar Schierholz hicieron una presentación de la organización ISA, y repasaron los principales conceptos de la norma, tales como la gestión del ciclo de vida de la seguridad, y la segmentación de sistemas mediante la creación de zonas de seguridad y conductos (Security zone y Conduits). Igualmente destacaron los documentos en los que han estado trabajando este año 2015; en concreto el 62443-2-3 sobre gestión de actualizaciones de seguridad, y el 62443-2-4 a cerca de las certificaciones de los proveedores de productos de seguridad .

IEC-62443 en el mundo real

Marc Blackmer, de la multinacional Cisco, describió cómo las soluciones de seguridad de su compañía siguen la normativa IEC-62443. El representante de Cisco habló del ciclo de vida de la seguridad en el desarrollo de los productos de acuerdo con el IEC-62443-4-1, y del cumplimiento de los niveles de seguridad según IEC-62443-3-3, conseguidos mediante la colaboración de sus soluciones de seguridad de red, seguridad de contenidos, y seguridad de acceso.

La monitorización un requisito imprescindible en la Ciberseguridad Industrial

La multinacional Eulen, líder en España de servicios generales, presentó su visión sobre la ciberseguridad industrial a través del su director de consultoría Ricardo Cañizares.

En Eulen tiene un lema “Si algo sucede en su empresa, lo sabremos antes que nadie”. Con este objetivo, la pieza clave de su servicio es la monitorización continúa de la seguridad. Su plan de protección específica se basa en la monitorización, supervisión y evaluación de los activos físicos, y de los sistemas de operación. Y para ello, los procedimientos que utilizan persiguen la búsqueda de patrones de comportamiento para la detección de anomalías. El servicio de Eulen está orientado a la detección, y resolución de incidentes más que a la prevención de los mismos. El ciclo del servicio se desarrolla en tres fases: captura, detección y análisis; mediante las cuales se recolecta información, se identifican incidencias, se generan alertas, se analizan y se resuelven.

b2ap3_thumbnail_Eulen.jpg

Ricardo Cañizares hizo hincapié en la importancia de las técnicas de inteligencia para conocer cómo se comportan los atacantes y así mitigar su impacto sobre los sistemas. Y en el turno de preguntas expresó su opinión a cerca de cómo ve en la actualidad el estado de la ciberseguridad. Dijo que la mayor diferencia con el pasado es que ahora existe legislación como la LOPD, y la PIC; y propuso la creación de una nueva ley específica para el entorno industrial que obligue a las organizaciones a cumplir un conjunto mínimo de medidas de seguridad.

La ética como elemento clave en la ciberseguridad

La última ponencia a la que pude asistir fue la de Federico Sauter de la empresa Innominate. Fue una exposición diferente a las demás, en cuanto a que no estuvo basada en los aspectos técnicos de la ciberseguridad, sino que trató el tema desde el punto de vista humano. Es decir, de cómo las personas se enfrentan en su día a día a las actividades de la cibersguridad.

Un ejemplo donde se puede aplicar la ética es en las campañas de concienciación de seguridad dentro de la plantilla de trabajadores. En este sentido se recomienda que los directivos den ejemplo del cumplimiento de las medidas de seguridad; y así mediante la emulación de sus jefes, los empleados incorporen más rápidamente estas medidas.

b2ap3_thumbnail_HeartBleed.jpg

Otro aspecto donde se aplica la ética, aunque muchas veces sin ser consciente de ello, es en la gestión de vulnerabilidades. Cuando un técnico encuentra una nueva vulnerabilidad en alguna pieza de software, podría actuar de distintas formas. La primera es comunicárselo inmediatamente al fabricante; la segunda posibilidad es hacer pública la vulnerabilidad para que la conozca toda la comunidad; y la última sería crear un malware que aproveche esa vulnerabilidad y o bien publicarlo, o bien venderlo. De todas estas opciones, la forma que se considera ética para gestionar las vulnerabilidades es comunicárselo urgentemente a la compañía responsable, y darles un plazo de 5 días para que puedan crear una actualización de seguridad; a partir del cual la vulnerabilidad se publicaría. De esta forma se evita que los cibercriminales creen malware con este fallo, y se multipliquen los ataques.

En definitiva Federico quiso transmitir que para la toma de decisiones en ciberseguridad deberíamos aplicar la ética más allá de la normativa. Y en mi opinión, sobre todo porque esta última está aún en los inicios de su desarrollo.

¿Están las tecnologías de ciberseguridad de hoy preparadas para proteger los SCI del futuro?

José Valiente moderó la mesa redonda de la jornada, compuesta por los representantes de Ioactive, Everis, Cisco y GMV.

En la mesa de debate se habló de la problemática de la seguridad de las nuevas tecnologías del Smart OT, término acuñado por el Centro de Ciberseguridad Industrial; y que se refiere al conjunto de dispositivos inteligentes conectados a Internet en el entorno industrial.

La primera consideración que se hizo sobre este nuevo campo dentro de la ciberseguridad industrial, es el gran tamaño de su superficie de exposición en Internet, y por tanto susceptible de ser atacada.

b2ap3_thumbnail_IIOT.jpg

Entre las posibles amenazas se destacaron como principales la denegación de servicio, y el fraude sobre todo en las Smart Grids. Y como medidas más relevantes se apuntaron las auditorías periódicas por empresas autorizadas, la incorporación de la seguridad en el diseño y desarrollo de los productos, la monitorización, y la concienciación.

Por último, a la pregunta de cuáles serían los principales requisitos a seguir en una hoja de ruta, los participantes del debate eligieron los siguientes conceptos, y en este orden: escalabilidad, previsión de incidentes, inversión, conocimiento compartido, colaboración público-privada, y detección.

Una vez finalizadas las jornadas, se observa que el ámbito industrial es un mundo complejo, en el que conviven multitud de actores muy distintos entre si, y con distinta historia y objetivos. Lo cual podría ser una de las causas de por qué la ciberseguridad tiene más dificultad para introducirse que en otros entornos.
Y aunque si se aprecia bastante interés sobre el tema, y se lleva trabajando en ello algunos años, aún queda mucho camino por recorrer. Afortunadamente gracias a los eventos y reuniones coordinadas por organizaciones como el CCI, Incibe, ISA, e ISACA, la cultura de la ciberseguridad se va adoptando poco a poco entre nuestro tejido industrial; lo cual beneficia a todos los que consumimos servicios y productos.

Nos vemos en el siguiente evento de ciberseguridad, que probablemente sea Cybercamp

 


Compartir en :


Noticias relacionadas




Comentarios