Blog del CCI

martes, 14 de octubre de 2014

BANDS y Sinfonier: Seguridad para infraestructuras críticas basado en patrones de detección de anomalías de comportamiento y entornos colaborativos de procesamiento en tiempo real.

En 1983 una infiltración en el Mando Norteamericano de Defensa Aeroespacial (NORAD) estuvo a punto de desatar la tercera guerra mundial. Por suerte, en el último momento, justo antes de que se lanzaran los misiles nucleares estadounidenses, se descubrió que en realidad todo era una falsa alarma provocada por un muchacho espabilado, que con un ordenador primitivo y un simple modem había quebrantado el más avanzado sistema de seguridad. Solo fue un juego. En realidad, esto nunca sucedió sino que se trata del argumento de la película de ficción Juegos de Guerra (WarGames, John Badham, 1983). A principios de los ochenta, en aquellos años de pantallas de fosforo verde e interminables líneas de comandos, pudo parecer que estas amenazas informáticas eran simplemente un entretenimiento juvenil fruto de mentes calenturientas, y aunque sea un tópico decirlo, una vez más la ciencia ficción se adelantó a su tiempo y nos presentó circunstancias posibles dentro de un marco imaginario que se han hecho realidad.

Veintisiete años después, en 2010, los ataques militares a las plantas nucleares iraníes llevados a cabo con el malware Stuxnet se hicieron mundialmente conocidos –incluso para aquellos ajenos a la seguridad informática. Por primera vez la sociedad fue consciente de que las amenazas informáticas no solo comprometen el mundo digital, sino que también son un riesgo, mucho mayor si cabe, para el mundo físico. A partir de entonces la seguridad se convierte en la prioridad para el sector industrial. En el mundo presente, donde todas las infraestructuras están interconectadas, las consecuencias de un ciber-ataque en infraestructuras críticas pueden ser fatales. De todos modos, y conteniendo el alarmismo, hay que constatar que este ataque contra los sistemas SCADA de Irán fue posible porque nadie lo había anticipado, y por eso las defensas eran mínimas. En la actualidad, los niveles de seguridad han aumentado considerablemente. Entonces, ¿estamos a salvo?.

Mucho se ha avanzado en seguridad industrial de infraestructuras SCADA, incluso se ha legislado normativa al respecto. Aun así, es un necesidad anticiparse al ciber-crimen, así que nuevas y más dinámicas estrategias son necesarias, en concreto aquellas que se adapten a la vertiginosa mutabilidad de las amenazas.

Cabe en este punto recordar a quienes ya conocen y también informar a los neófitos acerca de que es SCADA. SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos. Este tipo de infraestructuras consiste en una arquitectura centralizada de computadores. El objetivo es la supervisión y el control remoto y automático de una instalación o proceso industrial. En concreto, permite que un ordenador central reciba información en tiempo real de los dispositivos de campo (sensores y actuadores), y controla el proceso automáticamente. Los protocolos usados pueden ser muy variados (MODBUS, IEC104, etcétera), así como las tecnologías de comunicación (LAN, radio, línea telefónica, etcétera). Otra característica relevante que les hace más o menos vulnerables es que pueden o no estar conectados a Internet. En la actualidad, lo más frecuente es que si estén interconectados con el exterior, puesto que se hace necesario que los departamento de negocio, habitualmente no localizados en la propia industria, tengan acceso al proceso industrial.

Tradicionalmente la seguridad para las infraestructuras SCADA se ha estado basando en estrategias estáticas que comprenden: la auditoría de la red para eliminar posibles brechas de seguridad; el aislamiento de la red o el bloqueo de intrusión por medio de firewalls; y fortalecer la seguridad de los terminales –esclavos o maestros– desconectando servicios innecesarios del sistema operativo, el análisis y resolución de bugs de los sistemas operativos y el uso de antivirus.

La original solución que propone el proyecto BANDS de Telefónica, incluida en la gama de servicios Saqqara, es la detección de anomalías en tiempo real buscando las secuelas que produce un ataque o cualquier otro tipo de incidente. BANDS está construido sobre la plataforma Sinfonier de procesamiento en tiempo real (tecnología Storm de Apache). BANDS es un sistema de monitorización y detección de intrusión que detecta los eventos inusuales, tanto ataques cibernéticos o errores operativos, y logra este objetivo modelando patrones de compartimiento por medio de la monitorización de todo el tráfico de red en tiempo real. BANDS hace acopio de las tramas IP que intercambian los dispositivos de la red para extraer información de ellas. BANDS no busca la amenaza en sí, que puede haber mutado y ser irreconocible, sino las repercusiones que esta tiene sobre el sistema SCADA. A partir de esta información es capaz de:
  • construir una topología de la red de acuerdo al comportamiento de cada dispositivo,
  • detectar si se incorporan nuevos terminales desconocidos a la red o algún terminal asume un rol distinto al que venía ocupando,
  • identificar el patrón de conexiones, volumen de datos y frecuencia habitual, y alertar si hay cambios en el patrón normal,
  • alertar de inmediato en caso de que un terminal pierda la comunicación,
  • monitorizar el comportamiento de los PLCs y detectar comportamientos anómalos tales como comandos no habituales, perdidas de medidas, superación de umbrales o congelación de medidas (esta funcionalidad se logra gracias a que BANDS interpreta protocolos SCADA),
  • utilizar información externa a modo de contexto para ser utilizada en el proceso de modelado y análisis de las plataformas.

Esto permite conocer de manera inmediata si se ha producido un ataque e incluso posibles errores accidentales como la perdida de conectividad de un terminal.

Con el doble propósito de que BANDS no solo permita el procesamiento en tiempo real, sino también la personalización de las detecciones incorporando el conocimiento de las infraestructuras propias de los clientes, el proyecto se ha desarrollado sobre el proyecto Sinfonier. Sinfonier es una plataforma que posibilita la creación edición y gestión de topologías para procesar flujos de datos por el sistema de computación en tiempo real Apache Storm.

Con Sinfonier, aparte de escalabilidad, dinamismo y tolerancia a fallos, se posibilita la facultad del trabajo conjunto y colaborativo entre Telefónica y sus clientes. Sinfonier permite crear módulos de procesamiento de manera sencilla y fácilmente integrable. Sinfonier ofrece una interfaz web para combinar los módulos de procesamiento –los propios y los genéricos alojados en la comunidad por Telefónica y otros desarrolladores– para así construir topologías complejas a un golpe de click. De este modo, se empodera a la propia industria para que diseñe a medida su sistema de seguridad de BANDS de acuerdo a sus necesidades específicas. Sinfonier combina un interfaz fácil de usar, modular y adaptable e integrado con otras soluciones avanzadas de seguridad que sirven tanto como fuente de datos como destino de ellos.



En resumen, las principales características de BANDS-Sinfonier son:
  • Sistema de computación en tiempo real Storm Apache.
  • Modelado de patrones de compartimiento en tiempo real.
  • Aprendizaje autónomo.
  • Detección de anomalías de red IP.
  • Detección de anomalías de protocolos SCADA (MODBUS e IEC104).
  • Gestión de alertas a través de un portal web.
  • Fácilmente escalable. Cliente final puede desarrollar sus propios módulos de procesamiento o bien los que están disponibles en la comunidad Sinfonier.
  • Interfaz web para la construcción de topologías de procesamiento.
  • Altamente configurable.
  • Capacidad de procesado de información de otros sistemas o servicios.
  • Disponibles Soportado por comunidad Sinfonier.
Evaluación practica de BANDS.
Fue llevada a cabo en una central eléctrica, donde quedó patente que este servicio es capaz de dar respuesta a los problemas característicos de un Centro de Control (CC) de producción eléctrica. BANDS fue capaz de detectar el siguiente tipo de anomalías:
  • Detección de interrupción en el reporte periódico y constante de medidas de generación eléctrica enviados desde las centrales al CC.
  • Detección de medidas erróneamente reportadas al CC, tanto medidas congeladas como medidas fuera del rango esperado.
  • Detección de otras situaciones interesantes para el administrador de un CC como son la detección de mensajes extraños, la aparición de nuevos hosts (servidores y centrales) y las anomalías horarias.
Pasando a un plano más específico, BANDS detectó en las instalaciones las siguientes situaciones anómalas. Estas detecciones se produjeron en tiempo real y también mediante un análisis detallado offline del proceso de modelado y sus resultados:
  • Switching de los dos servidores SCADA descubiertos en dos ocasiones. Esto ha dado lugar a una serie de alertas, descartables todas ellas por venir derivadas de dichos cambios de servidor.
  • Descubrimiento de centrales de producción no recogidas en la relación de centrales facilitada a los autores de este estudio.
  • Además, algunas centrales jamás se han visto intercambiando mensajería con los servidores SCADA más allá de simples intentos de establecimiento de conexión TCP.
  • Pérdida generalizada de reportes de medidas, durante cortísimos periodos de tiempo que en todo caso no parecen afectar al funcionamiento general del sistema SCADA.
  • Existencia de determinadas medidas congeladas en un valor concreto, durante largos periodos de tiempo.
  • Medidas que sobrepasan los rangos efectivos o aprendidos para cada uno de los tipos de mensaje existentes. Quedaría por comprobar que no sean falsos positivos al enfrentarlos a los rangos teóricos.
Enlaces adicionales
Autores:
Francisco Oteiza Lacalle (Telefónica)
Francisco Jesús Gómez Rodríguez (Telefónica)
David Prieto Marqués (Telefónica)

domingo, 5 de octubre de 2014

Donde dije digo, digo Diego (España en el panorama internacional de la Ciberseguridad Industrial)

Los que me conocen o han asistido a alguna de mis presentaciones sobre Ciberseguridad Industrial en los últimos años, saben que tradicionalmente, basándome en las referencias públicas existentes, análisis, documentos e informes,   venía siendo bastante pesimista en cuanto al estado de nuestro país en este ámbito respecto a otros países de nuestro entorno (Europa) o a grandes potencias como Estados Unidos, Japón o determinados países de Oriente Medio.  Muchos recordarán alguna presentación argumentando cómo nos quedaba un mínimo de 5 años para llegar al nivel de algunos países de Europa como Holanda o Reino Unido y probablemente más de una década para ponernos al nivel de Estados Unidos.

En los últimos tiempos he tenido la fortuna de poder compartir impresiones, proyectos y experiencias con organizaciones industriales, infraestructuras críticas, organismos públicos y gobiernos de prácticamente todas las regiones del mundo, y por tanto conocer de primera mano el estado real de avance de la Ciberseguridad Industrial a nivel internacional. Por ello, hace tiempo que tenía en mi “debe” el escribir un artículo como este retomando el discurso que tantas veces esgrimí en mis presentaciones, basado en las referencias públicas existentes, análisis, documentos, informes, etc. incluyendo además información y percepciones procedentes de la observación directa de la realidad  en todas estas regiones y en la fulgurosa evolución que nacional e internacionalmente ha tenido esta disciplina.

Debo adelantar para tranquilidad de todos (nuestra especialmente), que el escenario real no es tan pesimista como el que inicialmente defendía, llegando en algunos casos incluso a ser el   totalmente opuesto, es decir: sí, en algunos ámbitos estamos por delante (¡!).

La primera justificación de este cambio viene de que tradicionalmente siempre nos hemos comparado con otros países de forma general, cuando realmente los avances, madurez, ritmo y características son muy distintos entre dos entornos muy distintos:tan diferentes como el público y el privado.

Incluyo en el entorno público a los efectos de  este artículo a las iniciativas gubernamentales, organismos públicos, programas, estrategias, regulaciones y marcos de trabajo que marcan la línea a seguir en los mercados nacionales. Es aquí donde nos encontramos, desgraciadamente a una mayor distancia de otros países más avanzados en el ámbito de la ciberseguridad en general, y en la ciberseguridad industrial de forma más concreta.

En este entorno nos encontramos internacionalmente con sistemas de ciberseguridad nacional maduros, dotados de un respaldo político y económico indiscutible y con definiciones de roles y responsabilidades claras en países como Estados Unidos, Reino Unido o Holanda, entre otros, que llevan más de una década trabajando y colaborando activamente en estos temas. Esto en algunos casos se traduce en estrategias de ciberseguridad nacionales también maduras que van avanzando incluso en distintas versiones con distintos objetivos, indicadores de seguimiento y asignación de recursos, como es el caso por ejemplo de la versión 2 de la estrategia de ciberseguridad nacional de Holanda, con el lema “de la concienciación a la capacidad” (“from awareness to capability”). Estos avances suelen evidenciarse también ante la existencia de iniciativas y organismos gubernamentales totalmente focalizados en la materia (como podría ser el caso los ICS-CERT, US-CERT o el Idaho National Laboratory de Estados Unidos) que en muchos casos desarrollan como parte de su actividad, marcos de trabajo de referencia común (sectoriales o no) para el mercado, hojas de ruta que marcan el camino a seguir con indicadores claros de control y seguimiento o regulaciones que buscan conseguir unas líneas base de cumplimiento de medidas de seguridad que garanticen la adecuada protección de infraestructuras y organizaciones, habitualmente focalizadas inicialmente en la protección de infraestructuras críticas, pero extendidas posteriormente a otros ámbitos de actividad.

En el entorno público de nuestro país ha habido un cambio de ritmo importante en lo que a la  ciberseguridad se refiere en los dos últimos años.  Basta con revisar el panorama que tenemos en la actualidad respecto al que teníamos hace unos años. Contamos ya con una Estrategia de Seguridad Nacional que identifica el ciberespacio como un ámbito más de actuación, una Estrategia de Ciberseguridad Nacional que define el sistema nacional de ciberseguridad, objetivos y sus actores, además de organismos con un foco de actividad importante en estos ámbitos (CNPIC, INTECO, CCN, Mando Conjunto de Ciberdefensa, Departamento de Seguridad Nacional…).

No debemos dejar de mencionar la existencia de una regulación en el ámbito de la privacidad que es referente a nivel internacional (nuestra famosa LOPD), o de la Ley de Protección de Infraestructuras Críticas, también referente para la mayoría de los países latinoamericanos. Y sin duda esa gran oportunidad que en estos momentos está abierta en el área de la ciberseguridad, que es la nueva Ley de Seguridad Privada (y su futuro reglamento).

Es un hecho que el ritmo y los tiempos de cambio en cualquier país en lo que a aspectos regulatorios, iniciativas y organismos gubernamentales o estrategias se refiere son mucho más lentos que en el ámbito privado y por tanto,  cualquier creación o modificación de estos puntos, supone ya no meses, sino años de desarrollo en la parte pública, y otro tanto en la adopción y maduración de la parte privada.

En definitiva, concluiría la comparativa en el entorno público confirmando las sospechas que enunciaba en algunas presentaciones: estamos a varios años de distancia (entre 5 y 10, al menos) de otros países líderes en este ámbito. Nos queda mucho por hacer y mucho esfuerzo, trabajo y respaldo por delante. Sin embargo, mi opinión es que la tendencia ha cambiado en los últimos dos años y creo que estamos en el camino adecuado. Las bases están sentadas, comienza a existir interés y respaldo (económico, político, etc.), y si seguimos así deberíamos ver como mes a mes y año a año, esa distancia con los líderes internacionales irá disminuyendo. Y en cualquier caso no debemos olvidar ni desaprovechar la oportunidad que supone el que de forma general seamos una referencia para otra (gran) parte del escenario internacional: Latinoamérica. Haríamos flaco favor a nuestro tejido industrial y empresarial si no aprovechásemos esa oportunidad (el mundo no solo es Estados Unidos, Reino Unido, Alemania o Holanda…).

¿Y que hay del entorno privado? (entendiendo por entorno privado a las organizaciones industriales, infraestructuras críticas o usuarios finales en el ámbito de la ciberseguridad industrial). Aquí es donde vienen noticias aún más satisfactorias. He de decir, que me he sorprendido muy gratamente en estos dos últimos años a medida que he ido conociendo de forma directa el estado de la protección, proyectos e iniciativas en ciberseguridad industrial de estas organizaciones internacionalmente. Puedo adelantar que la conclusión general es que las organizaciones españolas no tienen nada que envidiar en cuanto a su madurez en ciberseguridad, protección, tecnologías y proyectos a otras organizaciones similares  en los países ya mencionados anteriormente en el ámbito público e incluso, en algunos casos el nivel es aún mejor.
Pero de nuevo, no generalicemos y distingamos básicamente entre las grandes organizaciones industriales e infraestructuras críticas y las organizaciones industriales medianas y pequeñas. En este último caso (las más pequeñas), la realidad es que el estado de protección  y nivel de madurez en estos temas es realmente bajo (y claramente insuficiente), pero no distinto del nivel que este mismo tipo de organizaciones tiene en otros países como Estados Unidos, Alemania, Francia, Holanda o Reino Unido entre otros (recordemos aquí el refrán “mal de muchos, consuelo de tontos”, y no caigamos en esa tentación: debemos impulsar e incentivar de forma enérgica el avance en este ámbito).

En cuanto al otro grupo, las grandes organizaciones e infraestructuras críticas, podemos asegurar que su estado de protección, avances tecnológicos y nivel de madurez es similar al de cualquier organización de ese tipo a nivel internacional. Incluso contamos con ejemplos premiados internacionalmente (sin ir más lejos, el prestigioso SANS Institute estadounidense premió el año  pasado a Iberdrola por su actividad en el ámbito de la Ciberseguridad Industrial) y otros de referencia en algunos sectores (especialmente en el energético). Aquí no hay distancia alguna con el sector privado en otros países (no nos acomodemos, e intentemos continuar avanzando y superarlos).

Pero hay un aspecto del que, por la parte que nos toca, estamos especialmente orgullosos: la colaboración, compartición y análisis de información en el ámbito industrial. En este ámbito, debo dejar de lado, por unas líneas, la humildad obligada, y compartir de qué manera el Centro de Ciberseguridad Industrial (CCI) y sus actividades se han convertido en un referente a nivel internacional, no solo en Europa, sino en Estados Unidos, Latinoamérica, Oriente Medio o Asia. La pregunta a la que más veces debemos responder es si somos una iniciativa gubernamental. El hecho de no serlo, y de haber surgido del propio sector privado con una representación total de todos los actores involucrados, hace que todos y cada uno de los países con los que colaboramos, vean la iniciativa como una referencia a seguir de forma local, lo que sinceramente, nos enorgullece: hay al menos un ámbito de actividad en el que estamos siendo líderes internacionales y eso no es gracias únicamente al propio CCI, sino precisamente al soporte, participación y avance de todo el ecosistema de actores involucrados (en este caso, privados y públicos).

Debo por tanto retractarme: no estamos tan atrás, al menos no en todos los ámbitos. Tenemos capacidades, valores diferenciales, oportunidades por delante y una buena línea de avance marcada, que debemos aprovechar como país (y como industria) para avanzar en el posicionamiento internacional en la ciberseguridad (industrial).

En cualquier caso, no caigamos en la autocomplacencia. Tenemos en común con el resto de países la falta de solución aún a grandes retos no conseguidos internacionalmente: la compartición de información entre organizaciones (públicas y privadas), la estructuración del reporte de incidentes de ciberseguridad, los modelos de gobierno de la ciberseguridad  de la Smart Grid, la llegada de las tecnologías inteligentes (Smart Grid, Smart Cities, Smart Homes…) y la Internet de las Cosas. Retos que a su vez son oportunidades. Tenemos dos opciones: continuar lamentándonos de nuestra situación en algunos ámbitos, o emplear ese tiempo y esfuerzo en avanzar y posicionarnos en esos ámbitos donde aún no hay líderes claros.  Yo tengo clara cuál es la opción que he elegido, ¿y tú?

(Artículo publicado originalmente en la Revista Red Seguridad: www.redseguridad.com)