Blog del CCI

jueves, 17 de junio de 2021

Prepararse para un incidente informático, Seguridad Proactiva.

 


En la actualidad cualquier empresa, de cualquier tamaño y sector, tiene un gran reto, el prepararse para potenciales incidentes que pueden poner en peligro su infraestructura, ya sean incidentes fortuitos o dirigidos, y cuya recompensa únicamente se obtiene el día que somos capaces de responder a esa amenaza de forma eficiente.

 

¿Cómo se obtiene dicha recompensa?, pues sabiendo que hemos preservado la continuidad de la actividad de nuestra organización o nuestro centro educativo, y el balance final han sido unos daños nulos o mínimos. ¡Éste debería ser nuestro objetivo, nuestra recompensa!!

 

Para ello, necesitamos una preparación previa en nuestra empresa. Y deberemos tomar medidas para poder afrontar una Ciber crisis. Y una de esas acciones, consiste en formar y entrenar a un equipo de respuesta para definir y realizar ejercicios en base a los procesos de seguridad previamente diseñados. Adquiriendo y preparando las herramientas y recursos necesarios para que el equipo pueda desempeñar sus funciones ante una situación de Ciber crisis.

 

A la hora de asignar recursos a un plan de respuesta a incidentes, la primera pregunta que debemos hacernos es si el equipo de respuesta debe ser propio o externalizado.

 

La primera opción implica disponer una mayor especialización por parte del equipo en cuanto al conocimiento e implicación que tienen con la infraestructura de la empresa, con la memoria “no” escrita, y con la arquitectura de seguridad implementada, y este es un valor a tener muy en cuenta. Siendo un activo nada despreciable, ya que muchas incidencias se atajan de forma más efectiva cuando se conoce el lugar atacado y el flujo de los procesos productivos y/o de gestión.

 

Por otro lado, una externalización del servicio supone un importante ahorro de costes fijos de personal altamente cualificado “costes directos, no sumergidos”. En contrapartida, para que un servicio externalizado de respuestas a incidentes sea eficaz, hay que documentar e inventariar toda la infraestructura técnica de la organización previamente. Asegurándonos que los registros serán fieles y seguros, y sobre todo, que siempre, siempre deberán estar actualizados.

 

La arquitectura de seguridad de una empresa, debe estar siempre perfectamente documentada y actualizada. Toda esta información debe estar a disposición del equipo de respuesta para maximizar las probabilidades de éxito en sus intervenciones. También, hay que proporcionar acceso al equipo a todas las herramientas internas. Y para garantizar que el equipo está familiarizado con nuestra organización, este debe participar o incluso organizar los ejercicios de seguridad de forma asidua. Realizando ejercicios de simulacro de forma programada, o no. Y/o de forma reactiva cuando hay modificaciones relevantes en el sistema de la empresa, indistintamente si las modificaciones han sido en IT o en OT.

 


 

Otra de las cuestiones que podemos realizar para ser proactivos, podría ser, el establecer una hoja de ruta, es decir, marcarse una serie de hitos que hay que ir cumpliendo para garantizar que tenemos un buen plan de Ciberseguridad. Un punto de partida, por ejemplo, podría ser un cuestionario que refleje el nivel de preparación frente a incidentes, efectuando un adecuado análisis de riesgos basado en algún framework. Siempre es muy importante saber desde donde partimos. Y en base a los resultados obtenidos, estableceremos prioridades para poner remedio o salvaguardas a los puntos débiles que detectemos.

 

Para ello, podemos utilizar por ejemplo, CREST https://www.crest-approved.org/, una organización sin ánimo de lucro que proporciona servicios de seguridad técnica de la información. Entre sus herramientas disponemos de forma gratuita del test de evaluación de madurez en respuesta a incidentes de Ciberseguridad,

Cyber Security Incident Response Maturity Assessment (crest-approved.org), que puede ser descargado, en dos formatos: el resumido y el extendido.

 

 

Este test consiste en una hoja de cálculo con gran cantidad de preguntas sobre las tres fases consideradas por CREST para responder a un incidente de Ciberseguridad.

 

  •         La fase uno o de preparación consta de cinco secciones.
  •         La fase dos, de respuesta, consta de cuatro.
  •         Y la fase tres consta de seis secciones.

 

Mediante este u otros métodos, que hay distintos, podemos evaluar la situación actual en la que nos encontramos, cuestión muy importante. A continuación, deberemos seleccionar las fuentes de información de las que nos nutriremos para conocer la situación real en cada momento.

 

Para ello, también podemos recurrir a la inteligencia de amenazas y colaborativa. La inteligencia sobre amenazas se divide en:

 

  •        El nivel estratégico indica formas de actuación, planes, campañas previstas del mismo tipo que las amenazas, etc.

 

En general, se trata de informes completos de distintas organizaciones públicas para beneficio general sobre ataques sufridos o investigaciones desarrolladas por ellos. Las empresas de Ciberseguridad son las más prolíficas a la hora de publicar este tipo de informes.

 

  •     En el nivel táctico, el objetivo sería intercambiar información con organismos pares: miembros de una misma asociación o amparados por un mismo organismo. Es común encontrar este tipo de comunidades formadas a partir de sectores de mercado o industriales como, por ejemplo, FS-ISAC https://www.fsisac.com/  o centro de intercambio y análisis de información de servicios financieros. A nivel operacional tenemos un clásico: los indicadores de compromiso o IOC’s.  Por ejemplo leer https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/ 

O por ejemplo recibiendo también alertas del CCN-CERT https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert.html.

 

La idea de las herramientas basadas en indicadores de compromisos sería la de aplicar configuraciones y parámetros de forma dinámica y proactiva, a firewalls, etc… y a sistemas de detección de intrusión para mejorar su capacidad de alerta y bloqueo de amenazas. Disponiendo de la información a varios niveles, manteniendo los procedimientos y tecnologías a los que recurriremos para responder a los incidentes. Y estos, a la vez, deben estar debidamente inventariados, instalados, actualizados y configurados en nuestra infraestructura para resultar útiles.

 


 

Un sistema de seguimiento de incidentes es una herramienta fundamental de acopio y comunicación de información durante la gestión de un incidente, será el punto de referencia al que acudir desde la detección del incidente hasta el cierre del mismo. Para conocer el estado y el procedimiento de respuesta, así como el impacto que el incidente está causando en la organización.

 

Los manuales de estrategia o libro de jugadas, como le dicen los anglosajones, son manuales específicos de operación utilizados para responder a incidentes específicos, sería el equivalente en argot deportivo a las jugadas ensayadas o de manual.

 

El propósito es disponer de un manual de acción de fácil acceso y ejecución, lo suficientemente ajustado a cada modelo de incidente que se contemple, o a distintas fases de estos.

 

Los kits de emergencia son lotes de herramientas y recursos preparados para poder disponer de ellos en el momento en el que salta la alarma, sin tener que pararse a hacer acopio de recursos.

 

El material más común sería una ordenador portátil, con software forense preinstalado, soportes digitales en blanco para copias de seguridad, una clonadora de discos, llaves USB, cableado de alimentación y red suplementario, y herramientas básicas para manipular hardware.

 


 

Dado que los incidentes son momentos de crisis durante los cuales las personas actúan con más estrés del habitual, es conveniente que los miembros del equipo de respuesta a incidentes, conozcan de antemano a las personas con la que van a tener que trabajar (si son externos), principalmente a los miembros de IT y OT, dado que son quienes pueden facilitarles o entorpecerles el trabajo sin quererlo.

 

También es importante que la dirección de la empresa pre-autorice al personal de seguridad para poder tomar ciertas decisiones en situaciones de crisis y disponer de una comunicación abierta y directa 24H con la propia dirección. La última fase de preparación para responder apropiadamente a incidentes de seguridad es, practicar.

 

Los ejercicios ponen a prueba los procedimientos, las fuentes de información y a los equipos permitiendo evaluar la capacidad real de respuesta y el impacto residual que causarían incidentes auténticos. Y automatizan los procesos, de forma que pasan a ser procesos normales y no eventuales o de emergencia.

 

Uno de los sitios donde podemos encontrar ejercicios prácticos y guías de entrenamiento es la web de ENISA https://www.enisa.europa.eu/,  Agencia de Ciberseguridad de la Unión Europea.


Algunos de los frameworks para implementación de sistemas de gestión de seguridad de la información:

 

Y ni que decir, que debemos disponer un riguroso procedimiento de copias de seguridad, disponer de otra copia fuera de las instalaciones habituales y fuera de la red habitual de trabajo. Incluso te aconsejaría, utilizar otro conjunto de copias ubicado en un proveedor Cloud distinto al utilizado en producción, para esas copias.

 

Os propongo:

Hacer un repaso al contenido de las diferentes webs recomendadas en el artículo, y sumergirse en sus contenidos. Una vez visitadas, reinventa tu proactividad, hazte más resiliente. Espero haber ayudado.

 

Cultura Digital.


Jorge González Gómez

Especialista IT

Miembro Profesional CCI

LinkedIn: https://es.linkedin.com/in/jrdsdp

Mail: info@skydeveloperprogrammer.com



 


Sky Developer Programmer

https://www.skydeveloperprogrammer.com

 

 





jueves, 14 de enero de 2021

 

ESCENARIOS DE RIESGOS TECNOLÓGICOS QUE PUEDEN AFECTAR A SU SEGURIDAD OPERACIONAL


¿Podría sufrir su planta industrial una parada o un daño de alto impacto si alguien decidiera sabotear o comprometer sus sistemas de seguridad operacional?

Los responsables de procesos industriales muestran cada vez una mayor preocupación por los incidentes potenciales que pueden afectar a las personas, los activos y el medio ambiente dentro y fuera de la planta.

Para mantener una planta industrial con este tipo de riesgos en un estado seguro, o llevarla a un estado seguro, cuando se presente una situación peligrosa, se emplea como medida, entre otras, tecnologías de protección operacional, normalmente conocidas como Sistemas Instrumentados de Seguridad (SIS), que tiene controladores con capacidad de ejecutar acciones automáticas para proteger la planta de las graves consecuencias de una operación imprevista.


Capas de protección en la seguridad operacional


Estos controladores de seguridad operacional se emplean en muchos entornos industriales, principalmente con procesos que manejan materiales peligrosos. La capacidad de inhabilitar o modificar un proceso de seguridad de estas características para que falle podría generar consecuencias físicas muy graves.

Los fallos sistemáticos en los SIS no habían sido, hasta ahora, aprovechados para causar un daño deliberado. Al menos no se habían descubierto evidencias de ello, pero esta situación ha cambiado con la llegada de un código informático dañino que hace unos años afectó a los controladores Triconex del fabricante Schneider Electric. Unos controladores que fueron diseñados como solución de seguridad instrumentada y cuyo sabotaje provocó la interrupción de las operaciones en, al menos, una instalación petrolífera de Oriente Medio. En este ataque dirigido no parece que tuviesen un objetivo económico claro y, sin embargo, los recursos técnicos necesarios para crear el marco del ataque han tenido que ser muy elevados.

La existencia de todas esas incógnitas ha llevado a plantear distintos escenarios, que permitieran obtener cierta luz a partir de las posibles consecuencias identificadas en cada uno de ellos:

Parada del proceso productivo industrial, como consecuencia del sabotaje del equipamiento SIS

Son provocados distintos cambios no autorizados que harán que los equipos detengan su funcionamiento, y con ellos el proceso, en previsión de consecuencias mayores.

Reprogramación y alteración del comportamiento del dispositivo SIS

En este escenario se introducen variables o parámetros que alteran (sin detenerla) la operación de las instalaciones, dejando el sistema en unas condiciones que entrañan peligro para personas y el patrimonio.

Anulación de funcionalidad del dispositivo SIS con daños físicos patentes

Este seria el escenario más peligroso, puesto que se altera el comportamiento del SIS anulando su funcionalidad; pero sin detener el proceso. La maquinaria o sistemas no interrumpirían su funcionamiento y por consiguiente el correspondiente daño, cuya extensión dependerá́ de las restricciones del proceso y del diseño de la planta.

La estrategia de ciberseguridad que debemos aplicar frente a este riesgo debe al menos contener las siguientes medidas:

    ·         Segregación de redes con Sistemas Instrumentados de Seguridad.
    ·         Controles de acceso lógico estrictos.
    ·         Configuración adecuada de los SIS.
    ·         Plan de formación.
    ·         Aplicación de planes de prueba eficaces.

Podrá encontrar más detalle sobre los riesgos en los sistemas de seguridad operacional y como abordar su protección en el siguiente enlace: https://www.cci-es.org/operacional

 

José Valiente

Director de CCI

 

martes, 5 de enero de 2021

Protección de programas en elementos industriales

 

Introducción

La protección de la información en el ámbito industrial no es, generalmente, una de las principales preocupaciones de los departamentos de ingeniería, operación o mantenimiento. De hecho, es posible que cualquier medida que se establezca en términos de seguridad en los accesos a los elementos que componen un sistema de automatización industrial, se observe como un posible escollo o inconveniente que podría entorpecer, ralentizar o, en último término, impedir las operaciones de restauración de actividad en caso de fallo del sistema.

Hay que considerar que los programas desarrollados para dispositivos como PLCs, HMIs, … suponen la máxima expresión del conocimiento aplicado del proceso industrial sobre el que actúan. En estos programas pueden encontrarse, de forma implícita, las características de fabricación que hacen, por ejemplo, un producto diferencial de la competencia. Por lo tanto, y desde la perspectiva de negocio, esta información es un activo que debe ser protegido.

La realidad, sin embargo, pone de relieve que efectivamente se prima principalmente la disponibilidad (mínimo tiempo de parada) frente a la confidencialidad (la salvaguarda de los programas en sí mismo) y a la integridad (modificación no autorizada de los programas que puede llegar a causar una anomalía en el funcionamiento del proceso industrial) de los programas.


Localización de programas

      

      Program-at-rest. Los programas se encuentran en el almacenamiento local o en recursos de compartición de ficheros en la red de los ordenadores empleados para su desarrollo y/o mantenimiento. Los programas se modifican con herramientas específicas diseñadas para este fin, bien proporcionadas por los fabricantes de los propios elementos industriales o bien por terceros que soportan dispositivos finales multifabricante.  Los ordenadores pueden ser estaciones de ingeniería de tipo sobremesa, pero también podemos encontrarnos con portátiles o maletas de programación para los casos en los que la transmisión de los programas se realiza fuera de oficina o a pie de máquina.

      Program-in-transit. Es el momento en el que el programa es transferido al dispositivo industrial a través de algún medio de comunicación. La transferencia del programa puede realizarse a través de la propia red corporativa a la que se encuentre conectado el ordenador origen, ser trasladado mediante un dispositivo de almacenamiento USB a un puesto de máquina desde donde se realizará la transferencia, o a través de la conexión directa del ordenador al dispositivo mediante un puerto serie, entre otros.

      Program-in-use. En este caso se trata del propio programa que se encuentra ejecutándose en el dispositivo, y que se encuentra almacenado en el sistema de ficheros local o bien en la propia memoria RAM del dispositivo.


Escenarios de amenaza

En base a lo detallado en el apartado anterior, es posible identificar una serie de escenarios de amenaza que podrían permitir a un tercero no autorizado el acceso a los programas:

Program-at-rest

Program-in-transit

Program-in-use


   Compromiso del ordenador con acceso a almacenamiento local.


   Acceso no autorizado a recurso de almacenamiento compartido en la red.



   Interceptación de tráfico de red durante la transmisión de los programas a través de técnicas de sniffing.


   Extravío de dispositivos de almacenamiento removibles.



   Acceso no autorizado al elemento industrial (conexión “online” contra el dispositivo), bien mediante la red o bien mediante conexión directa.


Medidas de protección

Cada escenario detallado en la tabla anterior requiere de la aplicación de una serie de medidas de seguridad, que deberán ser adecuadas y proporcionadas en función de la confidencialidad de los programas que deseamos proteger, considerando que no todos requieren el mismo nivel de protección.


Localización del programa

Descripción


Program-at-rest


Al margen de las medidas generales que deberían encontrarse implementadas en los ordenadores corporativos (antimalware, actualizaciones y parches, …) asignados al tratamiento de los programas, así como las relativas a la gestión de permisos de acceso a recursos en red (servidores de ficheros, servidores PLMs), las medidas de protección más efectivas serían las encaminadas a la propia protección del acceso a los ficheros que componen el programa (código fuente/compilado, librerías, etc.). Nos encontramos, por lo tanto, con medidas de protección a dos niveles:


   Control de acceso al programa mediante la definición de usuarios en las herramientas de programación con diferentes roles y permisos (solo lectura, control total, …).


   Cifrado de los ficheros del programa:

o   Proporcionado de forma nativa por la herramienta empleada para la programación. En estos casos es posible encontrar dos opciones para el cifrado: 1) empleo de contraseña, y 2) empleo de certificados digitales. Ambas alternativas requieren de la aplicación de una política de custodia adecuada, y que garantice un almacenamiento seguro de las credenciales /certificado, así como la disponibilidad y accesibilidad de los mismos en caso de que sea necesario.

o   Proporcionado por herramientas externas (por ejemplo, IRM) que actúan como intermediarios entre los ficheros cifrados y el programa que requiere el acceso a los mismos.



Program-in-transit


   En el caso del uso de la red como medio para la conexión y transmisión de los programas a los dispositivos finales, nos encontramos con la necesidad de cifrar el tráfico entre los dos extremos para evitar que los datos viajen en texto plano. Algunos fabricantes ya permiten de forma nativa la implementación del cifrado en los protocolos de red empleados para la gestión de los programas, aunque esta funcionalidad depende de la compatibilidad de los dispositivos afectados.


   También es habitual encontrarse con conversores de medios serie-ethernet para facilitar la carga de programas de forma remota sin necesidad de realizar una conexión física de tipo serie ordenador-dispositivo. En estos casos, la posibilidad de cifrar este tipo de conexiones es menor o, en muchos caso, no posible, por lo que será necesario plantearse medidas compensatorias en la red como, por ejemplo, el establecimiento de túneles VPN internos entre el ordenador y el dispositivo conversor de medios,


   Si los programas se trasladan en dispositivos de almacenamiento removibles, se recomienda el cifrado de los mismos para que en caso de extravío no sea posible acceder a su contenido.



Program-in-use


En este caso, las medidas a aplicar son únicamente las que disponen de forma nativa los propios dispositivos. En equipamiento con cierta antiguedad, generalmente no hay posibilidad de establecer controles de acceso de ningún tipo, por lo que:

      1)     Hay que primar las medidas de protección física en el acceso a los dispositivos, en el caso de los que requieran de conexiones físicas directas.

      2)       En los dispositivos que se encuentren conectados a la red, establecer niveles de segmentación adecuados, y la limitación/filtrado/monitorización del tráfico de red a través de elementos cortafuegos, tanto en capa 4 como en capa 7, aplicando políticas de mínimo privilegio.

Además de las medidas anteriores, recomendables en cualquier caso, en dispositivos más actuales, es posible establecer dos tipos de limitaciones adicionales:

  ▫   Limitación de las conexiones únicamente a determinadas IPs origen autorizadas.

  ▫   El establecimiento de contraseñas de acceso para la puesta en modo online contra el dispositivo.

En caso de que fuera factible, se recomienda la implantación de ambas.

¡Por cierto! no nos olvidemos de establecer el modo de funcionamiento adecuado en los PLCs para evitar, al menos, la modificación del programa en ejecución.



AUTOR:


Hugo Llanos

Director Ciberseguridad Industrial en Secure&IT

hugo.llanos@secureit.es