woodplc.com

La Ciberseguridad en

Ámbitos Industriales

Enero 2021

• Todos sabemos que las infraestructuras industriales se están convirtiendo en blancos potenciales para ciberataques a medida que se va incrementando su conexión a otras redes. Los fabricantes y operadores de sistemas SCADA y DCS cada vez reportan más casos de ataques a sus sistemas.

• Años atrás los sistemas de control se encontraban aislados

• Las necesidades de comunicación han hecho que esto vaya mutando, aumentando los riesgos y vulnerabilidades que puedan ocasionar eventos indeseados como shutdowns o afectar la seguridad física en un entorno de producción.

• El incremento de ataques viene dado, principalmente, por la interconexión de redes empresariales/corporativas con redes de control de procesos y producción, utilizando protocolos de tecnologías estándar como Ethernet, TCP/IP, etc

¿Qué está pasando en el ámbito industrial?

2

Las prioridades no son las mismas en OT e IT

• Disponibilidad

• Integridad

• Confidencialidad

C-I-A Triad

Availability

1. Disponibilidad

2. Integridad

3. Confidencialidad

1. Confidencialidad

2. Integridad

3. Disponibilidad

Prioridad

OT: Sistemas de Control y

Automatización

Industrial

Sistemas IT de Propósito

General

IEC 1291/09

Diferencias entre Seguridad IT y Seguridad OT

En Sistemas de Control se hace foco en la disponibilidad e integridad por sobre la confidencialidad,

mientras que en los de uso general, se piensa en la confidencialidad primariamente.

Estándares desarrollados para Ciberseguridad

4

• ISO 27000-27011: Originado en 1987. Pensado para la Seguridad de la Información en ambientes de propósito general.

• IEC/ISA 62443: Originado a partir del estándar ISA99 en 2008. En constante formación y rápida evolución.

• ISA TR84.00.09: Reporte técnico que provee lineamientos para integrar el ciclo de vida de ciberseguridad con el ciclo de vida de la Seguridad Funcional

Framework Simplificado - NIST

5

NIST hace referencia al

contenido detallado de los

cuerpos existentes de

estándares de la industria,

pero describe los dominios en

más de un modelo de alcance

y secuencia de tiempo del

proyecto que es más fácil de

conceptualizar y poner en

juego en un programa o

proyecto.

Se implementa NIST como una forma más simple de seguir estándares

woodplc.com

Que se recomienda

aplicar en OT

6

• Concentrarse en la aplicación práctica y alcanzable ahora por medio de proyectos, más que en soluciones "perfectas" que pierden o retrasan la implementación, mientras los sistemas continúan inseguros

• Seguridad Funcional y Ciberseguridad alineadas. Para ello nos basamos en los estándares IEC62443 y TR84.00.09

Un enfoque práctico para la seguridad y protección OT

7

Una seguridad "suficientemente buena" ahora es

mucho mejor que la seguridad o protección

"perfecta" más adelante ... (o nunca)

En los ambientes industriales se encuentra en juego la vida de

las personas, así como también los activos de la compañía.

Se debe procurar establecer un Sistema de Gestión de Ciberseguridad

De acuerdo al enfoque sistemático

El ciclo de vida abarca la

evaluación de los

riesgos inherentes a un

sistema y las

subsecuentes etapas de

diseño, implementación

y mantenimiento de

medidas de seguridad

contra las amenazas

cibernéticas.

Se debe procurar establecer un Sistema de Gestión de Ciberseguridad, para ello

es que se recomienda el abordaje sistemático, separado en fases y actividades,

clasificadas todas dentro del ciclo de vida de ciberseguridad.

Definir zonas y conductos del sistema

9

Establecimiento de Zonas y Conductos

Una zona es una agrupación lógica o física de activos industriales que comparten los mismos requisitos de seguridad. Pueden ser físicos, software o información.

Un conducto es un tipo particular de zona. Los conductos permiten transmitir información entre diferentes zonas.

• Los sistemas de información y los sistemas de control

industrial deben estar en diferentes zonas,

determinadas por su funcionalidad

• Los sistemas identificados como “Sistema Integrado

de Seguridad” deben ser separados a una zona

distinta

• Aquellos dispositivos que tengan alguna conexión

temporal al Sistema, deben considerarse en una zona

diferente

• Las comunicaciones inalámbricas se deben establecer

en zonas separadas de las cableadas

Establecer Criterios para Zonas y Conductos

10

La estrategia a aplicar es de defensa en profundidad

11

Defensa en Profundidad

La defensa en profundidad es un

mecanismo de seguridad en capas

Beneficio: Durante un ataque, si una

capa es afectada otras capas

pueden aún colaborar en proteger,

detectar y reaccionar ante una

gran cantidad de ataques.

• Se realiza un análisis de riesgo para cada zona y conducto definido:

• Se evalúan los diferentes escenarios de riesgo y contramedidas existentes.

• Se establece el Nivel de Seguridad existente de cada zona y conducto.

• Se establece para cada zona y conducto un nivel de seguridad requerido

Basado en los conceptos de Análisis de Riesgos

12

El análisis de riesgos debe ser llevado adelante utilizando

metodologías similares a las desarrolladas para Seguridad Funcional

Las herramientas utilizadas para este fin son HAZOP, CHAZOP, WhatIf, LOPA.

• Los Niveles de Seguridad (SLs) proveen un marco de referencia para la toma de decisiones en el uso de medidas de seguridad y dispositivos con diferentes capacidades de seguridad

• Una vez establecido un modelo de zonas y conductos, y de haber realizado el análisis de riesgos correspondiente para cada uno de ellos, se procede a la asignación de un nivel de seguridad objetivo

Por último, establecer Niveles de Seguridad

13

En función de los niveles de seguridad requeridos, se

determinan las soluciones a implementar. No antes…

woodplc.com

Cómo se hace?

14

Etapa1:

Hacer la evaluación de alto nivel en un caso típico

• Establecer zonas y conductos

• Establecer niveles de riesgo y seguridad

• Definición de soluciones macro (priorización en función de costo/beneficio)

Etapa 2:

Ampliación a otros casos típicos

Aplicación de las evaluaciones y conceptos de alto nivel de la Etapa 1 en otras instalaciones

similares de la compañía

Etapa 3:

Profundización.

Evaluaciones de vulnerabilidad de nivel inferior en las que el riesgo amerite. Implementación

de soluciones y políticas que aborden las vulnerabilidades detectadas.

Abordaje en etapas iniciando con casos típicos, e implementando con

mínimo costo posible para profundizar luego

Modelo de Etapas

15

•Acceso remoto sin autenticación complementaria (Cada SL debe requerir un factor

o método de autenticación adicional para acceder).

•Cuentas comunes de Admin o Ingeniería

•Passwords de fábrica para cuentas Admin o Ingeniería

•Accesos “convenientes” a sistemas y cuentas de Ingeniería

•Generar conciencia en Ingenieros y Administradores: son objetivo de ciberataques

•Prácticas de ciberseguridad del personal, especialmente administradores

•Eliminar la cadena desde Internet y aplicaciones comunes (Office, Adobe, etc) hacia

estaciones del Sistema de Control

•Parcheo de Sistemas Operativos críticos y listas de ICS-CERT

Foco en las

vulnerabilidades

comúnmente

explotadas

Lo que hacemos en forma detallada

16

• Identificar amenazas y vulnerabilidades

•Determinar consecuencias e impacto

•Realizar la matriz de “Impacto – Probabilidad”

•Determinar objetivos de seguridad

• Identificar y evaluar protecciones existentes

•Calcular error residual (brecha)

•Si no es aceptable, recomendaciones/especificaciones para incrementar las medidas

de seguridad

•Utilizar la normativa relacionada – IEC 62443 / TR84.00.09 / ISO 27000

Evaluación de

Riesgos

En conclusión: Cómo abordar la ciberseguridad?

17

Seguir el Framework NIST

• Identificar, Proteger, Detectar, Responder, Recuperar

No analizar en exceso

• Realizar un análisis cualitativo (Siempre siguiendo lineamientos

de los Estándares 62443 / TR89.00.09)

Comenzar con un análisis de alto nivel.

• Elaboración progresiva

Conciencia: Amenazas más comúnmente utilizadas

• Parches, medios portables, acceso remoto, cuentas de usuario

por defecto, ingeniería social a cuentas con privilegios, etc.

• Basados en

técnicas de

evaluación de

riesgos funcionales

• Aplicar soluciones

de mínimo costo

en procesos

iterativos

mejorando paso a

paso la

ciberseguridad de

todo el sistema.

woodplc.com