Seguridad Cibernética

Segunda Edición de la IEC 62443-3-2

A propósito de la reciente publicación de la segunda edición de la norma IEC 62443-3-2: Security risk assessment for system design, queremos comentarles un poco de que se trata esta parte de la IEC 62443.

Cada Sistema Automatizado de Control Industrial (IACS) maneja diferentes riesgos, amenazas, probabilidades de ocurrencia, vulnerabilidades y consecuencias; por lo que, cada caso puede ser diferente, incluso dentro de una misma organización.

No existe una receta simple para asegurar los sistemas de control y la IEC 62443-3-2 no pretende serlo.

Esta parte de la IEC 62443, brinda a nuestras organizaciones una guía para evaluar el riesgo de un IACS específico y nos permite identificar contramedidas de seguridad para reducir el riesgo cibernético de los sistemas de control, hasta lograr niveles tolerables en la organización. Los requisitos indicados nos ayudan a:

  • Definir el Sistema Bajo Consideración (SuC).
  • Dividir el SuC en Zonas y Conductos.
  • Evaluar los riesgos de cada Zona y Conducto.
  • Establecer los niveles de seguridad de cada Zona y Conducto.
  • Documentar los requisitos de seguridad del SuC.

Para cumplir con estos requisitos, en CSF hemos desarrollado distintos estudios bajo la guía de la IEC 62443 y otras mejores prácticas, que describimos a continuación:

1. HRA: Evaluación de Riesgo Cibernético de Alto Nivel (High Level Risk Assessment)

Utilizado para identificar los riesgos asociados a los tipos de activos cibernéticos de los IACS. Este análisis brinda al usuario una primera impresión de los riesgos a los que se expone cuando alguno de sus activos cibernéticos se encuentra comprometido.

Se formula una lista de los tipos de activos cibernéticos por cada área de proceso o servicio y para cada uno de los tipos de activos cibernéticos, se identifican las amenazas y se determina el peor escenario sobre el proceso o el sistema bajo estudio (SuC). En función a la criticidad de la consecuencia, es posible asignar un nivel de seguridad objetivo inicial (SL-T) para cada tipo de activo cibernético que sirve de base para realizar la segmentación de las redes de control. Para cada amenaza identificada, se emiten recomendaciones que ayuden a minimizar la afectación y, principalmente, deben estar direccionadas a generar un plan de repuesta en caso de un ataque cibernético.

2. ZCD: Definición de Zonas y Canales (Zone and Conduit Definition)

Permite agrupar los activos cibernéticos pertenecientes al IACS en zonas con requisitos de seguridad en común y definir los canales que conectan dos o más zonas, con la finalidad de optimizar los recursos de protección de los activos cibernéticos.

La agrupación de equipos en zonas se realiza en función del inventario de los de activos cibernéticos del IACS, considerando criterios como: función que desempeñan, tipo de conexión física, manejo de conexión desde redes no confiables, nivel de seguridad objetivo SL-T del equipo y facilidad de propagación de las amenazas.

Los conductos son definidos según la necesidad operativa y de seguridad de las zonas interconectadas. Se deben tomar en cuenta las funciones de los activos cibernéticos del conducto, así como el tipo de conexión que demanden las zonas y la posibilidad de ser un medio de conexión con equipos remotos.

Luego de la definición de cada zona o conducto, se realiza la documentación de las características de cada uno de ellos, que son utilizadas como base para el diseño de los IACS bajo el ciclo de vida de la seguridad cibernética.

3. DRA: Evaluación Detallada de Riesgos Cibernéticos (Detailed Cyber Security Risk Assessment)

Tiene la intención de identificar los riesgos específicos asociados a cada activo cibernético de los IACS, para luego identificar contramedidas que ayuden a alcanzar niveles de riesgo tolerables por la organización.

Para esto, se identifican escenarios peligrosos basados en los vectores de amenaza aplicables a cada uno de los activos cibernéticos que componen las zonas y conductos del SuC. Se estima la frecuencia de ocurrencia de los escenarios peligrosos y se identifican las consecuencias y su severidad, para luego determinar el riesgo sin tomar en cuenta alguna contramedida aplicable. Finalmente, se identifican las contramedidas que disminuyen la frecuencia de ocurrencia y se determina el riesgo tomando en cuenta las contramedidas identificadas.

4. CSVA: Evaluación de Vulnerabilidades de Seguridad Cibernética (Cyber Security Vulnerability Assessment)

Aunque esta evaluación no se encuentra descrita explícitamente en la IEC 62443-3-2, es importante mencionarla cuando hablamos de reducción de riesgo. A diferencia de otros estudios que se basan en las consecuencias que resultan de las amenazas cibernéticas sobre los IACS, ésta se centra en las vulnerabilidades, debido a las deficiencias de la gestión de la seguridad cibernética en los IACS.

Es un estudio que se realiza con la finalidad detectar las brechas existentes entre lo implementado en una organización y los requisitos de la norma IEC 62443-2-1: Security program requirements for IACS asset owners. Se revisan las políticas actuales del Programa de Seguridad Cibernética del IACS, con el fin de detectar debilidades y generar recomendaciones orientadas a la mejora de la seguridad cibernética.

Si la organización no cuenta con un Programa de Seguridad Cibernética enmarcado en la IEC 62443, este es un buen punto de partida.

Tenemos muchas herramientas a nuestra disposición y las amenazas crecen día a día, por lo que es el momento de revisar nuestros sistemas de control y políticas de protección.

 Juan D. Martinez N.

FSEng TÜV SÜD TP17051350 | CSPUSA 200401 001

Segunda Edición de la IEC 62443-3-2 Leer más »

La Seguridad Cibernética no es una cosa de astronautas

Cuando comencé a estudiar el tema de la seguridad cibernética tenía la impresión de que no tenía mucho que ver con la vida diaria. Pensaba que era algo netamente industrial y hasta un poco de rechazo le tenía.

En principio, parece algo excesivamente complejo, pero en realidad todos estamos involucrados. Al igual que la seguridad general, la seguridad cibernética es responsabilidad de todos, inclusive de los que creemos que no tenemos nada que ver con esto.

¿Quién no tuvo un profesor de matemáticas que les decía: “las matemáticas están en todo lo que hacemos y tienen que estudiarla”? En la actualidad, los ambientes cibernéticos son como las matemáticas, están en todos lados.

La mayoría de nosotros tiene acceso a una computadora en nuestros sitios de trabajo, utilizamos celulares inteligentes, manejamos correos electrónicos, etc. Los sistemas informáticos dejaron de ser de uso exclusivos de cierto círculo de personas con lentes, porta lapiceros y de alto coeficiente intelectual. Lo que hacemos en nuestras pc y celulares mediante las redes sociales, la información que compartimos o las aplicaciones que instalamos nos hace estar involucrados con la seguridad cibernética.

Ahora, ¿Cómo nos hacemos parte de la seguridad cibernética?

Es más fácil de lo que parece. Reconociendo que es un problema que nos involucra y puede afectarnos, se convierte en un tema de no dar oportunidades. Debemos crear buenos hábitos de uso de nuestros activos cibernéticos, por lo que, en esta ocasión, les compartiré 5 de los mejores hábitos que mi experiencia me ha dado para estar seguros cibernéticamente:

 

1.       Haz un buen uso de tus contraseñas.

En una encuesta del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) sobre las contraseñas más frecuentes, la más común fue «123456». Es posible que no tengas una contraseña tan vulnerable como ésta, pero te dejo algunos consejos para que mejores la gestión tus contraseñas:

  • No compartas tus contraseñas con otros.
  • No escribas las contraseñas en papel. Si lo haces, resguárdalo en un lugar seguro.
  • No uses la misma contraseña para varias cuentas.
  • Crea contraseñas con 3 o más palabras aleatorias.
  • Como opción, considera usar un administrador de contraseñas.
  • Cambia las claves que vienen por defecto en los equipos y softwares.

2.      Actualiza periódicamente tus activos cibernéticos.

Los sistemas operativos y softwares que utilizamos en nuestros activos cibernéticos (teléfono, tablets, laptops, etc.) pueden presentar vulnerabilidades que son utilizadas por agentes para desarrollar ataques, como instalar y ejecutar malwares. Los desarrolladores de las herramientas crean actualizaciones para solucionar las vulnerabilidades detectadas. Está en nuestras manos actualizar nuestros softwares, en especial los antivirus, así evitar dar oportunidades a los criminales cibernéticos. 

3.      Mantente informado sobre las nuevas formas de ataque.

Los cibercriminales están en constante actualización y desarrollan nuevas técnicas para cometer ataques cibernéticos. Por ejemplo, cada día vemos nuevos tipos de ataque phishing, y estos resultan tan efectivos que en la web podemos conseguir un kit de phishing por muy poco dinero. Las campañas de este tipo de ataque van cambiando la forma de presentarse, pero el objetivo es el mismo: engañar a una persona para obtener información que puedan utilizar para sacar provecho.

 El Departamento de Seguridad Nacional de los Estados Unidos, mediante su adjunto Cyber+Infrastructure (CISA), se encuentra en constante investigación sobre vulnerabilidades e incidentes que, responsablemente, las divulga, así como sus soluciones. Puedes visitarlos en https://www.us-cert.gov/ics. 

4.      Cuídate de las aplicaciones que usas en tu teléfono celular o PC.

Es muy sencillo obtener aplicaciones gratuitas en internet, y en nuestro smartphone aún más. Muchas de esas aplicaciones gratuitas son creadas por atacantes para sacar provecho y tomar información de nuestros equipos. Pero, ¿Cómo evitamos este tipo de ataques? Aquí les dejo unos tips:

  •  Descarga solo aplicaciones móviles de tiendas de aplicaciones conocidas.
  • Ten cuidado con el uso de aplicaciones gratuitas y lee los comentarios y reseñas en la aplicación.
  • Verifica cualquier solicitud de permiso durante la instalación o el uso de una aplicación.
  • Revisa la configuración de la aplicación y desactiva cualquiera que parezca innecesaria.
  • Apaga cualquier conexión inalámbrica automática.
  • Instala solo aplicaciones y software necesarios.

5.       Realiza copias de seguridad.

Ransomware es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos y que exige el pago de un rescate para poder acceder de nuevo a ellos. Estos tipos de ataques van en aumento, solo el año pasado (2019) aumentaron 365% con relación al 2018. Una forma de minimizar los impactos de este tipo de ataques es realizando copias de seguridad robustas, seguras y resistentes al ransomware. La clave para esto es mantener copias de seguridad fuera de línea y conectarlas al sistema solo cuando sea necesario.

La gestión de nuestros activos afecta la seguridad cibernética. Los equipos que utilizamos de manera personal suelen ser utilizados en nuestros puestos de trabajo o para hacer actividades laborales. Entonces, si convertimos en hábitos las buenas prácticas descritas anteriormente, estaremos colaborando de forma muy sencilla con la seguridad cibernética de nuestras instalaciones, sirviendo de barrera de contención ante posibles atacantes y generando ambientes de trabajo más seguros en nuestra industria.

Juan Martínez.  

FSCP TÜV SÜD TP17051350

La Seguridad Cibernética no es una cosa de astronautas Leer más »

Seguridad Cibernética en procesos industriales: Diferencias entre IT y OT

Con los avances actuales en materia de Automatización y el desarrollo de nuevas tecnologías y servicios orientados a conectividad, las industrias evolucionan hacia el concepto de Industria 4.0, donde uno de los pilares fundamentales es la posibilidad de intercambio de datos y servicios entre las distintas Tecnologías de Información (IT), los Sistemas de Control Industrial (ICS), otras Tecnologías Operacionales (OT) y el
mundo exterior (Internet).

Las ventajas que se generan a partir de este intercambio son innumerables y van desde mejorar la eficiencia de los procesos, incluyendo la flexibilidad y adaptación ante imprevistos, hasta la creación de nuevos modelos de negocio. Sin embargo, la creciente exposición de los sistemas de control hacia el mundo de IT, los han convertido en un blanco fácil de ataques cibernéticos; por lo que, es importante establecer las diferencias principales entre estas tecnologías a la hora de preparar medidas efectivas para evitar las consecuencias de estos ataques.

Las Tecnologías Operacionales (OT) tienen su origen en la necesidad de supervisar y mantener en control procesos físicos. Inicialmente, dispositivos aislados de control – como controladores lógicos programables (PLC) o las unidades terminales remotas (RTU) – eran conectados mediante protocolos cerrados orientados a la transmisión de datos aislados. La información intercambiada se limitaba a unos pocos comandos, valores de referencia para estos controladores y las variables clave del proceso como temperatura y presión; de este modo, era posible centralizar la información en una sala de control. A medida que los dispositivos que formaban parte del sistema de control evolucionaban, estos pocos datos pasaron a ser información cada vez más compleja y abundante que podía ser utilizada para la toma de decisiones a otros niveles de las compañías, para mejorar y optimizar los procesos e incluso para generar nuevos modelos de negocio. Las redes de control que antes permanecían confinadas al área operativa, ahora se conectan con las redes locales, e incluso a la internet, muchas veces sin los debidos controles y con protocolos de comunicación que no están adecuados a las necesidades de seguridad de la actualidad.

Las Tecnologías de Información (IT) tienen un origen muy distinto y diverso, podría decirse que se remonta al correo tradicional, pero en realidad es la conjunción de muchas necesidades de intercambio de información. Actualmente, a través del internet se establecen millones de conversaciones independientes que hacen uso de medios comunes para transmitirlas en formas muy distintas y complejas; estas incluyen correos electrónicos, transacciones bancarias, transmisión de video, voz y datos, solo por nombrar algunos. En este ambiente, donde todos tienen acceso, la prioridad es evitar que un mensaje o documento que puede contener información sensible, llegue por error a un tercero o termine en poder de alguien que pueda tomar ventaja de su contenido, que pueda alterarlo a su favor o simplemente evitar que llegue a su destino.

De estos orígenes se puede establecer una primera diferencia, las Tecnologías de Información (IT) han crecido con la premisa de dar prioridad a la confidencialidad de la información y su integridad sobre la disponibilidad de los datos; en cambio, para las Tecnologías Operacionales (OT) la disponibilidad y la integridad del dato tienen prioridad sobre la confidencialidad, para las OT contar con la información precisa en el momento adecuado es imprescindible para cumplir con las funciones de control programadas.

Por otro lado, las Tecnologías de Información (IT) han tenido una demanda masiva a nivel mundial, cada día surgen nuevos modelos de negocio y necesidades de mejorar sus prestaciones en cuanto a desempeño y sobre todo a la seguridad. Es muy común en este entorno la actualización continua, tanto del Software como del Hardware, así como nuevas versiones de sistemas operativos que generan a diario actualizaciones parciales para corregir alguna no conformidad o mejorar alguna función. Cabe destacar que gran parte de estas actualizaciones están orientadas, de una u otra manera, a solventar vulnerabilidades en materia de Seguridad Cibernética.

Para el caso de las Tecnologías de Operación (OT), la demanda de desarrollo es más específica y depende de las áreas de proceso, por lo que los tiempos de desarrollo y actualización son mucho más largos. Adicionalmente, aun cuando se disponga de una nueva tecnología, su implementación puede involucrar la necesidad de detener el proceso productivo, lo que implica pérdidas de producción que eventualmente superan los beneficios de esta actualización. Generalmente, se espera una oportunidad operacional que puede tardar años en presentarse y ha generado un desfase importante entre las soluciones que encuentras en ambos entornos.

Los fabricantes frecuentemente optan por adaptar las tecnologías existentes de Tecnologías de Información (IT) en lugar de invertir en nuevos desarrollos, generando ambientes mixtos que aprovechan lo mejor de ambas tecnologías pero que, a su vez, generan nuevas vulnerabilidades y oportunidades para un posible ataque cibernético al exponer las deficiencias de cada sector. En muchos de los casos estas vulnerabilidades son corregidas en el mundo de Tecnologías de Información (IT), pero no pueden ser actualizadas o corregidas a la misma velocidad en el mundo de Tecnologías de Operación (OT).

En los últimos años, se ha evidenciado un creciente número de ataques cibernéticos que han afectado Sistemas de Control Industrial (ICS), algunos de ellos muy complejos y diseñados para afectar una instalación o tipo de dispositivo en específico. Estos ataques han puesto en estado de alerta a todos los sectores, desde entes gubernamentales hasta los fabricantes y, por su puesto, los usuarios de estas tecnologías.

La mayoría de los fabricantes están invirtiendo en fortalecer sus tecnologías para adaptarlas a las exigencias de normas internacionales, como la IEC-62443, que regulan sobre Seguridad Cibernética en la industria de los procesos; sin embargo, esto es un trabajo a mediano y largo plazo.

El reto para los usuarios en los próximos años radica en seguir siendo competitivos aprovechando todas las ventajas que se plantean con esta integración entre los entornos de Tecnologías de Información (TI) y Tecnologías de Operación (OT) y, a la vez, prepararse mediante la implementación de políticas claras de Seguridad Cibernética que permitan identificar y reducir, en la medida de lo posible, las vulnerabilidades que surgen de estas diferencias entre estos dos mundos.

La pregunta de todos los días no es si somos vulnerables, sino ¿qué tan vulnerables somos?

 Carlos Guilarte.

FSEng TÜV SÜD TP17051343

Seguridad Cibernética en procesos industriales: Diferencias entre IT y OT Leer más »

Kill Chain y Cyber Kill Chain. Defensa cibernética desde un enfoque militar

Sin duda, la mejor manera de atacar una problemática es comprendiendo a qué nos enfrentamos. En este caso, para los que nos dedicamos a trabajar en seguridad cibernética es primordial conocer y entender el patrón de comportamiento de los agentes de amenaza que preparan y ejecutan ciberataques. Esto nos dará una visión amplia de cómo estructurar nuestros sistemas de defensa cibernéticos.
Cuando hablamos de ataque y defensa, ¿qué mejor para dar un enfoque que el militar?
 
Veamos un poco de que se trata esto.
Kill Chain ó F2T2EA es un término utilizado originalmente en el área militar, específicamente por el departamento de defensa de los Estados Unidos de América. Este describe, en forma sistemática, el proceso de cómo se realiza un ataque en el área militar. Este proceso está dividido en 6 etapas descritas brevemente a continuación:
 
  1. Buscar (Find): Identificar el objetivo.
  2. Fijar (Fix): Fijar la ubicación del objetivo.
  3. Rastrear (Track): Monitorear los movimientos del objetivo.
  4. Elegir (Target): Seleccionar un arma apropiada para realizar el ataque.
  5. Abordar (Engage): Aplicar el arma en el objetivo.
  6. Evaluar (Assess): Evaluar los efectos del ataque.
La interrupción del atacante en cualquiera de las etapas de la cadena de ataque creará una interrupción completa de la agresión, pero la
consecución de los objetivos en las etapas en cadena por parte del atacante significa el logro de la vulnerabilidad de nuestros sistemas de Información y Control. De ahí su nombre Kill Chain.
Específicamente para el mundo de la seguridad cibernética, Lockheed Martin Corporation, desarrolló una metodología sistemática que llamaron Cyber Kill Chain. Esta toma los principios de la F2T2EA y estudia los ataques cibernéticos, en defensa y ataque, desde una visión militar.
Así, el Cyber Kill Chain está compuesta por siete etapas en las cuales el objetivo para el defensor es cortar el ataque en cualquiera de las etapas de la 1 a la 6, antes de que el atacante logre tomar acciones sobre el objetivo, y la del atacante es llegar y mantenerse en la etapa 7. El estudio de estas etapas bajo escenarios posibles nos da una enfoque amplio y estructurado de las contramedidas necesarias para evitar ataques cibernéticos.
 
 
 
 
 
1.      Reconocimiento (Reconnaissance): Identificar el objetivo.
En esta etapa el atacante realiza la planificación de las operaciones. En la misma se hacen las investigaciones, se identifican y se eligen el o los objetivo(s). La defensa por su parte tratará de actuar en esta etapa utilizando técnicas de análisis preventivo para aumentar sus posibilidades de detección, intentando revelar las intenciones del atacante sobre algún activo cibernético. Un ejemplo de esto es la protección a un tipo de industria de producción de fertilizantes. La defensa debe estudiar antecedentes de ataques de hacktivistas ambientales, que son enemigos naturales de este tipo de industria a la cual deben proteger.
2.       Preparación (Weaponization): Preparación del ataque.
El atacante prepara la forma de ataque tomando en cuenta que ya tiene claro el objetivo; por ejemplo, utilizar un troyano que tome provecho de una vulnerabilidad existente en los sistemas. La defensa en contramedida debe estar actualizado en cuanto a las vulnerabilidades existentes en los sistemas y malwares que puedan ser utilizados para aprovechar dichas vulnerabilidades.
3.        Entrega (Delivery): Llevar a cabo la operación.
El atacante ya con el método de ataque definido lleva a cabo la operación introduciendo, por ejemplo, el malware al objetivo. Es la primera y la más importante oportunidad de la defensa de bloquear el ataque, ya que con información de las etapas anteriores, o inclusive la información de referencia de ataques previos, puede ser utilizada para tomar acciones que interrumpan la cadena de ataque.
4.        Aprovechamiento (Exploitation):
El atacante busca aprovechar de las vulnerabilidades para ganar acceso a los sistemas. En esta etapa se pone en práctica el término “zero days”, que no es más que aprovechar una vulnerabilidad de seguridad, que el fabricante o usuario no han detectado, para lograr acceso a dicho sistema. El defensor, en aras de evitar el éxito del atacante en esta etapa del ataque, debe, por ejemplo, fortalecer las medidas de credenciales de autenticación, tener un correcto manejo de actualizaciones del sistema y crear una conciencia de uso de las redes y sus herramientas por parte del usuario, para evitar ataques de ingeniería social.
5.        Instalación (Installation):
Típicamente el atacante instala un acceso oculto (backdoor) o se implanta en el ambiente de la víctima para mantener acceso por un largo período de tiempo. La defensa debe utilizar mecanismos técnicos (antivirus) y de gestión (procedimientos que incluyan revisión y verificación del origen del software) que supervisen instalaciones de softwares autorizadas o no.
6.       Comando y Control- C2 (Command & Control): Implantar control remoto.
Utilizando un malware el atacante abre un canal de comando para permitirse tomar control de manera remota al equipo objetivo. La defensa tiene el último chance de romper la cadena bloqueando o no permitiendo que se instaure el canal de C2. La defensa debe valerse de la utilización de NIPS, NIDS, Firewalls, y otros recursos de esta naturaleza para la no consecución de los objetivos del atacante en esta etapa.
7.       Acciones sobre Objetivos (Actions on Objectives): Realizar acciones sobre activos cibernéticos objetivos.
El atacante logra el objetivo de la misión tomando acción sobre el sistema; lo que pase luego depende del conocimiento, las habilidades y las intenciones del atacante. Por lo general, los objetivos pueden ser: El robo de información, violación de la integridad de los datos, tomar el control del sistema, inhabilitar sistemas instrumentados de seguridad, etc. El defensor solo queda para aplicar medidas de respuestas ante ataques, tomando en cuenta que, mientras mayor tiempo se encuentre en este estado, mayores serán los daños o consecuencias desfavorables ocasionadas por el atacante. Estas medidas van desde aislamiento del activo cibernético bajo ataque hasta enviar a paro el proceso. Estas medidas deben ser revertidas 
Adicional a esto, se deben realizar investigaciones que incluyen pruebas forenses como verificar que data fue robada, credenciales utilizadas y evaluación de daños ocasionados, etc. Y así poder recopilar información que pueda ser utilizada como nueva línea de defensa en alguna de las etapas iniciales de la cadena de ataque. Recordemos que este es un proceso de aprendizaje continuo.
 
 
Como todo lo “bueno” no termina siendo tan “bueno” si no es utilizado de forma correcta, esta metodología tiene sentido para nuestra industria (procesos) siempre y cuando la apliquemos dentro del marco de la seguridad cibernética que nos brinda las normas IEC-62443 (específicamente en su fase de análisis), la cual nos ayuda, además de constituir de manera metódica un sistema cibernéticamente seguro, a también despertar la conciencia de seguridad cibernética en nuestra industria, como elemento de respaldo al correcto funcionamiento de nuestros sistemas de control y sistemas instrumentados de seguridad.
Juan Martinez
CSF Consultoría en Seguridad Funcional
martinezj@grupocsf.com

Kill Chain y Cyber Kill Chain. Defensa cibernética desde un enfoque militar Leer más »