Guía de protección de Infraestructuras Críticas

noviembre 25, 2013 § Deja un comentario

Destinada a operadores de infraestructuras críticas, la guía tiene como fin fundamental introducir los procedimientos y herramientas esenciales para mejorar la seguridad de los sistemas informáticos que componen las infraestructuras críticas.

En la guía se indican normas de buenas prácticas para proteger equipos individuales y el acceso a servicios, como la limitación de los privilegios y servicios a los mínimos necesarios, implantación de políticas de actualización o creación de snapshots con las configuraciones de seguridad. Incluyendo, por supuesto, la necesidad de incorporar medidas antimalware y procedimientos de backup robustos. Además, se hace énfasis en la especial atención requerida en los entornos legacy y en los equipos móviles.

También introduce la conveniencia de desplegar medidas avanzadas. Concretamente, se tratan: los sistemas de detección de intrusiones, como la plataforma open source OSSEC, que integra todos los aspectos de un HIDS (Host-based Intrusion Detection System) y de un SIM/SEM (Security Incident Management/Security Events Management); los conocidos como HoneyTokens, que funcionan como “cepo” para atraer a posibles atacantes y hacer más rápida su detección; la implantación de indicadores de compromiso, o IOC, por ejemplo por medio del framework OpenIOC de Mandiant, que sirven para identificar amenazas, de forma automática, a partir de sus características técnicas; las potentes herramientas EMET y CrystalAEP, muy útiles para la detección de exploits.

La guía “El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas” se encuentra disponible para su descarga INTECO.

Fuente: INTECO

Anuncios

La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial

septiembre 27, 2013 § 1 comentario

Ignacio Paredes, Responsable de Estudios e Investigación del Centro de Ciberseguridad Industrial (CCI)

Algunas normativas disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifican diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas.

Los acontecimientos ocurridos durante los últimos años, desde los ataques del 11 de septiembre de 2001 a los actos de ciberespionaje realizados por distintos estados, pasando por las amenazas de Anonymous, Wikileaks y los efectos de malware como Stuxnet, han llevado a la mayoría de los gobiernos a incluir en sus agendas el desarrollo de estrategias y medidas de protección para garantizar la seguridad de sus infraestructuras críticas.

Este hecho ha causado que ciertos conceptos, hasta hace poco restringidos a ámbitos profesionales muy especializados, tengan lugares destacados en los medios de comunicación y se hayan convertido en expresiones de uso común. Dos de estos ejemplos son ‘Protección de Infraestructuras Críticas (PIC)’ y ‘Ciberseguridad Industrial (CI)’, que aunque en muchas ocasiones son utilizados como sinónimos, poseen diferencias significativas.

El término ‘infraestructura crítica’ es empleado por los gobiernos para describir activos esenciales para el funcionamiento de la sociedad y la economía. Por tanto, la Protección de las Infraestructuras Críticas nace debido a la consciencia que adquieren los gobiernos, de la necesidad de proteger una serie de infraestructuras necesarias para garantizar el funcionamiento de los servicios esenciales para los países. Con el fin de cubrir esta necesidad, los gobiernos han desarrollado legislaciones que establecen las medidas de seguridad que los propietarios y operadores de las infraestructuras deben implantar para afirmar su seguridad. Por otra parte, estas leyes disponen cuáles son los sectores que contienen infraestructuras que deben ser protegidas, pero no especifica diferencias sobre cómo abordar la protección en distintos sectores, delegando esto en estándares reconocidos o guías de buenas prácticas específicas de cada sector.

La Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías. Existen muchos tipos de industrias, y la mayor parte de ellas utilizan sistemas de control similares para desarrollar sus procesos. Estos dispositivos son el principal objeto de la Ciberseguridad Industrial.

Diferencias fundamentales

Por tanto, la diferencia fundamental entre PIC y CI es que, aunque una buena parte de los sectores definidos por la Protección de Infraestructuras Críticas estarán abarcados por la Ciberseguridad Industrial, existen otros sectores en los que no existen los sistemas de control mencionados anteriormente y, por tanto, no estarían dentro del ámbito de actuación de la CI. Como contrapartida, la Ciberseguridad Industrial abarca un ámbito mayor que la Protección de Infraestructuras Críticas, ya que la mayor parte de las instalaciones industriales existentes en el mundo, no están catalogadas como infraestructuras críticas y, por tanto, no están sujetas a la legislación PIC.

Sin embargo, existen múltiples puntos de encuentro entre ambos conceptos. Uno de ellos es el impulso que para las medidas de Ciberseguridad Industrial en las organizaciones ha supuesto la necesidad de implantar medidas para alcanzar el cumplimiento legal PIC. Esta es una de las principales causas de aparición de un negocio relativamente nuevo en el que aún existe un gran recorrido por hacer y que requerirá la formación y esfuerzo de muchos profesionales especializados.

Fuente: Red Seguridad

La inteligencia aplicada a la protección de infraestructuras

septiembre 18, 2013 § Deja un comentario

Miguel Iribarren, Director de Sistemas de Seguridad de Indra

El desarrollo sistemático y generalizado de aplicaciones y sistemas para la protección de infraestructuras podemos decir que surge con especial fuerza a principios del siglo XXI, sobre todo a raíz de los atentados de 11 de septiembre en Nueva York y de los posteriores en Madrid, Londres, Bombay, y otros de diversa consideración hasta nuestros días, que han servido para evidenciar la existencia de un terrorismo global.

Obviamente, el valor a defender con estos Sistemas para la Protección de Infraestructuras es el de la seguridad y, por supuesto, en primer término, la vida humana, pero no se escapa a nadie que también subyace un importante componente de protección de intereses económicos y de recursos que permiten el desarrollo de la actividad económica y social.

No obstante, una vez implantados y generalizados, estos sistemas de protección de infraestructuras en sus distintas vertientes técnicas, así como en los diferentes ámbitos de la actividad económica, surge un nuevo vector a tener en consideración, la dotación de inteligencia a la información, que se proporciona desde estos sistemas de protección y que, en sí misma analizada, no aporta ningún dato.

El hecho de poder correlacionarla y combinarla entre sí nos dará un nuevo prisma de actuación: la anticipación.

Con la implantación de herramientas y de sistemas de protección de infraestructuras, podemos percibir lo que está sucediendo en cada momento y se puede detectar un ataque, pero solamente cuando éste ya se está produciendo y no con antelación.

Si conjuntamente con estos sistemas de detección se implanta un sistema de inteligencia, conseguiremos anticiparnos a la posible agresión y poner los medios antes de que ésta ocurra, evitando la pérdida de vidas humanas y de los daños en las infraestructuras, que podrían suponer grandes catástrofes a nivel ecológico (ataques a refinerías, oleoductos o gaseoductos), a nivel de abastecimiento (ataques a estaciones eléctricas o gasísticas) o a escala de instituciones (ataques a edificios de administraciones públicas o privadas), además del daño económico que existirá en todos los casos.

La inteligencia aplicada a los sistemas de detección y de protección permite estudiar comportamientos que por sí solos no tienen por qué ser una amenaza, pero que, enlazados con otros, sí lo son. Al identificarlos y crear patrones de conducta, nos permite adelantarnos a los posibles ataques y reducir al máximo, si no evitar, los daños materiales y humanos.

Contenido completo en fuente original Red Seguridad

Ciberseguridad Industrial: Causas y consecuencias

septiembre 6, 2013 § Deja un comentario

Desde el 2010, cuando Stuxnet fue descubierto, los sistemas industriales se volvieron el foco de muchos especialistas de seguridad con el fin de evaluar su seguridad y su potencial vulnerabilidad a ataques externos. A su vez se comenzaron a detectar posteriores ataques a estas infraestructuras, como fueron las amenazas Flame y Duqu que, si bien en teoría no fueron ataques dirigidos como lo fue Stuxnet, afectaron a sistemas industriales. Tres años después de la llegada del malware a las industrias, ¿mejoró la seguridad industrial de las infraestructuras críticas?

Si bien nos gustaría pensar que así fue, lamentablemente seguimos encontrando ejemplos de que a esta industria le falta mejorar en lo que a seguridad informática se refiere. La semana pasada tuvimos la suerte de participar de la capacitación en Ciberseguridad Industrial organizada por ISSA Argentina, a cargo de Samuel Linares e Ignacio Paredes del Centro de Ciberseguridad Industrial de España. Durante las tres jornadas se vio un claro ejemplo de esto: los sistemas operativos utilizados por estos sistemas críticos siguen siendo obsoletos. Ya sean los PLC (Programmable Logic Controllers), las HMI (Human Machine Interfaces) o los sistemas SCADA (Supervisory Control And Data Acquisition), muchos de ellos aún poseen sistemas operativos como Windows XP, Windows 2000, Windows 98 e incluso, en algunos entornos todavía se utilizan Windows 3.11.

Esto denota que no existe una clara política de actualización de los sistemas operativos que controlan estas infraestructuras. Pero sería injusto culpar solo a las industrias de esto ya que las empresas que desarrollan el hardware industrial (PLC, HMI, SCADA, RTU, etc.) poseen una política muy estricta sobre el cambio o actualización de los sistemas operativos que controlan su hardware. Aunque sea difícil de creer, la postura de los creadores de estas soluciones es la prohibición del cambio o actualización de los sistemas operativos que las controlan ya que caso contrario no pueden garantizar su correcto funcionamiento, y como consecuencia, no brindarán soporte sobre las mismas si son “alteradas”. Estos casos son más comunes de lo que uno piensa en estos entornos y todavía estas situaciones son más frecuentes de lo que uno puede imaginar.

Algo que también llama sumamente la atención es que los desarrolladores de los dispositivos PLC suelen exigir al comprador, es decir la industria, que dicho dispositivo tenga acceso directo a Internet para poder realizar tareas de mantenimiento al mismo. Esto presenta un importante riesgo de seguridad (si no es gestionado correctamente) ya que dicho acceso se encuentra disponible 24×7 y podría permitir el ingreso de personal no autorizado. La política del desarrollador podría contemplar la posibilidad de que el acceso se otorgue cuando se requiera realizar soporte o que la comunicación se realice por medio de una comunicación segura como una VPN.

Adicionalmente, hoy en día los firewalls utilizados por las empresas son aquellos basados en reglas, es decir, que le indican a dos equipos cuándo hablar o no por un canal determinado, pero no analizan el tráfico que por allí transcurre por tratarse de protocolos “no conocidos” por este. Los protocolos industriales (DNP 3.0, OPC, OPC UA, ICCP, Modbus, etc) son muy sencillos de interpretar y no es para nada complejo agregar esta capacidad a los firewalls actuales. Si bien ya existen algunos desarrolladores de firewalls industriales que están comenzando a implementar dispositivos con estas capacidades, el cambio de este hardware en las industrias es muy lento ya que poseen fechas de amortización muy alta, lo que implica que podrían recién llegar a cambiarse de hoy a 20 años o más.

Por último, pero no menos importante, percibimos un problema social dentro de las industrias. En primer lugar, el sector corporativo y el industrial de la misma empresa suelen manejarse como dos entidades distintas, generando grandes problemas de comunicación y como consecuencia problemas de seguridad considerable. En segundo lugar, algunos miembros del sector industrial en muchos casos suele guiarse por una política cuestionable desde el punto de vista de la seguridad, el tradicional “si funciona, no lo toques“. Esto presenta varios problemas de seguridad ya que la falta de actualización y revisión de estos sistemas podría generar una falla de los mismos o incluso un acceso por un usuario malicioso.

A modo de contexto, las industrias que utilizan estos sistemas pueden ser aquellas que potabilizan el agua para una ciudad, generan y distribuyen la electricidad, manejan las compuertas de un dique o se encargan de la distribución del gas natural, entre otras. Esto nos demuestra lo crítico de estos sistemas y los riesgos que pueden ocurrir si alguno de ellos falla o es vulnerado.

Si bien se realizaron algunos cambios en algunas industrias en pos de una mejor seguridad industrial, aún falta mucho trabajo por realizar dentro de este sector, y la concientización sobre esta temática es un punto clave. Seguramente en los próximos años la seguridad industrial seguirá ganando terreno como un factor clave en términos de seguridad de la información.

Fuente: ESET Latinoamérica

Capacitación en ciberseguridad industrial organizada por #ISSA Argentina

septiembre 4, 2013 § Deja un comentario

La evaluación de seguridad y la posible vulnerabilidad a ataques externos en los sistemas industriales, permitió observar que los sistemas operativos utilizados por los sistemas críticos son obsoletos y podrían llegar a cambiarse en 20 años.

Desde el 2010, cuando el gusano informático Stuxnet fue descubierto, los sistemas industriales se volvieron el foco de muchos especialistas de seguridad con el fin de evaluar su seguridad y su potencial vulnerabilidad a ataques externos. A su vez se comenzaron a detectar posteriores ataques a estas infraestructuras, como fueron las amenazas Flame y Duqu que, si bien en teoría no fueron ataques dirigidos como lo fue Stuxnet, afectaron a sistemas industriales. Tres años después de la llegada del malware a las industrias, ¿mejoró la seguridad industrial de las infraestructuras críticas?

Aunque nos gustaría pensar que así fue, lamentablemente seguimos encontrando ejemplos de que a esta industria le falta mejorar en lo que a seguridad informática se refiere. La semana pasada durante las tres jornadas de capacitación en ciberseguridad industrial organizada por ISSA Argentina, se dejó en claro que los sistemas operativos utilizados por los sistemas críticos siguen siendo obsoletos.

Esto denota que no existe una clara política de actualización de los sistemas operativos que controlan estas infraestructuras. Pero sería injusto culpar solo a las industrias de esto ya que las empresas que desarrollan el hardware industrial (PLC, HMI, SCADA, RTU, etc.) poseen una política muy estricta sobre el cambio o actualización de los sistemas operativos que controlan su hardware.

Adicionalmente, hoy en día los firewalls utilizados por las empresas son aquellos basados en reglas, es decir, que le indican a dos equipos cuándo hablar o no por un canal determinado, pero no analizan el tráfico que por allí transcurre por tratarse de protocolos “no conocidos” por este. Si bien ya existen algunos desarrolladores de firewalls industriales que están comenzando a implementar dispositivos con estas capacidades, el cambio de este hardware en las industrias es muy lento ya que poseen fechas de amortización muy alta, lo que implica que podrían recién llegar a cambiarse de hoy a 20 años o más.

Aunque se realizaron algunos cambios en algunas industrias en pos de una mejor seguridad industrial, aún falta mucho trabajo por realizar dentro de este sector, y la concientización sobre esta temática es un punto clave. Seguramente en los próximos años la seguridad industrial seguirá ganando terreno como un factor clave en términos de seguridad de la información.

Fuente: Extremadura Hoy

Cómo dejar a Apple sin luz con un iPhone (exploit para Philips Hue)

agosto 13, 2013 § Deja un comentario

El Investigador Nitesh Dhanjani acaba de publicar una evaluación del sistema de iluminación inalámbrico de Philips Hue que están disponibles (y en línea) en las tiendas de Apple. Estas bombillas tienen puente inalámbrico que se puede controlar desde el iPhone.
Dhanjani ha publicado un video que demuestra la vulnerabilidad que encontró y cómo puede ser explotada para causar un apagón permanente y sostenido. El video muestra cómo un usuario ingresa a un sitio que explota una vulnerabilidad en Java y permite desenroscar las bombillas.

En este paper [PDF], Dhanjani también analiza otras situaciones sobre servicios IFTTT (IF This Then That) y muchas ideas interesantes sobre vulnerabilidades de seguridad dirigidas a dispositivos “inteligentes” y como se podría causar un apagón permanente con un malware.

Esto me hizo acordar al video Apocalipsis de Java.

Cristian de la Redaacción de Segu-Info

Mapa de Ruta de la Ciberseguridad Industrial

julio 5, 2013 § Deja un comentario

Desde el 1 de Julio, está disponible para su descarga el Mapa de Ruta de la Ciberseguridad Industrial en España 2013-2018, documento desarrollado por el Centro de Ciberseguridad Industrial que pretende ser la primera pieza de los cimientos sobre los que construir una cultura de la Ciberseguridad Industrial destinada a mejorar la seguridad de las instalaciones industriales en España.

El documento ha sido desarrollado desde el conocimiento, la experiencia, el consenso y la máxima representatividad de los principales actores, públicos y privados, de la industria del país. Para ello, durante los últimos meses, se ha seguido un proceso participativo de construcción y mejora continua con distintas iteraciones de revisión de contenidos en las que se recibieron casi 400 aportaciones de contenido que fueron consensuadas en el documento que hoy se publica.

En el documento, una vez realizada una introducción sobre su propósito, contexto e implicados principales, se desarrolla un análisis desde las perspectivas de la cultura de Ciberseguridad Industrial; la medida, análisis y reducción de los riesgos, así como la mitigación de sus impactos; la detección y gestión de incidentes; la colaboración y coordinación de las labores y actores necesarios y por supuesto, la investigación, desarrollo e innovación en este ámbito.

Para cada una de esas perspectivas se desarrollan en profundidad las distintas amenazas, desafíos, obstáculos y prioridades que las caracterizan, identificando una serie de hitos a corto (2013-2014), medio (2015-2016) y largo plazo (2017-2018) y las acciones necesarias para su consecución, incluyendo descripción, responsabilidades, fecha límite e indicadores asociados.

Es el primer documento de este tipo que se desarrolla en nuestro idioma y aspira a convertirse en la referencia que guíe los esfuerzos encaminados a la mejora de la protección de las infraestructuras industriales en España y sirva como ejemplo a otros países de nuestro entorno.

Fuente: Revista Cloud Computing

¿Dónde estoy?

Actualmente estás explorando la categoría infraestructuras críticas en Seguridad Informática.