10/29/2018

1

Desafíos para asegurar la automatizatiónIndustrial, Procesos y Systemas de Control

“Cuentos Industriales”

Situación del Mercado Una Tormenta Perfecta…

Cambio Rápido en el Ambientede la Amenaza de Ciberseguridad

PERSONA ENTERADA

ESTADOS DE LA NACIÓN CRIMINALES

TERRORISTAS

Proliferación de

Dispositivos Inteligentes

Conectividad

Masiva

Baja Prioridad y Presupuesto

Mínima Seguridad en la Tecnología de

Operaciones

+ =Copyright Claroty 2018 – All Rights Reserved

Convergencia de la red de Tecnología de Operaciones con la Red de Tecnología

de Información

10/29/2018

Copyright Claroty 2018 – All Rights Reserved3

Cronograma de Ataques

Campañas Ataques Frecuencia

Enfocado en Sistemas de Control

Incidentes reportados solo en

los Estados Unidos

STUXNETGusano con el objetivo a SCADA y modificación de

PLCs

OperaciónAurora

Amenaza avanzada y persistente – Ataque

cibernético a mas de 20 compañías de alta

tecnología, seguridad y defensa

NIGHT DRAGON

Amenaza avanzada y persistente con el

objetivo a empresas de energía global

DUQUGusano con el objetivo

de obtener y robar información en redes de

control industrial

SHAMOONVirus con el objetivo al

sector energético –Mayor ataque de

barrido

FLAMEVirus con el objetivo de

de espionaje cibernético en el Medio Oriente

GAUSSMalware para robar

información

RED OCTOBEREspionaje cibernético

malware con el objetivo a organizaciones de investigación y del

gobierno

HAVEXTrojan para el robo de información al acceso

remoto de Sistemas de control industrial

HEARTBLEEDError de seguridad y

vulnerabilidad explotada por atacadores

BLACKENERGYMalware inyectado a las redes de compañías de

energía, atacadores cortaron la energía en las regiones afectadas

BLACKENERGYMalware inyectado a las redes de compañías de

energía, atacadores cortaron la energía en las regiones afectadas

OP GHOULCampaña spear-phising

con el objetivo a Organizaciones

industriales en el Medio Oriente

NOTPETYARansomware Malware basado en las técnicas robadas del NSA que impactan sistemas de

control industrial

INDUSTROYERMalware con el objetivo a

compañías eléctricas –usada en el ataque a la red eléctrica de Ucrania

en el 2016

WANNACRYRansomware que impactó a los sistemas de control

industrial

HATMANTenía como objetivo

dispositivos de los sistemas de control

industrial con la habilidad de controlar

remotamente los sistemas de seguridad

4 Copyright Claroty 2018 – All Rights Reserved

ERP Correo Ventas

Firewall

BIServidores de Archivos

PLC

Bomba Válvula

RTU

Ventilador

Servidor SCADA

HMI

RTU

Válvula

PLC

Bomba Ventilador

ServidorSCADA

HMI

Estación de Ingeniería Estación de Aplicación Datos Históricos Estación del Operador Servidor WSUS

¿Cómo se protege una red que es invisible?Recursos Humanos Finanzas

Nivel 4TI Empresarial

Nivel 3Operaciones

Nivel 2Red de Procesos

Nivel 1Red de Control

Nivel 0Dispositivos de

Campo I/O

S

Sensor

M

Actuador

10/29/2018

5 Copyright Claroty 2018 – All Rights Reserved

¿Por dónde empezar con la ciberseguridad industrial?

Activo

Pasivo

Hibrido

Monitoreo de Amenazas

Integración al Centro de Operaciones de Seguridad

Sensor / EquiposImplementación

Inspección Profunda de Paquetes

?

Detección de Anomalías

Vectores de Ataques

6 Copyright Claroty 2018 – All Rights Reserved

¿Está preparada su organización para el desafío de ciberseguridad?

¿Cómo apoyar múltiples equipos y Circunstancias?

Centro de operaciones de seguridad (SOC)

Planta/Equipos de operaciones TO

Operaciones de TI

Auditoría de seguridad

Política de seguridad y gestión de riesgos

?

¿Cómo apoyar múltiples equipos y Circunstancias?

10/29/2018

7 Copyright Claroty 2018 – All Rights Reserved

Caso #1: exploración y perforación petrolífera offshore

Proteja $700m en plataformas de perforación, recipientes y equipos de amenazas de ciberseguridad, internas y externas

8 Copyright Claroty 2018 – All Rights Reserved

Proyecto de alta complejidad: plataformas, buques, suplidores, aplicaciones

Objetivos y conductores• Aumentar la seguridad del buque y la tripulación

• Cumplir con los requisitos contractuales existentes (= $Financiamiento)

• Cero impacto en las operaciones

• Proporcionar el cumplimiento de las regulaciones anticipadas

• Crear estructura y capacitación para la ciberseguridad del TO

Red de prevención de escape –Se utiliza para sellar, para controlar y para supervisar el aceite y el lanzamiento incontrolado del petróleo crudo o del gas natural de un pozo

Red de control de perforación –Controla las operaciones de perforación del buque

Control del propulsor Posicionamiento dinámico Administración de energía Sistemas de control deperforación

Prevención de Escape

Red de generación y

distribución de energía –proporciona electricidad a todo el sistema del buque

Red de posicionamiento

dinámico –Mantiene la posición y el rumbo de un buque utilizando sus propias hélices y propulsores

10/29/2018

Copyright Claroty 2018 – All Rights Reserved9

Equipo de proyecto de interfuncionalidad

“Una de las mejores decisiones que hemos tomado”

• Clave – Dirigido por TO

• Partes interesadas para ayudar a impulsar los requisitos y enfoque

• Miembros del equipo• TO

• Gerencia

• TI - “Persuadido” para Unirse

• Proveedores

• Personal de seguridad física incluido

• Decidido como un equipo para crear un Centro de Operaciones de Seguridad para la TO

Copyright Claroty 2018 – All Rights Reserved10

Estado del pre-proyecto Resultados después del proyecto

• No coherent policies/procedures for OT security

• No way to enforce the policies/procedures

• No visibility into OT cyber risks - multi-vendor assets, communications and networks on vessels

• No control over remote access to ICS and other assets on rigs or vessels by our guys or our vendors

• Not sure about what services or tools were available in market…

• Liderado por TO-equipo Cross-funcional creado

• 55 páginas de políticas/procedimientos para OT SOC

• Creación del centro de operaciones de seguridad en Houston

• Sistema de control industrial servicio de seguridad administrado

• 24x7x365 en los barcos de todo el mundo

• “Siga el sol” solución de monitorización continua

• Sistema de monitoreo y detección de seguridad avanzada

• Consola de monitoreo en tiempo real

• Acceso remoto seguro (vendedores y empleados)

10/29/2018

11 Copyright Claroty 2018 – All Rights Reserved‹Nº› Copyright Claroty 2018 – All Rights Reserved

Un mundo ideal: Islas Aisladas

“Manejando el proceso”

Normalmente no conectado al Internet

DCSControla el proceso

durante el Funcionamiento

Normal en forma segura

SISMueve el proceso a un estado

seguro cuando una emergencia u otra condición anormal

ocurre

Control Monitoreo y OperaciónSegura

Proceso

Conectado a Internet

“Ejecución del negocio”

12 Copyright Claroty 2018 – All Rights Reserved‹Nº› Copyright Claroty 2018 – All Rights Reserved

Mientras tanto, en el mundo real...

TI TO

• Mantenimiento remoto

• “Combinar Esfuerzos” puntos de interés

• Integración and planeamiento de

recursos

• IA y Analíticas predictivas

10/29/2018

Desafíos

Organizacionales

Obligaciones

No hay una clara

responsabilidad

para la

ciberseguridad de la

TO

Responsabilida

dLa

responsabilidad

distribuida mata

la obligación y

la colaboración

…

Administrador de

seguridad de la TI

(responsable de la

seguridad de la red de

TI)

VP de Operaciones

…

…

Gerente de Operaciones de

TO (Asegura que las redes

de TO continúen en

funcionamiento – la

seguridad no es una

prioridad)

CEO

COOCIO

CISO

NEW REALITY

CISO responsable

por los dos TI y

TO

Implica

presupuestos para

la ciberseguridad

de TO

Obligaciones

Responsabilida

d

…

Administrador de

seguridad de la TI

(responsable de seguridad

de la red de TI y TO)

VP de Operaciones

…

…

Gerente de Operaciones de

TO (Responsable de la

optimización de la

producción)

CEO

COOCIO

CISO

10/29/2018

15 Copyright Claroty 2018 – All Rights Reserved

El desafío del SOC para redes de TO

El desafío real – Entender el Contexto

• Acceso a la Experiencia en TO

• Entender y validar el riesgo – misión imposible?

Experiencia en TO

• Alerta –• Anomalía entre dos

dispositivos • ¿Se puede acceder

remotamente y obtener registros

• Se ha resuelto el problema? Puede causar algún daño?

• Como probarlo? Se entienden los síntomas? Validar el riesgo?

Qué hacer y Cuándo?

• El mayor problema: “¿Debo arreglarlo si no está roto?”

• Permitiría la intervención en las redes de TO si se esta operando correctamente?

• Balance entre seguridad y operaciones

• Se identifico la amenaza, entonces que hacer?

• Como se valida el riesgo a las operaciones porque hay una amenaza de seguridad

Operaciones Balanceadas/ Seguridad

16 Copyright Claroty 2018 – All Rights Reserved

Entonces, ¿cuál es el contexto adecuado del SOC en la TO?

El ejemplo de Triton (2017)

Ataque selectivo al sistema de seguridad de Schneider

Alternativa 1: Solución estándar de detección de anomalías• Alerta: IP xxx IP yyy anomalía

encontrada• …Que sigue? ¿Debo detener la

producción?

Alternativa 2: Solución de detección de anomalías en la red de TO• Alerta: Estación Triconix PLC descarga

de configuración - anomalía encontrada• Eso está mejor – pero, ¿es suficiente?

Alternativa 3: Solución de detección de anomalías de Claroty• Alerta: Estación Triconix PLC anomalía

encontrada, ¡Sistemas de seguridad desactivados! (con el valor exacto de la diferencia del código)

• Diferencia exacta en el código y contexto –marca la diferencia

10/29/2018

17 Copyright Claroty 2018 – All Rights Reserved

Caso #2: Empresa Global de gestión de proceso del ciclo de agua

Proteger las operaciones globales incluyendo negocios municipales, industriales, regulados y no regulados

Caso #2: Empresa global de gestión de proceso del ciclo de agua, aislada debido a adquisiciones y deferencias multinacionales

(detalles omitidos por anonimidad)

• Organización conglomerada, actividades en más de 24 países

• Presente en América del norte y del sur, Europa y Asia

• 25.6 m hogares atendidos

• Ingresos-$ 187B (USD)

• Las operaciones incluyen

–Municipal

– Industrial

–Regulada

–No regulada

10/29/2018

Gestión completa del ciclo de vida del agua desde la colección hasta el cliente1. Abstracción de agua no tratada y

producción de agua potable

2. Almacenamiento y distribución del agua potable

3. Recolección de aguas residuales

3. tratamiento de aguas residuales y restitución al medio ambiente

Extraídas de fuentes superficiales y subterráneas

100% de cobertura en agua potable

El agua se transporta a los tanques de regulación para asegurar una presión aceptable y fuente continuaRed de distribución de 14980km

Las aguas residuales se desechan a través de alcantarillas a las plantas de saneamientoRed de la colección: 12234km98% cobertura de recogida de aguas residuales

El agua tratada es devuelta a su entorno natural en condiciones óptimas

Cobertura del tratamiento de aguas residuales:

87% (2011)100% (2012)

Primer proyectoAlcance de la implementación

•Enfoque – protegiendo el saneamiento confiable

•3 plantas metropolitanas de agua/de aguas residuales y plantas de tratamiento de aguas residuales

•11 plantas menores

•Estaciones de bombeo remotas

•Nueva construcción y expansión

•Actualización de la red

10/29/2018

Copyright Claroty 2018 – All Rights Reserved21

Estado del pre-proyecto Resultados después del proyecto

• Envejecimiento de la Infraestructura, aumentando la población

• Saneamiento y pureza del agua en los mercados emergentes

• Escasa visibilidad en aislados, plantas multinacionales • Falta de responsabilidad• Muchos suplidores de equipos • No hay normas claras, una supervisión regional débil e

incoherente• Falta de entendimiento de TO por parte de TI• No estaba preparada para el cambio• Arquitectura existente de la red (o falta de ella)• Ciber-amenazas con el objetivo a las plantas de aguas

• Creado un equipo interdisciplinario e internacional

• Retardo de ataque a través de endurecimiento de dispositivos, firewall y segmentación de redes

• Reducción de la cantidad de ataques (estiman por lo menos 40%) y tiempo de detección (de días/meses a minutos)

• Respuesta de incidentes ciberseguridad mejorada con contexto y relevancia

• El SOC local se hizo visible al equipo de NOC corporativo

• Continúa la expansión

22 Copyright Claroty 2018 – All Rights Reserved

Plataforma de ClarotySoporta múltiples equipos y Circunstancias

Centro de operaciones de seguridad (SOC)

• Nivel 1 Monitoreo de amenazas• Nivel 2 Análisis• Nivel 3 Investigaciones y captura de

amenazas

Planta/Equipos de operaciones TO

• Inventario de equipos en tiempo real• Acatamiento de las normas• Auditoría de sesiones de acceso

remoto – Validación de cambios

Operaciones de TI

• Gestión de equipos• Gestión de cambios y configuraciones

Auditoría de seguridad

• Auditoría de derechos de acceso remoto• Auditoría de sesiones de acceso remoto • Acatamiento de regulacionesPolítica de seguridad y gestión de riesgos

• Gestión de vulnerabilidades y actualizaciones• Administración de empleados y políticas de

acceso remoto de terceros • Proceso de solicitudes de acceso remoto

10/29/2018

Copyright Claroty 2018 – All Rights Reserved23

Las cinco primeras observaciones de las implementaciones de campoIndustria, tipo de planta y sectores escépticos

• Vulnerabilidades no actualizadas – 5-20% de los dispositivos no han sido actualizados, la mayoría, pero no todos los Windows/HMI CVEs – muchos son relacionados a los sistemas de control industrial, los operadores no quieren arriesgar las posibles consecuencias.

• Comunicaciones externas comprometidas - por lo general, las estaciones de trabajo de ingeniería y PLCs, comúnmente los atacantes toman control para secuestrar las comunicaciones y comprometer el equipo, múltiples protocolos (por ejemplo, syslog, Modbus, RPC, DNS, SMB, http, UDP, etc.), a menudo es por el resultado de configuraciones erróneas.

• Protocolos inseguros – en uso con estaciones de trabajo de ingeniería/HMIS y PLCs, más comúnmente visto-Telnet, SNMP, LanMan, NetBIOS-NAME, SMTP, SMB, FTP, observado hasta y mas que 1/3 de todo el tráfico utilizando protocolos inseguros, y, finalmente, datos de texto sin formato, transferencias de credenciales, criptografía débil, y WannaCry descubrió y planteó el mayor riesgo para los operadores.

• Operaciones de escritura anormales – principalmente HMIS innecesariamente escribiendo a varios PLCs, superando las normas típicamente necesarias para controlar un proceso, y los detalles de base revelan comunicaciones de adquisición de datos innecesarias. Durante pruebas, se encontraron procedimientos y controles de acceso con privilegios mínimos.

• Puertos abiertos – Ventanas para conectar sistemas y servicios, en nuestra experiencia no es inusual encontrar que más de la mitad de los dispositivos tengan puertos abiertos. Simplemente cerrar y mantener puertos no es suficiente para eliminar una amenaza – pero elevará las barreras de entrada y, dependiendo del actor y su acceso, podría crear un retraso significativo o elevar el costo de la campaña.

Recomendaciones resumidas & Mejores prácticas

Aceptar la realidad que su organización tiene redes de TO que a menudo tienen valor estratégico a los adversarios

Asignar responsabilidad para monitorear y evaluar continuamente los riesgos

Reconocer puntos ciegos y orientar la postura defensiva para identificarlos y endurecerlos

No siempre es ciencia de cohetes, empieza con lo básico

Evaluar y analizar los riesgos de ciber-seguridad industrial con un equipo con inter-funciones

10/29/2018

Siguientes Pasos

Haz tus redes visibles

Priorizar segmentación de red

Expandir estrategias y reglas que incluyan redes de sistemas de control industrial y TO

Educar operadores, ejecutivos y directivos

Copyright Claroty 2018 – All Rights Reserved

Thank YouEmail: carlos.b@claroty.com

Title: Senior ICS Consultant

@Claroty

www.claroty.com

Gracias

10/29/2018

27 Copyright Claroty 2018 – All Rights Reserved

Diapositivas Adicionales

28 Copyright Claroty 2018 – All Rights Reserved

Claroty – Un enfoque distinto en el ambiente de TO

Plataforma de punto a punto

Detección continua de vulnerabilidades

Monitoreo continuo de amenazas

Acceso remoto seguro

Evaluación de la postura de seguridad

10/29/2018

Copyright Claroty 2018 – All Rights Reserved29

Control del propulsor Posicionamiento dinámico Administración de energía Sistemas de control deperforación

Prevención de Escape

Proyectos complejos – Plataformas, Buques, Suplidores, Aplicaciones

30 Copyright Claroty 2018 – All Rights Reserved

Nivel 4TI Empresarial

Nivel 3Operaciones

Nivel 2Red de Procesos

Nivel 1Red de Control

Nivel 0Dispositivos de

Campo I/O

ERP Correo Ventas

Firewall

Servidor de Archivos

Bomba Válvula Ventilador

Servidor Scada HMI

Válvula Bomba Ventilador

Servidor Scada HMI

Estación de Ingeniería Estación de Aplicación Datos Históricos Estación del Operador Servidor de WSUS

Plataforma de Claroty – Referencia Arquitectural Enterprise Management

Console

Continuous Threat & Detection

Security Posture

Assessment

PCAP

PortSPAN

Secure Remote Access Site

Secure RemoteAccess Central

SIEM Log Mgt. Analytics

Centro de Operaciones de Seguridad (SOC)

S

Sensor

M

Actuador

PLC RTU RTU PLC

10/29/2018

Copyright Claroty 2018 – All Rights Reserved31

Case #1: Elementos Finales

• 55 páginas de políticas y procedimientos

• Creación de un Centro de Operaciones de Seguridad (SOC) en Houston

• Servicio para la administración de dispositivos de

sistemas de control industrial

• 24x7x365 en 5 barcos alrededor del mundo• Solución de monitoreo continuo

• Monitoreo avanzado de seguridad y sistema de detección• Consola de monitoreo en tiempo real• Access remoto seguro (para suplidores o terceros)

Comunicación que monitoreamosConexiones de dispositivos dentro del ecosistemaAbierto/protocolos propietarios utilizados (CIP, S7,S7+,Ovation,Modbus, Vnet/IP, etc.)• Comandos que el dispositivo

envía y recive:• Adquisición de datos• Progrmación• Operación• Diagnóstico• Alarma y Eventos• Autenticación• y más

Información de dispositivos que descubrimos• Dirección IP• Dirección MAC • Equipos de terceros• Tipo de equipos (PLC, HMI,

Estación de Ingeniería, Switches, etc.)

• Número de modelo• Número de Serial• Versión del Firmware instalada

en el dispositivo• Detalles Físicos (rack slots)• Y más

Plataforma de Claroty

Más extensa covertura de protocolos

10/29/2018

Oil & Gas

• Emerson ROC

• ABB TotalFlow

Safety

• Triconex

• Yokogawa ProSafe

Distributed Control Systems

• Honeywell Experion

• FTE (Honeywell)

• Emerson Ovation DCS protocols

• Emerson DeltaV DCS protocols

• Yokogawa VNet/IP

• GE Mark6e (SDI)

• Schneider Foxboro

New• Omniflow – Added Telnet Support

• Hirschmann Eagle

• GE QuickPanel TRAPI

• ABB Spirit

Automation & Production • OMRON Fins• Plus-S7/S7• Siemens IP/EtherNet• Rockwell including (CIP extension)• CSPv4/PCCC • Compresson Controls Corporation (CCC)• OPTO Control Technology Inc (CTI)• Lantronix • GE-SRTP• GE QuickPanel• GE EGD • GE PAC8000 • Mitsubishi Melsec/Melsoft• Sattbus • OPC DA/AE/UA • Profinet-DCP• Profibus • Modbus • Modbus Schneider • Modbus Altivar • Modbus Concept/Momentum• Modbus RTU• OSISoft Pi• Schneider SCADAPack• Schneider Magelis • GE Mark 6e

Plataforma de Claroty

Protocolos soportados en el sistemas de control industrial

Electric & Distribution

• ABB 800xA DCS protocols

• ABB Bailey

• MMS (including ABB extension)

• ICCP TASE.2

• IEC104/101

• DNP3

• GOOSE

• Schweitzer

• Brüel & Kjær Vibro (BKV)

• Bently Nevada

Building Management Systems

• Siemens P2

• Bacnet

• Niagara fox

Full list of Supported Protocols: https://cdn2.hubspot.net/hubfs/2553528

/ProtocolUpdateDataSheet.pdf

• TCP/IP

• SNMP

• SSH

• HTTP / HTTPS

• Telnet

• FTP

• SMB / CIFS

• DNS

• ICMP

• IGMP

• Browser

• FTP

• SMB2

• CDP

• LLDP

• DCE/RPC

• DHCP V4/V6

• ARP

• VNC

• TFTP

• NTP

• RDP

• SSL

• NTLMSSP

• ATSVC

• SMB-PIPE

Plataforma de Claroty

Protocolos soportados en el sector de Tecnología de información

10/29/2018

Copyright Claroty 2018 – All Rights Reserved

Thank YouGracias