Seguridad en InfraestructurasCríticas<br />Antonio Guzmán<br />antonio.guzman@urjc.es<br />GAAP – URJC<br />
Agenda<br />2<br />
¿Qué son las Infraestructuras?<br />3<br />
¿Qué tipos de infraestructuras hay?<br />4<br />
¿Cuándo se puede considerar que estas infraestructuras son Críticas?<br />5<br />
¿Qué infraestructuras son consideradas críticas?<br />6<br />
Arquitectura de<br />Infraestructuras<br />crítica<br />7<br />
SCADA (Supervisory Control And Data Acquisition ).<br />8<br />Escritura de Configuración<br />
SCADA: OPC<br />9<br />
SCADA: OPC Lectura de datos<br />10<br />
SCADA: OPC<br />11<br />
SCADA<br />BackDoorthrough<br />Access Point<br />OPC/DCOM  Attack<br />Man in theMiddle<br />BackDoorthrough<br />Interne...
SCADA<br />BackDoorthrough<br />Access Point<br />OPC/DCOM  Attack<br />Man in theMiddle<br />BackDoorthrough<br />Interne...
SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM  Attack<br />BackDoorthrough<br />Interne...
SCADA<br />BackDoorthrough<br />Access Point<br />OPC/DCOM  Attack<br />Man in theMiddle<br />BackDoorthrough<br />Interne...
SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM  Attack<br />BackDoorthrough<br />Interne...
SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM  Attack<br />BackDoorthrough<br />Interne...
SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM  Attack<br />BackDoorthrough<br />Interne...
MES (ManufacturingExecutionSystem)<br />19<br />Son sistemas con consideraciones de tiempo real cuyos objetivos tienen que...
ERP (Enterprise ResourcePlanning)<br />20<br />
Pero, ¿por qué son criticas?<br />21<br />Videos<br />
ACCESO WEB<br />Consecuencias de abrir los sistemas de control<br />22<br />
Pero, ¿Por qué es necesario tratar de forma diferente a las infraestructuras críticas?<br />23<br />
Ejemplos de ataques<br />En 2001, un australiano fue mandado a prisión por conseguir el acceso a un sistema de administrac...
Ejemplos de Ataques<br />En 1999 una tubería de acero de 16 pulgadas de diametro, propiedad de la empresa Olympic Pipe Lin...
Ejemplo de ataques.<br />El sistema SCADA de Olympic Pipeline utilizaba el software Teledyne Brown Engineering20 SCADA Vec...
Ataques al software de aplicación<br />Ataques de comunicaciones<br />Objetivos de los Ataques<br />Ataques al software de...
Protección de Infraestructuras Críticas<br />28<br />
Desventajas en la protección de infraestructuras críticas<br />29<br />
Interdependencia entre Infraestructuras<br />30<br />
Interdependencias entre Infraestructuras<br />Serán relaciones bidireccionales entre dos infraestructuras de forma que el ...
Interdependencias entre Infraestructuras<br />Serán relaciones bidireccionales entre dos infraestructuras de forma que el ...
Ejemplo de fallo en cascada<br />33<br />
Ejemplo de fallo en cascada<br />34<br />
CIIP (CriticalInformationInfrastructureProtection)<br />35<br />
CIIP<br />36<br />
CIIP<br />37<br />
Modelo para CIIP (ISO/IEC TR 13335)<br />38<br />
Avances en CIIP<br />39<br />
ISM como punto de partida para CIIP<br />40<br />
Herramientas para CIIP<br />41<br />
Herramientas para CIIP<br />42<br />
Control Systems Security Program (CSSP) – CERT-US<br />http://www.us-cert.gov/control_systems/<br />Cyber Security Evaluat...
Control Systems Security Program (CSSP) – CERT-US<br />SecureArchitectureDesign<br />44<br />
Referencias<br />http://redindustria.blogspot.com– http://www.gaapsoluciones.es<br />http://www.gaapsoluciones.es/MISHSA /...
Seguridad en InfraestructurasCríticas<br />Antonio Guzmán<br />antonio.guzman@urjc.es<br />GAAP – URJC<br />
Upcoming SlideShare
Loading in...5
×

Seguridad en infraestructuras críticas

1,644

Published on

Charla impartida por Antonio Guzmán, para el III Curso de Verano de Seguridad Informática de la UEM en Valencia.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,644
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
145
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Seguridad en infraestructuras críticas

  1. 1. Seguridad en InfraestructurasCríticas<br />Antonio Guzmán<br />antonio.guzman@urjc.es<br />GAAP – URJC<br />
  2. 2. Agenda<br />2<br />
  3. 3. ¿Qué son las Infraestructuras?<br />3<br />
  4. 4. ¿Qué tipos de infraestructuras hay?<br />4<br />
  5. 5. ¿Cuándo se puede considerar que estas infraestructuras son Críticas?<br />5<br />
  6. 6. ¿Qué infraestructuras son consideradas críticas?<br />6<br />
  7. 7. Arquitectura de<br />Infraestructuras<br />crítica<br />7<br />
  8. 8. SCADA (Supervisory Control And Data Acquisition ).<br />8<br />Escritura de Configuración<br />
  9. 9. SCADA: OPC<br />9<br />
  10. 10. SCADA: OPC Lectura de datos<br />10<br />
  11. 11. SCADA: OPC<br />11<br />
  12. 12. SCADA<br />BackDoorthrough<br />Access Point<br />OPC/DCOM Attack<br />Man in theMiddle<br />BackDoorthrough<br />Internet<br />SQL Injetion<br />XSS<br />12<br />
  13. 13. SCADA<br />BackDoorthrough<br />Access Point<br />OPC/DCOM Attack<br />Man in theMiddle<br />BackDoorthrough<br />Internet<br />SQL Injetion<br />XSS<br />13<br />
  14. 14. SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM Attack<br />BackDoorthrough<br />Internet<br />SQL Injetion<br />XSS<br />14<br />
  15. 15. SCADA<br />BackDoorthrough<br />Access Point<br />OPC/DCOM Attack<br />Man in theMiddle<br />BackDoorthrough<br />Internet<br />SQL Injetion<br />XSS<br />15<br />
  16. 16. SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM Attack<br />BackDoorthrough<br />Internet<br />SQL Injetion<br />XSS<br />16<br />
  17. 17. SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM Attack<br />BackDoorthrough<br />Internet<br />SQL Injetion<br />XSS<br />17<br />
  18. 18. SCADA<br />BackDoorthrough<br />Access Point<br />Man in theMiddle<br />OPC/DCOM Attack<br />BackDoorthrough<br />Internet<br />SQL Injetion<br />XSS<br />18<br />
  19. 19. MES (ManufacturingExecutionSystem)<br />19<br />Son sistemas con consideraciones de tiempo real cuyos objetivos tienen que ver con:<br />
  20. 20. ERP (Enterprise ResourcePlanning)<br />20<br />
  21. 21. Pero, ¿por qué son criticas?<br />21<br />Videos<br />
  22. 22. ACCESO WEB<br />Consecuencias de abrir los sistemas de control<br />22<br />
  23. 23. Pero, ¿Por qué es necesario tratar de forma diferente a las infraestructuras críticas?<br />23<br />
  24. 24. Ejemplos de ataques<br />En 2001, un australiano fue mandado a prisión por conseguir el acceso a un sistema de administración de residuos provocando que litros de aguas residuales sin tratar se vertieran por parques locales, ríos y los terrenos de hotel HyatRegency de Queensland. El ataque se implementó aprovechando una red WIFI configurada en el SCADA.<br />24<br />
  25. 25. Ejemplos de Ataques<br />En 1999 una tubería de acero de 16 pulgadas de diametro, propiedad de la empresa Olympic Pipe Line, reventó y derramó cerca de 237.000 galones de gasolina en el cauce de un pequeño arroyo que discurría cerca del parque Whatcom Falls en Bellingham, Washington.<br />Transcurridas una hora y media la gasolina inició su combustión. <br />En el incendio dos chicos de 10 años de edad y un joven de 18 años murieron en el accidente. Estando documentados hasta 8 heridos, una residencia particular arrasada hasta los cimientos y la planta purificadora de agua de Bellinghams seriamente dañada. En definitiva daños por el valor de 45 millones de dolares.<br />25<br />
  26. 26. Ejemplo de ataques.<br />El sistema SCADA de Olympic Pipeline utilizaba el software Teledyne Brown Engineering20 SCADA Vector, ejecutado en dos servidores VAX Model 4000-300 con el sistema operativo VMS versión 7.1. Implementando además un sistema tolerante a fallos con la inclusión de una tercera máquina, en este caso Alpha 300, que se había configurado para ejecutar de forma independiente un software de detección de fallos en las tuberías.<br />Un fallo en la medición de la presión del tramo de tubería que discurría cerca del parque facilitó una acumulación de gas altamente volátil , provocando la fuerte explosión.<br />26<br />
  27. 27. Ataques al software de aplicación<br />Ataques de comunicaciones<br />Objetivos de los Ataques<br />Ataques al software de aplicación<br />Ataques de comunicaciones<br />Ataques a los usuarios<br />Ataques al software de aplicación<br />Ataques de comunicaciones<br />Ataques a los usuarios<br />Ataques al software de aplicación<br />Ataques de comunicaciones<br />Ataques a los usuarios<br />Ataques al hardware<br />Ataques de comunicaciones<br />27<br />
  28. 28. Protección de Infraestructuras Críticas<br />28<br />
  29. 29. Desventajas en la protección de infraestructuras críticas<br />29<br />
  30. 30. Interdependencia entre Infraestructuras<br />30<br />
  31. 31. Interdependencias entre Infraestructuras<br />Serán relaciones bidireccionales entre dos infraestructuras de forma que el estado de una de ellas afecta al estado de la otra y viceversa.<br />31<br />
  32. 32. Interdependencias entre Infraestructuras<br />Serán relaciones bidireccionales entre dos infraestructuras de forma que el estado de una de ellas afecta al estado de la otra y viceversa.<br />32<br />
  33. 33. Ejemplo de fallo en cascada<br />33<br />
  34. 34. Ejemplo de fallo en cascada<br />34<br />
  35. 35. CIIP (CriticalInformationInfrastructureProtection)<br />35<br />
  36. 36. CIIP<br />36<br />
  37. 37. CIIP<br />37<br />
  38. 38. Modelo para CIIP (ISO/IEC TR 13335)<br />38<br />
  39. 39. Avances en CIIP<br />39<br />
  40. 40. ISM como punto de partida para CIIP<br />40<br />
  41. 41. Herramientas para CIIP<br />41<br />
  42. 42. Herramientas para CIIP<br />42<br />
  43. 43. Control Systems Security Program (CSSP) – CERT-US<br />http://www.us-cert.gov/control_systems/<br />Cyber Security EvaluationTool (CSET)<br />43<br />
  44. 44. Control Systems Security Program (CSSP) – CERT-US<br />SecureArchitectureDesign<br />44<br />
  45. 45. Referencias<br />http://redindustria.blogspot.com– http://www.gaapsoluciones.es<br />http://www.gaapsoluciones.es/MISHSA /<br />Security forProcess Control Systems: Anoverview, M. Bradle and M.Naedele. IEEE Security and Privacy, 2008,<br />DesigningSecure SCADA SystemsUsing Security Patterns, E.B. Fernández, M.M.Larrondo-Petrie. IEEE Proceedings 43rd Hawaii International ConferenceonSystemSciences, 2010.<br />LeassonsLearnedFromCyber Security Assesments of SCADA and Energy Management Systems, R.K. Fink, D.F.Spenser and R. A. Wells, U.S. Department of Energy Office of ElectricityDelivery and EnergyReliability, 2006.<br />Indentifying, Understanding and AnalyzingCriticalInfraestructureInterdependencies. S.M. Rinaldi,J. P- Peerenboom and T.K. Kelly. IEEE Control Systems Magazine, 2001.<br />Trust butVerifyCriticalInfrastructureCyber Security Solutions, D.K. Holstein, K. Stouffer. IEEE Proceedings 43rd Hawaii International ConferenceonSystemSciences, 2010.<br />TheMyths and FactsbehindCyber Security RiskforÏndustrial Control Systems, E.Byres and D.Hoffman. 2004<br />Information Security ImplementationDifficulties in CriticalInfrastructures: SmartMetering Case, L.O. AlAbdulkarim and Z. Lukszo. IEEE 2010.<br />International Policy Framework for Protecting Critical Information Infrastructure: A Discussion Paper Outlining Key Policy Issues. Robert Bruce et al. TNO Report, 2005. http://www.ists.dartmouth.edu/library/158.pdf<br />International CIIP handbook 2008/2009. Aninventory of 25 national and 7 internationalCriticalInformationInfrastructureProtectionPolicies. ElginBrunner and Manuel Suter. Center for Security Studies, ETH Zurich. CRN Handbooks, volume 4, issue 1. http://www.isn.ethz.ch/isn/Digital-Library/Publications/Detail/?id=91952&lng=en<br />Wiley Handbook of Science and Technology for Homeland Security, 4 Volume Set. John G. Voeller (Editor).<br />45<br />
  46. 46. Seguridad en InfraestructurasCríticas<br />Antonio Guzmán<br />antonio.guzman@urjc.es<br />GAAP – URJC<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×