Respuesta a incidentes en sistemas de transmisión y distribución de energía

832 views
549 views

Published on

Presentación realizada en el evento "Infraestructuras Críticas, un desafío de Ciberseguridad para Colombia"

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
832
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Respuesta a incidentes en sistemas de transmisión y distribución de energía

  1. 1. RESPUESTA A INCIDENTES EN SISTEMAS DE TRANSMISIÓN Y DISTRIBUCIÓN DE ENERGÍA Manuel Humberto Santander Peláez Gerencia Tecnología de Información
  2. 2. Agenda / Temas Respuesta a incidentes en sistemas de Tranmisión y Distribución de Energía o Introducción o Metodología Respuesta a Incidentes o Conclusiones
  3. 3. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional
  4. 4. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional (2)
  5. 5. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Sistema Interconectado Nacional (3)
  6. 6. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Red SCADA Sistema Eléctrico
  7. 7. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Ataques disponibles para cualquier persona • Exploits: o http://www.packetstormsecurity.org o http://www.securityfocus.org o http://www.exploit-db.com • Herramientas para análisis de vulnerabilidades o http://www.nessus.org o http://www.openvas.org o http://www.metasploit.com o Distribuciones para análisis de vulnerabilidades o http://www.kali.org o http://www.backbox.org o http://www.matriux.com
  8. 8. Agenda / Temas Equipo Respuesta a Incidentes de Seguridad Grupo EPM o Introducción o Metodología respuesta a incidentes de seguridad o Conclusiones
  9. 9. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Manejo Incidentes Seguridad Antes Durante Después Preparación para incidentes de seguridad e investigaciones Respuesta a incidentes Investigación Forense Informática
  10. 10. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Ciclo de vida respuesta a incidentes Preparación Detección y Análisis Contención, Erradicación y Recuperación Actividades PostIncidente
  11. 11. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Preparación de incidentes • Preparación: Involucra el establecimiento de las capacidades básicas de respuesta a incidentes, las cuales corresponden a: o Procedimientos de interacción claramente establecidos entre los mundos de Tecnología de Información (TI) y Tecnología de Operación (TO). o Obtención de infraestructura tecnológica necesaria para la protección de riesgos de la infraestructura tecnológica del sistema SCADA o Ejecución de pruebas de simulacro de incidentes periódicas para afinar habilidades y proceso • Constitución del equipo de respuesta a incidentes o Único equipo de respuesta a incidentes para la organización o Involucra miembros de los mundos de TI y TO o Se rige bajo los lineamientos de operación del sistema de Transmisión y Distribución de Energía o Interfaz con la gerencia del negocio para la toma de decisiones que afecten la disponibilidad y recuperación del sistema
  12. 12. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Preparación de incidentes (2) • Los riesgos de seguridad deben estar adecuadamente minimizados o No es procedente iniciar respuesta a incidentes de seguridad sin tener todos los riesgos controlados adecuadamente o Los recursos son escasos y es necesario enfocarlos a incidentes reales y que se constituyan en riesgos que se asumen o que no es posible controlar o La infraestructura SCADA de transmisión y distribución de energía posee numerosas vulnerabilidades por defecto y realizar respuesta a incidentes sin los respectivos controles de seguridad previos pierde efectividad, no agrega valor y no hace la diferencia • Obtención de Hardware y software necesario para respuesta a incidentes o Analizadores de protocolos o DVD para copias de seguridad de registros encontrados o Software para obtención de imágenes de seguridad (HMI) o Software para transferencia de configuraciones de IED, RTU y UAD
  13. 13. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Modelo de Seguridad SCADA Energía
  14. 14. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis • Involucra la recepción de una alerta o reporte de un hecho anormal que se está dando actualmente, la cual debe ser confirmada antes de convocar el equipo de respuesta a incidentes • Se considera un incidente de seguridad cualquier evento que ocurra y vaya en contra de las políticas de seguridad de la información de la compañía • Las políticas de seguridad deben incluir los ambientes de infraestructura crítica • Debe existir un Security Operation Center (SOC) que se encargue de monitorear todos los eventos que provengan de los controles de seguridad dispuestos en toda la infraestructura de Transmisión y Distribución de Energía • Existen varios tipos de controles de seguridad: o Application Whitelisting: Se filtran todas aquellas aplicaciones que no sean permitidas
  15. 15. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (2) • Existen varios tipos de controles de seguridad: o Network Intrusion Prevention System: Permite monitorear ataques hacia los dispositivos o secuencia de comandos anormales sobre el protocolo de control dirigidos hacia los generadores y las subestaciones o Secure Traffic Flow: Especialmente diseñado para aquella porción del sistema SCADA que necesita reportar directamente a la red corporativa de la compañía o Integrity Control: Permite controlar cualquier tipo de modificación no autorizada al sistema de archivos de los HMI y por tanto preserva la configuración e integridad contra software malicioso o Firewall: Permite el control de acceso entre las distintas VLAN de la red SCADA • Una vez se determine que ocurrió un incidente de seguridad, debe categorizarse, con el fin de determinar el siguiente curso de acción
  16. 16. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (3) • Algunos dispositivos que funcionan bien asegurando sistemas SCADA: o Tippingpoint: Permite monitorear protocolos como IEC101/104, DNP3 y Modbus-TCP o Checkpoint: Su módulo de application control permite realizar filtrado puntual por reglas de protocolos y tomar decisiones al respecto o Mcafee Integrity Control: Permite bloquear modificaciones no autorizadas a los programas, memoria o al sistema de archivos de los dispositivos HMI e IFS. o Tofino: Es una herramienta fácil de implementar para definir zonas de seguridad en las subestaciones. o Waterfall: Los sistemas de control necesitan realizar reportes periódicos a sistemas de información corporativos. Este dispositivo permite la comunicación en una sola vía, evitando ingresos de atacantes a la red de control. • Una vez se determine que ocurrió un incidente de seguridad, debe categorizarse, con el fin de determinar el siguiente curso de acción
  17. 17. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Detección y Análisis (4) • Las siguientes categorías aplican a la infraestructura crítica de transmisión y distribución de energía: o Denial of service: Los dispositivos SCADA se caracterizan por su pobre manejo de tráfico en redes de datos, por lo que ataques básicos al protocolo de comunicaciones puede causar interrupción del servicio. También pueden ser causados por ataques a dispositivos que no tengan implementados parches de seguridad. o Acceso no autorizado: Corresponde al acceso no autorizado a los distintos componentes del sistema SCADA. o Uso inapropiado: Dicho incidente se materializa cuando un usuario debidamente autorizado efectúe extralimitaciones en los privilegios sobre el sistema o Suplantación: Este incidente se materializa al efectuar la suplantación de un operador o de una entidad SCADA en la red, con el fin de proceder a ejecutar comandos con impactos negativos en el sistema.
  18. 18. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Contención, erradicación y recuperación • Se llevan a cabo las tareas necesarias para evitar que el incidente siga aumentando la cobertura de impacto: o La disponibilidad en los servicios de transmisión y distribución de energía es vital, por lo que debe procurarse la recuperación inmediata del servicio • La infraestructura SCADA siempre es redundante, por lo cual debe iniciarse por realizar contención y erradicación de la porción inicial del sistema que permita recuperar la gestión de la red de transmisión y distribución de energía o Se eliminan todos aquellos elementos que posibilitaron el incidente de los equipos o Toma de evidencia con imágenes de los dispositivos HMI o Recolección de logs en los dispositivos IED, UAD y RTU o Se procede a recuperar el servicio y la gestión de la red de transmisión y distribución de energía
  19. 19. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Contención, erradicación y recuperación (2) • Las pruebas de recuperación son altamente sensibles o Los dispositivos SCADA pierden rápidamente sincronía, por lo que debe disponerse de personal que vaya directamente a las subestaciones a hacer reinicio de los dispositivos, en caso de ser necesario o La latencia debe ser menor a 12 milisegundos, con el fin de asegurar la operación en tiempo real y la recuperación total del sistema o Al restaurar copias de seguridad de la configuración, debe realizarse desde un repositorio confiable y que no haya sido comprometido o Los controles de seguridad presentes en el sistema SCADA deben incluir las modificaciones de configuración y disposición necesarias para evitar la materialización nuevamente del incidente
  20. 20. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Actividades Post-Incidente • Se procede a realizar un reporte del incidente de seguridad: o Debe ser entendible por personas que no tengan un conocimiento técnico o Debe incluir el detalle completo de todos los hechos ocurridos y la evidencia recolectada • Se procede a socializar las lecciones aprendidas del incidente de seguridad. Allí se responden a las siguientes preguntas: • ¿Qué componentes fallaron para la materialización del incidente de seguridad? • ¿Qué plan de acción vamos a seguir para que dicho incidente de seguridad no vuelva a ocurrir? • ¿Es necesario evolucionar algún componente de nuestro modelo de seguridad? • ¿Qué competencias y capacidades necesitamos desarrollar para evitar que el incidente de seguridad vuelva a materializarse?
  21. 21. Agenda / Temas Equipo Respuesta a Incidentes de Seguridad Grupo EPM o Introducción o Metodología respuesta a incidentes de seguridad o Conclusiones
  22. 22. Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía Conclusiones • Los sistemas SCADA pueden tener esquemas de seguridad que no intervengan con la funcionalidad del sistema o Deben tener visto bueno del proveedor, para propósitos de garantía y soporte sobre la solución o Cualquier evolución sobre el esquema de seguridad, debe ser probado numerosas veces en laboratorio antes de ser puesto en producción • Los sistemas SCADA NO funcionan como la infraestructura común de TI: o Aunque muchos procesos establecidos en ITIL funcionan, las herramientas y parametrizaciones no son las mismas y, por tanto, no pueden ser administrados con los mismos procedimientos y normatividad o Los esquemas de recuperación de incidentes de seguridad para sistemas SCADA deben involucrar el proceso de operación del sistema de transmisión y distribución de energía.
  23. 23. Contacto o Manuel Humberto Santander Peláez manuel.santander@epm.com.co Teléfono: +57-4 380 7837 http://manuel.santander.name @manuelsantander

×