CYBER SEGURIDAD EN REDES

INDUSTRIALES

ANTECEDENTES
Tradicionalmente los Sistemas de Control Industrial (ICSs) han
operado como locaciones aisladas.

Su principal enfoque se encuentra en las funciones del sistema.

Información y redes de seguridad no fueron consideradas en el

tiempo de su diseño, sin embargo, este diseño ha llegado a ser
muy costoso para implementar, mantener y operar
remotamente.
¿Qué es la Ciberseguridad
de un sistema de control?
This Photo by Unknown Author is licensed under CC BY-SA-NC
Seguridad Electrónica: acción
requerida para proteger sistemas
críticos o recursos de información del
uso no autorizado, denegación de
servicio, modificaciones, divulgación,
pérdida de ingresos, destrucción.
SOURCE: ISA/IEC 62443-1-1-2007
Sistema de Control: componentes de
hardware y software de un sistema de
control y automatización industrial.
SOURCE: ISA/IEC 62443-2-4-2018
Ciberseguridad: medidas tomadas
para proteger un computador o
sistemas de computadores contra el
acceso no autorizado o ataques.
SOURCE: ISA/IEC 62443-3-2-2020
Tendencias en Ciberseguridad de los Sistemas de
Control
Los protocolos de
internet exponen los Aumento de
sistemas de control ataques de código
malicioso

Mas intentos no Componente comercial

autorizados salido del estante (COTS,
comercial off the shelf)

Herramientas
para Aumento del
automatizar monitoreo y
los ataques acceso remoto
IMPLICACIONE
S
• COMERCIALMENTE SALIDO DEL ESTANTE
(COTS)
Los componentes COTS incrementan la
conectividad y los protocolos comunes que
provocan:
- Que potenciales adversarios estén
familiarizados con la tecnología.
- Que muchos de los riesgos sean comunes
con los sistemas de negocios.
• ACCESO REMOTO
Amplia el sistema “superficie de ataque”
• AISLAMIENTO
La separación de la red es difícil o imposible.
CONSECUENCIAS
POTENCIALES PARA
LAS ORGANIZACIONES
Acceso no autorizado, robo o uso indebido de datos.

Perdida de integridad o confianza del sistema de

control

Perdida de disponibilidad del sistema de control.

Daño de equipamiento.

Lesion del personal.

Violación de requisitos legales y reglamentarios.

CONSECUENCIAS
POTENCIALES PARA LA
SOCIEDAD

Gran número de Interrupción en la vida

personas envenenadas normal debido a un corte
debido a la manipulación de red eléctrica a gran
de instalaciones de escala.
tratamiento de aguas.

Gran número de Gran numero de

personas heridas y personas recibiendo
muertas debido a una medicina equivocada
explosión de una gran debido a la alteracion de
planta de químicos. sus recetas
EL MALWARE NO
CONOCE FRONTERAS

Ransomware (secuestro de datos) es un tipo

de ataque malicioso en la que los atacantes
encriptan los datos de una organización y
exigen un pago para restaurar el acceso.
Ransomware ha sido la principal amenaza
durante el 2021 con varios incidentes de alto
perfil y muy conocidos.
La importancia y el impacto de las amenazas
de ransomware también se ponen de
manifiesto en una serie de iniciativas
políticas relacionadas en la Unión Europea
(UE) y en todo el mundo
TENDENCIAS Y EVENTOS DE MALWARE

Unos muy antiguos, pero aun efectivos con nuevas variantes, se mantienen en juego.

Shamoon es un malware El sistema operativo (OS) de

destructivo diseñado para Windows es cerca del 80%
borrar sistemas infectados del mercado. El sistema
Stuxnet reclama ser la sobre escribiendo Operativo que no es de
primera arma global digital. información con datos basura. Windows es vulnerable y
#1-2010 Daño a las #1-2012 Objetivo Saudi puede ser utilizado para
centrifugadoras de Iran. Aramco, donde eliminó transmitir malware a los
300000 computadores. sistemas operativos
#2-2018 Daño a la Windows. Todo puede
Infraestructura de #2-2016 apuntó a una comprometerse a través de
Telecomunicaciones de Iran. compañia Saudi con la la pesca (phishing) del
interfaz virtual de escritorio password
affected.
Shellshock (Bashdoor) tuvo
#3-2018 apuntó a la compañia variants en Unix, Linux, MAC
de gasolina y gas italiano OS X
EJEMPLO DE CIBER ATAQUE – RED ELECTRICA
UCRANIANA - PARTE 1

Red IT Prykarpattya Oblenergo

La red eléctrica Ucraniana fue afectada dos veces por un

Red OT Prykarpattya Oblenergo
ataque dirigido.
- Ataque tipo estado a la nación.
- Ataque iniciado vía un sofisticado correo de
estafa (phishing).
- El entorno IT fue utilizado como un escalón
para acceder a la OT.
FUENTE: - El ataque final a la red eléctrica se ejecutó
https://www.isa.org/intech-home/2017/march-april/features/ukrainian-po
wer-grids-cyberattack
rápidamente, abriendo disyuntores en la
subestación y sobre escribiendo el firmware
de componentes críticos.
EJEMPLO DE CIBER ATAQUE – RED ELECTRICA
UCRANIANA - PARTE 2

• El malware se conecta a un servidor C&C

distante.
• Realiza un escaneo de la red, salta hacia otro
host.
• Detecta un túnel SSH abierto para OT.
• Realiza la grabación de pulsaciones del
teclado (password, etc.) para uso futuro.
• Mientras el usuario este lejos, el túnel
abierto SSH conecta a otros sistemas e instala
más malware en host que estén vulnerables.
• Limpia e instala en perfil bajo una amenaza
persistente y lista para activarse.
ALGUNOS ESTANDARES DE
CYBERSEGURIDAD PARA SISTEMA
DE CONTROLES INDUSTRIALES

ISA-99 (IEC 62443)

NIST-82/83
NERC CIP
 Aspectos comunes
Configuración
Gestión de
Arquitectura del
seguridad de
de red dispositivo
la red
segura
CAPAS DE SEGURIDAD
Gestión Segura
Define políticas y
seguridad de gestión
constante.
GESTION
Seguridad de Red
Defensa en profundidad de
ciber seguridad para Sistemas
RED de Control y Automatización
Industrial (IACS).

DISPOSITIVOS Seguridad de Dispositivos

Dispositivos robustos con
funciones de seguridad
embebidos.
INFRAESTRUCTURA DE
RED PENSADA EN Nivel 4 red de negocios

SEGURIDAD
(ARQUITECTURA DE RED) DMZ
Empresarial/Industrial

La mejor práctica de hoy es implementar Red Industrial 1

arquitecturas de seguridad de defensa
profunda, con tráfico de red segmentados
dentro de zonas definidas y luego se limita la
comunicación entre estas zonas solo para el Red Industrial 2, etc.
tráfico predefinido.

Nivel 1 Celda RT/ controlador

 Pasos para
implementar
una
arquitectura de
red con defensa
profunda o
robusta
Paso 1: Segmentación de
red
• La segmentación de red
involucra el
descomponer la red en
zonas lógicas o físicas
con requerimientos de
seguridad similares.
 Pasos para
implementar
una
arquitectura de
red con defensa
profunda o
robusta
Paso 2: Definir las interacciones de zona a
zona.
• Una buena práctica general es hacer
un listado blanco (whilelist) del tráfico
que necesita fluir entre cada zona y
bloquea el resto del tráfico. Los
firewalls industriales típicamente
realizan una inspección profunda de
los paquetes para filtrar protocolos
industriales a un nivel más granular
que los firewalls tradicionales.
 Pasos para
implementar
una
arquitectura de
red con defensa
profunda o
robusta
Paso 3: Soporte de acceso remoto
seguro en redes industriales
• Las redes que requieren el sitio
remoto para estar constantemente
conectados al sistema de control
industrial deberían utilizar una red
privada virtual (VPN) que soporte un
método de encriptación seguro tal
como IPsec u OpenVPN.
Configuración del dispositivo segura
• El estándar IEC 62443 provee
guía definiendo algunas de
las características claves que
se desean en los switches y
otros dispositivos. A
continuación, hay siete
requerimientos funcionales
definidos por el estándar
junto con una breve
explicación de su relevancia.
 This Photo by Unknown Author is licensed under CC BY-SA-NC

This Photo by Unknown Author is licensed under CC BY-SA-NC

This Photo by Unknown Author is licensed under CC BY-NC

This Photo by Unknown Author is licensed under CC BY-SA-NC
Requerimientos de configuración de Seguridad

• Control de Identificación y
autenticación: La autenticación de
la clave publica debería ser
utilizada para asegurar las
conexiones servidor a dispositivos
y dispositivo a dispositivo.

Control de Uso: Cada

dispositivo que aparece
en una red debe
soportar autenticación
de ingreso.
Requerimientos de configuración de
Seguridad
• Integridad de datos: A través de la red de un Sistema de Control Industrial
(ICS), la integridad de los datos es muy importante para asegurar que la data
es precisa y que esta puede ser procesada y recuperada confiablemente..
Existen varias mediciones de seguridad que pueden utilizarse para proteger
la data, incluyendo SSL el cual soporta encriptaciones entre un navegador
Web y un servidor.
• Confidencialidad de datos: Cuando la data es almacenada o transmitida a
través de la red, esta tiene que ser protegida y segura. La data debe estar
protegida de todo tipo de amenazas empezando desde las mas básicas hasta
las amenazas mas sofisticadas. La data debe estar asegurada todo el tiempo
de aquellos quienes desean escuchar secretamente las comunicaciones,
alterar las configuraciones o robar los datos.
Requerimientos de configuración de
Seguridad
• Flujo de datos restringidos: uno de los métodos más efectivos de
restricción del flujo de datos es dividir la red en diferentes zonas.
Cada zona utiliza características de seguridad específicas de tal
manera que solamente aquellas con autorización puedan ingresar y
enviar datos desde zonas específicas. Otro beneficio es que, si una
zona es infiltrada, la amenaza no puede fácilmente esparcirse a otras
partes de la red, lo cual ayuda a limitar el daño causado por esa
violación de seguridad.
Requerimientos de configuración de
Seguridad
• Tiempo de respuesta a eventos: Es esencial que los operadores del
sistema puedan ser capaces de responder rápidamente a incidentes
de seguridad que ocurran en la red. Para facilitar esto, la red debe
soportar las características necesarias para alertar al operador del
sistema si un problema ocurre y también guardar un registro de
cualquier anormalidad que suceda en la red. Todos los eventos de la
red deben ser procesados en tiempo real o al menos lo
suficientemente rápidos por los operadores del sistema para
responder a tiempo para prevenir un mayor daño en la red de un
Sistema de control Industrial.
Requerimientos de configuración de
Seguridad
• Disponibilidad de los recursos de red: Los dispositivos en las redes de
Control Industrial deben ser capaces de resistir amenazas de
denegación de servicios de personas con solamente un
entendimiento básico de redes de sistemas de control industrial o
quien esté presente con una oportunidad debido a un error del
operador. Los dispositivos deben ser capaces también de resistir
ataques de entidades que tienen alta motivación y altos niveles de
habilidades especificas ICS. El punto importante es que la red no debe
experimentar inactividad, independientemente de quien este
atacando la red.
Vulnerabilidades
• Una vez que los requerimientos de configuración de seguridad han sido delineados, se
discutirán tres vulnerabilidades comunes y como los dispositivos de red apropiadamente
configurados ayudan a proteger los ICS.
• Vulnerabilidad #1, Utilización de passwords por defecto del dispositivo: La autenticación
basada en passwords robustos es un requerimiento fundamental para seguridad de la
red, aun así, muchos dispositivos en redes industriales aun utilizan passwords por
defecto otorgados por el fabricante. Aunque esto pueda ser conveniente por temas de
mantenimiento, el mismo deja a la red extremadamente vulnerable. Para direccionar
este tema de seguridad, el dispositivo ubicado en una red industrial debe ser forzado a
una política de passwords robustos que incluyan una longitud mínima del mismo y una
variedad de tipos de caracteres. Mientras más complejos sean de adivinar, los passwords
que manejan una política robusta ayudaran a proteger en contra de ataque forzados
brutales.
• Vulnerabilidad #2, Transmisión en texto plano de usuarios y
passwords: Muchos dispositivos en las redes ICS aun utilizan
comunicaciones en texto plano inseguras cuando los usuarios inician
sesión para configurarlos. Esto facilita que alguien rastree (sniffing) las
conexiones para obtener la información del ID de usuario y su
password para acceder más allá y explotar la red. La mejor manera de
evitar aquello es asegurando los protocolos de comunicación seguro
de soporte del sistema tales como SSL y SSH o alternativamente
protección de los passwords de la configuración del dispositivo a
través de HTTPS.
• Vulnerabilidad #3, Archivos de respaldo no encriptados: Es una
práctica común respaldar los archivos de configuración de la red en
caso de fallas. Frecuentemente estos archivos son almacenados como
archivos en texto plano compartidos o en portátiles de contratistas.
En manos equivocadas aquellos archivos pueden ser fácilmente
violentados y utilizados para explotar la red. La mejor practica es
encriptar los archivos de configuración para proteger la información
que ellos contienen.
ORGANIZACIÓN DEL ESTANDAR DE LA SERIE
ISA/IEC 62443

ISA-62443- ISA-62443- ISA-62443- ISA-62443-

1-1 1-2 1-3 1-4
GENE Conceptos y
Glosario Métricas de Ciclo de vida de
Maestro de Conformidad del seguridad y casos
RAL Modelos Términos y Sistema de de uso
Abreviaciones Seguridad

Estad
Desarrollo
os Planificado
En Desarrollo Para comentar
o votar
Aprobado con
comentarios

Clave Publicado
Aprobado Publicado Adoptado
(Bajo revisión)
 ORGANIZACIÓN DEL ESTANDAR DE LA SERIE
ISA/IEC 62443

ISA-62443-2-1 ISA-TR62443- ISA-TR62443- ISA-62443-2-4 ISA-TR62443-

2-2 2-3 2-5
POLITICAS Requisitos del
Guía de
programa de Nivel de Protección Gestión de Parches Requerimientos
Y seguridad para el de IACS en entornos IACS para proveedores
implementación
para propietarios
propietario del de servicio de IACS
PROCEDIMI activo de IACS
de activos de IACS

ENTOS

Estad
Desarrollo
os Planificado
En Desarrollo Para comentar
o votar
Aprobado con
comentarios

Clave Publicado
Aprobado Publicado Adoptado
(Bajo revisión)
 ORGANIZACIÓN DEL ESTANDAR DE LA SERIE
ISA/IEC 62443

ISA-TR62443- ISA-TR62443- ISA-62443-3-3

3-1 3-2
SISTEMA Tecnologías de
Seguridad para
Gestión de Parches
en entornos IACS
Requerimientos de
seguridad del
IACS sistema y niveles de
seguridad

Estad
Desarrollo
os Planificado
En Desarrollo Para comentar
o votar
Aprobado con
comentarios

Clave Publicado
Aprobado Publicado Adoptado
(Bajo revisión)
 ORGANIZACIÓN DEL ESTANDAR DE LA SERIE
ISA/IEC 62443

ISA-62443-4-1 ISA-62443-4-2
COMPONE Requisitos de Requerimientos de
seguridad del ciclo
NTES de vida del
Seguridad Técnica
para Componentes
desarrollo de IACS
productos

Estad
Desarrollo
os Planificado
En Desarrollo Para comentar
o votar
Aprobado con
comentarios

Clave Publicado
Aprobado Publicado Adoptado
(Bajo revisión)
OBJETIVO ISA/IEC 62443

ISA/IEC
62443

Guiar el
desarrollo de
Componentes
de ICS para
Gestionarlos
mediante un
Asegurarlos por
Sistema de Gestión
diseño
de Seguridad
centrado en OT
CICLO DE VIDA DE LA SERIE 62443

Ciclo de Vida

Solución de Desarrollo del

Automatización Producto

Fase de
Fase de
Operación y
Integración
mantenimiento
 APLICABILIDAD DE LOS
DOCUMENTOS DEL ESTANDAR ISA
62443
Actividades Aplicabilidad
• Establecer ymantener un programa de
seguridad que incluya requerimientos
específicos para un IACS.
• Segmentación de Zonas y conductos y
62443-2-1
elaborar la evaluación de riesgo
PROPIETARIO asociada
62443-2-2
62443-2-3
DEL ACTIVO (AO, • Requerimiento de los documentos IACS
62443-2-4
en las especificaciones de los
ASSET OWNERS) requerimientos de ciberseguridad
62443-3-1
62443-3-2
• Procurar productos y servicios que
guarden los requerimientos de IACS.
• Evaluar la efectividad del programa de
seguridad del IACS.
 APLICABILIDAD DE LOS
DOCUMENTOS DEL ESTANDAR ISA
62443
Actividades Aplicabilidad

• Establece y sustenta un programa de

seguridad para la integración de la
solución de automatización.
• Diseña e implementa soluciones de 62443-2-1
PROVEEDOR DE automatización que cumplen los 62443-2-3
SERVICIOS DE requerimientos en las especificaciones 62443-2-4
de los requerimientos de 62443-3-2
INTEGRACION ciberseguridad. 62443-3-3
• Aplica parches de seguridad durante la
fase de integración del ciclo de vida de
la solución de automatización.
 APLICABILIDAD DE LOS
DOCUMENTOS DEL ESTANDAR ISA
62443
Actividades Aplicabilidad

• Establece y sustenta un programa de

seguridad para servicios de
PROVEEDOR DE 62443-2-2
mantenimiento.
62443-2-3
SERVICIOS DE • Provee servicios y capacidades que
62443-2-4
cumplen las políticas de seguridad de
MANTENIMIENTO IACS y procedimientos especificados por
el propietario del recurso.
APLICABILIDAD DE LOS
DOCUMENTOS DEL ESTANDAR ISA
62443
Actividades Aplicabilidad

• Establece y mantiene un ciclo de vida

del desarrollo de seguridad.
• Provee productos de sistemas de control
que cumplen con la capacidad del nivel
62443-3-2
de seguridad.
PROVEEDOR DE • Provee componentes del producto que
62443-3-3
PRODUCTO 62443-4-1
cumplen con la capacidad del nivel de
62443-4-2
seguridad.
• Provee soporte continuo durante el ciclo
de vida para su sistema de control y
componentes del producto.