Hasta ahora, hemos visto los grupos en los que se dividen los sistemas de control industrial debido a su naturaleza, y los ataques que pueden sufrir dichos grupos a manos de los hackers y los impactos que estos provocan, pero, todos esos incidentes como se pueden parar? Que amenazas tenemos que valorar para que eso no pase? Deber铆amos anticiparnos a ellos y para eso tenemos que analizar todo muy a fondo. Gracias a El CCN-CERT y a su gu铆a, tenemos una amplia especificaci贸n ERS (escenarios de riesgos) en sistemas de control industrial que nos dar谩n una idea clara de las vulnerabilidades de cada sistema y las posibles amenazas. As铆 que, trabajemos como auditores, juguemos al juego de auditar. Vamos a Coger varias situaciones de riesgo dentro de los sistemas de control industrial y buscar los controles adecuados para auditar dichas situaciones. Aqu铆 ten茅is la tabla resuelta.
| ESCENARIOS DE RIESGO | 聽聽聽聽聽聽聽聽聽聽聽 CONTROLES |
| 路聽聽聽聽聽聽聽聽 En dispositivos port谩tiles | |
| o聽聽 Copias de seguridad de informaci贸n de la l贸gica en ejecuci贸n en discos duros externos. | 8.3.1 Gesti贸n de soportes extra铆bles.
10.5.1 Copias de seguridad de la informaci贸n. 11.2.1 Emplazamiento y protecci贸n de equipos. 11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. 12.3.1 Copias de seguridad de la informaci贸n. |
| o聽聽 Uso de USB para el traspaso de informaci贸n. | 8.3.1 Gesti贸n de soportes extra铆bles.
11.2.7 Reutilizaci贸n o retirada segura de dispositivos de almacenamiento. |
| 路聽聽聽聽聽聽聽聽 En trabajo de terceros | |
| o聽聽 Conexi贸n con equipos PC port谩tiles no revisados al sistema de control. | 6.2.2 Teletrabajo
9.1.2 Control de acceso a las redes y servicios asociados
10.6.1 Controles de red. 10.6.2 Seguridad de los servicios de red. |
| o聽聽 Existencia de conexiones para mantenimiento remoto de las que no se guarda ning煤n tipo de registro en el sistema o sobre el que no hay un control de acceso adecuado | 6.2.2 Teletrabajo
12.4.1 Registro y gesti贸n de eventos de actividad. 9.1.2 Control de acceso a las redes y servicios asociados 10.2.2 Supervisi贸n y revisi贸n de los servicios prestados por terceros. 10.6.1 Controles de red. 10.6.2 Seguridad de los servicios de red. |
| 路聽聽聽聽聽聽聽聽 En interconexiones con otras redes | |
| o聽聽 Integraci贸n de procesos con socios (partners). | 6.2.1 Identificaci贸n de los riesgos derivados del acceso de terceros.
6.2.3 Tratamiento de la seguridad en contratos con terceros. |
| o聽聽 Uso de redes p煤blicas de comunicaci贸n. | 9.1.2 Control de acceso a las redes y servicios asociados |
| 路聽聽聽聽聽聽聽聽 En gesti贸n deficiente de copias de seguridad | |
| o聽聽 No verificaci贸n de las copias de seguridad del ICS. | 10.5.1 Copias de seguridad de la informaci贸n. |
| o聽聽 No ejecuci贸n de copias de seguridad previas a actualizaciones de cualquier tipo. | 10.5.1 Copias de seguridad de la informaci贸n. |
| 路聽聽聽聽聽聽聽聽 En falta de concienciaci贸n del personal | |
| o聽聽 Uso inadecuado de los equipos del ICS. | 7.1.3 Uso aceptable de los activos.
8.2.3 Proceso disciplinario. |
| o聽聽 Incapacidad para reconocer un incidente y/o desconocimiento de c贸mo comunicarlo o actuar | 8.1.1 Funciones y responsabilidades.
8.2.3 Proceso disciplinario. |
| 路聽聽聽聽聽聽聽聽 En inadecuada gesti贸n de cambios | |
| o聽聽 No se realiza borrado seguro de los equipos del ICS | 9.2.6 Reutilizaci贸n o retirada segura de equipos.
9.2.7 Retirada de materiales propiedad de la empresa. |
| 路聽聽聽聽聽聽聽聽 En inexistencia de planes adecuados de gesti贸n de incidentes y continuidad | |
| o聽聽 Organizaciones sin gesti贸n de la ciberseguridad o donde el alcance no incluye los ICS. | 12.1.1 An谩lisis y especificaci贸n de los requisitos de seguridad.
10.10.5 Registro de fallos. |
| o聽聽 Planes de emergencias que no contemplan un incidente de ciberseguridad como causa de la situaci贸n de emergencia. | 13.1.1 Notificaci贸n de los eventos de seguridad de la informaci贸n.
10.10.5 Registro de fallos. |
| 路聽聽聽聽聽聽聽聽 En gesti贸n deficiente de la informaci贸n | |
| o聽聽 Obligaci贸n legal de publicar cierta informaci贸n | 6.1.5 Acuerdos de confidencialidad.
6.1.1 Compromiso de la Direcci贸n con la seguridad de la informaci贸n. |
| o聽聽 路 La informaci贸n que se comparte con los proveedores se env铆a en claro a trav茅s de correo electr贸nico o se utilizan plataformas no verificadas por la organizaci贸n. | 6.1.8 Revisi贸n independiente de la seguridad de la informaci贸n.
10.8.1 Pol铆ticas y procedimientos de intercambio de informaci贸n. 10.8.4 Mensajer铆a electr贸nica. |
| 路聽聽聽聽聽聽聽聽 En gesti贸n deficiente del software | |
| o聽聽 No existe un inventario de programas y versiones de cada equipo. | 7.1.1 Inventario de activos. |
| o聽聽 No se revisan de manera peri贸dica los equipos en b煤squeda de documentaci贸n o software no pertinente. | 9.2.4 Mantenimiento de los equipos.
7.1.3 Uso aceptable de los activos. |
| 路聽聽聽聽聽聽聽聽 En asignaci贸n deficiente de responsabilidades y gesti贸n de la seguridad | |
| o聽聽 No existe un responsable de ciberseguridad de los ICS. | 6.1.3 Asignaci贸n de responsabilidades relativas a la seguridad de la informaci贸n. |
| o聽聽 No existen procedimientos para la transferencia de propiedad de activos | 7.1.2 Propiedad de los activos.
9.2.7 Retirada de materiales propiedad de la empresa. |
| 路聽聽聽聽聽聽聽聽 En gesti贸n deficiente de usuarios y contrase帽as | |
| o聽聽 No se renuevan las contrase帽as del ICS. | 11.1.1 Pol铆tica de control de acceso.
11.3.1 Uso de contrase帽as. |
| o聽聽 Los operadores usan usuarios gen茅ricos en vez de nominales. | 11.1.1 Pol铆tica de control de acceso.
11.3.1 Uso de contrase帽as. |
| o聽聽 Existen usuarios y contrase帽as escritas junto a los equipos del ICS. | 11.1.1 Pol铆tica de control de acceso.
11.3.1 Uso de contrase帽as. |
| o聽聽 Existen equipos o software desfasado | 11.3.2 Equipo de usuario desatendido.
9.2.4 Mantenimiento de los equipos. |
| 路聽聽聽聽聽聽聽聽 En falta de gesti贸n t茅cnica de la seguridad y sistemas | |
| o聽聽 No se hace uso de protocolos cifrados en la red de control | 12.3.1 Pol铆tica de uso de los controles criptogr谩ficos. |
Como pod茅is ver los sistemas de control industrial m谩s atacados son los sistemas SCADA que esta basados en datos, a los hackers les interesa mucho los datos de las cosas, saber c贸mo funcionan y recopilar cuanta m谩s informaci贸n y m谩s valiosa mejor. Por lo tanto para poder analizar estos riesgos y obtener los controles m谩s apropiados para solucionar esos riesgos he utilizado el est谩ndar ISO 27002:2005 sobre la seguridad de la informaci贸n.
Con el uso de esos controles prevendremos escenarios de riesgo que puedan provocar que nuestra empresa tenga vulnerabilidades a la vista y que puedan generar entradas f谩ciles para ataques o posibles incursiones.
REFERENCIAS:
https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/ChecklistsGuidesISO17799Questionnaire!OpenDocument
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1381-ccn-cert-ia-04-16-amenazas-y-analisis-de-riesgos-en-sistemas-de-control-industrial-ics/file.html
http://ieeexplore.ieee.org/document/7750821/
Julen San Tirso Hern谩ndez
Latest posts by Julen San Tirso Hern谩ndez (see all)
- Abre los ojos! - 21 enero, 2017
- L铆deres - 30 noviembre, 2016
- Sistemas de control industrial. - 29 noviembre, 2016
RCG says
1 diciembre, 2016 at 8:14 pmHey, no te olvides de las referencias!!!!