Protección de Infraestructuras Críticas

Protección de Infraestructuras Críticas Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos Por Enrique Martín García Telv
Author:  Virginia Moreno Toledo
2 downloads 76 Views 2MB Size
Report
DOWNLOAD PDF

Recommend Stories

Infraestructuras Legales
Infraestructuras. Concesiones
ADMINISTRADOR DE INFRAESTRUCTURAS FERROVIARIAS
Infraestructuras Infrastructures
Información general General Information Infraestructuras Infrastructures 38 Memoria Annual Report 2004 Nueva Terminal de Madrid-Barajas. The New
Infraestructuras viarias
ADMINISTRADOR DE INFRAESTRUCTURAS FERROVIARIAS
Departamento de Infraestructuras
ADMINISTRADOR DE INFRAESTRUCTURAS FERROVIARIAS
Financiación de Infraestructuras
Financiación de Infraestructuras Sostenibilidad presupuestaria, crecimiento y medidas para el fomento de la financiación de infraestructuras 8 de May
ADMINISTRADOR DE INFRAESTRUCTURAS FERROVIARIAS

Story Transcript

Protección de Infraestructuras Críticas Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Por Enrique Martín García Telvent Global Services

C/ Valgrande, 6 28018 Alcobendas Madrid – Spain

[email protected]

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Contenidos

Resumen ............................................................ 2 Introducción ....................................................... 2 Dimensiones del Data Center .............................. 3 Edificio ................................................................ 3 Centro de producción .......................................... 3 Banco de datos .................................................... 3 Arquitectura de sistemas del Data Center ........... 4 Gestión del Data Center ...................................... 4 Ciberseguridad en DCIM .................................... 4 Sistemas de control en DCIM ............................. 5 Sistemas de Control en Data Centers ................... 5 Distributed Control System ................................. 5 Supervisory Control And Data Acquisition ........ 5 Protocolos de red de control................................ 6 Monitorización de la Ciberseguridad ................... 6 Matriz de conexión.............................................. 7 Matriz operacional .............................................. 8 Detección de anomalías en la red de control ....... 8 Conclusiones..................................................... 11 Referencias ....................................................... 11

Resumen Desde los centros de datos se proporcionan una serie de servicios esenciales para la sociedad. Desde el alojamiento de las infraestructuras de comunicaciones de voz y datos, hasta la información de negocio y operativa de distintas organizaciones públicas y privadas. Todos estos servicios se sustentan sobre infraestructuras complejas que se gestionan mediante tecnologías de información (IT) y tecnologías de control industrial y Operacional (OT). En este documento presentaremos una propuesta que permita gestionar de manera unificada los eventos de Ciberseguridad detectados en las redes de tecnologías de información y en las redes de control industrial (SCADA) existentes en estas infraestructuras críticas para impedir que ataques originados en zonas de menor nivel de protección puedan prosperar y permitir el acceso a activos de información de otras zonas. Introducción En Enero de 2009 se hizo efectiva la Directiva 2008/114/CE del consejo de la Unión Europea que establecía la necesidad de identificar las infraestructuras críticas Europas con el objeto de diseñar las estrategias de protección de las mismas. En esta Directiva se describía la necesidad de identificar las infraestructuras de los sectores de Energía y transporte, dejando abierta la posibilidad de que todos los estados miembros identificaran otros sectores críticos adicionales. A fecha de Diciembre de 2014 la Agencia Europea para la Seguridad de las Redes y la Información (ENISA), publicó una guía[1] para la identificación de los activos críticos del sector de las Tecnologías de la Información y las comunicaciones (ICT)

Abril de 2015 2

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Data Centers que se pueden estudiar según distintas dimensiones. Dimensiones del Data Center Edificio Cualquier Data Center se encuentra en una edificación que cuenta con distintos sistemas de control y automatismo que gestionan operaciones de soporte básicas tales como:      

En esta guía se repasaban los sectores críticos ya identificados por los países miembros de la Unión y que se pueden ver en la siguiente tabla.

Seguridad física Video vigilancia Control de acceso Aire acondicionado Calefacción Ascensores

Para controlar estos servicios básicos se utilizan sistemas de control industrial clásicos en la gestión de edificios (Building Management System o BMS) basados en arquitecturas distribuidas localmente (Distributed Control System o DCS) o en sistemas SCADA que describiremos más adelante. Centro de producción El nivel de disponibilidad que precisan los servicios esenciales alojados en Data Centers Críticos es equiparable al necesario en otros sectores críticos. Como mínimo se contemplan valores de disponibilidad que oscilan entre el 99,982% (Tier III) y el 99,999% (Tier IV). En el primer caso, esto supone una interrupción máxima de los servicios de 1,6 horas al año, y en el segundo de 0,8 horas de interrupción anuales.

Como puede apreciarse, y con la excepción de Italia y Grecia, todos los países miembros de la Unión identificaron el sector ICT como sector crítico dada la dependencia que otros sectores tienen con él. La prestación de estos servicios esenciales por parte de los operadores críticos se realiza desde

Estos servicios básicos de soporte en el Data Center se articulan alrededor del suministro de energía eléctrica a los equipos alojados y en la disipación del calor que los mismos producen con su funcionamiento (Enfriamiento). Banco de datos En la provisión de los servicios esenciales por parte de los sistemas de información alojados en los Data

3

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Centers críticos, se utilizan o pueden utilizar datos clasificados o sujetos a regulaciones concretas. Por ejemplo, en el caso de la utilización de datos de carácter personal estarán sometidos a la LOPD y en caso de utilizar datos de información bancaria estarán sometidos a la normativa PCI-DSS.

de todas las infraestructuras que componen el Data Center. Estas aplicaciones son conocidas como DCIM: Data Center Infrastructure Management. Sobre este tipo de aplicaciones cabe hacer un par de reflexiones antes de continuar:

En cualquier caso la existencia de este tipo de datos en el interior de los Data Centers, hace necesaria la adopción de medidas de seguridad lógica adecuadas.

El cuadrante mágico elaborado por Gartner [2] sobre las soluciones tipo DCIM más extendidas en el mercado es el siguiente:

Ciberseguridad en DCIM

Arquitectura de sistemas del Data Center A la vista de lo expuesto anteriormente y siguiendo el modelo propuesto por la norma ISA 95, los niveles definidos para Data Centers son los siguientes:

Para la elaboración de este cuadrante mágico, no se contempló la Ciberseguridad cómo uno de los factores a evaluar para la colocación de la solución dentro de alguna de las categorías. En los niveles 3 y 4 predominan las tecnologías de la información clásicas (IT), mientras que en los niveles 0, 1 y 2 predominan las Tecnologías Operacionales (OT). Este hecho hace que la estrategia de Ciberseguridad a adoptar en estos entornos sea particular y deba contemplar soluciones tecnológicas híbridas que den soporte a entornos heterogéneos.

Otros estudios acerca de distintas soluciones DCIM, elaborados por IDC[3], tampoco citan este atributo como parámetro a tener en cuanta durante su evaluación.

Gestión del Data Center La consideración de las dimensiones vistas anteriormente y otras de índole operativo, han determinado la proliferación de aplicaciones que intentan proporcionar un único punto de gestión

4

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Sistemas de control en DCIM



El Grupo 451 ha elaborado un modelo que intenta reflejar las capacidades básicas que debe soportar un DCIM.



Imposibilidad de instalar y ejecutar soluciones Software de protección frente a amenazas. En los dispositivos de control Protocolos de red inseguros por diseño.

A pesar de todas estas características comunes existen también ciertas diferencias entre ambas arquitecturas y que vamos a exponer brevemente: Distributed Control System Un esquema típico de uno de estos sistemas es el siguiente:

Tal y como se aprecia en este modelo, muchas de las funcionalidades a implantar en un DCIM (recuadradas en color rojo), están directamente desarrolladas por algún Sistema de Control Industrial, por lo que describiremos este tipo de sistemas utilizados en los Data Centers en el siguiente punto. Sistemas de Control en Data Centers Tal y como vimos anteriormente, los Data Center pueden utilizar sistemas de control industrial clásicos en la gestión de edificios (Building Management System o BMS) basados en arquitecturas distribuidas localmente (Distributed Control System o DCS) o en sistemas SCADA si es necesario supervisar o controlar dispositivos de campo (sensores o actuadores) en localizaciones remotas (Data Center de respaldo). Ambas arquitecturas de control presentan características comunes que les convierten en elementos de difícil defensa ante las modernas amenazas que pueden impactar en estas infraestructuras críticas:  



Escasos mecanismos de seguridad en los elementos de control directo (Nivel 1) Dificultad en la actualización de los elementos de control debido a la necesidad de mantener una muy alta disponibilidad (imposibilidad de paradas) Vidas útiles esperadas superiores a los 20 años.

Sus características más importantes son su localidad (cercanía) a los dispositivos de campo que gestionan, su menor número de subsistemas y su orientación al proceso que controlan. Supervisory Control And Data Acquisition Los sistemas de Supervisión, Control y adquisición de datos se denominan SCADA por sus siglas en inglés (Supervisory Control And Data Acquisition) y se caracterizan por su posibilidad de integrar arquitecturas geográficamente dispersas, su capacidad de recibir y almacenar una gran cantidad de eventos y su arquitectura modular que puede contemplar un mayor número de Susbsitemas. (HMI, Historian, Engineering Workstation, Front End y Servidores SCADA). La arquitectura de uno de estos sistemas se puede ver en la siguiente figura:

5

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Monitorización de la Ciberseguridad Para poder hacer frente a las peculiaridades de los distintos entornos existentes en los Data Centers, vamos a describir el modelo utilizado en el diseño de la solución de monitorización implantada en nuestros Data Centers críticos. Según el modelo planteado por la norma ISA 95, se pueden detectar cuatro grandes superficies de ataque en el Data Center, y que se representan en el diagrama inferior:

Protocolos de red de control Ambos tipos de sistemas, utilizan en su comunicación con los dispositivos que controlan y supervisan, una serie de protocolos de red de control que datan de hace más de dos décadas y que no se diseñaron con ningún requisito de seguridad lógica. Entre estos protocolos de red, cabe destacar los siguientes:      

BACNet Lonworks Profinet OPC-DA EthernetIP Modbus

Adicionalmente se utilizan otros protocolos basados en conexión serie como son RS-485 y Profibus. Como hemos apuntado anteriormente, ninguno de estos protocolos soporta funcionalidades de seguridad como son la encriptación, la autenticación origen-destino u otras habituales en protocolos IT más modernos. La tendencia actual es la implantación de sistemas SCADA y la convergencia de los protocolos hacia Modbus/TCP y OPC-DA.

1. 2. 3. 4.

Accesos externos a la red IT Accesos Red IT – Red OT Accesos externos a la red OT Accesos Red OT – Red IT

Mientras que las superficies de ataque 1 y 2 suelen estar contempladas en los análisis de seguridad de los responsables IT de los Data Centers, las superficies 3 y 4 a veces no están ni siquiera identificadas, debido a separaciones funcionales dentro de la organización que los gestiona. Estas dos últimas superficies de ataque son más peligrosas debido a la dificultad de poner en marcha medidas de seguridad en algunos dispositivos de control por las razones enumeradas anteriormente, y por el desconocimiento de las posibles configuraciones y mecanismos implantados en la red de control por parte de los responsables de seguridad de la red IT. Para paliar esta problemática, es necesario realizar algunos cambios organizativos para lograr que ambas organizaciones (IT y OT) compartan una sensibilidad y objetivos comunes hacia la

6

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

ciberseguridad de la organización, y además disponer de soluciones técnicas que ayuden a contrarrestar las limitaciones tecnológicas de algunos elementos de la red OT. Las soluciones que plantean un menor impacto sobre los elementos de la red OT y que además son independientes de los dispositivos desplegados sobre la misma, son los detectores de intrusión de Red [4].

 

Qué va a donde y desde donde (Matriz de conexión) Quién está haciendo qué (Matriz operacional)

Si tenemos un claro conocimiento de estos dos puntos, podremos tener un sistema de monitorización basado en patrones que pueda evitar falsos positivos y proporcionar el mejor rendimiento. Este patrón de comportamiento va a proteger nuestra red de control de cualquier operación errónea o intento de interrupción malicioso. Veamos esto en los siguientes puntos: Matriz de conexión.

Obviamente deben soportar los protocolos utilizados en estas redes y ser capaces de alertar ante cualquier evento que pueda afectar al correcto funcionamiento de la misma en el mismo modo que los sistemas de detección de intrusión desplegados en la red IT. La detección de eventos anómalos en las redes de control es más sencilla dado que dichas redes tienen las siguientes propiedades:    

Menores en número de dispositivos y servicios. No debieran conectarse directamente a Internet. Bien definidas y diseñadas Ejecutan operaciones repetitivas.

En estas condiciones es fácil ver que construir un patrón de comportamiento normal es posible, permitiendo de esta manera que cualquier evento fuera de este modelo pueda ser rápidamente detectado y comunicado. Para configurar nuestro sistema de monitorización de control basado en patrones de comportamiento, debiéramos pensar en tres principios fundamentales:

Cuando hablamos de Redes de control TCP/IP tenemos que tener en cuenta que la tupla (local ip, local port, remote ip, remote port) es lo que define cada conexión TCP/UDP. Cada dirección IP del servidor normalmente puede utilizar hasta 65.536 puertos. Dentro de la pila TCP, estos cuatro campos son utilizados como claves compuestas para asociar paquetes a conexiones. Los puertos son números de 16 bits por lo que el número máximo de conexiones que cualquier cliente podrá tener a cualquier puerto host es de 65.536 (065.535). Podemos calcular el máximo número de conexiones externas en una red TCP, usando la siguiente fórmula:

(No consideramos conexiones dentro del mismo servidor). Estos valores pueden crecer exponencialmente en función del número de servidores interconectados y del número de puertos abiertos por cada servidor). Cuando estudiamos el número de puertos abiertos en una red de control industrial bien configurada, encontramos los siguientes valores:

7

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Nodo de la red de control industrial

Puertos abiertos

Suma de los otros Puertos

Conexiones de red potenciales

Vijeo Citect Scada Server

16

101

1616

Vijeo Citect Client

10

107

1070

6

111

666

Network Switch Unity Pro Workstation Radius & Syslog server

2

115

230

16

101

1616

Historian Server

16

101

1616

Historian Client WSUS, NTP & SNMP Server

9

108

972

16

101

1616

6

111

666

8

109

872

12

105

1260

Total

12200

Firewall PLC Modicom M340 PLC Modicom Quantum

utilizando algunas veces estos roles de forma adecuada debido a la facilidad o al temor de no ser capaces de entrar en el sistema en situaciones críticas. El uso anónimo de los roles operaciones es difícil de detectar y por tanto y podría hacer imposible detectar un fallo humano o una intervención maliciosa. Más tarde mostraremos como la tecnología de monitorización basada en patrones de comportamiento puede utilizarse para detectar comandos no permitidos ejecutados por usuarios legítimos. Una vez establecidos los principios y metodología de monitorización de nuestra red de control, vamos a presentar nuestras solución y como se comporta en cada uno de estos aspectos. Detección de anomalías en la red de control

Este valor perfectamente acotado en el número de conexiones de red hace posible pensar en la generación de un patrón de comportamiento bien definido y manejable.

La solución utilizada en nuestros Data Centers está basada en una tecnología revolucionaria que construye el patrón de comportamiento de la red de manera automática y desatendida.

Este es otro principio básico de administración de sistemas y seguridad: Cada sistema de control o desplegado en un entorno crítico tiene que estar bastionado al máximo para reducir la cantidad de recursos necesarios en su gestión y minimizar los riesgos de intrusiones remotas

El patrón de comportamiento construido por la solución, define los modelos de conexión, protocolos, tipos de mensaje, campos de mensaje y valores de los campos que son permitidos en nuestra red (Lista Blanca). De manera que cuando una comunicación difiere del patrón, el sistema de sensores lo reporta indicando la fuente exacta del problema.

Por otro lado, la existencia de tablas de conexiones correctamente documentadas, facilita el mantenimiento de la red y mejora la resistencia en caso de problemas al ser más fácil la detección de cualquier error en la configuración o despliegue.

Matriz operacional Aunque muchos fabricantes de sistemas de control soportan la existencia de diferentes roles para el entorno operacional, es un hecho que los grupos de trabajo muchas veces usan el mismo usuario y clave para ejecutar su trabajo, no

Esta tecnología es conocida como inspección profunda de comportamiento de protocolo (Deep Protocol Behavior Inspection o DPBI) Toda esta tecnología se implanta en un sensor controlado desde un centro de gestión instalado como un servidor físico o virtual llamado SCAB. (Security Control Awareness Box) Después de conectar los sensores del SCAB a la red, podemos empezar la fase de aprendizaje. En esta fase, SCAB construye de manera autónoma nuestro patrón de comportamiento de red. El flujo que sigue es mostrado a continuación:

8

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Protocolos

Podemos personalizar y mejorar el patrón de comportamiento si es necesario con solo añadir, modificar o borrar conexiones utilizando un editor de textos.

El sensor es capaz de reconocer e inspeccionar distintos protocolos:

Protocolos

Deep Protocol Behavior Inspector

Perfil de Conexión

Deep Protocol Behavior Inspector

Perfil de Conexión

Ethernet/IP





SMB/CIFS





RPC/DCOM





PVSS



LDAP



NetBIOS



HTTP



FTP



SSH



SSL



SMTP



IMAP



POP3



VNC/RFB



RTSP



AFP



Después de la finalización de la fase de aprendizaje, tenemos el perfil de la comunicación local de la red de control. En este momento SCAB, conoce cada tupla permitida en la red de control. Src IP,Src Port -> Dest. IP,Dest Port

MMS





Modbus/TCP





OPC-DA





Esto es algo difícil de conseguir en una Red Local multipropósito sin tener varios cambios (Alertas) por hora.

IEC 101/104





Desde este instante, podemos ser alertados por:

DNP3





IEC 61850





ICCP TASE.2





CSLib (ABB)





DMS (ABB)





S7 (Siemens)





  

Nuevos dispositivos en la red Dispositivos intentando conectarse a nuestro modelo Dispositivos recibiendo información de fuera de nuestro modelo.

Adicionalmente, tendremos perfectamente delimitados los protocolos, mensajes dentro del

9

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

protocolo y valores intercambiados por nuestros sistemas de control durante su funcionamiento habitual:

En nuestro caso, cualquier anomalía de los protocolos de control de las plataformas SCADA aparecerían en el SIEM operado desde el Global Support and Operation Center (GSOC).

En este ejemplo concreto podemos ver el tráfico IEC 104 intercambiado entre los servidores SCADA y los Frontales de comunicación. Si se intenta utilizar algún mensaje del protocolo fuera del patrón o se alteran los valores de mensajes dentro del patrón, se levantaría una alerta. Todas las alertas detectadas en la red de control del Data Center se integran en la consola común a los sistemas IT (DCIM y otros) a través de la siguiente arquitectura:

La respuesta ante eventos e incidentes de seguridad de la red IT y de la red OT de todos nuestros Data Centers se gestionan de la misma manera y de acuerdo a SLAs análogos.

10

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Conclusiones Parece claro que Organizaciones críticas han entendido la necesidad de monitorizar de manera continua su red operacional para poder detectar cualquier anomalía que puede comprometer la producción y los objetivos de negocio. Aparte de desplegar los procedimientos apropiados de seguridad en nuestros Data Centers, nuestra metodología establece dos fuentes de información para conseguir la deseada seguridad operacional y niveles de disponibilidad:  

Matriz de conexión Matriz de actividad

Con esta información es posible conocer el patrón de comportamiento de nuestra red de control en el Data Center y detectar cualquier desviación del mismo, siendo posible generar las alertas tempranas oportunas.

Referencias [1] “Methodologies for the identification of Critical Information Infrastructure assets and services”. https://www.enisa.europa.eu/activities/Resilienceand-CIIP/critical-infrastructure-andservices/Methodologies-for-identification-of-ciis [2] “Magic Quadrant for Data Center Infrastructure Management Tools”. https://www.gartner.com/doc/2852018/magicquadrant-data-center-infrastructure [3] “IDC MarketScape: Worldw ide Datacenter Infrastructure Management 2013 Vendor Analysis” http://assets.fiercemarkets.com/public/sites/energy/re ports/idcdatareport.pdf [4] “ICS-CERT Virtual Training Portal” https://ics-cert-training.inl.gov/

Para mantener y gestionar toda esta información, proponemos la solución SCAB, como una herramienta útil en las redes SCADA para construir este patrón de comportamiento y comunicar cualquier problema causado por errores humanos o por intentos malintencionados que puede comprometer a nuestras redes, de una manera integrada a los equipos técnicos de seguridad. La metodología y solución de sensores continua propuesta, permite examinar la configuración actual de nuestra red y de sus comunicaciones (dispositivos, aplicaciones, protocolos, tipos/valores de mensajes), analizar la operatividad de la red, detectar comunicaciones o cambios en la configuración inesperados y el despliegue de nuevos dispositivos de campo, haciendo más fácil mejorar la resiliencia de nuestros Data Center críticos.

11

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.