IEC 62443 – CIBERSEGURIDAD EN TO, ES …media.arpel2011.clk.com.uy/ciber/4.pdf · 70% Cerca del...
Transcript of IEC 62443 – CIBERSEGURIDAD EN TO, ES …media.arpel2011.clk.com.uy/ciber/4.pdf · 70% Cerca del...
1
Manejando el ciber riesgo operacional
IEC 62443 – CIBERSEGURIDAD EN TO, ES NECESARIO?
IngIngIngIng. Gabriel Faifman. Gabriel Faifman. Gabriel Faifman. Gabriel Faifman
Gabriel es Director de Programas Estratégicos de Wurldtech. Es uno de los expertos que representa a Canadá en el desarrollo del estándar de ciberseguridad para Sistemas de Control Industrial IEC 62443-2-4 (TC65 WG10 / WG3). Miembro con derecho a voto en el comité ISA99.
Por mas de 25 años ha diseñado, instalado y operado soluciones de automatización y protección de infraestructuras criticas incluyendo energía, petróleo, bebidas y alimentos, y transporte. Planeo y opero la ciberseguridad del Aeropuerto Internacional de Vancouver durante los Juegos Olímpicos de Invierno 2010
Gabriel es Ingeniero Electrónico de la Universidad de Buenos Aires. Certificado por la National Security Agency (NSA) como Infosec Professional, ha participado en ejercicios defensivos con organismos de seguridad.
2
TIMELINE• Fundada en Septiembre de 2006; Adquirida por GE en 2014 como subsidiaria
independiente.
LOCATIONS• Vancouver, Canada; San Ramon, California; Netherlands
CUSTOMERS• Operadores, desarrolladores de dispositivos y proveedores de automatización; 5
de las 6 compañías top de oil & gas; 9 de 10 proveedores top de automatización
VERTICAL MARKETS• Distribuidoras de Energía eléctrica, oil & gas, transporte y salud (biomedicina)
SOLUTIONS• Productos, servicios, y certificaciones de seguridad para Tecnología Operational
AcercaAcercaAcercaAcerca de Wurldtechde Wurldtechde Wurldtechde Wurldtech
CiberseguridadCiberseguridadCiberseguridadCiberseguridad enenenen tecnologtecnologtecnologtecnologíííía a a a operacionaloperacionaloperacionaloperacional
� Ahora ciberseguridad, qué cambió?
� TI y TO – Similares o diferentes
� Ciclo de vida en ciberseguridad
� Reinventar la rueda ? – aprendiendo a usar IEC 62443
3
y el riesgo en las operaciones avanza en silencio
Las amenazas ciber están aumentando
UKRAINEGERMANYNEW YORK
201520142013
New York Dam German Steel Mill
Power Grid
4
CIBER SEGURIDAD EN NUMEROS
91%
SOURCES:1. Bayar, T. (2014, Oct. 14). Cybersecurity in the power sector. Power Engineering International, Vol. 22/#9.2.Barron-Lopez, L. (2014, Jul. 15). Cyber threats put energy sector on red alert. TheHill.com.3. Ponemon Institute. (2014, Oct. 30). 2014 Global Report on the Cost of Cyber Crime. Ponemon.org.Critical Infrastructure: Security Preparedness and Maturity (July 2014), Unisys and Ponemon
70% Cerca del 70% de ejecutivos de compañías distribuidoras, O&G, manufactura y energia reportaron por lo menos una violacion de seguridad en los últimos 12 meses
40%
78% Está a la espera de que un exploit exitoso sea alcance sus sistemas de automatización ICS/SCADA durante los próximos dos años
En 2013, 91% de organizaciones generadoras de potencia sufrieron un ciber ataque. 1
40% de todos los ciber ataques tienen como blanco el sector energético
66%de lasorganizaciones no están preparadaspara hacer frente a incidentes de seguridad de OT
2015 Global Megatrends in Cybersecurity, Raytheon and Ponemon
…Y LAS ORGANIZACIONESNO ESTAN PREPARADAS
5
AlgoAlgoAlgoAlgo estáestáestáestá cambiandocambiandocambiandocambiando…………
En los ’80+:OT Services
Engineering Services
IT Services
Component Supplier
6
En los ’90+:OT Services
Engineering Services
IT Services
Component Supplier
En el ’00+:OT Services
Engineering Services
IT Services
Component Supplier
8
I
IT GRANCUAL ES LA
DIFERENCIA?
O
OT
ITSeguridad se refiere a
data
OTgenteambienteequipamiento
Riesgo y SAFETY
UPTIMEcalidad y performance
9
EnfoqueEnfoqueEnfoqueEnfoque: TI & OT: TI & OT: TI & OT: TI & OTSeguridad Ciber física Enfoque
Characteristic IT OT
Objetivo de proteccion CIA CAIC
Cobertura Tecnologica TI típico( MICROSFT, APPLE,
Linux)
IT + Embedded Real-time OT
Ciclo de patcheo Días o semanas Años, o generacional
Arquitectura y Protocolos
de Red
TI típico
algun ICS SCADA
OT, ICS, SCADA standards &
proprietario
Application Policy TI granular
No OT
Especifica para el dominio
OT granular
Objetivo de las Signatures Identificar Applicaciones y
controlar el rendimiento de la
red
Precisión y profundidad
operacional
Ambiente Rack de TI Rack de TI &
OT ambiente industrial
The CIA Triad
Confidentiality
AvailabilityIntegrity
IT
The CAIC DiamondOT
Availability Integrity
Confidentiality
Control
Prioridades diferentes afectan el impactoPrioridades diferentes afectan el impactoPrioridades diferentes afectan el impactoPrioridades diferentes afectan el impacto
No hay más “air gaps”Superficies de ataque complejas
Amenazas mutuas con consecuencias críticas
Tecnología de la Información Tecnología Operacional
Confiabilidad • Fallas ocacionales son tolerables
• Beta test durante implementación son aceptables
• Interrupciones no son tolerables
• Exhaustivo control de calidad y testeo de fallas es la expectativa
Impacto del riesgo • Pérdidad de datos • Pérdida de tiempo de ejecución($), equipmento, vidas
Gestión de riesgos • Recuperación reiniciando o reemplazando
• Safety no es un problema
• Tolerancia a las fallas es esencial
• Análisis explícito de riesgo es la expectativa
Seguridad • La mayoría de los sitios no son seguros
• Poca separación entre intranets
• Enfocado
• Centrado en asegurar recursos clave o centrales
• Estricta seguridad física en sistemas clave
• Separación entre redes Corporate y Control de Proceso
• Centrados en la estabilidad pero los dispositivos de frontera pueden
no estar controlados (TI vs OT)
Rendimiento • Demanda de Alto Rendimiento
• Alto retardo o variaciones en el retardo son aceptables
• Rendimiento modesto es aceptable
• Alto retardo o variaciones en el retardo son aceptables
• Integridad es fundamental
10
Consecuencias de ataques en infraestructura críticaConsecuencias de ataques en infraestructura críticaConsecuencias de ataques en infraestructura críticaConsecuencias de ataques en infraestructura crítica
Explosión de un oleoducto causado por un ataque remoto
Choque de un Prius a través de un teléfono celular
Planta de Tratamiento de aguas servidas se derramo en el río
Marcapasos hackeado causa un ataque al corazón
NUESTRO AMBIENTE YA TIENE SUS DESAFIOS…
Expectativa de producción24x7
No puedo controlaren forma directa mi ambiente
No veo misvulnerabilidadesimplica que tampocoveo las amenazas
Cualquier incidentepuede truncar toda la producción
11
IEC 62443: yendo en la dirección correctaIEC 62443: yendo en la dirección correctaIEC 62443: yendo en la dirección correctaIEC 62443: yendo en la dirección correcta
ISA99 ISA99 ISA99 ISA99 ---- el el el el alcancealcancealcancealcance de la de la de la de la organizacionorganizacionorganizacionorganizacion
Proveer soluciones para Sistemas industriales de automatización y control que si fueran comprometido podrían:
• Poner en peligro la seguridad publica o de los trabajadores
• Dañar el medio ambiente
• Provocar perdida de confianza del publico
• Violar regulaciones existentes
• Exponer información confidencial or propiedad intelectual
• Provocar una perdida económica
• Impactar instituciones publicas (municipales, provinciales y/o nacionales)
12
IEC 62443 SeriesIEC 62443 SeriesIEC 62443 SeriesIEC 62443 Series
• El estándar ISA/IEC 62443 es una serie de documentos que proveen guias acerca de como mejorar la seguridad de sistemasde control y automatización (IACS)
• El estándar está escrito para vendors, proveedores de serviciostales como integración, comisionado, mantenimiento y operadores.
• El estándar comprende 13 documentos individuales agrupadosen cuatro categorías como muestra la próxima diapositiva.
WIB 2.0 WIB 2.0 WIB 2.0 WIB 2.0 fuefuefuefue
integradointegradointegradointegrado
dentrodentrodentrodentro del del del del
estándarestándarestándarestándar IEC IEC IEC IEC
62443624436244362443
IECEE Conformance
Assessment expected
Early 2017
13
La La La La evoluciónevoluciónevoluciónevolución haciahaciahaciahacia el el el el EstándarEstándarEstándarEstándar InternacionalInternacionalInternacionalInternacional
IEC 62443IEC 62443IEC 62443IEC 62443----2222----4: el 4: el 4: el 4: el EstándarEstándarEstándarEstándar InternacionalInternacionalInternacionalInternacional ���� certificablecertificablecertificablecertificable
• El Estándar fue aprobado en Abril / 2014 con voto unánime y publicado por IEC en Julio / 2015
• Está basado en los ‘Requerimientos de Seguridad para Vendors del Dominio de Control de Procesos’ – originalmente WIB 2.0
• Los requerimientos están organizado en ‘Capability Groups’ pueden alinearse con típicas ofertas de servicios y soluciones.
• Wurldtech lidera la migración del programa APC (Achilles Practices Certification) tranformandolo en un programa de evaluación de conformidad del IECEE
• El programa de IECEE sera un programa internacional que cuenta con laboratorios de testeo alrededor del mundo que proveencertificaciones consistentes y recíprocas
14
ISA 62443ISA 62443ISA 62443ISA 62443----2222----4 4 4 4 –––– RequiremientosRequiremientosRequiremientosRequiremientos para para para para ProgramasProgramasProgramasProgramas de de de de SeguridadSeguridadSeguridadSeguridad
• ISA/IEC 62443-2-4 tiene 123 Requerimientos de Seguridadorganizados en 12 Areas Funcionales.
• Los Requiremientos abordan las areas de integración y mantenimiento, con referencias directas a requerimientosde seguridad para productos.
Value SP Req ID
Solution staffing SP.01.XX
Assurance SP.02.XX
Architecture SP.03.XX
Wireless SP.04.XX
SIS SP.05.XX
Configuration management SP.06.XX
Remote access SP.07.XX
Event management SP.08.XX
Account management SP.09.XX
Malware protection SP.10.XX
Patch Management SP.11.XX
Backup/Restore SP.12.XX
Maturity ModelMaturity ModelMaturity ModelMaturity ModelUsado para medir la madurez de las capacidades de seguridad
Ad-hoc, (sin proceso formal)
Definido(formal, proceso repetible)
Practicado(ejecutado en algunprojecto para un cliente)
e.g. Contrato; SOW
e.g. Procedimientos escritos, materiales de entrenamiento
e.g. Checklist completo
e.g. Procedimientos mejorados
Mejoramiento continuo(los procesos evolucionanbasados en experiencia)
15
DefiniendoDefiniendoDefiniendoDefiniendo el el el el alcancealcancealcancealcance del standarddel standarddel standarddel standard
Integrated Risk
Management
Framework
Product
Development
Solution
Integration
FAT/SAT
Commissioning
Maintenance
Services
OperationsAssessMonitor
Validate
baseline
Mitigate
AssessMonitor
Validate
baseline
Mitigate
AssessMonitor
Validate
baseline
Mitigate
AssessMonitor
Validate
baseline
Mitigate
CiclosCiclosCiclosCiclos de de de de vidavidavidavida entrelazadosentrelazadosentrelazadosentrelazados
• Security Docs
• Hardening Guide
• Security QA
• Security Product
Support
• Security Docs
• Updated
Security Profiles
• Security Tasks
Checklist
16
Purdue Model Purdue Model Purdue Model Purdue Model –––– ModeloModeloModeloModelo funcionalfuncionalfuncionalfuncional
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Enterprise NetworkRouter
E-Mail, Intranet, etc… Site Business Planning and Logistic Network
Terminal Services
PatchManagement
AV Server
Historian Mirror
Web Services Operations
Application Server
Firewall
Firewall
WebE-Mail
CIP
Factory Talk Application Server
Factory Talk Directory
EngineeringWorkstation
Operations and ControlWorkstation
Factory Talk Client
Operator Interface
Factory Talk Client
Engineering Workstation
Operator Interface
Area Supervisory Control
BatchControl
DiscreteControl
DriveControl
Continuous Process Control
Safety Control
BasicControl
Sensors Drives Actuators Robots Process
Enterprise Zone
DMZ
Operations Zone
SCADA
Industrial
Control Systems
OperacionesOperacionesOperacionesOperaciones estaestaestaesta bajobajobajobajo
presiónpresiónpresiónpresión
• Mayores demandas de
eficiencia, más
producción y bajar costos
• Ataques nuevos y mas
sofisticados
• Cambios legales y
regulación
INFILTRACION A TRAVES
DE REDES DE TI
VULNERABLE,
EQUIPAMIENTO ANTICUADO
CONFORMAR NUEVOS
REQUERIMIENTOS
17
NuestraNuestraNuestraNuestra experienciaexperienciaexperienciaexperiencia
Soluciones de seguridad integrada en el ciclo de vidaSoluciones de seguridad integrada en el ciclo de vidaSoluciones de seguridad integrada en el ciclo de vidaSoluciones de seguridad integrada en el ciclo de vida
Evaluación de postura de seguridad
PPT (People, Process & Technology)
• Evaluación de Prácticas y
Servicios de Consultoría
• Evaluación de dispositivos
embebidos
• Evaluación de aplicaciones de
software
• Evaluación de cumplimiento de
NERC-CIP and ISO/IEC 62443
• Achilles Test Platform
Protección para SCADA &
infraestructura crítica
• Achilles Threat Intelligence Software
• Achilles Industrial Security Training
• OPShield
• Autolearning: creando una baseline del
dataflow
• Segmentando las redes aunque sean
planas evitando recableado.
• Inspecionando protocolos industriales a
nivel commando
• Utilizando inteligencia para identificar
amenazas cuyo blanco es equipamiento
industrial.Certificación de dispositivos y prácticas
• Achilles Communication Certification
• Achilles Practices Certification
18
INSPECCIONcomunicaciones y
comandoss
ENFORZARpoliticas para
todos lo procesos
PROTEGERsistemas de control
y equipamiento
LA SOLUCION IDEAL DEBEPROTEGER SUS SISTEMAS DE CONTROL
PARA PROTEGER SU EQUIPAMIENTO CRITICO
RESULTAProteger equipamento
critico sin interrupciones
Resumen y conclusiónResumen y conclusiónResumen y conclusiónResumen y conclusión
• Ir pensando en hacer un ejercicio y evaluar mi postura de seguridad, de mi sitio, las soluciones implementadas, de mi gente
• Entender mi instalacion, mi ecosistema y su ciclo de vida, desde SST laboral hasta obligaciones regulatorias
• Integrar prácticas de seguridad básicas
• Estrecho involucramiento de mis proveedores es clave
• Integrar seguridad en diseño general del sistema completo
• Una falla de la implementación tienen tanto impacto como una falla de diseño .
19
Por donde empezar?� Evaluaciones de Sitios
� Evaluaciones de Arquitecturas
� Evaluaciones de Equipamiento
� Desarrollo de estrategias de Seguridad
� OPShield
� Contacte Wurldtech
Gabriel Faifman: [email protected]
Contactenos:Contactenos:Contactenos:Contactenos:
Gracias!