Sei sulla pagina 1di 125

Seguridad en Sistemas de Control

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

1 / 125

Temas a tratar
Temario
1

Definiciones, terminologa, trminos utilizados en Peoles/Fresnillo y ejemplos


Entender por qu son dbiles la mayora de los sistemas de control.

2
Wireshark y demos con un PLC emulado
Ejemplos de ataques y estadsticas

Duracin
1 hora
1.5 horas

1 hora

APT
Dnde se encuentran la vulnerabilidades
Sistemas que se ven afectados
Vulnerabilidades en las HMI
Debilidades especificas en los sistemas que se manejan en Peoles/Fresnillo
Esquemas seguros de operacin

2 horas

Estrategia de defensa
Esquema de red recomendado
4

Ejemplos de esquemas no seguros, identificarlos y como corregirlos.


Que podemos hacer y que est prohibido hacer si queremos hacer pruebas de seguridad

Esquema de red recomendado.


Como conectar los sistemas de informacin (PI, Infoplus, etc.)

Estndares y mejores prcticas


US-CERT - herramientas disponibles. (utilizaremos una herramienta para identificar posibles mejoras de seguridad).
Introduccin a CFAT y Critical Infraestructure.
Fuentes de informacin

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

2 horas

2 / 125

La gente es floja

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

3 / 125

Y no toda es tan buena

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

4 / 125

Tienes que asumir que


1 Tu eres
inteligente.

una

persona

2 Los malos esperan que la gente


inteligente cometa errores.

3 Siempre va a haber una


persona(s) ms inteligente que t.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

5 / 125

Idea original

3 Siempre va a haber una


persona(s) ms inteligente que t.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

6 / 125

Por qu preocuparse por la


seguridad en los sistemas
SCADA?

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

7 / 125

[]
Los cyber ataques no pasan en Mxico y
menos en sistemas SCADA.
Algunos
Mexicanos

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

8 / 125

Definiciones

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

9 / 125

Trminos y definiciones
Sistemas:
Automatizacin: Permitir a los procesos ejecutarse eficientemente sin intervencin
humana constante.
SCADA:

Supervisory

Control

and

Data

Acquisition.
DCS: Distributed Control System
EMS: Energy Management Systems
MES: Manufacturing Execution Systems.
AMR/AMI:

Automated

Meter

Reading

Infrastructure

ICS: Industrial Control Systems (trmino ms comn, agrupa todas las familias

de sistemas de control: SCADA, DCS, EMS, MES, etc)


La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

10 / 125

Trminos y definiciones
Subsistemas:
I/O: Input / Outputs
PLC: Programmable Logic Controller.
RTU: Remote Terminal Unit.

Embedded Device: Hardware diseado para hacer


tareas especficas (chipsets y sistema operativo).
Protocolos: Los utilizados para comunicarse con

controladores industriales y sistemas embebidos, como


son:
Modbus

DNP
OPC
HMI: Human Machine Interface
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

11 / 125

Tipos de sistemas SCADA y de control.

Sistema automtico:
Procesos ejecutndose eficientemente sin intervencin humana constante.

Planta de Zinc

PLC para control


local

Operacin en sitio

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

12 / 125

Tipos de sistemas SCADA y de control.

SCADA
Supervisory Control And Data Acquisition
Extiende las capacidades de un sistema automtico de forma que pueda ser
monitoreado y/o controlado desde un sitio remoto.
Tpicamente utilizado cuando los procesos automatizados no estn en una sola
ubicacin geogrfica.

SOLO los Master Servers,

los cuales se encuentran ubicados en un

cuarto de control central, pueden leer/escribir informacin y comandos en los


controladores distribuidos.

Automatiza el flujo de informacin a otras aplicaciones.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

13 / 125

Tipos de sistemas SCADA y de control.

SCADA

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

14 / 125

Tipos de sistemas SCADA y de control.

DCS
Distributed Control System
Las funciones de control y monitoreo se encuentran en todos los componentes
importantes del sistema de control, en lugar de solo en los master servers.
Usados tpicamente cuando los procesos automatizados se encuentran en una
sola ubicacin geogrfica.
Los controladores, estaciones de ingeniera, consolas de operadores y dispositivos
en campo de I/O se encuentran conectados, formando una sola plataforma y sin la
estricta jerarqua de los sistemas SCADA.
Tambin automatiza el flujo de informacin a otras aplicaciones.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

15 / 125

Tipos de sistemas SCADA y de control.

DCS

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

16 / 125

Tipos de sistemas SCADA y de control.

EMS
Energy Management System
Es un tipo de sistema SCADA adaptado para el control y monitoreo de los sistemas
de transmisin elctricos.
Sistemas compuestos de:
Servidores centralizados, tanto en el centro de control primario como en el
secundario.
Control y monitoreo distribuido de subestaciones remotas.
Conexin y desconexin de interruptores en subestaciones y postes cerca de
transformadores.
Tambin utilizados en sistemas de distribucin para monitorear y controlar la
distribucin de electricidad en grandes complejos industriales y vecindarios.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

17 / 125

Tipos de sistemas SCADA y de control.

MES
Manufacturing Execution Systems
Extienden la funcionalidad de los sistemas SCADA o DCS para la gestin de lotes y
pueden incluir las siguientes funciones (una o ms de una):
Ordenes de trabajo, recepcin de bienes, embarques, control de calidad,
mantenimiento u otras tareas relacionadas.

MES

SAP

Los sistemas MES ligan los sistemas


empresariales como SAP a los sistemas de
control en planta.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

18 / 125

Tipos de sistemas SCADA y de control.

MES
Razones para implementar sistemas MES
Automatizan la administracin de lotes y recepcin.
Seguimiento y control de materia prima y del inventario de bienes terminados.
Programacin de tareas, incluyendo la administracin de prioridades.
Reportar resultados de produccin.
Seguimiento de KPIs.
Administracin y reporte de eventos o excepciones.
Business Inteligence decisiones que afectan la produccin y la administracin de
costos.
Administracin de recursos, incluyendo inventarios y personal.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

19 / 125

Tipos de sistemas SCADA y de control.

MES
SCADA
DCS

EMS
Master Servers

Sistema
automtico

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

20 / 125

Tipos de sistemas SCADA y de control.

ICS
Industrial Control Systems, termino general que aplica a todos los tipos de
sistemas de control, incluyendo sistemas SCADA, DCS y otros sistemas de control
automticos ms pequeos que utilizan PLC o control basado en computadoras
(PC-Based control).
En EEUU se ha:

Estandarizado el termino ICS.

Creado el equipo ICS-CERT de respuesta a incidentes informticos dedicado a los ICSs.

Creado el CSSP

http://www.us-cert.gov/control_systems/ics-cert/
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

21 / 125

Tipos de sistemas SCADA y de control.

Otros
AMR Automatic Meter Reading
Recolectar de forma automtica la informacin de los medidores de
electricidad, gas y/o agua a travs de redes de comunicacin.
Propsito de negocio: facturacin automtica y reducir los costos.
AMI Automatic Metering Infrastructure
Sistemas que pueden recolectar informacin ms detallada del uso de
energa y de forma ms frecuente (no una o dos veces al mes).
Los sistemas AMR y AMI son los bloques que crearn en el futuro el llamado
Smart Grid.
BAS Building Automation Systems
Controlar el alumbrado, calefaccin y seguridad de un edificio.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

22 / 125

Subsistemas

Definiciones

I/O: Entradas y salidas.

Digitales y anlogas

PLC: Programmable Logic Controller

RTU: Remote terminal Unit

Controladores configurados de fbrica para aplicaciones especficas:

Calidad de agua, clculo de flujos, control de emisiones en tanques, etc.

IED: Intelligent Electronic Device

Controladores especficos para la industria elctrica.

Pueden subir y bajar el voltaje o


desconectar interruptores para
abrir una lnea y salvar el resto de

la red elctrica.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

23 / 125

Subsistemas

Definiciones

HMI: Human Machine Interface

Viene del termino MMI Man Machine Interface.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

24 / 125

Peoles

EMS

MES

Master Servers

SCADA
DCS

Qu sistemas tenemos?

Sistema
automtico

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

25 / 125

Protocolos (In)Seguros

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

26 / 125

Objetivos

Objetivos
Entender como funcionan los protocolos utilizados por los ICSs.
Demostraciones.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

27 / 125

Protocolos en los ICSs

Los protocolos de comunicacin utilizados por


los dispositivos en campo (por ejemplo

ModbusTCP),

tpicamente no son los


mismos que se utilizan en los cuartos de
control para tomar la informacin de los PLCs,
RTUs y controladores de los DCS (por ejemplo

OPC).
Modbus y DNP son los protocolos ms
utilizado en la industria elctrica.
Modbus es un protocolo abierto.
Protocolos propietarios incluyen: Allen
Bradley, TotalFlow, GE, Siemens entre
otros.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

28 / 125

Modbus

Modbus
Protocolo de comunicacin serial publicado en
1979 por Modicon.
Propsito comunicacin con PLCs.
Simple y robusto.

Evolucin del protocolo:

Modbus RTU y ASCII


RS-232 Uno a uno.
RS-485- Uno a muchos.
Modbus Plus propietario de Modicom.
Modbus sobre TCP/IP ModbusTCP

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

29 / 125

Modbus

Modbus

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

30 / 125

Modbus

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

31 / 125

Modbus

Modbus over RS-232

Protocolo serial.
Conexiones uno a uno Master / Slave
Un receptor.
Full duplex
Distancia (estndar) 15 metros.
Velocidad mxima a 12 metros = 19.2kbps

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

32 / 125

Modbus

Modbus over RS-485

Protocolo serial.
Conexiones uno a muchos Master / Slave
Hasta 256 receptores
Half duplex
Distancia (estndar) 1200 metros
Velocidad mxima a 12 metros = 10 Mbps

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

33 / 125

Modbus

Modbus TCP

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

34 / 125

OPC

OPC
OLE para Procesos de Control.
Protocolo estndar para compartir informacin
de ICSs en redes LAN.
Basado en DCOM
Distributed Component Object Model.
Permite
a
componentes
COM
comunicarse a travs de diferentes redes.
OPC Server: construye variables o tags y
configura a los drivers para que obtengan y
almacenen valores en las variables o tags.
OPC Client: Esucha al servidor OPC y puede
leer y escribir informacin en los
controladores, segn las instrucciones que
reciba del OPC server.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

35 / 125

Demos

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

36 / 125

Modbus

Servidor=Controlador

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

37 / 125

Conexiones actuales

Servidor

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

38 / 125

Simulador de PLC

Servidor

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

39 / 125

Conexiones despus del simulador

Antes

Despus

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

40 / 125

ModScan32

Cliente (atacante?!)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

41 / 125

ModScan32

Cliente (atacante?!)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

42 / 125

ModScan32

Cliente (atacante?!)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

43 / 125

ModScan32

Cliente (atacante?!)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

44 / 125

ModScan32

Servidor

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

45 / 125

ModScan32

Servidor

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

46 / 125

ModScan32

Servidor

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

47 / 125

ModScan32

Analicemos el demo.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

48 / 125

Sin ModScan32

nc 192.168.1.150 502 502 < relayon

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

49 / 125

Sin ModScan32

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

50 / 125

Sin ModScan32

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

51 / 125

Sin ModScan32

Analicemos el demo.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

52 / 125

Ataques y estadsticas

Analicemos el demo.

ICS ?
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

53 / 125

Ataques y estadsticas

Analicemos el demo.

La mayora de las siguientes diapositivas pertenecen a una presentacin de


Jonathan Pollet

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

54 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

55 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

56 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

57 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

58 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

59 / 125

Ataques y estadsticas

Tcnicas y creacin de ataques

Ingeniera Social
Spear Phishing
Adjuntos maliciosos

Dispositivos USB
Sitios Web
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

60 / 125

Ataques y estadsticas

Ingeniera Social

Ataque a la capa 8
(Nivel humano)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

61 / 125

Ataques y estadsticas

Spear Phishing

Ingeniera social dirigida.

Mayor sofisticacin = Mayor conocimiento

Resultados mdicos
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

62 / 125

Ataques y estadsticas

Adjuntos maliciosos

PDFs

Productos de MS

El resto de las extensiones.

mp3, exe, lnk, dll, mov, com, mp4, bat, cmd, reg, rar, emf,

shs, js, vb, yourcompany.com.zip, cab, mda, zip, mdb, scr,


aiff, mde, cpl, msi, vbs, aif, m4p, msp, fdf, mdt, sys, wmf, hlp,
hta, pif, jse, qef, scf, chm, <#>.txt, wsf, fli, vbe

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

63 / 125

Ataques y estadsticas

Por donde hay mas infecciones? (APT)

http://www.f-secure.com/weblog/archives/00001903.html

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

64 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

65 / 125

Ataques y estadsticas

Malware Kits

Proliferacin de kits baratos y faciles de usar

Free (Webattacker), Metasploit

Torrents, P2P

Complejos $7,000

+ 12 kits cada 3 a 4 meses.

Zeus (ZBOT)

GHOSTNET (GHOSTRAT)

MUMBA (Zeus v3)

Mariposa
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

66 / 125

Ataques y estadsticas

GHOSTNET

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

67 / 125

Ataques y estadsticas

GHOSTNET

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

68 / 125

Ataques y estadsticas
GHOSTNET

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

69 / 125

Ataques y estadsticas

ZEUS (ZBOT)

Kit profesional del cybercrimen

Versiones: v.1 v3- ?

Objetivos: Bancos y sistemas bancarios

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

70 / 125

Ataques y estadsticas

C&C

Centro de comandos (Command and control)

Vectores:

Twitter

IRC

Facebook

Google groups

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

71 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

72 / 125

Ataques y estadsticas

Ataques por etapas

Semanas/Meses antes de comprometer


totalmente un sistema.

Uploads/downloads/xchanges incrementales.

Resultan en dispositivos rooted

.permanecer silenciosos. Silencio aleatorio


(Random radio silence).

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

73 / 125

Ataques y estadsticas

APT - Objetivos

Propiedad intelectual cdigo,


aplicaciones, protocolos.

Diseos Diagramas, dibujos, ilustraciones.

Qumico / Biolgico / Exploraciones:

Formulas, ecuaciones compuestos qumicos.

Cartografa

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

74 / 125

Ataques y estadsticas

APT Pasos para comprometer un sistema


ICS

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

75 / 125

Ataques y estadsticas

APT Stuxnet
Utiliz las llaves privadas de Jmicron /
Realteck para hackear drivers.
4 vulnerabilidades 0day de Windows.
Propagacin flexible USB redes
windows.
Especficos para aplicaciones SIEMENS.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

76 / 125

Ataques y estadsticas

Certificados vlidos

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

77 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

78 / 125

Ataques y estadsticas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

79 / 125

Ataques y estadsticas

Analicemos
el demo.
Ataques especficos
a los ICSs

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

80 / 125

Ataques y estadsticas

APT Pasos para comprometer un sistema


ICS

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

81 / 125

Ataques y estadsticas

Vulnerabilidades por ubicacin en la


arquitectura.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

82 / 125

Ataques y estadsticas

Vulnerabilidades en el DMZ expuesta a


Internet

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

83 / 125

Ataques y estadsticas

Vulnerabilidades la red interna

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

84 / 125

Ataques y estadsticas

Vulnerabilidades en la DMZ de operaciones

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

85 / 125

Ataques y estadsticas

Vulnerabilidades en los HMIs por OSs

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

86 / 125

Ataques y estadsticas

Vulnerabilidades Red vs Host/Aplicacin

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

87 / 125

Ataques y estadsticas

Resumen de estadsticas

331 das tiempo promedio en lo que se tarda una debilidad en un ICS en


ser IDENTIFICADA por una auditora, despus de que dicha debilidad fue
conocida pblicamente.

La DMZ de operacin es la que normalmente ms debilidades tiene.

Las debilidades en los sistemas operativos Windows y aplicaciones que


funcionan en estos Oss, son por mucho los que ms debilidades
presentaron en los HMIs.

Vulnerabilidades y exploits seguirn creciendo a un paso acelerado (HMI for


Windows, Web-Enabled SCADA browser applications y PLCs)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

88 / 125

Ataques y estadsticas
REPITO:
Vulnerabilidades y exploits
seguirn creciendo a un
paso acelerado (HMI for
Windows,
Web-Enabled
SCADA browser applications
y PLCs)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

89 / 125

Ataques y estadsticas
Algunas de las debilidades a monitorear durante el mes
de octubre de 2011.
ICS-CERT ALERT "ICS-ALERT-11-283-01-IRAI AUTOMGEN Buffer Overflow Vulnerability", ICS-CERT
Advisory "ICSA-11-280-01- Cogent DataHub mult vulns", ICS-CERT Advisory "ICSA-11-280-01- Cogent
DataHub mult vulns", ICS-CERT Advisory "ICS-11-279-04 - Beckhoff TwinCAT", ICS-CERT Advisory "ICSA-11273-03A - (UPDATE) Rockwell RSLogix Denial of Service Vulnerability", ICS-CERT Advisory "ICSA-11-279-03
- Unitronics UNIOPC Server Input handling Vulnerability", ICS-CERT Advisory "ICSA-11-273-03 - Rockwell
RSLogix Denial of Service Vulnerability", ICS-CERT Advisory "ICSA-11-273-02 - InduSoft ISSymbol ActiveX
Control Buffer Overflow", ICS-CERT Advisory "ICSA-11-273-01 - ICONICS GENESIS32 Multiple Memory
Corruption Vulns" , ICS-CERT ALERT "ICS-ALERT-11-271-01 - PcVue HMI/SCADA Multiple ActiveX
Vulnerabilities" , ICS-CERT ALERT "ICS-ALERT-11-266-01 - Sunway Force Control Vulnerabilities", ICSCERT Advisory "ICSA-11-264-01 - Azeotech DAQFactory Stack Overflow", ICS-CERT Advisory "ICSA-11-26301 - Measuresoft ScadaPro", ICS-CERT ALERT "ICS-ALERT-11-256-05A - Rockwell RSLogix.pdf", ICS-CERT
has released an Alert titled "ICS-ALERT-11-256-06 - Beckhoff TwinCAT Denial of Service", ICS-CERT has
released an Alert titled "ICS-ALERT-11-256-05 - Rockwell RSLogix", ICS-CERT has released an Alert titled
"ICS-ALERT-11-256-04 - Measuresoft ScadaPro", ICS-CERT has released an Alert titled "ICS-ALERT-11-25603 - Cogent DataHub Multiple Vulnerabilities", ICS-CERT has released an Alert titled "ICS-ALERT-11-256-02 Azeotech DAQFactory Stack Overflow", ICS-CERT has released an Alert titled "ICS-ALERT-11-256-01 Multiple Vulnerabilities in Progea Movicon", ICS-CERT ALERT "ICS-ALERT-11-255-01- SCADATEC
SCADAPhone ModbusTagServer" , ICS-CERT Advisory "ICSA-11-216-01 - Scadatec Limited Procyon Telnet
Buffer Overflow" , ICS-CERT Advisory "ICSA-11-244-01 - Siemens WinCC flexible Runtime Heap Overflow" ,
ICS-CERT Alert "ICS-ALERT-11-245-01 - Multiple ActiveX Vulnerabilities in Advantech BroadWin WebAccess"
, ICS-CERT updated Alert "ICS-ALERT-11-238-01A - Sunway ForceControl SCADA SEH", ICS-CERT Alert
"ICS-ALERT-11-238-01 - Sunway ForceControl SCADA SEH" , ICS-CERT Advisory "ICSA-11-173-01 ClearSCADA Remote Authentication Bypass" , ICS-CERT updated Advisory "ICSA-11-223-01A - (UPDATE)
Siemens SIMATIC PLCs Reported Issues Summary" , ICS-CERT Advisory "ICSA-11-231-01- Inductive
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

90 / 125

Ataques y estadsticas
Debilidades en ICSs de Peoles?
ICS-CERT Advisory "ICSA-11-273-03A - (UPDATE) Rockwell RSLogix Denial of Service Vulnerability
ICS-CERT Advisory "ICSA-11-273-03 - Rockwell RSLogix Denial of Service Vulnerability",
ICS-CERT ALERT "ICS-ALERT-11-256-05A - Rockwell RSLogix.pdf
ICS-CERT Advisory "ICSA-11-244-01 - Siemens WinCC flexible Runtime Heap Overflow
ICS-CERT updated Advisory "ICSA-11-223-01A - (UPDATE) Siemens SIMATIC PLCs Reported Issues
Summary

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

91 / 125

Cmo protegernos?

Defense in depth
En cada capa.
Ejemplos
Pruebas / Auditorias
Recomendaciones de
los proveedores.
Que hacer contra APD
Estndares de seguridad
(NERC CIP, CFATS, ISA
S99).
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

92 / 125

Cmo protegernos?

Cules/cuantas capas existen en


Peoles?

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

93 / 125

Cmo protegernos?

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

94 / 125

Seguridad fsica

Control de Acceso Fsico


Instalaciones en general
Cuartos de control
Cuartos de cmputo y comunicaciones
Control de fuego y temperatura
Uso de sistemas automticos contra incendio
Personal capacitado para emergencias
Temperaturas adecuadas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

95 / 125

Cmo protegernos?

Por qu no separar fsicamente las redes? (air


gap)
Las necesidades actuales del negocio no lo
permiten!

Informacin en tiempo real de la operacin.


Visualizacin del rendimiento
Acceso remoto de empleados y terceros.
Reducir costos de viaje.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

96 / 125

Cmo protegernos?

Qu se necesita hacer?
Planear a detalle la interaccin entre ICS y TI
Definir claramente las zonas de confianza
Estndares consistentes entre ICSs y TI
Sistemas redundantes
Recuperacin de desastres
Prcticas de administracin de sistemas.
Etc

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

97 / 125

Cmo protegernos?

Capas DE RED recomendadas

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

98 / 125

Cmo protegernos?

Ataques en el nivel 5

Sigue siendo un punto de acceso comn.


Superficie de ataque:
Aplicaciones web
SSH / FTP / SFTP
Email
Accesos remotos
Sistemas de control directamente conectados

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

99 / 125

Cmo protegernos?

Ataques en el nivel 5

Accesos remotos
VPN & Dial-up
Polticas y procedimientos
Equipos con acceso sin medidas de seguridad
adecuadas
Se dejan conectados
Acceso remoto al proveedor.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

100 / 125

Cmo protegernos?

Ataques en el nivel 4

Vulnerabilidades del lado del cliente


Recuerdas APT?
Superficie de ataque muy grande
Navegadores
Plugins/Extensiones
Promedio 20 por usuario
Clientes de correo
Chats
Etc
Acceso sin restricciones a Internet (llama a casa)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

101 / 125

Cmo protegernos?

Ataques en el nivel 4

Uso de VLANs como nica medida


de seguridad.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

102 / 125

Cmo protegernos?

Ataques en el nivel 3

Ausencia de una DMZ


Recursos compartidos en la DMZ
Frecuentemente pueden acceder a la PCN sin
restricciones.
Incluyen en la DMZ otros equipos del negocio.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

103 / 125

Cmo protegernos?

Ataques en el nivel 2 LAN HMI

Usuarios del sistema de control con privilegios altos.


Compartir usuario y contraseas, sin controles adicionales que
mitiguen riesgos
Frecuentemente conectados a Internet
Acceso a correo corporativo
Uso de memorias USB sin controles adecuados.
Uso doble/triple de equipos Administrativo, programacin,
mantenimiento.
Continuidad administracin de respaldos
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

104 / 125

Cmo protegernos?

Ataques en el nivel 1

Abundan los protocolos frgiles


Modbus-TCP, Profibus, DNP3
No son probados los suficiente (Fuzzing)

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

105 / 125

Cmo protegernos?

Qu cambios le hacen falta a este esquema de


red?

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

106 / 125

Cmo protegernos?

Posible mejora

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

107 / 125

Cmo protegernos?

Posible mejora

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

108 / 125

Pruebas/Auditoras
Nunca realizar un escaneo o anlisis
de vulnerabilidades en una red de
control.
NMAP? Nessus!?
Red y equipos de
prueba/respaldo.

Analizar trfico de segmentos de


control
SPAN Port en cada switch.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

109 / 125

Pruebas/Auditoras
Sigue mejores prcticas y
estndares!

CIP

CFATS
ISA S99

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

110 / 125

Mejores prcticas - SCADA

CNPI Good Practice


Guide on Firewall
Deployment for SCADA
and Process Control
Networks

21 Steps to Improve
Cyber Security of
SCADA Networks

Control Systems Cyber


Security:
Defense in Depth
Strategies

OPC Security
Whitepaper #3
Hardening Guidelines
for OPC Hosts

Mayor informacin: US-CERT: Control Systems - Recommended Practices

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

111 / 125

Pruebas/Auditoras
Acrcate a tu proveedor de sistemas de
control.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

112 / 125

Estndares
CIP

CFATS
ISA S99
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin expresa de la Direccin de Auditora Interna.

Objetivos

Exponer la complejidad de los sistemas


elctricos de
Arquitecturas Conceptuales en:
Generacin
Transmisin
Distribucin
Sistemas de Operacin Independientes
Entender los roles de los sistemas de
venta de energa

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

114 / 125

Equipos SCADA en las redes modernas

Los equipos que dan soporte a las redes de


energa elctrica son muy diversificados, van
desde equipos antiguos (1930) hasta equipos
modernos diseados en los ltimos 5 aos.
Son altamente dependientes de los sistemas de
control (por ejemplo):
Controles basados en condiciones
Funciones de proteccin
Flexibilidad en suministros
Reporteo en tiempo real
Y muchos mas!

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

115 / 125

Estndares

NERC (North American Electric Reliability


Corporation) revis el sistema de manejo de energa
elctrica, desde las instalaciones de generacin de
energa, los sistemas de transmisin de alto voltaje, y
el transporte de energa y rutas, a fin de desarrollar
de estndares para evitar debilidades del sistema

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

116 / 125

Estndares
CIP Proteccin de Infraestructura Crtica

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

117 / 125

Estndares
Los estndares consideran desde la generacin de energa elctrica, la
transmisin, las rutas y blackstart.
Por lo general, las lneas elctricas se interconectan en rutas para que se
cubran las reas que requieren energa entre una y otra, pero para los casos en
que no hay energa

Northeast
Blackout 2003

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

118 / 125

Estndares
Es importante considerar:
La potencia requerida para iniciar una planta.
La preparacin del combustible.
Enfriamiento de los generadores.
Frecuencia de la energa alterna.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

119 / 125

CFATS
CFATS, por sus siglas en ingles, Chemical Facility Anti-Terrorism Standards). CFATS fue establecido
en el 2007 por el departamento de seguridad nacional (Homeland security) de EEUU.
CFATS regula a instalaciones qumicas que cumplan con ciertas caractersticas (especificadas en el
Apndice A) y recomienda ciertas medidas mnimas de seguridad segn el grado de riesgo de la
instalacin (se mencionan como una gua en el documento RISK-BASED PERFORMANCE STANDARDS
GUIDANCE DOCUMENT, sin embargo las instalaciones podrn exceder o utilizar medios alternativos
para proteger sus instalaciones).

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

120 / 125

Apndice A Apndice del estndar antiterrorista para instalaciones


qumicas.

El apndice A dentro del documento 6 CFR Part 27, publicado el 20 de Noviembre del
2007, indica todos los qumicos de inters (Chemical of Interest-COI). Si una instalacin
cuenta con estos qumicos y estos qumicos superan cierta cantidad (establecida en este
mismo apndice), son sujetos a una revisin inicial por parte del departamento de
Homeland Security de Estados Unidos.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

121 / 125

Apndice A Fragmento

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

122 / 125

Risk-Based Performance Standards Guidance (RBPSs)


El documento RISK-BASED PERFORMANCE STANDARDS GUIDANCE DOCUMENTrecomienda ciertas medidas mnimas de seguridad segn el grado de riesgo de
la instalacin (se mencionan como una gua, sin embargo las instalaciones podrn exceder o utilizar medios alternativos para proteger sus instalaciones). Este
documento cuenta con 18 puntos de medicin llamados estndares rendimiento basados en riesgos (RBPS por sus siglas en ingles). Solo nos enfocaremos en el
RBPS nmero 8, el cual maneja los indicadores de riesgo en Cyber sistemas (Sistemas SCADA, DCSs, PCSs, ICSs, sistemas para el negocio crticos y otros sistemas
computarizados sensibles). Adems solo tomaremos en cuenta las medidas de seguridad que ste estndar recomienda para las instalaciones crticas con un
requerimiento bajo de seguridad*.

RBPS
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Nombre de cada RBPS (Risk-Based Performance Standards)


Seguridad del permetro de instalaciones crticas
Acceso restringido y monitoreo de instalaciones crticas
Identificacin y/o inspeccin de individuos y vehculos
Disuadir, detectar y retrasar
Transporte, recepcin y almacenamiento.
Robo o malversacin
Sabotage
Cyber
Respuesta
Monitoreo
Entrenamiento
Historial de personal
Niveles de amenaza
Amenazas, vulnerabilidades y/o riesgos especficos
Reportes de incidentes de seguridad significativos
Incidentes de seguridad significantes y actividades sospechosas
La organizacin y oficiales
Registros

* LA CFATS divide las instalaciones crticas en 4 escalones (TIER 1, TIER 2, TIER 3 y TIER 4), siendo el TIER 4 el de menor seguridad.

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

123 / 125

ISA S99

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

124 / 125

Referencias

Parker Tom and Pollet Jonathan, Attacking, Defending and Building Control
System Environments. BlackHat USA 2011.
NERC http://www.nerc.com/
ISA http://www.isa.org/
FSECURE http://www.f-secure.com/
ICS CERT http://www.us-cert.gov/control_systems/ics-cert/
CFATS Department of Homeland Security
http://www.dhs.gov/files/laws/gc_1166796969417.shtm

La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.

125 / 125