Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
1 / 125
Temas a tratar
Temario
1
2
Wireshark y demos con un PLC emulado
Ejemplos de ataques y estadsticas
Duracin
1 hora
1.5 horas
1 hora
APT
Dnde se encuentran la vulnerabilidades
Sistemas que se ven afectados
Vulnerabilidades en las HMI
Debilidades especificas en los sistemas que se manejan en Peoles/Fresnillo
Esquemas seguros de operacin
2 horas
Estrategia de defensa
Esquema de red recomendado
4
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
2 horas
2 / 125
La gente es floja
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
3 / 125
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
4 / 125
una
persona
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
5 / 125
Idea original
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
6 / 125
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
7 / 125
[]
Los cyber ataques no pasan en Mxico y
menos en sistemas SCADA.
Algunos
Mexicanos
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
8 / 125
Definiciones
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
9 / 125
Trminos y definiciones
Sistemas:
Automatizacin: Permitir a los procesos ejecutarse eficientemente sin intervencin
humana constante.
SCADA:
Supervisory
Control
and
Data
Acquisition.
DCS: Distributed Control System
EMS: Energy Management Systems
MES: Manufacturing Execution Systems.
AMR/AMI:
Automated
Meter
Reading
Infrastructure
ICS: Industrial Control Systems (trmino ms comn, agrupa todas las familias
10 / 125
Trminos y definiciones
Subsistemas:
I/O: Input / Outputs
PLC: Programmable Logic Controller.
RTU: Remote Terminal Unit.
DNP
OPC
HMI: Human Machine Interface
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
11 / 125
Sistema automtico:
Procesos ejecutndose eficientemente sin intervencin humana constante.
Planta de Zinc
Operacin en sitio
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
12 / 125
SCADA
Supervisory Control And Data Acquisition
Extiende las capacidades de un sistema automtico de forma que pueda ser
monitoreado y/o controlado desde un sitio remoto.
Tpicamente utilizado cuando los procesos automatizados no estn en una sola
ubicacin geogrfica.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
13 / 125
SCADA
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
14 / 125
DCS
Distributed Control System
Las funciones de control y monitoreo se encuentran en todos los componentes
importantes del sistema de control, en lugar de solo en los master servers.
Usados tpicamente cuando los procesos automatizados se encuentran en una
sola ubicacin geogrfica.
Los controladores, estaciones de ingeniera, consolas de operadores y dispositivos
en campo de I/O se encuentran conectados, formando una sola plataforma y sin la
estricta jerarqua de los sistemas SCADA.
Tambin automatiza el flujo de informacin a otras aplicaciones.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
15 / 125
DCS
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
16 / 125
EMS
Energy Management System
Es un tipo de sistema SCADA adaptado para el control y monitoreo de los sistemas
de transmisin elctricos.
Sistemas compuestos de:
Servidores centralizados, tanto en el centro de control primario como en el
secundario.
Control y monitoreo distribuido de subestaciones remotas.
Conexin y desconexin de interruptores en subestaciones y postes cerca de
transformadores.
Tambin utilizados en sistemas de distribucin para monitorear y controlar la
distribucin de electricidad en grandes complejos industriales y vecindarios.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
17 / 125
MES
Manufacturing Execution Systems
Extienden la funcionalidad de los sistemas SCADA o DCS para la gestin de lotes y
pueden incluir las siguientes funciones (una o ms de una):
Ordenes de trabajo, recepcin de bienes, embarques, control de calidad,
mantenimiento u otras tareas relacionadas.
MES
SAP
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
18 / 125
MES
Razones para implementar sistemas MES
Automatizan la administracin de lotes y recepcin.
Seguimiento y control de materia prima y del inventario de bienes terminados.
Programacin de tareas, incluyendo la administracin de prioridades.
Reportar resultados de produccin.
Seguimiento de KPIs.
Administracin y reporte de eventos o excepciones.
Business Inteligence decisiones que afectan la produccin y la administracin de
costos.
Administracin de recursos, incluyendo inventarios y personal.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
19 / 125
MES
SCADA
DCS
EMS
Master Servers
Sistema
automtico
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
20 / 125
ICS
Industrial Control Systems, termino general que aplica a todos los tipos de
sistemas de control, incluyendo sistemas SCADA, DCS y otros sistemas de control
automticos ms pequeos que utilizan PLC o control basado en computadoras
(PC-Based control).
En EEUU se ha:
Creado el CSSP
http://www.us-cert.gov/control_systems/ics-cert/
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
21 / 125
Otros
AMR Automatic Meter Reading
Recolectar de forma automtica la informacin de los medidores de
electricidad, gas y/o agua a travs de redes de comunicacin.
Propsito de negocio: facturacin automtica y reducir los costos.
AMI Automatic Metering Infrastructure
Sistemas que pueden recolectar informacin ms detallada del uso de
energa y de forma ms frecuente (no una o dos veces al mes).
Los sistemas AMR y AMI son los bloques que crearn en el futuro el llamado
Smart Grid.
BAS Building Automation Systems
Controlar el alumbrado, calefaccin y seguridad de un edificio.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
22 / 125
Subsistemas
Definiciones
Digitales y anlogas
la red elctrica.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
23 / 125
Subsistemas
Definiciones
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
24 / 125
Peoles
EMS
MES
Master Servers
SCADA
DCS
Qu sistemas tenemos?
Sistema
automtico
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
25 / 125
Protocolos (In)Seguros
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
26 / 125
Objetivos
Objetivos
Entender como funcionan los protocolos utilizados por los ICSs.
Demostraciones.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
27 / 125
ModbusTCP),
OPC).
Modbus y DNP son los protocolos ms
utilizado en la industria elctrica.
Modbus es un protocolo abierto.
Protocolos propietarios incluyen: Allen
Bradley, TotalFlow, GE, Siemens entre
otros.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
28 / 125
Modbus
Modbus
Protocolo de comunicacin serial publicado en
1979 por Modicon.
Propsito comunicacin con PLCs.
Simple y robusto.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
29 / 125
Modbus
Modbus
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
30 / 125
Modbus
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
31 / 125
Modbus
Protocolo serial.
Conexiones uno a uno Master / Slave
Un receptor.
Full duplex
Distancia (estndar) 15 metros.
Velocidad mxima a 12 metros = 19.2kbps
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
32 / 125
Modbus
Protocolo serial.
Conexiones uno a muchos Master / Slave
Hasta 256 receptores
Half duplex
Distancia (estndar) 1200 metros
Velocidad mxima a 12 metros = 10 Mbps
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
33 / 125
Modbus
Modbus TCP
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
34 / 125
OPC
OPC
OLE para Procesos de Control.
Protocolo estndar para compartir informacin
de ICSs en redes LAN.
Basado en DCOM
Distributed Component Object Model.
Permite
a
componentes
COM
comunicarse a travs de diferentes redes.
OPC Server: construye variables o tags y
configura a los drivers para que obtengan y
almacenen valores en las variables o tags.
OPC Client: Esucha al servidor OPC y puede
leer y escribir informacin en los
controladores, segn las instrucciones que
reciba del OPC server.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
35 / 125
Demos
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
36 / 125
Modbus
Servidor=Controlador
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
37 / 125
Conexiones actuales
Servidor
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
38 / 125
Simulador de PLC
Servidor
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
39 / 125
Antes
Despus
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
40 / 125
ModScan32
Cliente (atacante?!)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
41 / 125
ModScan32
Cliente (atacante?!)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
42 / 125
ModScan32
Cliente (atacante?!)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
43 / 125
ModScan32
Cliente (atacante?!)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
44 / 125
ModScan32
Servidor
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
45 / 125
ModScan32
Servidor
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
46 / 125
ModScan32
Servidor
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
47 / 125
ModScan32
Analicemos el demo.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
48 / 125
Sin ModScan32
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
49 / 125
Sin ModScan32
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
50 / 125
Sin ModScan32
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
51 / 125
Sin ModScan32
Analicemos el demo.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
52 / 125
Ataques y estadsticas
Analicemos el demo.
ICS ?
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
53 / 125
Ataques y estadsticas
Analicemos el demo.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
54 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
55 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
56 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
57 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
58 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
59 / 125
Ataques y estadsticas
Ingeniera Social
Spear Phishing
Adjuntos maliciosos
Dispositivos USB
Sitios Web
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
60 / 125
Ataques y estadsticas
Ingeniera Social
Ataque a la capa 8
(Nivel humano)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
61 / 125
Ataques y estadsticas
Spear Phishing
Resultados mdicos
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
62 / 125
Ataques y estadsticas
Adjuntos maliciosos
PDFs
Productos de MS
mp3, exe, lnk, dll, mov, com, mp4, bat, cmd, reg, rar, emf,
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
63 / 125
Ataques y estadsticas
http://www.f-secure.com/weblog/archives/00001903.html
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
64 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
65 / 125
Ataques y estadsticas
Malware Kits
Torrents, P2P
Complejos $7,000
Zeus (ZBOT)
GHOSTNET (GHOSTRAT)
Mariposa
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
66 / 125
Ataques y estadsticas
GHOSTNET
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
67 / 125
Ataques y estadsticas
GHOSTNET
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
68 / 125
Ataques y estadsticas
GHOSTNET
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
69 / 125
Ataques y estadsticas
ZEUS (ZBOT)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
70 / 125
Ataques y estadsticas
C&C
Vectores:
IRC
Google groups
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
71 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
72 / 125
Ataques y estadsticas
Uploads/downloads/xchanges incrementales.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
73 / 125
Ataques y estadsticas
APT - Objetivos
Cartografa
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
74 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
75 / 125
Ataques y estadsticas
APT Stuxnet
Utiliz las llaves privadas de Jmicron /
Realteck para hackear drivers.
4 vulnerabilidades 0day de Windows.
Propagacin flexible USB redes
windows.
Especficos para aplicaciones SIEMENS.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
76 / 125
Ataques y estadsticas
Certificados vlidos
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
77 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
78 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
79 / 125
Ataques y estadsticas
Analicemos
el demo.
Ataques especficos
a los ICSs
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
80 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
81 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
82 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
83 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
84 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
85 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
86 / 125
Ataques y estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
87 / 125
Ataques y estadsticas
Resumen de estadsticas
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
88 / 125
Ataques y estadsticas
REPITO:
Vulnerabilidades y exploits
seguirn creciendo a un
paso acelerado (HMI for
Windows,
Web-Enabled
SCADA browser applications
y PLCs)
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
89 / 125
Ataques y estadsticas
Algunas de las debilidades a monitorear durante el mes
de octubre de 2011.
ICS-CERT ALERT "ICS-ALERT-11-283-01-IRAI AUTOMGEN Buffer Overflow Vulnerability", ICS-CERT
Advisory "ICSA-11-280-01- Cogent DataHub mult vulns", ICS-CERT Advisory "ICSA-11-280-01- Cogent
DataHub mult vulns", ICS-CERT Advisory "ICS-11-279-04 - Beckhoff TwinCAT", ICS-CERT Advisory "ICSA-11273-03A - (UPDATE) Rockwell RSLogix Denial of Service Vulnerability", ICS-CERT Advisory "ICSA-11-279-03
- Unitronics UNIOPC Server Input handling Vulnerability", ICS-CERT Advisory "ICSA-11-273-03 - Rockwell
RSLogix Denial of Service Vulnerability", ICS-CERT Advisory "ICSA-11-273-02 - InduSoft ISSymbol ActiveX
Control Buffer Overflow", ICS-CERT Advisory "ICSA-11-273-01 - ICONICS GENESIS32 Multiple Memory
Corruption Vulns" , ICS-CERT ALERT "ICS-ALERT-11-271-01 - PcVue HMI/SCADA Multiple ActiveX
Vulnerabilities" , ICS-CERT ALERT "ICS-ALERT-11-266-01 - Sunway Force Control Vulnerabilities", ICSCERT Advisory "ICSA-11-264-01 - Azeotech DAQFactory Stack Overflow", ICS-CERT Advisory "ICSA-11-26301 - Measuresoft ScadaPro", ICS-CERT ALERT "ICS-ALERT-11-256-05A - Rockwell RSLogix.pdf", ICS-CERT
has released an Alert titled "ICS-ALERT-11-256-06 - Beckhoff TwinCAT Denial of Service", ICS-CERT has
released an Alert titled "ICS-ALERT-11-256-05 - Rockwell RSLogix", ICS-CERT has released an Alert titled
"ICS-ALERT-11-256-04 - Measuresoft ScadaPro", ICS-CERT has released an Alert titled "ICS-ALERT-11-25603 - Cogent DataHub Multiple Vulnerabilities", ICS-CERT has released an Alert titled "ICS-ALERT-11-256-02 Azeotech DAQFactory Stack Overflow", ICS-CERT has released an Alert titled "ICS-ALERT-11-256-01 Multiple Vulnerabilities in Progea Movicon", ICS-CERT ALERT "ICS-ALERT-11-255-01- SCADATEC
SCADAPhone ModbusTagServer" , ICS-CERT Advisory "ICSA-11-216-01 - Scadatec Limited Procyon Telnet
Buffer Overflow" , ICS-CERT Advisory "ICSA-11-244-01 - Siemens WinCC flexible Runtime Heap Overflow" ,
ICS-CERT Alert "ICS-ALERT-11-245-01 - Multiple ActiveX Vulnerabilities in Advantech BroadWin WebAccess"
, ICS-CERT updated Alert "ICS-ALERT-11-238-01A - Sunway ForceControl SCADA SEH", ICS-CERT Alert
"ICS-ALERT-11-238-01 - Sunway ForceControl SCADA SEH" , ICS-CERT Advisory "ICSA-11-173-01 ClearSCADA Remote Authentication Bypass" , ICS-CERT updated Advisory "ICSA-11-223-01A - (UPDATE)
Siemens SIMATIC PLCs Reported Issues Summary" , ICS-CERT Advisory "ICSA-11-231-01- Inductive
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
90 / 125
Ataques y estadsticas
Debilidades en ICSs de Peoles?
ICS-CERT Advisory "ICSA-11-273-03A - (UPDATE) Rockwell RSLogix Denial of Service Vulnerability
ICS-CERT Advisory "ICSA-11-273-03 - Rockwell RSLogix Denial of Service Vulnerability",
ICS-CERT ALERT "ICS-ALERT-11-256-05A - Rockwell RSLogix.pdf
ICS-CERT Advisory "ICSA-11-244-01 - Siemens WinCC flexible Runtime Heap Overflow
ICS-CERT updated Advisory "ICSA-11-223-01A - (UPDATE) Siemens SIMATIC PLCs Reported Issues
Summary
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
91 / 125
Cmo protegernos?
Defense in depth
En cada capa.
Ejemplos
Pruebas / Auditorias
Recomendaciones de
los proveedores.
Que hacer contra APD
Estndares de seguridad
(NERC CIP, CFATS, ISA
S99).
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
92 / 125
Cmo protegernos?
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
93 / 125
Cmo protegernos?
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
94 / 125
Seguridad fsica
95 / 125
Cmo protegernos?
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
96 / 125
Cmo protegernos?
Qu se necesita hacer?
Planear a detalle la interaccin entre ICS y TI
Definir claramente las zonas de confianza
Estndares consistentes entre ICSs y TI
Sistemas redundantes
Recuperacin de desastres
Prcticas de administracin de sistemas.
Etc
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
97 / 125
Cmo protegernos?
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
98 / 125
Cmo protegernos?
Ataques en el nivel 5
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
99 / 125
Cmo protegernos?
Ataques en el nivel 5
Accesos remotos
VPN & Dial-up
Polticas y procedimientos
Equipos con acceso sin medidas de seguridad
adecuadas
Se dejan conectados
Acceso remoto al proveedor.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
100 / 125
Cmo protegernos?
Ataques en el nivel 4
101 / 125
Cmo protegernos?
Ataques en el nivel 4
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
102 / 125
Cmo protegernos?
Ataques en el nivel 3
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
103 / 125
Cmo protegernos?
104 / 125
Cmo protegernos?
Ataques en el nivel 1
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
105 / 125
Cmo protegernos?
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
106 / 125
Cmo protegernos?
Posible mejora
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
107 / 125
Cmo protegernos?
Posible mejora
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
108 / 125
Pruebas/Auditoras
Nunca realizar un escaneo o anlisis
de vulnerabilidades en una red de
control.
NMAP? Nessus!?
Red y equipos de
prueba/respaldo.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
109 / 125
Pruebas/Auditoras
Sigue mejores prcticas y
estndares!
CIP
CFATS
ISA S99
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
110 / 125
21 Steps to Improve
Cyber Security of
SCADA Networks
OPC Security
Whitepaper #3
Hardening Guidelines
for OPC Hosts
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
111 / 125
Pruebas/Auditoras
Acrcate a tu proveedor de sistemas de
control.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
112 / 125
Estndares
CIP
CFATS
ISA S99
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin expresa de la Direccin de Auditora Interna.
Objetivos
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
114 / 125
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
115 / 125
Estndares
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
116 / 125
Estndares
CIP Proteccin de Infraestructura Crtica
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
117 / 125
Estndares
Los estndares consideran desde la generacin de energa elctrica, la
transmisin, las rutas y blackstart.
Por lo general, las lneas elctricas se interconectan en rutas para que se
cubran las reas que requieren energa entre una y otra, pero para los casos en
que no hay energa
Northeast
Blackout 2003
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
118 / 125
Estndares
Es importante considerar:
La potencia requerida para iniciar una planta.
La preparacin del combustible.
Enfriamiento de los generadores.
Frecuencia de la energa alterna.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
119 / 125
CFATS
CFATS, por sus siglas en ingles, Chemical Facility Anti-Terrorism Standards). CFATS fue establecido
en el 2007 por el departamento de seguridad nacional (Homeland security) de EEUU.
CFATS regula a instalaciones qumicas que cumplan con ciertas caractersticas (especificadas en el
Apndice A) y recomienda ciertas medidas mnimas de seguridad segn el grado de riesgo de la
instalacin (se mencionan como una gua en el documento RISK-BASED PERFORMANCE STANDARDS
GUIDANCE DOCUMENT, sin embargo las instalaciones podrn exceder o utilizar medios alternativos
para proteger sus instalaciones).
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
120 / 125
El apndice A dentro del documento 6 CFR Part 27, publicado el 20 de Noviembre del
2007, indica todos los qumicos de inters (Chemical of Interest-COI). Si una instalacin
cuenta con estos qumicos y estos qumicos superan cierta cantidad (establecida en este
mismo apndice), son sujetos a una revisin inicial por parte del departamento de
Homeland Security de Estados Unidos.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
121 / 125
Apndice A Fragmento
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
122 / 125
RBPS
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
* LA CFATS divide las instalaciones crticas en 4 escalones (TIER 1, TIER 2, TIER 3 y TIER 4), siendo el TIER 4 el de menor seguridad.
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
123 / 125
ISA S99
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
124 / 125
Referencias
Parker Tom and Pollet Jonathan, Attacking, Defending and Building Control
System Environments. BlackHat USA 2011.
NERC http://www.nerc.com/
ISA http://www.isa.org/
FSECURE http://www.f-secure.com/
ICS CERT http://www.us-cert.gov/control_systems/ics-cert/
CFATS Department of Homeland Security
http://www.dhs.gov/files/laws/gc_1166796969417.shtm
La informacin contenida es propiedad de Industrias Peoles, S.A.B. de C.V. y compaas subsidiarias, y es nicamente para uso interno salvo autorizacin
expresa de la Direccin de Auditora Interna.
125 / 125