Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
Podemosaprenderdeincidentesdeseguridad
ensistemasSCADA?
1
Introduccin
LosexpertosenseguridaddetodoelmundocontinanalertandosobrelaseguridaddelosSistemas
de Control Industrial (SCI).1Los Sistemas de Control Industrial se asemejan cada vez ms a los
ordenadores personales (PCs). Se utilizan en todos lados y tienen una cantidad considerable de
softwarequeconfrecuenciaestdesactualizadoyemparchado.
Incidentesrecientes deseguridadocurridosenelcontextode los sistemasde SCADAy deControl
Industrial han demostrado claramente la
importancia de contar con un buen
Antecedentestcnicos:SCIySCADA
monitoreoycontroldelasinfraestructuras
2
deSCADA. Enparticular,escrucialtenerla Los sistemas industriales y las infraestructuras crticas con
capacidad para responder ante incidentes frecuenciasonmonitoreadosycontroladosporcomputadoras
simples llamadas (Sistemas de Control Industrial (SCI).Los SCI
graves y poder analizar y aprender sobre estn basados en plataformas de sistemas integrados
loocurrido.
estndar y con frecuencia usan software comerciales. Los SCI
La UE ha reconocido la urgencia de este
problema y recientemente propuso una
estrategia de seguridad ciberntica para la
UE que focaliza en el mejoramiento de la
reddeseguridadysistemasdeinformacin
utilizadosparalasinfraestructurascrticas3.
La estrategia exhorta a los estados
miembros de la UEy a la Agencia Europea
de Seguridad de las Redes y de la
Informacin(ENISA,porsussiglaseningls)
a aumentar el nivel de los sistemas
nacionales de informacin (SIN) de los
sectores crticos y a apoyar el intercambio
demejoresprcticas.
ENISA respondi a este llamado lanzando
variasactividadessobreseguridaddeSICy
SCADA4.
El nivelde monitoreoderedes incluye tecnologas comprobadas que han sido utilizadas conxito
durantemuchosaosparaanalizarincidentesdeseguridadenentornosderedestradicionales.La
instalacindesensoresparaladeteccindeintrusosyelcontroldetrficosehaconvertidoenuna
prcticamsaceptable,especialmenteporqueunacantidaddesistemasmodernospermiteneluso
1
2
3
http://threatpost.com/hackersaggressivelyscanningicsscadadefaultcredentialsvulnerabilities
http://www.wired.com/threatlevel/2012/01/10000controlsystemsonline/
http://ec.europa.eu/digitalagenda/en/news/eucybersecurityplanprotectopeninternetandonlinefreedomandopportunitycyber
security
4
http://www.enisa.europa.eu/publications/programmesreports/workprogramme2013
www.enisa.europa.eu
Page1
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
Audienciafocalizada
Anlisisposterioralincidente
Elobjetivoprincipaldeunanlisisposterioraunincidenteesobtenerinformacinvaliosasobrela
seguridad a fin de adquirir un conocimiento profundo de lo ocurrido. Al examinar los diferentes
aspectosdeunsistemasepuedenobtenerconocimientoseinformacinvaliosa.Sinembargo,noes
importantesoloparaconocerlascircunstanciasbajolascualeshubounproblemadeseguridadsino
queestopermiteademstenerlacapacidadpara:
www.enisa.europa.eu
Page2
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
Crearunconjuntodeevidenciasslidaspararesponderalcarctercambiantedelasamenazas
internasyexternasyminimizarlasfallasdelossistemasSICSCADA5,
Asegurarsuficienteaprendizajeparainstalarsistemasresilientes.
Recopilar pruebas relacionadas con los incidentes puede revelar acciones que se llevaron a cabo
duranteelincidentejuntoconlosincentivosyquizslaidentidaddelatacante.
En un sistema de redes puede haber muchos lugares donde se pueden recuperar evidencias. El
trficoderedesylosregistrosdelossistemasoperativosofrecenlasfuentesmssignificativasde
evidencias; sin embargo, el carcter diverso de los sistemas de control industrial impide el uso de
unametodologanicaycoherente.
Elanlisisposterioralincidenteesunapartefundamentaldelagestindeseguridad.Sibienesla
primera etapa de un proceso forense digital, se deben distinguir estos dos trminos porque el
anlisisforensedigitalincluyelapreparacinderesultadosdemaneradepermitirquelosresultados
sean presentados como evidencias ante un tribunal y es obligatoria la participacin de las
autoridades del poder judicial, en tanto que un anlisis posterior al incidente procura
fundamentalmente:
Identificarelobjetivodelataque,
Inferirelpropsitorealdelatacante,sifuereposible,
Identificarlasvulnerabilidadesdelsistemaenelcualsebaselataque,
Descubrirelposiblerobodedatosyrastrosquesepuedenutilizarparadescubrirelorigendel
ataque.
3.1 Elproceso
Losprimerospasospararealizarelanlisisdeunincidenteenelcampodelossistemasdecontrol
industrialincluyeelexamendelsistemaylaidentificacindeloscomponentesafectados.Luego,se
recopilan y analizan todos los registros del SO y las transacciones relacionadas con estos
componentesconbaseendirectricesampliamenteconocidasqueestnfcilmentedisponibles67.
EnlaFigura1acontinuacin,sepresentanloscincopasosbsicospararealizarelanlisisposterior
delincidentedecualquierdispositivo89.
Alinvestigarunincidentedeseguridad,sepuedenobtenerconocimientosvaliososquesepuedenusarparafortalecerelsistemacontra
ataquesfuturosymitigarlosefectosdeestosincidentesalincorporarmecanismosapropiadosdedefensaproactiva.
S.Wilkinson,GoodPracticeGuideforComputerBasedElectronicEvidence,Assoc.ChiefPoliceOff.,2010.
M.FabroandE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.
8
R.RadvanovskyandJ.Brodsky,Eds.,HandbookofSCADA/ControlSystemsSecurity.CRCPress,2013.
9
T.SpyridopoulosandV.Katos,RequirementsforaForensicallyReadyCloudStorageService,Int.J.Digit.CrimeForensicsIjdcf,vol.3,
no.3,pp.1936,2011.
7
www.enisa.europa.eu
Page3
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
Fig1.
ProcesodelanlisisposterioraunincidentedesistemasSCADA.
Lospasosaseguirsonlossiguientes:
1. Examen: En la etapa del examen el investigador deber conocer todas las fuentes
potencialesdeevidenciasdeunsistemaSCADA.Adems,tambinsedebetomarencuenta
enlainvestigacincualquierotrosistemarelacionadoconelsistemaSCADA.Estoincluyeel
accesoalasterminales,servidoresyrouters.
2. Identificacin deevidencias:Elpuntoinicialdeestaetapaesidentificareltipodesistema
que se investiga10. Una vez que se lo conoce, la prxima etapa es identificar el sistema
operativoqueseutiliza,lostiposyelfabricantedelosPLC,yeldiseoylaimplementacin
de la red. Hacia esta direccin la informacin recopilada de los Puntos de Contacto del
sistema pueden ofrecer datos valiosos. En el proceso de identificacin pueden asistir, la
documentacin del fabricante, las especificaciones de diseo, los diagramas de la red y la
InterfazHumanoMquina.
3. Recopilacindeevidencias:Laetapaderecopilacinincluyelaobtencindedatosdetodos
los sistemas con los componentes de memoria que han sido identificados en la etapa 2.
Tambindebensercapturadoseltrficodelaredentreloscomponentesidentificadosdel
sistema,talescomoeltrficoentrelareddecontrolylaadministracindelaredyentreel
sistemaSCADAeInternet.
4. Anlisis de las evidencias:Enlaetapadeanlisisseidentificanlasevidenciasenlosdatos
recopilados. Eventualmente, se crea un cronograma de actividades con base en los datos
10
EltipodesistemapuedeserRTU,PLC,HMI,etc.yelmbitofinalesencontrarlasherramientasapropiadasquepuedenserutilizadas
conbaseenlasespecificacionesdeequipoysoftware.
www.enisa.europa.eu
Page4
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
que fueron recopilados. Las principales categoras del anlisis posterior al incidente se
puedendefinirmedianteelusodelanocindelascapasdeabstraccin11.
Anlisisdelosmediosfsicos:Elanlisisdelosmediosfsicostraduceelcontenidode
undiseodealmacenamientoaunainterfazestndar(IDEoSCSIs).Entrelosejemplos
seincluyen,undiscoduro,compactflash,ychipsdememoria.
Anlisisdelagestindemedios:Enelanlisisdelagestindemediosseorganizan
lasfuentesdeevidenciasconbaseenciertoscriteriosvinculadosalasestructurasde
losdatos.Entrelosejemplosdeestaactividadseincluyenladivisindeundiscoduro
enparticiones,laorganizacindediscosmltiplesenunvolumenylaintegracinde
chipsdememoriamltiplesenunespaciodememoria.
Anlisisdelsistemadearchivos:Elanlisisdelacapadeabstraccindelarchivo,que
traduce los bites y sectores de la particin en directorios y archivos, incluye ver
observar los directorios y el contenido de los archivos lo cual conduce a la
recuperacindelosarchivoseliminados.
Anlisisdelared:Elanlisisenestaetapaincluyelospaquetesdelagestindelared
ylosalertas.Elanlisisdelosregistrosgeneradosporlosserviciosdelared,tambin
seincluyendentrodelanlisisdelared,uncortafuegosounservidordelaweb.
Anlisisdelamemoria:Elanlisisenestareaincluyeidentificarelcdigodequeun
procesoestabaenmarchayextraerdatossensiblesqueestabanalmacenadoseneste
cdigo.
5. Documentacindelprocesoyresultados:Encadaprocesodelanlisisposterioralincidente
es esencial mantener la documentacin integral. Se deben mantener notas detalladas,
registrandolahora,lafechayelnombredelapersonaresponsableademsdeotrosdatose
informacin esenciales. De esta manera se facilita a que las evidencias no puedan ser
adulteradasporalguiendeadentroduranteelanlisisposterioralincidenteyenelcasode
futuros incidentes la documentacin podr servir como referencia para el manejo de la
situacin.
3.2 Estructurasyprocedimientosorgnicos
Para que las capacidades antes mencionadas puedan funcionar dentro de una organizacin debe
contarseconlaestructurayprocedimientosapropiadosconrespectoalarespuestaanteincidentes
11
B.Carrier,Definingdigitalforensicexaminationandanalysistoolsusingabstractionlayers,Int.J.Digit.Evid.,vol.1,no.4,pp.112,
2003.
www.enisa.europa.eu
Page5
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
12
13
CPNIGoodPracticeGuide,PROCESSCONTROLANDSCADASECURITYGUIDE3.ESTABLISHRESPONSECAPABILITIES.
M.FabroandE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.
www.enisa.europa.eu
Page6
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
Actividadde
respuestaa
incidentes
Equipode
Seguridad Director
Especialista
Coordinador
Director
Apoyo (Coordinador
manejode
Bsica Respuesta
Seguridad
RI(conSC)
IncidenteSC
IngenieraSC
SC)
incidentes
(POC)
Incidentes
SC
Deteccin
Deteccin
Informacin
inicial
y
documentacin
Iniciodelarespuesta
Incidente
Clasificacin
Aumento
Accin
emergencia
de
Respuestaalincidente/Obtencindeevidencias
Movilizacin
Investigacin
Contencin
Recuperacindelincidente/Anlisisdeevidencias
Recuperacin
Planificacin
S/P
Restauracin
Mejoramiento del
sistema
Finalizacindelincidente/Procesodeinformacin
Resumen de la
informacin
Mitigaciones/Info
rmacin
Mejoramiento del
sistema
EnestecuadroseindicanlasactividadesprimariascomoPylasfuncionessecundariascomoS.
3.3 Laspruebasysudimensinintegral
Para asegurar que el analista tiene un marco conciso y efectivo para ejecutar un anlisis post
mortem del entorno de un sistema de control, se debern examinar los siguientes elementos
tradicionales15:
14
15
M.FabroandE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.
M.FabroyE.Cornelius,RecommendedPractice:CreatingCyberForensicsPlansforControlSystems,Dep.Homel.Secur.,2008.
www.enisa.europa.eu
Page7
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
Cuadro 1. Tipos de datos que se pueden extraer de un sistema SCADA, con base en la
tecnologa de control y las herramientas de adquisicin utilizadas
Centrodecontrol
Dispositivosdecampo
Registrosdered.
Registrosdelcentrodecontrolrelacionados
conlosdispositivosdecampo.
Tecnologas
de Capturadetrficoenlared.
Administradordelsistemadecontrolen
sistemas de control
casodeunSOmodificadosobreHMIs.
Modernas/Comunes
Dispositivoapagado:Examendel
dispositivoporposibleevidencia.
Dispositivoprendido:
Fecha y hora, procesos actualmente
activosyprocesosenmarcha.
Tecnologas
de
sistemas de control
Modernas/Propietary
Tecnologas
de
sistemas de control
Legacy/Propietary
Registrosderedes.
Registros del centro de control sobre
dispositivosdecampo.
Es obligatoria la interaccin entre el
investigadoryelproveedor.
Puede incluir mecanismos de seguridad
especficosintegradosdelproveedor.
Basado en comunicaciones en serie, trfico
deredesnopuedesercapturado.
Rpida frecuencia del muestreo y anulacin
dedatos
Rpida frecuencia del muestreo y anulacin
dedatos.
Esesenciallainteraccinconelproveedor.
Debe estar a disposicin un ingeniero con
experienciaparaapoyarlainvestigacin
Otrasfuentesdedatos:Entreotrasfuentesdedatosquedeberanserconsideradasenun
anlisisposterioraunincidenteseincluyenlosdiversosdispositivosdealmacenamientoque
se pueden encontrar en el centro de control de un sistema SCADA. Estos dispositivos
incluyenmediosmvilestalescomodisquetes,CDs/DVDs,USBuotrasformasdemediosde
16
Cuandoserealizaunanlisisposterioralincidenteesdevitalimportanciaestablecerlareferenciadeltiempoparaelprogresonormal
delainvestigacin.Enlossistemasdecontrollasincronizacindeltiempodesempeaunpapelimportantenosoloparalainvestigacin
delincidentesinoquetambinparalaoperacinregulardelsistema.
www.enisa.europa.eu
Page8
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
ElprocesodedocumentacinincluyetambinlaproduccindeunInformeResumidodetalladoque
describetodoelprocedimiento.Esteinformetambinincluye elestadoylacondicin del sistema
capturado a travs del proceso de recopilacin de informacin. Ms adelante se concentra la
atencinenlosprimerostresaspectos,comolosltimostressontemasquetradicionalmenteson
biencomprendidosdentrodelcontextodelasoperacionesdelossistemasSCADA,debidoalnfasis
enlasfallasdeadministracin,seguridadyconfiabilidaddelainformacin.
Desafos
La alta volatilidad de sus datos, los limitados mecanismos de acceso que se pueden usar y otras
caractersticasdelossistemasSCADApresentanmuchosdesafosenelprocesoparalarecopilacin
yanlisisdedatos,tantodesdeelpuntodevistatcnicocomooperativo.Estaseccindescribelos
desafosquepuedensurgirduranteunanlisisdeunincidentepostmortemdesistemasSCADA:
A. Desafosparalarecopilacindedatos:
Mecanismosderegistroinadecuados:LosmecanismosderegistrodelossistemasdeSCADA
estn orientados hacia los procesos de distorsin en vez de los casos de violacin de la
seguridady porlotantoofrecen unacontribucinlimitada enelcampoderespuesta ante
incidentes,
Investigacinposterioralincidente:Cuandolosdatosno
Altavolatilidaddedatos:Elcarcter
voltiles, tales como los datos almacenados en un disco
delossistemasdecontrolimponela
duro son recopilados en un sistema que est apagado,
supresin, eliminacin o reemplazo
de datos en algunos componentes este procedimiento corresponde a la categora de una
del sistema, tales como grabadores investigacinposterioralincidente.
de datos de alta velocidad a tal Investigacin actual:Cuando se necesitarecopilar datos,
velocidad que es prcticamente tales como volcados de memoria o actividad de la red,
improbable o imposible coleccionar este procedimiento corresponde a la categora de las
los datos. El costo de los
investigacionesactuales.
mecanismos de registro en estos
www.enisa.europa.eu
Page9
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
Grancantidaddedatos menores:Recopilarinformacinsobrelosnivelesmenoresdeuna
red SCADA, como por ejemplo los datos producidos por los sensores, resultara en gran
cantidaddeinformacinquerequiereunenormeespaciodealmacenamiento.
Bajopodercomputacional:LossistemasLegacytienenmuypocopodercomputacionalpara
elregistroyanlisisdedatosproducidosenconjuntoconlosdatosdecontrol.Porlotanto,a
estenivelnosepuedenimplementarmsoperacionesconrespectoaotrosprocesoscomo
elanlisisdeincidentes.
B. Desafosdelanlisisdedatos:
Herramientas para el anlisis posterior al incidente: Las herramientas modernas para
Laaparentebrechaculturalentrelosespecialistasdetecnologadelainformacin(TI)yel
personaldeoperaciones:Aprimeravista,estadivisinparecesercreadaporlasdiferencias
de objetivos operativos entre la comunidad de control industrial (disponibilidad,
confiabilidad,seguridad)ylafocalizacinenseguridadtradicionaldelasTI(confidencialidad,
integridad,disponibilidad).
Lagestindelaobsolescenciayladisponibilidaddehabilidadesparamanejarlossistemas
Legacy: Actualmente la comunidad de usuarios identifica una significativa falta de
www.enisa.europa.eu
Page10
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
capacidadesenestareaenlaquepersonasclaveseestnretirandoylanuevageneracin
deingenierosnoposeenlashabilidadesparatrabajarensistemasmsviejos.
Recomendaciones
ENISA ha identificado las siguientes reas clave en las que se puede tomar medidas a fin de
desarrollarcapacidadesdeinvestigacinquelogrenelniveldelriesgopercibido:
A. Facilitarlaintegracinconlasestructurasactualesparalaelaboracindeinformesyanlisis:
a. Percibir donde se pueden encontrar las evidencias: Como parte del proceso tradicional de
evaluacinderiesgos,podraserbeneficiosoconsiderarjuntoconlosescenariosdeviolacin
delaseguridaddondelaevidenciaescrucialeidentificardondeseencuentranlaspruebas.
b. Comprenderelimpactodelaretencindedatos:Esrecomendablequeserealicealgntipo
de evaluacin de impacto de las polticas de retencin de datos en una infraestructura de
prueba que se asemeje al entorno operativo. Es esencial conocer si se van a introducir
algunos costos (y a cuanto ascienden), cuando se agreguen dispositivos de registro ms
avanzados por encima y ms all del registro de fallas y paradigma tradicional de
operacionesdeseguimientodelrendimientotradicional.
c. Gestionar la obsolescencia y la interfaz de TI/Operaciones: Aunque no est directamente
relacionadoconelanlisisposterioralincidente,unplanestructuradoparalagestindela
obsolescencia, cuando fuere aplicable, asegurar contar con el conocimiento adecuado de
lossistemasLegacyyesposibleelaccesoalasinstalacionesapropiadasparasugestin.
B. Sistemasyconfiguracionesdeproteccin:
a. Instalar controles adecuados de seguridad que al mismo tiempo realicen operaciones de
registro tales como cortafuegos (firewalls) y sistemas de deteccin de intrusos: El punto
crticodeunagestindeseguridadefectivaeslaimplementacindecontrolesapropiadosy
bien probados capaces de equilibrar el riesgo y ofrecer mecanismos para enfrentar los
incidentesyhacersuseguimiento.
b. Disear sistemas teniendo presente la proteccin de las evidencias: Una proteccin
adecuadadelosdatoshistricosesesencialparalaretencindelasevidenciasdecarcter
forense. Los sistemas modernos pueden registrar una gran diversidad de eventos pero el
acceso a los registros puede ser comprometido por un atacante que podra eliminar
fcilmentesushuellas.
c. Facilitarelregistrodeeventoscomunesentodoelsistema,comomnimo:Lamayoradelos
sistemas y equipos de control modernos son capaces de producir y retener una gran
cantidaddeinformacinrelacionadaconsusituacinoperativaytambinconelcontextode
loseventos.Sinembargo,queventospuedenserregistradosyculeslaformaexactade
losdatospuedevariartremendamenteentreunequipoyotro.
www.enisa.europa.eu
Page11
TraduccinnooficialdeENISA/UE
TraducidoalespaolporelProgramadeSeguridadCibernticadelaOrganizacindelosEstadosAmericanos(OEA)
www.oea.org/cyber/
C. Revisindelospapelesclaveyresponsabilidades:
a. Identificar lasbrechas en materia de capacidad para la investigacin digital: Es importante
conocer cul es el nivel disponible (o falta del mismo) de capacidades y conocimientos en
materiadeinvestigacin,entreelpersonalactual.
b. Identificar interfacesy solapamientos derespuestafsicayciberntica: Unarevisindelos
papelesdeorganizacinyderesponsabilidadesrelacionadosconlarespuestaaincidentes
incluidoslosincidentesoperativos,fsicosycibernticospuedefacilitarlaintegracindela
capacidadderespuestatantodesdelaperspectivafsicacomociberntica.
D. Procurarunaestrategiaorgnicapblicayprivadaydecooperacinentodoelpas:
a. Un enfoque coordinado a nivel nacional (por ejemplo, paneuropeo): Esta podra ser otra
dimensinquepodrapromoverunmayordesarrollocomunitario.
b. Laexperienciadecompartirlacolaboracinmltipleanivelprivadoypblicopuedemejorar
las posibilidades de lograr una solucin que sea integral y que se aplique en forma ms
general: Fomentar la colaboracin entre los Estados es percibido como algo de importancia
crtica en vista de que los ataques pueden estar dirigidos a travs de diferentes lugares y
desdediversasjurisdiccionesextranjeras.
www.enisa.europa.eu
Page12