Los 20 Controles de Seguridad

Críticos
Francisco Gomez, Senior Security Consultant, Security Solutions,
Industrial Defender

2012 Ciberseguridad – 1er Congreso Español de Ciberseguridad Industrial

PRESENTACIÓN

• FRANCISCO GOMEZ, Industrial Defender Inc.

– Consultor Senior de Ciberseguridad en Sistemas Industriales de Control
– Ingeniero de Telecomunicaciones
– Master en Project Management
– CISSP
– 8 años de experiencia en sistemas industriales de control, 5 de ellos en
ciberseguridad

10/10/2012 2
© 2012 Industrial Defender
¿QUÉ SON LOS 20 CONTROLES CRÍTICOS?

• Documento consensuado
• Controles técnicos
• Basados en los ataques más comunes
• Objetivo:
– Priorización de esfuerzos
– Automatización de la seguridad
– Medición de la efectividad
• Modelo de referencia

“Offense must inform defense”

“El ataque debe informar a la defensa”
10/10/2012 3
© 2012 Industrial Defender
¿QUÉ SON LOS 20 CONTROLES CRÍTICOS?

“Offense must inform defense”

“El ataque debe informar a la defensa”
10/10/2012 4
© 2012 Industrial Defender
¿QUIÉN LOS HA CREADO, APOYA Y PROMUEVE?

• 100+ colaboradores externos

10/10/2012 5
© 2012 Industrial Defender
LOS 20 CONTROLES Y SU CLASIFICACIÓN

Control de seguridad crítico Mitigación

1. Inventario de Equipos Autorizados y No Autorizados Muy alta
2. Inventario de Software Autorizado y No Autorizado Muy alta
3. Configuración Segura para Equipos y Software en Servidores,
Muy alta
Estaciones de Trabajo y Portátiles
4. Evaluación Contínua y Remedio de Vulnerabilidades Muy alta
5. Defensa Contra Malware Alta/Media
6. Seguridad de Aplicaciones Software Alta
7. Control de Equipos Inalámbricos Alta
8. Habilidad de Recuperación de Datos Media
9. Evaluación de Conocimientos de Seguridad y Formación
Media
Apropiada
10. Configuraciones Seguras Para Equipos de Red Tales Como
Alta/Media
Firewalls, Routers y Switches

10/10/2012 6
© 2012 Industrial Defender
LOS 20 CONTROLES Y SU CLASIFICACIÓN

Control de seguridad crítico Mitigación

11. Limitación y Control de Puertos, Protocolos y Servicios de Red Alta/Media
12. Uso Controlado de Privilegios de Administración Alta/Media
13. Defensa de Fronteras de Red Alta/media
14. Mantenimiento, Monitorización y Análisis de Logs de Auditoria
Media
de Seguridad
15. Control de Acceso Basado en Need to Know Media
16. Control y Monitorización de Cuentas de Usuario Media
17. Prevención de Pérdida de Datos Media/Baja
18. Capacidad de Respuesta a Incidentes Media
19. Ingeniería de Red Segura Baja
20. Test de Penetración y Ejercicios de Red Team Baja

10/10/2012 7
© 2012 Industrial Defender
TIPOS DE CONTROLES

• 20 Controles Críticos – 180+ subcontroles

– Quick wins
– Improved visibility and attribution
– Hardened configuration and improved information
security hygiene
– Advanced

10/10/2012 8
© 2012 Industrial Defender
 LOS 20 CONTROLES APLICADOS A SISTEMAS
INDUSTRIALES – Entendiendo las diferencias
Gestión de Sistemas de Gesión de Sistemas IT
Automatización corporativos
Seguridad del proceso No amenazan la vida

Críticalidad Disponibilidad es importante

Enfoque en el tiempo real Orientado a transacciones

ABB, Siemens, GE, Honeywell,

IBM, SAP, Oracle, etc.
Emerson, etc.

Poca gente; muchos dispositivos Gente ~= Dispositivos

Sensores, Controladores, PCs y Servidores

Servidores
Modelo de servicios Web
Modelo de proceso de control por
interrogación
Dominador por MS Windows
Sistemas operativos embedidos
Varios software comerciales
instalador en cada PC
Dispositivos específicos

Protocolos industriales, algunos Protocolo principal HTTP/HTTPS

sobre TCP/IP - específicos de sobre TCP/IP - muy conocidos
sector y proveedor

Entornos de operación en duras Entorno oficinas y móbiles

condiciones
Jerga IT genérica
Jerga específica de sector
Regulaciones genéricas
Regulaciones específicas
10/10/2012 9
© 2012 Industrial Defender
LOS 20 CONTROLES APLICADOS A SISTEMAS
INDUSTRIALES – Entendiendo las diferencias
• Las prioridades cambian:
– Disponibilidad e Integridad por encima de
Confidencialidad
– Viabilidad para implementar los controles
– Diferencias en la arquitectura
– Falta de madurez de técnicas IT
• Investigación de defensa de sistemas de control
es limitada

10/10/2012 10
© 2012 Industrial Defender
Top 10 ataques – National Security Agency / SANS

Ataque Control
Escaneo continuo en busca de equipos desprotegidos 1
Escaneo continuo de software vulnerable y como explotarlo 2
Distribución de contenido hostil via internet 2
Uso de equipos infectados o comprometidos para identificar y
2
explotar otros equipos vulnerables
Abuso de configuraciones por defecto 3
Explotación de nuevas vulnerabilidades en equipos no actualizados
4
con los últimos parches
Escaneo remoto de servicios innecesarios 5
Explotación de accesos inalámbricos 6
Operación continua por falta de registro de logs y tareas de revisado 7
Uso de código malicioso para ganar acceso y mantener control de
8
equipos, captura de información sensible y difusión a otros sistemas

10/10/2012 11
© 2012 Industrial Defender
Top 10 ataques – Idaho National Laboratory

Ataque Control
Explotación de nuevas vulnerabilidades en equipos no actualizados
4
con los últimos parches
Vulnerabilidades HMI web 6
Uso de protocolos vulnerables de visualización remota 6
Control de Accesos inapropiado (autorización) 15
Autentificación inapropiada 15
Buffer Overflow en servicios SCADA 4
Manipulación e injección de mensajes de control y datos SCADA 6
Injección SQL 6
Uso de protocolos estándar con autenficación en texto claro 3
Transporte desprotegido de credenciales de apliación SCADA 3

10/10/2012 12
© 2012 Industrial Defender
...Y AHORA, ¿QUÉ?

• Tomar consciencia de la situación actual

• Propuesta de una serie de controles que nos van a guiar
en mejorar la seguridad de nuestros sistemas
– Evaluación de carencias (Gap assessment)
– Implementar “quick wins” en el próximo medio año
– Designar a una persona responsable de analizar como
implementar los controles más allá de “quick win”
– Detallar planes de cómo implementar “visibilidad y atribución” y
“configuración reforzada y higiene de seguridad de la información”
• Planificar a largo plazo controles avanzados

10/10/2012 13
© 2012 Industrial Defender
¡¡ÚLTIMA HORA!! Versión 4 –borrador– Octubre 2012

• Incluye clasificación de controles según el efecto en la

mitigación de los ataques (basado en el poster de SANS)
• Diagrama de relaciones de entidades del sistema

10/10/2012 14
© 2012 Industrial Defender
¡¡ÚLTIMA HORA!! Versión 4 –borrador– Octubre 2012

• Instrucciones paso a paso

10/10/2012 15
© 2012 Industrial Defender
CONCLUSIONES

• La fragmentación de estándares es un problema

• Los 20 controles críticos están apoyados y difundidos por pesos
pesados:
– DHS, INL, CPNI, GCHQ, SANS, etc.
• Acto de equilibrismo sobre todo en la situación económica actual:
– La amenaza es más real que nunca (stuxnet, flame, advanced persisted
threats, etc.)
– Priorización y efectividad
– Los 20 controles dan un marco de referencia
• Automatización de controles
• Concienciación y formación
La seguridad es un proceso continuo y dinámico
Ninguna solución puntual es infalible
Defense-in-depth
10/10/2012 16
© 2012 Industrial Defender
REFERENCIAS Y ENLACES

• CSIS Center for Strategic & International Studies: 20 Critical Security

Control v3.1
http://www.sans.org/critical-security-controls/
• Historia de los 20 controles críticos
http://www.sans.org/critical-security-controls/history.php
• Borrardor de la Versión 4 de los 20 Controles Críticos
http://www.sans.org/critical-security-controls/draft_v4.0.pdf
• Idaho National Laboratory: Vulnerability Analysis of Energy Delivery
Control Systems – September 2011
http://energy.gov/sites/prod/files/Vulnerability%20Analysis%20of%20E
nergy%20Delivery%20Control%20Systems.pdf
• Industrial Defender Download Centre
http://industrialdefender.force.com/resources

10/10/2012 17
© 2012 Industrial Defender
 Web
www.industrialdefender.com
Blog
blog.industrialdefender.com
Twitter
@i_defender

10/10/2012 18
© 2012 Industrial Defender