Professional Documents
Culture Documents
PRESENTACIN
FRANCISCO GOMEZ, Industrial Defender Inc.
Consultor Senior de Ciberseguridad en Sistemas Industriales de Control Ingeniero de Telecomunicaciones Master en Project Management CISSP 8 aos de experiencia en sistemas industriales de control, 5 de ellos en ciberseguridad
QU SON LOS 20 CONTROLES CRTICOS? Documento consensuado Controles tcnicos Basados en los ataques ms comunes Objetivo:
Priorizacin de esfuerzos Automatizacin de la seguridad Medicin de la efectividad
Modelo de referencia
19. Ingeniera de Red Segura 20. Test de Penetracin y Ejercicios de Red Team
TIPOS DE CONTROLES
Jerga IT genrica
Regulaciones genricas Regulaciones especficas
10/10/2012 9 2012 Industrial Defender
Uso de equipos infectados o comprometidos para identificar y explotar otros equipos vulnerables
Abuso de configuraciones por defecto Explotacin de nuevas vulnerabilidades en equipos no actualizados con los ltimos parches Escaneo remoto de servicios innecesarios Explotacin de accesos inalmbricos Operacin continua por falta de registro de logs y tareas de revisado Uso de cdigo malicioso para ganar acceso y mantener control de equipos, captura de informacin sensible y difusin a otros sistemas
6
7 8
6 6
15 15 4 6 6 3 3
Uso de protocolos estndar con autenficacin en texto claro Transporte desprotegido de credenciales de apliacin SCADA
...Y AHORA, QU? Tomar consciencia de la situacin actual Propuesta de una serie de controles que nos van a guiar en mejorar la seguridad de nuestros sistemas
Evaluacin de carencias (Gap assessment) Implementar quick wins en el prximo medio ao Designar a una persona responsable de analizar como implementar los controles ms all de quick win Detallar planes de cmo implementar visibilidad y atribucin y configuracin reforzada y higiene de seguridad de la informacin
LTIMA HORA!! Versin 4 borrador Octubre 2012 Incluye clasificacin de controles segn el efecto en la mitigacin de los ataques (basado en el poster de SANS) Diagrama de relaciones de entidades del sistema
CONCLUSIONES
La fragmentacin de estndares es un problema Los 20 controles crticos estn apoyados y difundidos por pesos pesados:
DHS, INL, CPNI, GCHQ, SANS, etc.
REFERENCIAS Y ENLACES
CSIS Center for Strategic & International Studies: 20 Critical Security Control v3.1 http://www.sans.org/critical-security-controls/ Historia de los 20 controles crticos http://www.sans.org/critical-security-controls/history.php Borrardor de la Versin 4 de los 20 Controles Crticos http://www.sans.org/critical-security-controls/draft_v4.0.pdf Idaho National Laboratory: Vulnerability Analysis of Energy Delivery Control Systems September 2011 http://energy.gov/sites/prod/files/Vulnerability%20Analysis%20of%20E nergy%20Delivery%20Control%20Systems.pdf Industrial Defender Download Centre http://industrialdefender.force.com/resources
Web
www.industrialdefender.com
Blog
blog.industrialdefender.com
Twitter
@i_defender