Los 20 Controles de Seguridad Crticos

Francisco Gomez, Senior Security Consultant, Security Solutions, Industrial Defender

2012 Ciberseguridad 1er Congreso Espaol de Ciberseguridad Industrial

PRESENTACIN
FRANCISCO GOMEZ, Industrial Defender Inc.
Consultor Senior de Ciberseguridad en Sistemas Industriales de Control Ingeniero de Telecomunicaciones Master en Project Management CISSP 8 aos de experiencia en sistemas industriales de control, 5 de ellos en ciberseguridad

10/10/2012 2 2012 Industrial Defender

QU SON LOS 20 CONTROLES CRTICOS? Documento consensuado Controles tcnicos Basados en los ataques ms comunes Objetivo:
Priorizacin de esfuerzos Automatizacin de la seguridad Medicin de la efectividad

Modelo de referencia

Offense must inform defense El ataque debe informar a la defensa

10/10/2012 3 2012 Industrial Defender

QU SON LOS 20 CONTROLES CRTICOS?

Offense must inform defense El ataque debe informar a la defensa

10/10/2012 4 2012 Industrial Defender

QUIN LOS HA CREADO, APOYA Y PROMUEVE?

100+ colaboradores externos

10/10/2012 5 2012 Industrial Defender

LOS 20 CONTROLES Y SU CLASIFICACIN

Control de seguridad crtico 1. Inventario de Equipos Autorizados y No Autorizados 2. Inventario de Software Autorizado y No Autorizado 3. Configuracin Segura para Equipos y Software en Servidores, Estaciones de Trabajo y Porttiles 4. Evaluacin Contnua y Remedio de Vulnerabilidades 5. Defensa Contra Malware 6. Seguridad de Aplicaciones Software 7. Control de Equipos Inalmbricos 8. Habilidad de Recuperacin de Datos Mitigacin Muy alta Muy alta Muy alta Muy alta Alta/Media Alta Alta Media Media Alta/Media

9. Evaluacin de Conocimientos de Seguridad y Formacin Apropiada

10. Configuraciones Seguras Para Equipos de Red Tales Como Firewalls, Routers y Switches

10/10/2012 6 2012 Industrial Defender

LOS 20 CONTROLES Y SU CLASIFICACIN

Control de seguridad crtico 11. Limitacin y Control de Puertos, Protocolos y Servicios de Red 12. Uso Controlado de Privilegios de Administracin 13. Defensa de Fronteras de Red Mitigacin Alta/Media Alta/Media Alta/media Media Media Media Media/Baja Media Baja Baja

14. Mantenimiento, Monitorizacin y Anlisis de Logs de Auditoria de Seguridad

15. Control de Acceso Basado en Need to Know 16. Control y Monitorizacin de Cuentas de Usuario 17. Prevencin de Prdida de Datos 18. Capacidad de Respuesta a Incidentes

19. Ingeniera de Red Segura 20. Test de Penetracin y Ejercicios de Red Team

10/10/2012 7 2012 Industrial Defender

TIPOS DE CONTROLES

20 Controles Crticos 180+ subcontroles

Quick wins Improved visibility and attribution Hardened configuration and improved information security hygiene Advanced

10/10/2012 8 2012 Industrial Defender

LOS 20 CONTROLES APLICADOS A SISTEMAS INDUSTRIALES Entendiendo las diferencias

Gestin de Sistemas de Automatizacin
Seguridad del proceso Crticalidad Enfoque en el tiempo real ABB, Siemens, GE, Honeywell, Emerson, etc. Poca gente; muchos dispositivos

Gesin de Sistemas IT corporativos

No amenazan la vida
Disponibilidad es importante Orientado a transacciones

IBM, SAP, Oracle, etc.

Gente ~= Dispositivos PCs y Servidores Modelo de servicios Web Dominador por MS Windows Varios software comerciales instalador en cada PC Protocolo principal HTTP/HTTPS sobre TCP/IP - muy conocidos

Sensores, Controladores, Servidores

Modelo de proceso de control por interrogacin Sistemas operativos embedidos Dispositivos especficos Protocolos industriales, algunos sobre TCP/IP - especficos de sector y proveedor Entornos de operacin en duras condiciones Jerga especfica de sector

Entorno oficinas y mbiles

Jerga IT genrica
Regulaciones genricas Regulaciones especficas
10/10/2012 9 2012 Industrial Defender

LOS 20 CONTROLES APLICADOS A SISTEMAS INDUSTRIALES Entendiendo las diferencias

Las prioridades cambian:

Disponibilidad e Integridad por encima de Confidencialidad Viabilidad para implementar los controles Diferencias en la arquitectura Falta de madurez de tcnicas IT

Investigacin de defensa de sistemas de control es limitada

10/10/2012 10 2012 Industrial Defender

Top 10 ataques National Security Agency / SANS

Ataque Escaneo continuo en busca de equipos desprotegidos Escaneo continuo de software vulnerable y como explotarlo Distribucin de contenido hostil via internet Control 1 2 2 2 3 4 5

Uso de equipos infectados o comprometidos para identificar y explotar otros equipos vulnerables
Abuso de configuraciones por defecto Explotacin de nuevas vulnerabilidades en equipos no actualizados con los ltimos parches Escaneo remoto de servicios innecesarios Explotacin de accesos inalmbricos Operacin continua por falta de registro de logs y tareas de revisado Uso de cdigo malicioso para ganar acceso y mantener control de equipos, captura de informacin sensible y difusin a otros sistemas

6
7 8

10/10/2012 11 2012 Industrial Defender

Top 10 ataques Idaho National Laboratory

Ataque Explotacin de nuevas vulnerabilidades en equipos no actualizados con los ltimos parches Vulnerabilidades HMI web Uso de protocolos vulnerables de visualizacin remota Control de Accesos inapropiado (autorizacin) Autentificacin inapropiada Buffer Overflow en servicios SCADA Manipulacin e injeccin de mensajes de control y datos SCADA Injeccin SQL Control 4

6 6
15 15 4 6 6 3 3

Uso de protocolos estndar con autenficacin en texto claro Transporte desprotegido de credenciales de apliacin SCADA

10/10/2012 12 2012 Industrial Defender

...Y AHORA, QU? Tomar consciencia de la situacin actual Propuesta de una serie de controles que nos van a guiar en mejorar la seguridad de nuestros sistemas
Evaluacin de carencias (Gap assessment) Implementar quick wins en el prximo medio ao Designar a una persona responsable de analizar como implementar los controles ms all de quick win Detallar planes de cmo implementar visibilidad y atribucin y configuracin reforzada y higiene de seguridad de la informacin

Planificar a largo plazo controles avanzados

10/10/2012 13 2012 Industrial Defender

LTIMA HORA!! Versin 4 borrador Octubre 2012 Incluye clasificacin de controles segn el efecto en la mitigacin de los ataques (basado en el poster de SANS) Diagrama de relaciones de entidades del sistema

10/10/2012 14 2012 Industrial Defender

LTIMA HORA!! Versin 4 borrador Octubre 2012 Instrucciones paso a paso

10/10/2012 15 2012 Industrial Defender

CONCLUSIONES
La fragmentacin de estndares es un problema Los 20 controles crticos estn apoyados y difundidos por pesos pesados:
DHS, INL, CPNI, GCHQ, SANS, etc.

Acto de equilibrismo sobre todo en la situacin econmica actual:

La amenaza es ms real que nunca (stuxnet, flame, advanced persisted threats, etc.) Priorizacin y efectividad Los 20 controles dan un marco de referencia

Automatizacin de controles Concienciacin y formacin

La seguridad es un proceso continuo y dinmico Ninguna solucin puntual es infalible Defense-in-depth

10/10/2012 16 2012 Industrial Defender

REFERENCIAS Y ENLACES
CSIS Center for Strategic & International Studies: 20 Critical Security Control v3.1 http://www.sans.org/critical-security-controls/ Historia de los 20 controles crticos http://www.sans.org/critical-security-controls/history.php Borrardor de la Versin 4 de los 20 Controles Crticos http://www.sans.org/critical-security-controls/draft_v4.0.pdf Idaho National Laboratory: Vulnerability Analysis of Energy Delivery Control Systems September 2011 http://energy.gov/sites/prod/files/Vulnerability%20Analysis%20of%20E nergy%20Delivery%20Control%20Systems.pdf Industrial Defender Download Centre http://industrialdefender.force.com/resources

10/10/2012 17 2012 Industrial Defender

Web

www.industrialdefender.com
Blog

blog.industrialdefender.com
Twitter

@i_defender

10/10/2012 18 2012 Industrial Defender