Protección de Infraestructuras Críticas

Monitorización de la ciberseguridad en Centros de Datos de

Operadores Críticos

Por Enrique Martín García

Telvent Global Services

C/ Valgrande, 6 28018 Alcobendas

Madrid – Spain

enrique.martingarcia@telvent.com

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

Abril de 2015 2

Contenidos

Resumen ............................................................ 2

Introducción ....................................................... 2

Dimensiones del Data Center .............................. 3

Edificio ................................................................ 3 Centro de producción .......................................... 3 Banco de datos .................................................... 3 Arquitectura de sistemas del Data Center ........... 4

Gestión del Data Center ...................................... 4

Ciberseguridad en DCIM .................................... 4 Sistemas de control en DCIM ............................. 5

Sistemas de Control en Data Centers ................... 5

Distributed Control System ................................. 5 Supervisory Control And Data Acquisition ........ 5 Protocolos de red de control ................................ 6

Monitorización de la Ciberseguridad ................... 6

Matriz de conexión. ............................................. 7

Matriz operacional .............................................. 8

Detección de anomalías en la red de control ....... 8

Conclusiones..................................................... 11

Referencias ....................................................... 11

Resumen

Desde los centros de datos se proporcionan una serie

de servicios esenciales para la sociedad. Desde el

alojamiento de las infraestructuras de

comunicaciones de voz y datos, hasta la información

de negocio y operativa de distintas organizaciones

públicas y privadas.

Todos estos servicios se sustentan sobre

infraestructuras complejas que se gestionan mediante

tecnologías de información (IT) y tecnologías de

control industrial y Operacional (OT).

En este documento presentaremos una propuesta

que permita gestionar de manera unificada los

eventos de Ciberseguridad detectados en las redes de

tecnologías de información y en las redes de control

industrial (SCADA) existentes en estas

infraestructuras críticas para impedir que ataques

originados en zonas de menor nivel de protección

puedan prosperar y permitir el acceso a activos de

información de otras zonas.

Introducción

En Enero de 2009 se hizo efectiva la Directiva

2008/114/CE del consejo de la Unión Europea que

establecía la necesidad de identificar las

infraestructuras críticas Europas con el objeto de

diseñar las estrategias de protección de las mismas.

En esta Directiva se describía la necesidad de

identificar las infraestructuras de los sectores de

Energía y transporte, dejando abierta la posibilidad

de que todos los estados miembros identificaran

otros sectores críticos adicionales.

A fecha de Diciembre de 2014 la Agencia Europea

para la Seguridad de las Redes y la Información

(ENISA), publicó una guía[1]

para la identificación

de los activos críticos del sector de las Tecnologías

de la Información y las comunicaciones (ICT)

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

3

En esta guía se repasaban los sectores críticos ya

identificados por los países miembros de la Unión

y que se pueden ver en la siguiente tabla.

Como puede apreciarse, y con la excepción de

Italia y Grecia, todos los países miembros de la

Unión identificaron el sector ICT como sector

crítico dada la dependencia que otros sectores

tienen con él.

La prestación de estos servicios esenciales por

parte de los operadores críticos se realiza desde

Data Centers que se pueden estudiar según distintas

dimensiones.

Dimensiones del Data Center

Edificio

Cualquier Data Center se encuentra en una

edificación que cuenta con distintos sistemas de

control y automatismo que gestionan operaciones de

soporte básicas tales como:

Seguridad física

Video vigilancia

Control de acceso

Aire acondicionado

Calefacción

Ascensores

Para controlar estos servicios básicos se utilizan

sistemas de control industrial clásicos en la gestión

de edificios (Building Management System o BMS)

basados en arquitecturas distribuidas localmente

(Distributed Control System o DCS) o en sistemas

SCADA que describiremos más adelante.

Centro de producción

El nivel de disponibilidad que precisan los servicios

esenciales alojados en Data Centers Críticos es

equiparable al necesario en otros sectores críticos.

Como mínimo se contemplan valores de

disponibilidad que oscilan entre el 99,982% (Tier

III) y el 99,999% (Tier IV). En el primer caso, esto

supone una interrupción máxima de los servicios de

1,6 horas al año, y en el segundo de 0,8 horas de

interrupción anuales.

Estos servicios básicos de soporte en el Data Center

se articulan alrededor del suministro de energía

eléctrica a los equipos alojados y en la disipación del

calor que los mismos producen con su

funcionamiento (Enfriamiento).

Banco de datos

En la provisión de los servicios esenciales por parte

de los sistemas de información alojados en los Data

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

4

Centers críticos, se utilizan o pueden utilizar

datos clasificados o sujetos a regulaciones

concretas. Por ejemplo, en el caso de la

utilización de datos de carácter personal estarán

sometidos a la LOPD y en caso de utilizar datos

de información bancaria estarán sometidos a la

normativa PCI-DSS.

En cualquier caso la existencia de este tipo de

datos en el interior de los Data Centers, hace

necesaria la adopción de medidas de seguridad

lógica adecuadas.

Arquitectura de sistemas del Data Center

A la vista de lo expuesto anteriormente y

siguiendo el modelo propuesto por la norma ISA

95, los niveles definidos para Data Centers son

los siguientes:

En los niveles 3 y 4 predominan las tecnologías

de la información clásicas (IT), mientras que en

los niveles 0, 1 y 2 predominan las Tecnologías

Operacionales (OT). Este hecho hace que la

estrategia de Ciberseguridad a adoptar en estos

entornos sea particular y deba contemplar

soluciones tecnológicas híbridas que den soporte

a entornos heterogéneos.

Gestión del Data Center

La consideración de las dimensiones vistas

anteriormente y otras de índole operativo, han

determinado la proliferación de aplicaciones que

intentan proporcionar un único punto de gestión

de todas las infraestructuras que componen el Data

Center. Estas aplicaciones son conocidas como

DCIM: Data Center Infrastructure Management.

Sobre este tipo de aplicaciones cabe hacer un par de

reflexiones antes de continuar:

Ciberseguridad en DCIM

El cuadrante mágico elaborado por Gartner [2]

sobre

las soluciones tipo DCIM más extendidas en el

mercado es el siguiente:

Para la elaboración de este cuadrante mágico, no se

contempló la Ciberseguridad cómo uno de los

factores a evaluar para la colocación de la solución

dentro de alguna de las categorías.

Otros estudios acerca de distintas soluciones DCIM,

elaborados por IDC[3]

, tampoco citan este atributo

como parámetro a tener en cuanta durante su

evaluación.

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

5

Sistemas de control en DCIM

El Grupo 451 ha elaborado un modelo que intenta

reflejar las capacidades básicas que debe soportar

un DCIM.

Tal y como se aprecia en este modelo, muchas de

las funcionalidades a implantar en un DCIM

(recuadradas en color rojo), están directamente

desarrolladas por algún Sistema de Control

Industrial, por lo que describiremos este tipo de

sistemas utilizados en los Data Centers en el

siguiente punto.

Sistemas de Control en Data Centers

Tal y como vimos anteriormente, los Data Center

pueden utilizar sistemas de control industrial

clásicos en la gestión de edificios (Building

Management System o BMS) basados en

arquitecturas distribuidas localmente (Distributed

Control System o DCS) o en sistemas SCADA si

es necesario supervisar o controlar dispositivos de

campo (sensores o actuadores) en localizaciones

remotas (Data Center de respaldo).

Ambas arquitecturas de control presentan

características comunes que les convierten en

elementos de difícil defensa ante las modernas

amenazas que pueden impactar en estas

infraestructuras críticas:

Escasos mecanismos de seguridad en los

elementos de control directo (Nivel 1)

Dificultad en la actualización de los

elementos de control debido a la

necesidad de mantener una muy alta

disponibilidad (imposibilidad de paradas)

Vidas útiles esperadas superiores a los 20

años.

Imposibilidad de instalar y ejecutar

soluciones Software de protección frente a

amenazas. En los dispositivos de control

Protocolos de red inseguros por diseño.

A pesar de todas estas características comunes

existen también ciertas diferencias entre ambas

arquitecturas y que vamos a exponer brevemente:

Distributed Control System

Un esquema típico de uno de estos sistemas es el

siguiente:

Sus características más importantes son su localidad

(cercanía) a los dispositivos de campo que gestionan,

su menor número de subsistemas y su orientación al

proceso que controlan.

Supervisory Control And Data Acquisition

Los sistemas de Supervisión, Control y adquisición

de datos se denominan SCADA por sus siglas en

inglés (Supervisory Control And Data Acquisition) y

se caracterizan por su posibilidad de integrar

arquitecturas geográficamente dispersas, su

capacidad de recibir y almacenar una gran cantidad

de eventos y su arquitectura modular que puede

contemplar un mayor número de Susbsitemas. (HMI,

Historian, Engineering Workstation, Front End y

Servidores SCADA).

La arquitectura de uno de estos sistemas se puede ver

en la siguiente figura:

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

6

Protocolos de red de control

Ambos tipos de sistemas, utilizan en su

comunicación con los dispositivos que controlan

y supervisan, una serie de protocolos de red de

control que datan de hace más de dos décadas y

que no se diseñaron con ningún requisito de

seguridad lógica. Entre estos protocolos de red,

cabe destacar los siguientes:

BACNet

Lonworks

Profinet

OPC-DA

EthernetIP

Modbus

Adicionalmente se utilizan otros protocolos

basados en conexión serie como son RS-485 y

Profibus.

Como hemos apuntado anteriormente, ninguno de

estos protocolos soporta funcionalidades de

seguridad como son la encriptación, la

autenticación origen-destino u otras habituales en

protocolos IT más modernos.

La tendencia actual es la implantación de

sistemas SCADA y la convergencia de los

protocolos hacia Modbus/TCP y OPC-DA.

Monitorización de la Ciberseguridad

Para poder hacer frente a las peculiaridades de los

distintos entornos existentes en los Data Centers,

vamos a describir el modelo utilizado en el diseño de

la solución de monitorización implantada en nuestros

Data Centers críticos.

Según el modelo planteado por la norma ISA 95, se

pueden detectar cuatro grandes superficies de ataque

en el Data Center, y que se representan en el

diagrama inferior:

1. Accesos externos a la red IT

2. Accesos Red IT – Red OT

3. Accesos externos a la red OT

4. Accesos Red OT – Red IT

Mientras que las superficies de ataque 1 y 2 suelen

estar contempladas en los análisis de seguridad de

los responsables IT de los Data Centers, las

superficies 3 y 4 a veces no están ni siquiera

identificadas, debido a separaciones funcionales

dentro de la organización que los gestiona.

Estas dos últimas superficies de ataque son más

peligrosas debido a la dificultad de poner en marcha

medidas de seguridad en algunos dispositivos de

control por las razones enumeradas anteriormente, y

por el desconocimiento de las posibles

configuraciones y mecanismos implantados en la red

de control por parte de los responsables de seguridad

de la red IT.

Para paliar esta problemática, es necesario realizar

algunos cambios organizativos para lograr que

ambas organizaciones (IT y OT) compartan una

sensibilidad y objetivos comunes hacia la

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

7

ciberseguridad de la organización, y además

disponer de soluciones técnicas que ayuden a

contrarrestar las limitaciones tecnológicas de

algunos elementos de la red OT.

Las soluciones que plantean un menor impacto

sobre los elementos de la red OT y que además

son independientes de los dispositivos

desplegados sobre la misma, son los detectores de

intrusión de Red [4]

.

Obviamente deben soportar los protocolos

utilizados en estas redes y ser capaces de alertar

ante cualquier evento que pueda afectar al

correcto funcionamiento de la misma en el mismo

modo que los sistemas de detección de intrusión

desplegados en la red IT.

La detección de eventos anómalos en las redes de

control es más sencilla dado que dichas redes

tienen las siguientes propiedades:

Menores en número de dispositivos y

servicios.

No debieran conectarse directamente a

Internet.

Bien definidas y diseñadas

Ejecutan operaciones repetitivas.

En estas condiciones es fácil ver que construir un

patrón de comportamiento normal es posible,

permitiendo de esta manera que cualquier evento

fuera de este modelo pueda ser rápidamente

detectado y comunicado.

Para configurar nuestro sistema de

monitorización de control basado en patrones de

comportamiento, debiéramos pensar en tres

principios fundamentales:

Qué va a donde y desde donde (Matriz de

conexión)

Quién está haciendo qué (Matriz operacional)

Si tenemos un claro conocimiento de estos dos

puntos, podremos tener un sistema de monitorización

basado en patrones que pueda evitar falsos positivos

y proporcionar el mejor rendimiento.

Este patrón de comportamiento va a proteger

nuestra red de control de cualquier operación errónea

o intento de interrupción malicioso.

Veamos esto en los siguientes puntos:

Matriz de conexión.

Cuando hablamos de Redes de control TCP/IP

tenemos que tener en cuenta que la tupla (local ip,

local port, remote ip, remote port) es lo que define

cada conexión TCP/UDP. Cada dirección IP del

servidor normalmente puede utilizar hasta 65.536

puertos.

Dentro de la pila TCP, estos cuatro campos son

utilizados como claves compuestas para asociar

paquetes a conexiones.

Los puertos son números de 16 bits por lo que el

número máximo de conexiones que cualquier cliente

podrá tener a cualquier puerto host es de 65.536 (0-

65.535).

Podemos calcular el máximo número de conexiones

externas en una red TCP, usando la siguiente

fórmula:

(No consideramos conexiones dentro del mismo

servidor).

Estos valores pueden crecer exponencialmente en

función del número de servidores interconectados y

del número de puertos abiertos por cada servidor).

Cuando estudiamos el número de puertos abiertos en

una red de control industrial bien configurada,

encontramos los siguientes valores:

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

8

Nodo de la red de control industrial

Puertos abiertos

Suma de los otros Puertos

Conexiones de red potenciales

Vijeo Citect Scada Server 16 101 1616

Vijeo Citect Client 10 107 1070

Network Switch 6 111 666

Unity Pro Workstation 2 115 230

Radius & Syslog server 16 101 1616

Historian Server 16 101 1616

Historian Client 9 108 972

WSUS, NTP & SNMP Server 16 101 1616

Firewall 6 111 666

PLC Modicom M340 8 109 872

PLC Modicom Quantum 12 105 1260

Total 12200

Este valor perfectamente acotado en el número de

conexiones de red hace posible pensar en la

generación de un patrón de comportamiento bien

definido y manejable.

Este es otro principio básico de administración de

sistemas y seguridad: Cada sistema de control o

desplegado en un entorno crítico tiene que estar

bastionado al máximo para reducir la cantidad de

recursos necesarios en su gestión y minimizar los

riesgos de intrusiones remotas

Por otro lado, la existencia de tablas de

conexiones correctamente documentadas, facilita

el mantenimiento de la red y mejora la resistencia

en caso de problemas al ser más fácil la detección

de cualquier error en la configuración o

despliegue.

Matriz operacional

Aunque muchos fabricantes de sistemas de

control soportan la existencia de diferentes roles

para el entorno operacional, es un hecho que los

grupos de trabajo muchas veces usan el mismo

usuario y clave para ejecutar su trabajo, no

utilizando algunas veces estos roles de forma

adecuada debido a la facilidad o al temor de no ser

capaces de entrar en el sistema en situaciones

críticas.

El uso anónimo de los roles operaciones es difícil de

detectar y por tanto y podría hacer imposible detectar

un fallo humano o una intervención maliciosa.

Más tarde mostraremos como la tecnología de

monitorización basada en patrones de

comportamiento puede utilizarse para detectar

comandos no permitidos ejecutados por usuarios

legítimos.

Una vez establecidos los principios y metodología de

monitorización de nuestra red de control, vamos a

presentar nuestras solución y como se comporta en

cada uno de estos aspectos.

Detección de anomalías en la red de control

La solución utilizada en nuestros Data Centers está

basada en una tecnología revolucionaria que

construye el patrón de comportamiento de la red de

manera automática y desatendida.

El patrón de comportamiento construido por la

solución, define los modelos de conexión,

protocolos, tipos de mensaje, campos de mensaje y

valores de los campos que son permitidos en nuestra

red (Lista Blanca). De manera que cuando una

comunicación difiere del patrón, el sistema de

sensores lo reporta indicando la fuente exacta del

problema.

Esta tecnología es conocida como inspección

profunda de comportamiento de protocolo (Deep

Protocol Behavior Inspection o DPBI)

Toda esta tecnología se implanta en un sensor

controlado desde un centro de gestión instalado

como un servidor físico o virtual llamado SCAB.

(Security Control Awareness Box)

Después de conectar los sensores del SCAB a la red,

podemos empezar la fase de aprendizaje. En esta

fase, SCAB construye de manera autónoma nuestro

patrón de comportamiento de red.

El flujo que sigue es mostrado a continuación:

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

9

Podemos personalizar y mejorar el patrón de

comportamiento si es necesario con solo añadir,

modificar o borrar conexiones utilizando un

editor de textos.

El sensor es capaz de reconocer e inspeccionar

distintos protocolos:

Protocolos

Deep Protocol

Behavior

Inspector

Perfil de

Conexión

MMS

Modbus/TCP

OPC-DA

IEC 101/104

DNP3

IEC 61850

ICCP TASE.2

CSLib (ABB)

DMS (ABB)

S7 (Siemens)

Protocolos

Deep Protocol

Behavior

Inspector

Perfil de

Conexión

Ethernet/IP

SMB/CIFS

RPC/DCOM

PVSS

LDAP

NetBIOS

HTTP

FTP

SSH

SSL

SMTP

IMAP

POP3

VNC/RFB

RTSP

AFP

Después de la finalización de la fase de aprendizaje,

tenemos el perfil de la comunicación local de la red

de control.

En este momento SCAB, conoce cada tupla

permitida en la red de control.

Src IP,Src Port -> Dest. IP,Dest Port

Esto es algo difícil de conseguir en una Red Local

multipropósito sin tener varios cambios (Alertas) por

hora.

Desde este instante, podemos ser alertados por:

Nuevos dispositivos en la red

Dispositivos intentando conectarse a nuestro

modelo

Dispositivos recibiendo información de fuera

de nuestro modelo.

Adicionalmente, tendremos perfectamente

delimitados los protocolos, mensajes dentro del

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

10

protocolo y valores intercambiados por nuestros

sistemas de control durante su funcionamiento

habitual:

En este ejemplo concreto podemos ver el tráfico

IEC 104 intercambiado entre los servidores

SCADA y los Frontales de comunicación.

Si se intenta utilizar algún mensaje del protocolo

fuera del patrón o se alteran los valores de

mensajes dentro del patrón, se levantaría una

alerta.

Todas las alertas detectadas en la red de control

del Data Center se integran en la consola común a

los sistemas IT (DCIM y otros) a través de la

siguiente arquitectura:

En nuestro caso, cualquier anomalía de los

protocolos de control de las plataformas SCADA

aparecerían en el SIEM operado desde el Global

Support and Operation Center (GSOC).

La respuesta ante eventos e incidentes de seguridad

de la red IT y de la red OT de todos nuestros Data

Centers se gestionan de la misma manera y de

acuerdo a SLAs análogos.

Monitorización de la ciberseguridad en Centros de Datos de Operadores Críticos

11

Conclusiones

Parece claro que Organizaciones críticas han

entendido la necesidad de monitorizar de manera

continua su red operacional para poder detectar

cualquier anomalía que puede comprometer la

producción y los objetivos de negocio.

Aparte de desplegar los procedimientos

apropiados de seguridad en nuestros Data

Centers, nuestra metodología establece dos

fuentes de información para conseguir la deseada

seguridad operacional y niveles de disponibilidad:

Matriz de conexión

Matriz de actividad

Con esta información es posible conocer el patrón

de comportamiento de nuestra red de control en el

Data Center y detectar cualquier desviación del

mismo, siendo posible generar las alertas

tempranas oportunas.

Para mantener y gestionar toda esta información,

proponemos la solución SCAB, como una

herramienta útil en las redes SCADA para

construir este patrón de comportamiento y

comunicar cualquier problema causado por

errores humanos o por intentos malintencionados

que puede comprometer a nuestras redes, de una

manera integrada a los equipos técnicos de

seguridad.

La metodología y solución de sensores continua

propuesta, permite examinar la configuración

actual de nuestra red y de sus comunicaciones

(dispositivos, aplicaciones, protocolos,

tipos/valores de mensajes), analizar la

operatividad de la red, detectar comunicaciones o

cambios en la configuración inesperados y el

despliegue de nuevos dispositivos de campo,

haciendo más fácil mejorar la resiliencia de

nuestros Data Center críticos.

Referencias

[1] “Methodologies for the identification of

Critical Information Infrastructure assets and

services”.

https://www.enisa.europa.eu/activities/Resilience-

and-CIIP/critical-infrastructure-and-

services/Methodologies-for-identification-of-ciis

[2] “Magic Quadrant for Data Center

Infrastructure Management Tools”.

https://www.gartner.com/doc/2852018/magic-

quadrant-data-center-infrastructure

[3] “IDC MarketScape: Worldw ide Datacenter

Infrastructure Management 2013 Vendor Analysis”

http://assets.fiercemarkets.com/public/sites/energy/re

ports/idcdatareport.pdf

[4] “ICS-CERT Virtual Training Portal”

https://ics-cert-training.inl.gov/