RESPUESTA A INCIDENTES EN SISTEMAS DE TRANSMISIÓN Y DISTRIBUCIÓN DE
ENERGÍA
Manuel Humberto Santander Peláez
Gerencia Tecnología de Información
Agenda / Temas
o Introducción
o Metodología Respuesta a Incidentes
o Conclusiones
Respuesta a incidentes en sistemas de Tranmisión y Distribución de Energía
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Sistema Interconectado Nacional
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Sistema Interconectado Nacional (2)
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Sistema Interconectado Nacional (3)
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Red SCADA Sistema Eléctrico
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Ataques disponibles para cualquier persona
• Exploits:
o http://www.packetstormsecurity.org
o http://www.securityfocus.org
o http://www.exploit-db.com
• Herramientas para análisis de vulnerabilidades
o http://www.nessus.org
o http://www.openvas.org
o http://www.metasploit.com
o Distribuciones para análisis de vulnerabilidades
o http://www.kali.org
o http://www.backbox.org
o http://www.matriux.com
Agenda / Temas
o Introducción
o Metodología respuesta a incidentes de seguridad
o Conclusiones
Equipo Respuesta a Incidentes de Seguridad Grupo EPM
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Manejo Incidentes Seguridad
Antes
Preparación para incidentes de seguridad e investigaciones
Durante
Respuesta a incidentes
Después
Investigación Forense
Informática
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Ciclo de vida respuesta a incidentes
PreparaciónDetección y
Análisis
Contención, Erradicación
y Recuperación
Actividades Post-
Incidente
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Preparación de incidentes
• Preparación: Involucra el establecimiento de las capacidades básicas
de respuesta a incidentes, las cuales corresponden a:
o Procedimientos de interacción claramente establecidos entre
los mundos de Tecnología de Información (TI) y Tecnología de
Operación (TO).
o Obtención de infraestructura tecnológica necesaria para la
protección de riesgos de la infraestructura tecnológica del
sistema SCADA
o Ejecución de pruebas de simulacro de incidentes periódicas
para afinar habilidades y proceso
• Constitución del equipo de respuesta a incidentes
o Único equipo de respuesta a incidentes para la organización
o Involucra miembros de los mundos de TI y TO
o Se rige bajo los lineamientos de operación del sistema de
Transmisión y Distribución de Energía
o Interfaz con la gerencia del negocio para la toma de decisiones
que afecten la disponibilidad y recuperación del sistema
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Preparación de incidentes (2)
• Los riesgos de seguridad deben estar adecuadamente minimizados
o No es procedente iniciar respuesta a incidentes de seguridad sin
tener todos los riesgos controlados adecuadamente
o Los recursos son escasos y es necesario enfocarlos a incidentes
reales y que se constituyan en riesgos que se asumen o que no
es posible controlar
o La infraestructura SCADA de transmisión y distribución de
energía posee numerosas vulnerabilidades por defecto y
realizar respuesta a incidentes sin los respectivos controles de
seguridad previos pierde efectividad, no agrega valor y no hace
la diferencia
• Obtención de Hardware y software necesario para respuesta a
incidentes
o Analizadores de protocolos
o DVD para copias de seguridad de registros encontrados
o Software para obtención de imágenes de seguridad (HMI)
o Software para transferencia de configuraciones de IED, RTU y
UAD
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Modelo de Seguridad SCADA Energía
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Detección y Análisis
• Involucra la recepción de una alerta o reporte de un hecho anormal
que se está dando actualmente, la cual debe ser confirmada antes
de convocar el equipo de respuesta a incidentes
• Se considera un incidente de seguridad cualquier evento que ocurra
y vaya en contra de las políticas de seguridad de la información de
la compañía
• Las políticas de seguridad deben incluir los ambientes de
infraestructura crítica
• Debe existir un Security Operation Center (SOC) que se encargue de
monitorear todos los eventos que provengan de los controles de
seguridad dispuestos en toda la infraestructura de Transmisión y
Distribución de Energía
• Existen varios tipos de controles de seguridad:
o Application Whitelisting: Se filtran todas aquellas aplicaciones
que no sean permitidas
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Detección y Análisis (2)
• Existen varios tipos de controles de seguridad:
o Network Intrusion Prevention System: Permite monitorear
ataques hacia los dispositivos o secuencia de comandos
anormales sobre el protocolo de control dirigidos hacia los
generadores y las subestaciones
o Secure Traffic Flow: Especialmente diseñado para aquella
porción del sistema SCADA que necesita reportar directamente
a la red corporativa de la compañía
o Integrity Control: Permite controlar cualquier tipo de
modificación no autorizada al sistema de archivos de los HMI y
por tanto preserva la configuración e integridad contra software
malicioso
o Firewall: Permite el control de acceso entre las distintas VLAN
de la red SCADA
• Una vez se determine que ocurrió un incidente de seguridad, debe
categorizarse, con el fin de determinar el siguiente curso de acción
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Detección y Análisis (3)
• Algunos dispositivos que funcionan bien asegurando sistemas SCADA:
o Tippingpoint: Permite monitorear protocolos como IEC101/104,
DNP3 y Modbus-TCP
o Checkpoint: Su módulo de application control permite realizar
filtrado puntual por reglas de protocolos y tomar decisiones al
respecto
o Mcafee Integrity Control: Permite bloquear modificaciones no
autorizadas a los programas, memoria o al sistema de archivos
de los dispositivos HMI e IFS.
o Tofino: Es una herramienta fácil de implementar para definir
zonas de seguridad en las subestaciones.
o Waterfall: Los sistemas de control necesitan realizar reportes
periódicos a sistemas de información corporativos. Este
dispositivo permite la comunicación en una sola vía, evitando
ingresos de atacantes a la red de control.
• Una vez se determine que ocurrió un incidente de seguridad, debe
categorizarse, con el fin de determinar el siguiente curso de acción
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Detección y Análisis (4)
• Las siguientes categorías aplican a la infraestructura crítica de
transmisión y distribución de energía:
o Denial of service: Los dispositivos SCADA se caracterizan por su
pobre manejo de tráfico en redes de datos, por lo que ataques
básicos al protocolo de comunicaciones puede causar
interrupción del servicio. También pueden ser causados por
ataques a dispositivos que no tengan implementados parches de
seguridad.
o Acceso no autorizado: Corresponde al acceso no autorizado a
los distintos componentes del sistema SCADA.
o Uso inapropiado: Dicho incidente se materializa cuando un
usuario debidamente autorizado efectúe extralimitaciones en
los privilegios sobre el sistema
o Suplantación: Este incidente se materializa al efectuar la
suplantación de un operador o de una entidad SCADA en la red,
con el fin de proceder a ejecutar comandos con impactos
negativos en el sistema.
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Contención, erradicación y recuperación
• Se llevan a cabo las tareas necesarias para evitar que el incidente
siga aumentando la cobertura de impacto:
o La disponibilidad en los servicios de transmisión y distribución
de energía es vital, por lo que debe procurarse la recuperación
inmediata del servicio
• La infraestructura SCADA siempre es redundante, por lo cual debe
iniciarse por realizar contención y erradicación de la porción inicial
del sistema que permita recuperar la gestión de la red de
transmisión y distribución de energía
o Se eliminan todos aquellos elementos que posibilitaron el
incidente de los equipos
o Toma de evidencia con imágenes de los dispositivos HMI
o Recolección de logs en los dispositivos IED, UAD y RTU
o Se procede a recuperar el servicio y la gestión de la red de
transmisión y distribución de energía
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Contención, erradicación y recuperación (2)
• Las pruebas de recuperación son altamente sensibles
o Los dispositivos SCADA pierden rápidamente sincronía, por lo
que debe disponerse de personal que vaya directamente a las
subestaciones a hacer reinicio de los dispositivos, en caso de ser
necesario
o La latencia debe ser menor a 12 milisegundos, con el fin de
asegurar la operación en tiempo real y la recuperación total del
sistema
o Al restaurar copias de seguridad de la configuración, debe
realizarse desde un repositorio confiable y que no haya sido
comprometido
o Los controles de seguridad presentes en el sistema SCADA deben
incluir las modificaciones de configuración y disposición
necesarias para evitar la materialización nuevamente del
incidente
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Actividades Post-Incidente
• Se procede a realizar un reporte del incidente de seguridad:
o Debe ser entendible por personas que no tengan un
conocimiento técnico
o Debe incluir el detalle completo de todos los hechos ocurridos y
la evidencia recolectada
• Se procede a socializar las lecciones aprendidas del incidente de
seguridad. Allí se responden a las siguientes preguntas:
• ¿Qué componentes fallaron para la materialización del
incidente de seguridad?
• ¿Qué plan de acción vamos a seguir para que dicho incidente de
seguridad no vuelva a ocurrir?
• ¿Es necesario evolucionar algún componente de nuestro modelo
de seguridad?
• ¿Qué competencias y capacidades necesitamos desarrollar para
evitar que el incidente de seguridad vuelva a materializarse?
Agenda / Temas
o Introducción
o Metodología respuesta a incidentes de seguridad
o Conclusiones
Equipo Respuesta a Incidentes de Seguridad Grupo EPM
Respuesta a incidentes en Sistemas de Transmisión y Distribución de Energía
Conclusiones
• Los sistemas SCADA pueden tener esquemas de seguridad que no
intervengan con la funcionalidad del sistema
o Deben tener visto bueno del proveedor, para propósitos de
garantía y soporte sobre la solución
o Cualquier evolución sobre el esquema de seguridad, debe ser
probado numerosas veces en laboratorio antes de ser puesto en
producción
• Los sistemas SCADA NO funcionan como la infraestructura común de
TI:
o Aunque muchos procesos establecidos en ITIL funcionan, las
herramientas y parametrizaciones no son las mismas y, por
tanto, no pueden ser administrados con los mismos
procedimientos y normatividad
o Los esquemas de recuperación de incidentes de seguridad para
sistemas SCADA deben involucrar el proceso de operación del
sistema de transmisión y distribución de energía.
Contacto
o Manuel Humberto Santander Peláez
Teléfono: +57-4 380 7837
http://manuel.santander.name
@manuelsantander
Top Related