Caso de Estudio - Entornos Ubicuos
November 13, 2023 | Author: Anonymous | Category: N/A
Short Description
Download Caso de Estudio - Entornos Ubicuos...
Description
Caso práctico: grupo empresarial “Aguas del Lago Azul”
Máster en Seguridad Informática UPC-VIU Curso académico 2021 - 2022
Alumno/a: Arias Armijos, Josselyn Medina Chávez, Marianela Mera Mero, Angi Palau Sánchez, Luisfernando Zambrano Zambrano, José
Asignatura: Entornos Ubicuos (scada, móviles) e IICC Fecha de entrega: 17/01/2022
INDICE DE CONTENIDO
1.- INTRODUCCIÓN ........................................................................................................ 3 2.- OBJETIVOS ................................................................................................................ 4 3.- PLANIFICACIÓN ......................................................................................................... 4 4.- DESARROLLO ............................................................................................................ 6 5.- CONCLUSIONES...................................................................................................... 18 6.- BIBLIOGRAFÍA ......................................................................................................... 19
INDICE DE TABLAS Tabla 1. Actividades a realizar .......................................................................... 5 Tabla 2. Activos de la organización ................................................................... 7 Tabla 3. Riesgos asociados a los activos .......................................................... 9 Tabla 4. Controles de seguridad aplicables ..................................................... 12 Tabla 5. Políticas ............................................................................................ 17
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
1.- INTRODUCCIÓN Sin lugar a dudas las tecnologías de la información y las comunicaciones (TIC) hoy soportan la gran mayoría de los servicios que se prestan a nivel mundial. Persisten muy pocos servicios esenciales para el ser humano cuyo correcto funcionamiento no dependa de las tecnologías de la información. La digitalización de los procesos industriales incorpora grandes oportunidades, quizás algunas muy necesarias para la humanidad. El riesgo que se debe gestionar está asociado a la probabilidad de que nuestros activos sufran una indisponibilidad o pérdida de integridad para prestar servicio o daños (impacto). La visibilidad o superficie de exposición, que, en las redes de entornos industriales, en adelante OT (Operation Technology), se ha visto incrementada en los últimos años y que, por tanto, aumenta la probabilidad de un incidente de ciberseguridad. En la actualidad, los sistemas OT padecen de los mismos males tradicionales que los sistemas IT (Information Technology) debido a la convergencia y la conectividad que estamos viviendo. [1] El grupo empresarial “Aguas del Lago Azul” en su nueva planta embotelladora de agua mineral en Castromurdielo, cuenta con las últimas tecnologías en su planta industrial, con multitud de procesos automatizados permitiéndole una capacidad de 44.000 botellas por hora para el formato de 2L. En sus oficinas trabajan más de 350 personas, y aproximadamente 150 en la planta industrial en turnos rotativos cubriendo un horario de 24x7x365. La planta embotelladora está controlada por un conjunto de controladores lógicos programables, de diferentes proveedores, para recoger datos procedentes de los instrumentos y sensores de campo instalados. Se dispone de un PLC por cada una de las líneas de producción, interconectados en una red industrial. Para integrar todo el proceso de embotellado en un sistema SCADA único y local de supervisión para todas las líneas. Además de un sistema integrado de seguridad (SIS), para asegurar que el proceso se lleva a condiciones seguras.
3
Su parque informático está compuesto en su totalidad por equipos portátiles. Muchos de los trabajadores para poder continuar su trabajo se llevan el dispositivo a casa y lo conectan a su red. Así, también se ha detectado que en ocasiones algunos de ellos acceden al correo corporativo desde sus dispositivos personales. La dirección, para poder dar facilidades a sus empleados, les permite traer su propio dispositivo móvil y/o portátil para conectarse al correo electrónico y a la red empresarial. En la comunicación la compañía dispone de una red inalámbrica (Wifi) para dar servicio a sus empleados y visitantes, una conexión VPN para enlazar con el servicio Cloud de Microsoft. No cuentan en la actualidad con un Proxy de navegación ni VPN para que los empleados puedan conectarse. Por otra parte, debido a su crecimiento se tiene la mayoría de sus servicios en Cloud (Microsoft Azure): sistema de correo electrónico Office 365, Microsoft One Drive para almacenar e intercambiar información entre los empleados y en general toda la suite M365, para la gestión de los usuarios y la identidad la empresa dispone del servicio de Active Directory en on-premise conectado con el cloud de Microsoft Azure.
2.- OBJETIVOS
Identificar los activos de los que dispone la organización.
Reconocer los riesgos derivados a las nuevas tendencias de hiperconectividad en las redes empresariales.
Definir políticas, estrategias y controles de seguridad para la mitigación de los riesgos.
3.- PLANIFICACIÓN En base a la información que se recoja en la fase de desarrollo se definirán políticas, estrategias y controles necesarios para alcanzar el nivel de seguridad que la empresa requiere, el análisis incluye diferentes ámbitos como Recursos Humanos, Procesos Informáticos e Industriales. 3.1.
Lugar
El estudio de los riesgos, políticas, estrategias y controles de seguridad se realizará en las plantas y oficinas de la compañía. Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
3.2.
Actividades
Fecha de Inicio: 12/12/2022 Fecha de fin: 16/02/2023 Actividad
Duración Inicio
Fin
Identificación de activos
7 días
12/12/2022 19/12/2022
Análisis de riesgos 6 días
20/12/2022 26/12/2022
Definición de controles
6 días
27/12/2022 2/1/2023
6 días
3/1/2023
9/1/2023
6 días
10/1/2023
16/1/2023
Definición de políticas Definición de estrategias
Tabla 1. Actividades a realizar
3.3.
Equipo de trabajo
CISO: Ing. Luisfernando Palau. CSO: Ing. Marianela Medina. CEO: Ing. Josselyn Arias. CIO: Ing. Angi Mera. CTO: Ing. José Zambrano.
5
Diciembre
Enero
4.- DESARROLLO
Integridad
Confidencialidad
Nivel de pirámide de
Disponibilidad
Inventario de activos, categorización según los niveles de la pirámide de Purdue y valoración cualitativa en base a criterios de seguridad
Instrumentos de campo
10
9
8
Red Industrial
10
10
10
Fuentes de agua natural
9
9
8
Planta embotelladora
10
9
8
Red inalámbrica
10
10
10
Nueva Planta Embotelladora
10
9
8
Sensores de presencia
8
9
8
Sensores de luz
8
9
8
Sensores de campo
9
10
9
PLC (Controladores lógicos
10
10
10
Redes de control
10
10
10
Sistema SCADA
10
10
10
Sistema de historización de
10
10
10
control
9
9
9
SIS (Sistema Integrado de
10
10
10
10
9
9
Sistema domótico
9
9
9
Consola central
10
10
8
Dispositivos móviles Apple
9
9
8
Activos principales
Purdue
NIVEL 0
NIVEL 1
programables)
datos de proceso NIVEL 2
Aplicaciones
de
automatizado Seguridad) Operadores
de
planta
y
mantenimiento
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
NIVEL 3
Tablets Apple
9
9
8
Dispositivos móviles Android
9
9
8
Tablets Android
9
9
8
Laptops
9
9
8
Sistema operativo Windows 7
10
10
8
Sistema operativo Windows
10
10
8
10
10
10
10
9
10
Conexión VPN Cloud
10
9
10
Centro Global de Operaciones
10
10
8
Oficinas Centrales
10
10
8
Sistema de Telefonía Móvil
10
10
10
10
10
10
Recursos humanos oficina
10
9
9
Recursos
planta
10
9
9
Servicio Cloud Microsoft Azure
10
10
10
Sistema de correo Electrónico
10
9
9
Microsoft One Drive
10
10
10
Servicio de Active Directory
10
10
10
10 Protocolo Ethernet/IP Sistema
de
soporte
de
conexión remota
Sistemas
Informáticos
de
Gestión humanos
industrial NIVEL 4
on-premise Tabla 2. Activos de la organización
Identificación de riesgos
Activos principales
Riesgos
Instrumentos de campo
Robo o sabotaje/Degradación.
Red Industrial
Acceso autorizado/Ciberataque
Fuentes de agua natural
Sabotaje/Desastres Naturales.
7
no
Planta embotelladora
Desastres Naturales.
Red inalámbrica
Acceso no autorizado / Sabotaje.
Nueva Planta Embotelladora
Desastres Naturales.
Sensores de presencia
Robo o sabotaje/Degradación.
Sensores de luz
Robo o sabotaje/Degradación.
Sensores de campo
Robo o sabotaje/Degradación.
PLC (Controladores lógicos
Falta
programables)
funcionamiento del equipo.
Redes de control
Acceso no autorizado.
Sistema SCADA
Acceso no autorizado.
Sistema de historización de datos de
Acceso no autorizado / Robo de
proceso
información.
Aplicaciones de control automatizado
Sabotaje o falta de actualización.
SIS (Sistema Integrado de Seguridad)
Acceso no autorizado / Sabotaje.
Operadores de planta y mantenimiento
Accidente laboral.
Sistema domótico
Acceso no autorizado / Mal
de
control/
funcionamiento
en
Mal
los
dispositivos. Consola central
Acceso no autorizado.
Dispositivos móviles Apple
Robo o pérdida.
Tablets Apple
Robo o pérdida.
Dispositivos móviles Android
Robo o pérdida.
Tablets Android
Robo o pérdida.
Laptops
Robo o pérdida.
Sistema operativo Windows 7
Vulnerabilidad de SO.
Sistema operativo Windows 10
Vulnerabilidad de SO.
Protocolo Ethernet/IP
Falta de control.
Sistema de soporte de conexión remota
Acceso no autorizado / Sabotaje.
Conexión VPN Cloud
Acceso
no
autorizado
Ciberataques. Centro Global de Operaciones
Desastres Naturales.
Oficinas Centrales
Desastres Naturales.
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
/
Sistema de Telefonía Móvil
Acceso no autorizado / Ataques DDOS.
Sistemas Informáticos de Gestión
Acceso no autorizado / Ataques DDOS.
Recursos humanos oficina
Accidente laboral.
Recursos humanos planta industrial
Accidente laboral.
Servicio Cloud Microsoft Azure
Indisponibilidad del servicio.
Sistema de correo Electrónico
Acceso no autorizado / Phishing.
Microsoft One Drive
Acceso
no
autorizado
/
autorizado
/
Ciberataques. Servicio de Active Directory on-premise
Acceso
no
Ransomware. Tabla 3. Riesgos asociados a los activos
Controles de seguridad aplicables Para la asignación de algunos controles de seguridad hemos hecho uso del Manual de Seguridad de Red Enterprise Linux 4 [2]
Activos principales
Riesgos
Controles
Instrumentos de campo Robo
o Cámaras
sabotaje/Degradación. Red Industrial
Acceso
de
circuito
cerrado.
no Software de auditoría de
autorizado/Ciberataque integridad de archivos. Fuentes de agua
Sabotaje/Desastres
Planes de recuperación y
natural
Naturales.
preparación
ante
desastres. Planta embotelladora
Desastres Naturales.
Planes de recuperación y preparación
ante
desastres. Red inalámbrica
Acceso no autorizado / Autenticación a nivel de la Sabotaje.
red.
9
Nueva Planta
Desastres Naturales.
Planes de recuperación y
Embotelladora
preparación
ante
desastres. Sensores de presencia
Robo
o Guardias de seguridad.
sabotaje/Degradación. Sensores de luz
Robo
o Guardias de seguridad.
sabotaje/Degradación. Sensores de campo
Robo
o Guardias de seguridad.
sabotaje/Degradación. PLC (Controladores
Falta de control/ Mal Procedimiento
lógicos programables)
funcionamiento
de
del parcheo.
equipo. Redes de control
Acceso no autorizado.
Autenticación a nivel de la red.
Sistema SCADA
Acceso no autorizado.
Medidas
antimalware
actualizadas. Sistema de
Acceso no autorizado / Gestión de archivos de
historización de datos
Robo de información.
de proceso
registro
y
pistas
de
auditoría.
Aplicaciones de control
Sabotaje o falta de Procedimiento de parcheo
automatizado
actualización.
SIS (Sistema Integrado
Acceso no autorizado / Autenticación a nivel de la
de Seguridad)
Sabotaje.
de aplicación. red.
Operadores de planta y Accidente laboral.
Entrenamiento
mantenimiento
conocimiento.
Sistema domótico
y
Acceso no autorizado / Procedimiento de parcheo Mal funcionamiento en de dispositivos. los dispositivos.
Consola central
Acceso no autorizado.
Autenticación biométrica.
Dispositivos móviles
Robo o pérdida.
Limitar
Apple
información
y
servicios accesibles a los mínimos imprescindibles.
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
Tablets Apple
Robo o pérdida.
Limitar
información
y
servicios accesibles a los mínimos imprescindibles. Dispositivos móviles
Robo o pérdida.
Android
Limitar
información
y
servicios accesibles a los mínimos imprescindibles.
Tablets Android
Robo o pérdida.
Limitar
información
y
servicios accesibles a los mínimos imprescindibles. Laptops
Robo o pérdida.
Limitar
información
y
servicios accesibles a los mínimos imprescindibles. Sistema operativo
Vulnerabilidad de SO.
Windows 7
Procedimiento de parcheo de SO / Software de auditoría de integridad de archivos.
Sistema operativo
Vulnerabilidad de SO.
Windows 10
Procedimiento de parcheo de SO / Software de auditoría de integridad de archivos.
Protocolo Ethernet/IP
Falta de control.
Sistema de soporte de
Acceso no autorizado / Listas
conexión remota
Sabotaje.
Conexión VPN Cloud
Acceso no autorizado / Supervisión
Centro Global de
Protocolos seguros. de
control
de
acceso (ACLs). de
acceso
Ciberataques.
remoto.
Desastres Naturales.
Planes de recuperación y
Operaciones
preparación
ante
desastres. Oficinas Centrales
Desastres Naturales.
Planes de recuperación y preparación desastres.
11
ante
Sistema de Telefonía
Acceso no autorizado / Medidas
Móvil
Ataques DDOS.
preventivas
y
reactivas frente a ataques de denegación de servicio.
Sistemas Informáticos
Acceso no autorizado / Medidas
de Gestión
Ataques DDOS.
preventivas
y
reactivas frente a ataques de denegación de servicio.
Recursos humanos
Accidente laboral.
oficina
Entrenamiento
y
conocimiento.
Recursos humanos
Accidente laboral.
planta industrial
Entrenamiento
y
conocimiento.
Servicio Cloud
Indisponibilidad
Microsoft Azure
servicio.
Sistema de correo
Acceso no autorizado / Autenticación
Electrónico
Phishing.
Microsoft One Drive
Acceso no autorizado / Encriptación Ciberataques.
del Capacidades de copia de seguridad y restauración. /
Capacitación del personal. de
la
información.
Servicio de Active
Acceso no autorizado / Encriptación.
Directory on-premise
Ransomware.
Tabla 4. Controles de seguridad aplicables
Definición de políticas
Políticas Planta Embotelladora “Aguas del Lago Azul” RED DE CAMPO
Políticas de redes industriales
/INSTRUMENTACIÓN Instrumentos
de
Los usuarios privilegiados autorizados de la operación de la planta embotelladora deben
campo
utilizar dispositivos dedicados que estén
Red Industrial
técnicamente segregados y asegurados al
Fuentes
de
agua
natural
mismo nivel que las redes y los sistemas.
Todos los dispositivos de red,
excepto
Planta embotelladora
cortafuegos, deben ser accesibles desde
Red inalámbrica
dentro de la red privada.
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
Nueva
Planta
Embotelladora
Todas las conexiones de red deben pasar a través de un cortafuego.
La conectividad entrante a la red se debe permitir desde una VPN.
La conectividad entrante desde Internet se debe permitir a dispositivos designados en la DMZ usando Servicios TCP / IP.
Los cambios en el firewall deben pasar por solicitud
y
autorización
del
CISO
y
administrador de la red.
Cada enrutador y conmutador debe utilizar el proceso de autenticación y administración estándar.
El hash de contraseña para la cadena de autenticación debe estar habilitado.
El
administrador
de
red
verificará
el
cumplimiento de la política.
Los dispositivos inalámbricos deben cumplir las condiciones de esta política y ser aprobados para la conectividad a la red.
Los
dispositivos
deben
ser
instalados,
respaldados y su mantenimiento ejecutado por un equipo de soporte aprobado.
Los dispositivos deben usar protocolos de cifrado.
Se debe deshabilitar cualquier dispositivo que presente un riesgo para la red de la planta embotelladora.
Se debe supervisar el tráfico entrante y saliente, y los flujos de datos de todos los puntos finales dentro de la red.
13
Se debe deshabilitar protocolos:
SNMP;
Telnet; UPnP, RDP, FTP, etc. en la red industrial de la planta embotelladora RED DE CONTROL
Política de mantenimiento
(PLC, DSC)
Los operadores y personal de mantenimiento
Sensores de
de la Planta Embotelladora deberán cumplir
presencia
las verificaciones rutinarias del estado de los
Sensores de luz
componentes, instrumentación y equipos que
Sensores de campo
conforman los sistemas industriales.
PLC (Controladores lógicos programables)
Se deberá contar con aplicaciones que registren los accesos en las puertas de seguridad de sitios críticos y planta de operación.
Dar
cumplimiento
cabal
al
plan
de
mantenimiento establecido en la Planta y presentar informes de las acciones realizadas, hallazgos
y
recomendaciones
para
la
preservación de los activos de información.
El personal de la planta embotelladora deberá utilizar y adquirir equipos diseñados bajo la premisa de Ciberseguridad mismos que cuenten con garantías de mantenimiento durante el ciclo de vida del producto y a ser posible certificados
El equipo de seguridad supervisará que los PLCs cuenten con las últimas actualizaciones de FIRMWARE.
RED DE
Política de uso de plan de contingencias
SUPERVISIÓN Sistema SCADA Sistema
Cumplir con lo establecido en el Plan de Contingencias de la Planta embotelladora.
de
historización de datos
Realizar evaluaciones cualitativas periódicas de los controles y acciones establecidas para
de proceso
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
Aplicaciones
de
reducir los niveles exposición de los riesgos
control automatizado SIS Integrado
(Sistema
identificados.
de
Se debe contar con un control de copias de seguridad de los sistemas de SCADA, base de
Seguridad)
datos, historización y aplicaciones de control automatizado de la Planta con la finalidad de salvaguardar ejecución
de
la
operación ejecución
en del
caso
de
plan
de
contingencias
Se deberá establecer un entorno de pruebas y un mecanismo de autorización de puesta en producción en caso presentarse la necesidad.
Política de credenciales y administración de usuarios
El personal encargado de la seguridad en conjunto con el departamento de sistemas de la Planta Embotelladora incluirá la creación de usuarios personalizados para los sistemas críticos de la Planta.
Políticas de contraseñas robustas.
Registro e identificación a las personas que hagan uso del usuario genérico compartido en caso de que no se pueda definir uno específico.
Habilitar los logs de acceso y actividad en los sistemas SCADA, SISTEMA INTEGRADO DE SEGURIDAD E HISTORIZACIÓN a gestionar.
Políticas de registro de eventos en la red y sistemas
Se deberá registrar todos los eventos de la red y sistemas mismos que podrán ser mediante la identificación con huella, con video vigilancia
15
de la sala de operación, consola central de control de cuentas.
Se deberá integrar un SIEM para el control de eventos y logs de sistema de aquellos sistemas que lo permitan.
Se deberá informar a los operadores sobre el monitoreo y registro de eventos que se realiza.
RED DE
Políticas de seguridad física de la planta
OPERACIÓN
embotelladora.
Operadores de planta
Se debe asegurar que el cableado y acceso a
y mantenimiento
equipos críticos se encuentra protegido y
Sistema domótico
seguro.
Consola central
Establecer controles de acceso a sistemas
Protocolo Ethernet/IP
críticos basándose en la política de gestión de
Sistema de soporte de
contraseñas
conexión remota
embotelladora.
Conexión VPN Cloud Centro
Global
de
establecida
para
la
planta
Se debe contar con el registro de histórico de accesos físicos al centro de control de los
Operaciones
sistemas (logs de acceso/ grabaciones de
Oficinas Centrales
video vigilancia).
Sistema de Telefonía
Móvil
restricción de acceso a áreas críticas.
Sistemas Informáticos
de Gestión
Implantar una separación y distancia entre las redes de control y la red corporativa que
Dispositivos
móviles
dificulte la conexión errónea o maliciosa entre
Apple
redes.
Tablets Apple Dispositivos
Se debe contar con identificación visual de la
móviles
Android
Se deberá revisar y enviar un informe al área de seguridad de la planta referente a los sistemas de CCTV.
Tablets Android Laptops Sistema
operativo
Windows 7
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
Sistema
operativo
Windows 10 Políticas de gestión de privilegios
RED DE
Recursos
Asignación y revocación de accesos de los
INFORMACIÓN
trabajadores de la parte operativos de la planta
humanos
embotelladora y oficinas.
oficina Recursos
Los trabajadores deberán abstenerse de
humanos
distribuir, reproducir, utilizar, disponer, divulgar
planta industrial Servicio
o publicitar por cualquier medio (físico o
Cloud
digital), verbal o escrito, información de la
Microsoft Azure Sistema
de
Planta, para fines ajenos al cumplimiento de
correo
sus funciones y responsabilidades.
Electrónico Microsoft One Drive
Política de capacitación
Servicio de Active
Impartición de cursos específicos y regulares
con
Directory on-premise
registro
de
asistencia
empleados/operadores
de
a
los las
infraestructuras/sistemas.
Capacitación específica en las carencias identificadas. Tabla 5. Políticas
Definición de estrategias
Aumentar la capacidad de prevención, defensa, detección, análisis y recuperación ante las distintas amenazas.
Garantizar y fortalecer la seguridad de los sistemas de información, redes e infraestructuras críticas.
Poner en marcha un programa específico para la protección de las estructuras críticas.
Optimizar el modelo de interconexión de la organización, maximizando su eficacia, disponibilidad y seguridad.
Desplegar modelos de simulación que permitan analizar las dependencias entre las diferentes Infraestructuras Criticas y los riesgos acumulados por estas.
17
Impulsar modelos y técnicas de análisis de ciberamenazas y medidas de protección de productos, servicios y sistemas, así como su especificación, evaluación y certificación.
Asesorar a todos los departamentos de la empresa sobre la sensibilización en ciberseguridad.
5.- CONCLUSIONES Si bien día a día aparecen nuevos y complejos tipos de incidentes, aún se registran fallas de seguridad de fácil resolución técnica, las cuales ocurren en muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan en forma cada vez más directa sobre las personas. En consecuencia, se requieren efectivas acciones de concientización, capacitación y difusión de mejores prácticas. De esta manera, se concluye que el grupo empresarial “Aguas del Lago Azul” deberá disponer de controles necesarios para todos sus activos principales, y así poder mantenerse efectivo y contrarrestar el poder destructivo de los ciberdelincuentes, manteniendo un estado de alerta y de actualización permanente. La empresa no puede considerar la seguridad como un proceso o un producto aislado de los demás debido a las constantes amenazas en que se encuentran los sistemas. Finalmente, como se conoce los ataques están teniendo el mayor éxito en el eslabón más débil y difícil de proteger, en este caso las personas, por lo que su concientización y capacitación a los mismos deberá ser imprescindibles.
Máster en Seguridad Informática UPC-VIU | Curso académico 2021 - 2022
6.- BIBLIOGRAFÍA [1] Ministerio del Interior, «GUÍA SOBRE CONTROLES DE SEGURIDAD EN SISTEMAS OT,» Barcelona, 2020. [2] Red
Hat,
«Mundo
Manuales,»
2015.
[En
línea].
Available:
http://www.mundomanuales.com/manuales/4671.pdf. [Último acceso: 15 01 2023].
19
View more...
Comments
