Esta nota técnica analiza los ciberataques físicos de mayor impacto (y por tanto de mayor riesgo) sobre las redes de control de infraestructuras críticas y propone la protección de las mismas mediante cambios organizativos y de procedimiento en los Operadores de Infraestructuras Críticas, y en el uso de nuevas tecnologías de detección de intrusión basadas en el análisis de comportamiento de protocolos industriales y la correlación de eventos operacionales.
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas ciberfísicos
1. Protección de Infraestructuras Críticas frente a ataques
dirigidos a sistemas Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
Autor:
Enrique Martín García
Telvent Global Services
enrique.martingarcia@telvent.com
25 de Agosto de 20
2. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
2
Contenidos
Introducción........................................................................................................................ 3
Sectores críticos e infraestructuras críticas.................................................................... 4
Marco legal .........................................................................................................................................4
Características técnicas.......................................................................................................................5
Taxonomía de ataques a sistemas Ciberfísicos .............................................................. 7
Daños sobre los equipos .....................................................................................................................7
Impacto en la cuenta de resultados .....................................................................................................8
Deterioro del cumplimiento legal .......................................................................................................8
Protección de infraestructuras críticas ............................................................................ 9
Personas ..............................................................................................................................................9
Procedimientos..................................................................................................................................10
Tecnologías.......................................................................................................................................10
Sistemas de detección de intrusión de red (NIDS) 11
NIDS basado en inspección profunda de comportamiento de protocolo..................................... 12
Correlación operacional............................................................................................................... 13
Futuras tendencias: S-IDS............................................................................................................ 14
Detección de ciberataques físicos...................................................................................15
Conclusiones.....................................................................................................................17
Acerca de Telvent Global Services ..................................................................................17
Agradecimientos ...............................................................................................................17
Referencias ........................................................................................................................18
3. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
3
Introducción
Desde el experimento Aurora [1]
de ciberataque sobre un generador eléctrico realizado en 2007, en el
que se pretendía demostrar la capacidad de producir daños físicos sobre activos de manera remota,
hasta nuestros días, este tipo de ataque se ha materializado en dos ocasiones.
El primer ataque ciberfísico registrado en la historia fue STUXNET [2]
(2010), ampliamente
documentado y conocido en el sector de los profesionales de la Ciberseguridad industrial y que
supuso el inicio del desarrollo de esta disciplina y de la mayoría de los estándares de protección de
infraestructuras críticas, al poner de manifiesto la enorme capacidad destructiva del malware dirigido
a la destrucción de las centrifugadoras a cargo del enriquecimiento del uranio que Irán iba a utilizar
en su producción de armamento nuclear.
El segundo ciberataque con consecuencias físicas se produjo recientemente (finales de 2014) en una
planta de acero Alemana [3]
, en la que un ciberataque desencadenado tras acceder a la red de control
desde la red de negocio, no permitió el correcto apagado de un alto horno, aunque los detalles y
efectos del mismo no han sido estudiados con el mismo detalle que en el caso de STUXNET.
En 2015 el interés sobre este tipo de ataques en el que se logra alterar el comportamiento físico del
entorno a través de ciberataques se ha disparado a través de experiencias realizadas sobre coches [4]
,
instrumental médico [5]
y numerosos aparatos domóticos conectados a Internet.
Esta nota técnica (White Paper) analiza los ciberataques físicos de mayor impacto (y por tanto de
mayor riesgo) sobre las redes de control de infraestructuras críticas y propone la protección de las
mismas mediante cambios organizativos y de procedimiento en los Operadores de Infraestructuras
Críticas, y en el uso de nuevas tecnologías de detección de intrusión basadas en el análisis de
comportamiento de protocolos industriales y la correlación de eventos operacionales.
4. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
4
Sectores críticos e infraestructuras críticas
Para poner en contexto el dominio a proteger de este tipo de ataques, describiremos las
características de las infraestructuras consideradas críticas en Europa y en España.
Marco legal
En Enero de 2009 se hizo efectiva la Directiva 2008/114/CE del consejo de la Unión Europea que
establecía la necesidad de identificar las infraestructuras críticas Europas con el objeto de diseñar las
estrategias de protección de las mismas.
En esta Directiva se describía la necesidad de identificar las infraestructuras de los sectores de
Energía y transporte, dejando abierta la posibilidad de que todos los estados miembros identificaran
otros sectores críticos adicionales.
A fecha de Diciembre de 2014 la Agencia Europea para la Seguridad de las Redes y la Información
(ENISA), publicó una guía [6]
para la identificación de los activos críticos
En esta guía se repasaban los sectores críticos ya identificados por los países miembros de la Unión y
que se pueden ver en la siguiente tabla:
5. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
5
España ha identificado doce sectores críticos:
Energía (Con tres subsectores: Electricidad, Petróleo y Gas)
Nuclear
Economía (Finanzas y Administración tributaria)
Agua
Transporte (Con tres subsectores: Aéreo, Marítimo y terrestre)
Alimentación
Tecnologías de la Información y Comunicaciones
Químico
Salud
Espacio
Administración Pública
Investigación
En cada uno de estos sectores se han designado, o serán designados en un futuro próximo, un
conjunto de Operadores Críticos (OC), que son aquellos propietarios u operadores de infraestructuras
que prestan servicios esenciales y cuyo ataque podría conllevar daños o perjuicios a amplios sectores
de la población. Este conjunto de infraestructuras será el que conformará nuestro dominio a proteger
y comparten una serie de características técnicas comunes.
Características técnicas
Muchas de las infraestructuras catalogadas como criticas poseen una arquitectura híbrida en la que
coexisten redes de tecnologías de información clásicas (Red IT) y redes de control industrial (Red
OT) que gestionan los elementos que interactúan con el medio físico (Sistemas Ciberfísicos). Un
esquema de este tipo de infraestructura de este tipo podría ser el siguiente:
6. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
6
Los sistemas Ciberfísicos que controlan un determinado proceso y que están gestionados por los
sistemas de la red, funcionan según el siguiente esquema básico:
Los sensores miden los valores actuales del proceso cada cierto tiempo y los envían a las unidades de
control que evalúan la necesidad de solicitar órdenes concretas a los actuadores para que el proceso
se mantenga dentro de los valores para los que fue creado y se comporte según el diseño original.
Hoy en día todo este tráfico de control ha ido migrándose sobre redes TCP y sobre sistemas
operativos convencionales, lo que ha hecho que aparezcan superficies de ataque no existentes
anteriormente.
Las características fundamentales de las redes OT se pueden resumir en las siguientes:
Menores en número de dispositivos y servicios que las redes IT.
No debieran conectarse directamente a Internet.
Ejecutan operaciones repetitivas entre sus nodos y sistemas.
Muy sensibles a retardos o problemas de comunicación.
Así mismo, este tipo de redes sufren una serie de debilidades:
Utilizan protocolos no autenticados o seguros.
No suelen estar segmentadas lógica o físicamente.
Sin posibilidad de instalación de Software de terceros en ciertos sistemas.
Sin posibilidad de parcheado o actualización en ciertos sistemas
Estas particularidades hacen que la protección de este tipo de redes críticas deba ser muy especial y,
como veremos más adelante, haciendo uso de estrategias y nuevas tecnologías específicas para este
tipo de entornos.
7. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
7
Taxonomía de ataques a sistemas Ciberfísicos
Aunque el número y naturaleza de ciberataques sobre sistemas de control que pudieran tener efectos
sobre su entorno físico es muy amplio, vamos a considerar solamente aquellos que han sido objeto de
estudio por parte de los distintos agentes implicados en la Ciberseguridad industrial.
En particular, los últimos estudios realizados [7][10]
definen las siguientes categorías en función de la
finalidad del ciberataque físico:
Daños sobre los equipos
Impacto en la cuenta de resultados
Deterioro del cumplimiento legal
Veamos cada una de ellas en detalle:
Daños sobre los equipos
Este tipo de ciberataques está destinado a producir averías y roturas de carácter permanente a los
equipos industriales que interactúan con el entorno físico. En particular, se han estudiado ataques
sobre los siguientes elementos:
Tuberías y ductos: La apertura y cierre de válvulas de manera rápida, y en ocasiones
coordinada, es capaz de provocar el fenómeno físico denominado “golpe de ariete”,
consistente en un aumento de la presión interna de la tubería que puede llegar a ser superior a
la resistencia estructural de la misma, causando su rotura y el posterior vertido del fluido
(liquido o gas) que condujera.
Depósitos: En muchas ocasiones los depósitos se diseñan para soportar presiones internas
muy elevadas, pero ante presiones internas muy bajas (o incluso el vacio), se colapsan.
Bruscos cambios de la temperatura en el interior de un depósito pueden llevar a bruscos
cambios en la presión interior, lo que podría llegar a colapsarlo.
Generadores eléctricos: Tal y cómo se demostró en el experimento Aurora, la apertura y
cierre fuera de fase de los interruptores de un generador conectado a una subestación eléctrica
producen efectos cinéticos que acaban rompiendo físicamente el mismo.
Motores: El ciberataque STUXNET en su última fase se ocupaba de acelerar los motores de
las centrifugadoras de uranio durante periodos de tiempo prolongados provocando la fatiga de
los materiales y su posterior avería.
Reactores químicos: Las reacciones químicas más frecuentes suelen producirse a elevadas
temperaturas, por lo que una alteración en las condiciones de control de la reacción puede
llevar asociado un aumento importante de la temperatura que originaría daños térmicos a la
estructura del reactor, llegando a su total destrucción.
Existe también la posibilidad de combinar dos o más de estos ataques entre sí, de manera que la
pérdida de la alimentación eléctrica lleva asociada una pérdida del control de algún elemento o la
entrada del mismo en un estado inestable de funcionamiento.
A pesar de que hayamos clasificado estos eventos como ataques, existen antecedentes históricos de
graves accidentes industriales causados por fallos en los sistemas de supervisión y control [12]
.
En los siguientes puntos veremos como estas soluciones de detección pueden también ayudar a
detectar otros fallos operativos que podrían desencadenar graves accidentes.
8. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
8
Impacto en la cuenta de resultados
La finalidad de este tipo de ciberataques a los procesos es la de alterar el resultado financiero de la
organización que opera dicho procesos. Entre ellos se han estudiado los siguientes:
Disminución de la cantidad de producto final: Mediante el cambio de ciertas variables de
control en puntos específicos del proceso, se puede alterar la cantidad de producto
conseguido. Un claro ejemplo de esto es el desarrollado sobre la producción de monómero de
acetato de vinilo [7]
en el Black Hat de Las Vegas en Agosto de 2015.
Disminución en la pureza del producto: Si las
alteraciones introducidas en las variables de control del
proceso hacen cambiar la pureza del producto final, se
puede producir una importante devaluación del mismo.
Un ejemplo concreto es el del Paracetamol, cuya pureza
puede alterar el precio en varios órdenes de magnitud.
Incremento de los costes operacionales y de mantenimiento: Los ciberataques a procesos
pueden originar alarmas de manera intencionada para obligar a la recalibración de los
elementos de campo tantas veces como deseen los atacantes, incrementando de esta manera
los costes de la organización atacada. Por otra parte, la repetición de ataques a procesos con
distintos valores es una de las prácticas de ocultación más frecuente de los mismos, ya que de
esa manera se desplazan las sospechas hacia los equipos de mantenimiento de la
organización.
Deterioro del cumplimiento legal
Los marcos legales y regulatorios que deben cumplir las organizaciones, hace que ciertos
compromisos adquiridos por las mismas puedan tener penalizaciones muy importantes en caso de
incumplimiento de los mismos. Entre este tipo de compromisos podemos encontrar los siguientes:
Normativa de seguridad: La alteración de algún parámetro de seguridad de la planta
industrial puede llevar asociada una violación de alguna normativa de seguridad que a su vez
está sancionada con una multa económica importante en caso de inspección.
Impacto al medio ambiente: Los vertidos a ríos o la producción de desperdicios con valores
de ciertos compuestos por encima del umbral admisible están castigados con multas
económicas importantes.
Incumplimientos contractuales: La alteración de la pureza o cantidad del producto del
proceso puede hacer que ciertas clausulas de los contratos no se cumplan impidiendo la
facturación del mismo y ocasionando importante pérdidas económicas a la organización.
Todos estos ciberataques estudiados en este último año, tienen una serie de características comunes:
Ataques Semánticos: Son necesarios conocimientos profundos del entorno, del proceso y de
las variables a alterar para que produzcan los efectos deseados.
9. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
9
Dirigidos a la red de control: Por usuarios y puestos de trabajo “legítimos“, sobre
protocolos de control no autenticados y con comandos “válidos”, y ejecutados con los
permisos adecuados
Realizados por equipos multidisciplinares: Compuesto por un equipo IT (Redes y
Sistemas), un equipo OT (SCADA) e ingenieros de procesos (del sector correspondiente)
A la vista de la naturaleza de los ciberataques físicos y a proceso, y lo expuesto anteriormente sobre
las características técnicas de las redes de control de las infraestructuras críticas, su protección
presenta una serie de problemas que solamente pueden ser abordados utilizando las técnicas que
describiremos en el punto siguiente.
Pudiera parecer que este tipo de ataques es demasiado complicado o excepcional como para tener en
cuenta en nuestros análisis de riesgos, pero no hay que olvidar que:
1. Son ataques dirigidos con la intención de causar daños físicos y podrían estar ejecutados o
patrocinados por organizaciones estatales.
2. Ya se han materializado con anterioridad y no fueron meros estudios teóricos de laboratorio.
3. En ambos casos el ciberataque tuvo un origen externo a las instalaciones atacadas aún cuando
se suponían aisladas de Internet. (El número medio de conexiones encontrado en auditorías a
las redes de control es de 11 [11]
)
4. El éxito de estos ataques puede poner en riesgo vidas humanas.
5. La Ley PIC 8/2011 de Protección de Infraestructuras Críticas menciona explícitamente la
necesidad de contemplar en los análisis de riesgos sobre este tipo de infraestructura los
eventos de muy baja probabilidad y muy alto impacto, como es el caso de este tipo de
ataques.
Otra creencia común a la hora de no incluir estos taques a dispositivos Ciberfísicos es pensar que
quedan cubiertos por los planes de protección física. Tal y como se mencionó en el informe
Mogford[13]
tras el accidente de la refinería de Texas City, había graves defectos en el
mantenimiento de los mecanismos de seguridad física de sistemas críticos. Una vez más, no podemos
confiar en los diseños originales a la hora de conocer el estado actual de seguridad y debemos revisar
estos sistemas periódicamente, o lo que es mejor, monitorizarlos de manera continua.
Protección de infraestructuras críticas
La Ciberseguridad se cimenta en tres pilares fundamentales: Personas, procedimientos y
tecnologías. En este caso no puede ser de otra manera, por lo que repasaremos estos apartados y
formularemos una serie de recomendaciones para poder defender estas infraestructuras de los ataques
Ciberfísicos vistos anteriormente.
Personas
Como vimos anteriormente en esta nota este tipo de ciberataques solamente pueden materializarse
mediante la acción conjunta de expertos en distintos campos (Tecnología IT, Tecnología OT y
procesos del sector a atacar). Es necesario que las infraestructuras críticas cuenten con equipos
multidisciplinares en sus organizaciones de Ciberseguridad que trabajen de forma coordinada con el
fin de protegerlas.
10. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
10
Este es uno de los problemas más comunes encontrados en la aplicación de la ley PIC debido a las
inercias existentes en muchas organizaciones en las que el mundo del control y el de la seguridad
siempre han estado en distintas áreas funcionales y con responsables y presupuestos distintos.
Es necesaria la concienciación de la alta dirección del operador de infraestructuras críticas para
realizar los cambios funcionales necesarios en las organizaciones que garanticen un único
responsable para estos equipos multidisciplinares de Ciberseguridad.
Procedimientos
Es prioritario establecer cambios en los procedimientos de adquisición de los Operadores de
infraestructuras críticas que obliguen a la inclusión de requisitos de Ciberseguridad (Cyber
Security) en las soluciones de automatismo y control, al igual que existen para la seguridad física
(Safety) de las plantas. Sin este enfoque de Ciberseguridad en el diseño será mucho más difícil y caro
desplegar controles y contramedidas en las redes de control.
Dada la naturaleza semántica de este tipo de ataques es necesario que se amplíen los análisis de
riesgos para que contemplen los ataques a los procesos. Como hemos visto anteriormente esto
solamente es posible con la participación de ingenieros de control y procesos en esta actividad en la
que la Ciberseguridad y la seguridad física llegan a converger. (Hazard/Risk Analysis).
Tecnologías
Por todo lo comentado anteriormente, las medidas de seguridad a adoptar en este tipo de entornos
han de tener en cuenta la importancia que la disponibilidad tiene en este tipo de redes de control.
Cualquier medida a implantar debe ser lo más inocua posible en lo que se refiere al impacto sobre el
proceso a proteger. Según el CERT industrial del Departamento de Seguridad Nacional de EEUU, el
impacto de las distintas tecnologías de protección a considerar a la hora de desplegar en este tipo de
redes es el siguiente:
Tal y como puede verse, los sistemas de detección de intrusión representan la tecnología que menor
impacto tiene sobre las redes de control industrial.
Dentro de esta tecnología, y teniendo en cuenta las importantes limitaciones que existen para la
instalación de Software de terceros en los sistemas de control (Servidores SCADA, estaciones de
ingeniería y puestos de operación o HMI), es más indicado seleccionar la tecnología de NIDS
(Network Intrusion Detection System) al no ser necesaria la modificación de la arquitectura de red
existente, ni la reconfiguración de ninguno de los sistemas presentes.
11. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
11
Sistemas de detección de intrusión de red (NIDS)
Según la taxonomía de sistemas de detección de intrusión definida por Debar y su grupo de trabajo [8]
,
el sistema que parece más adecuado es el que se muestra en la siguiente figura:
El método de detección no debería estar basado en firmas ya que debería ser frecuentemente
actualizado y además no ofrecería protección frente a vulnerabilidades 0 day, por lo que se establece
la detección por comportamiento como la más adecuada.
El comportamiento en detección debe ser pasivo para ser lo menos intrusivo posible en la red y no
interferir con los comandos y medidas que se intercambian por la red.
Dada la importancia que los cambios de estado tienen en el control de procesos industriales, el NIDS
debe contemplar este tipo de paradigma, y finalmente se debe monitorizar de manera continua ya que
este tipo de redes funcionan en modo 24x7x365.
Respecto a la tecnología de detección de anomalías de comportamiento, existen varias alternativas:
detección por inspección de cabeceras de mensajes (Headers), detección por inspección de carga útil
del mensaje (Payload) o una combinación de ambas. En la presente nota utilizaremos la última opción
ya que es la única capaz de poder detectar este tipo de ataques semánticos y es la utilizada por la
tecnología de inspección profunda de comportamiento de protocolo (DPBI) propuesta para la
protección de este tipo de infraestructuras.
12. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
12
NIDS basado en inspección profunda de comportamiento de protocolo
Una vez seleccionada la tecnología de detección vamos a explicar cómo implantarla en este tipo de
entornos. Dado que su funcionamiento se basa en la detección de comportamientos que difieran del
comportamiento normal (anomalías), primero debemos construir el patrón de comportamiento.
La construcción de este patrón de comportamiento se puede realizar de manera dirigida
(introduciendo la información topológica y operacional de la red) o de manera desatendida mediante
tecnología de aprendizaje profundo (Deep learning). La primera opción no suele ser útil dado el
conocimiento de los detalles de bajo nivel en la implementación de las redes de control que poseen las
organizaciones, y que en muchos casos se remonta a la FAT (Factory Acceptance Test) o a la SAT
(Site Acceptance Test), por lo que suele estar muy desactualizado al ser información antigua y no
mantenida de manera sistemática mediante procedimientos de gestión de cambio conformes a las
mejores prácticas.
Seleccionando el método de construcción mediante aprendizaje desatendido, debemos recordar que es
muy importante que este patrón de comportamiento normal se construya en un entrono libre de
amenazas y lo más similar posible al entorno de producción sobre el que luego se realizará la
detección de comportamientos anómalos.
El esquema de funcionamiento de este tipo de sensores de detección de intrusión es el siguiente:
Aunque el aprendizaje es automático
siempre debe poder ser ajustado por los
ingenieros de control que conocen a
fondo el proceso y debe ser posible
eliminar cualquier operación no
deseada generada por intervenciones
no programadas una vez verificado por
el personal de control. Adicionalmente,
en la fase detección este tipo de
eventos deberán poder ser incluidos en
el patrón de comportamiento para
evitar alertas no deseadas (falsos
positivos).
El patrón de comportamiento obtenido tras la fase de aprendizaje y ajuste incluye los siguientes
elementos:
Perfil de la comunicación local de la red de control
En este momento el NIDS conoce cada tupla permitido en la red de control (Matriz de tráfico):
Src IP,Src Port -> Dest. IP,Dest Port
.
Desde este instante, podemos ser alertados por:
Nuevos dispositivos en la red
Dispositivos intentando conectarse a nuestra red y no contemplado en el modelo
Dispositivos enviando información desde nuestra red a sistemas fuera de nuestro modelo.
13. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
13
Matriz de protocolos, mensajes y valores
Para poder detectar operaciones anómalas sobre los procesos o ataques a sistemas Ciberfísicos
debemos utilizar la tecnología de inspección profunda de comportamiento de protocolo (Deep
Protocol Behavior Inspection – DPBI), dado que necesitamos conocer:
Los protocolos de control que operan en la red
Los mensajes que se utilizan dentro de cada protocolo
La distribución de valores dentro de cada campo del mensaje de cada protocolo.
Toda esta información se debe organizar de manera lógica para lograr obtener el patrón de
comportamiento sobre el que compararemos posteriormente todos los mensajes obtenidos de la red.
La construcción de este patrón es responsabilidad del NIDS DPBI mediante el uso de su tecnología
propietaria de modelización de comportamientos de protocolos de control durante la fase de
aprendizaje.
A partir de este momento podemos iniciar la fase de detección y ser alertados de cualquier
comunicación que diverja del patrón de comportamiento recién construido.
Correlación operacional
A pesar de la potencia en la detección de la tecnología DPBI en los entornos de control, necesitamos
ser capaces de poder generar alertas al detectar ciberataques físicos o al proceso (Operaciones que se
encuentran dentro del patrón de comportamiento y ejecutadas desde puestos de la red de control que
también se encuentran en dicho patrón.).
Un claro ejemplo de esto sería un ataque tipo Aurora y ejecutado desde un servidor SCADA que
transmitiera órdenes de apertura y cierre de interruptores fuera de fase a una unidad remota (RTU) de
una subestación, usando el protocolo IEC 104.
Para poder detectar este ciberataque, deberíamos ser capaces de almacenar todos los mensajes IEC
104 de apertura y cierre dirigidos a las RTU que encontráramos en la red de control y comprobáramos
la diferencia temporal sobre el comando inmediatamente anterior enviado a esa RTU.
Para poder hacer esto el detector de intrusión de red DPBI debe ser además capaz de proporcionar la
funcionalidad descrita anteriormente.
En el caso de la solución de NIDS DPBI SCAB for SCADA (Security Control Awareness Box for
SCADA), esta correlación se implementa mediante el despliegue de lógica adicional (programa tipo
script) que realiza esta correlación.
Un ejemplo de una función de este script es el siguiente:
function new_connection_data(conn, data, is_upstream)
local record = find_flow(conn)
if record ~= nil then
record.up_bytes = conn:upstream_num_bytes()
record.down_bytes = conn:downstream_num_bytes()
record.up_pkts = conn:upstream_num_pkts()
record.down_pkts = conn:downstream_num_pkts()
record.payload_up_bytes = conn:upstream_num_payload_bytes()
record.payload_down_bytes = conn:downstream_num_payload_bytes()
end
end
14. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
14
Futuras tendencias: S-IDS
La combinación de la tecnología de detección de intrusión basada en anomalías de comportamiento
de protocolos de control, junto con la correlación operacional nos permite detectar los ataques
Ciberfísicos a procesos en infraestructuras críticas, pero aún resultan un tanto artesanales en lo que se
refiere a la implantación de las correlaciones operacionales y temporales.
Para solucionar este problema se está investigando en distintas tecnologías de detección que incluyen
este tipo de información en el patrón de comportamiento de manera automática.
Una de estas tecnología recibe el nombre de Sequence-aware Intrusion Detection System [9]
y plantea
una serie de aproximaciones novedosas a la hora de generar el patrón de comportamiento, cómo son
el control del orden en el que se envían y reciben los mensajes a los elementos de control desde los
servidores, el tiempo que transcurre entre transiciones de estado y envíos de mensajes y la desviación
estándar de dicho tiempo.
La arquitectura de bloques de un sistema de este tipo sería la siguiente:
En la fase aprendizaje se recogería la información procedente de las fuentes de entrada al modelo
(Mensajes de los protocolos de control de la red, entradas de ficheros de log y valores de los
comandos del proceso) y se pasarían al secuenciador para mantener la traza temporal de los mismos,
antes de pasarlos al proceso generador del modelo.
Como ocurre en el caso de los NIDS basados en DPBI, una vez finalizada la fase de aprendizaje
pasaríamos al modo detección.
Este sistema ya ha sido probado de manera experimental en redes SCADA del sector Agua y se
continua trabajando para reducir el ratio de falsos positivos (FPR) durante la fase de detección.
Supone una vía más en la investigación de sistemas de intrusión para sistemas de control industrial, y
a pesar de sus prometedoras funcionalidades aún se encuentra en la fase de desarrollo y validación
15. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
15
Detección de ciberataques físicos
Todos los ciberataques expuestos anteriormente en esta nota técnica pueden ser detectados utilizando
la combinación de tecnologías de detección de intrusión en red basadas en inspección profunda de
comportamiento de protocolo (DPBI) y la correlación operacional.
Ataque tipo Aurora: Una vez creado el patrón de comportamiento normal DPBI de la red de
control, se desplegaría un script que monitorizaría la secuencia de órdenes de escritura
recibidas por las RTUs en un periodo arbitrario de tiempo (Segundos o milisegundos). En caso
de que se transmitiera una orden de escritura del valor CLOSE a una determinada RTU con
un último valor recibido de OPEN, en un tiempo inferior al intervalo mínimo permitido (0,2s),
dispararíamos una alerta.
Figura 1: Umbral temporal mínimo de transición de estado
Ataque tipo golpe de ariete/Vertidos: Si suponemos un escenario de control progresivo como el
de la figura 2, solamente sería posible llegar al cerrado (o apertura) completo de la válvula desde
un estado anterior con V = 30.
Figura 2: Diagrama de estados y transiciones
Todo valor enviado en un comando de escritura al PLC de control de las válvulas se compararía con
el último valor de escritura enviado. Si la diferencia entre el valor de escritura recibido y el
inmediatamente anterior superara el incremento máximo de control programado (∆V = 10), se
dispararía una alerta.
16. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
16
Adicionalmente, todo valor en un comando no contemplado en el patrón de comportamiento
dispararía una alerta. (Por ejemplo V> 40)
Debemos destacar que la importancia de la anomalía es distinta en función de la transición detectada,
pudiendo así establecerse una jerarquía de criticidad. En el ejemplo de la figura 2, la anomalía de
transición E3 -> E5 dispararía una alerta de aviso (Warning), mientras que la anomalía de transición
E1 -> E5 dispararía una alerta crítica (Critical).
Alteración de la cantidad de producción (Monómero de acetato de vinilo): Cualquier valor
recibido dentro del mensaje de escritura sobre el PLC que controla la temperatura del reactor
fuera de la distribución de valores del patrón de comportamiento dispararía una alerta.
Ataque por temperatura a reactores químicos: Al igual que en al caso del golpe de ariete,
cualquier comando de escritura enviado a el PLC de control progresivo de la temperatura se
compararía con el inmediatamente anterior. Si la diferencia entre el valor de escritura recibido
y el inmediatamente anterior superara el umbral máximo de temperatura definido, se
dispararía una alerta.
Mantenimiento falso: Los comandos a enviar a los elementos de control con el objeto de
ocultar los ataques a proceso nunca habrían formado parte del patrón de comportamiento
original construida para la red, por lo que su envío dispararía una alerta inmediata.
Podemos resumir todo esto en la siguiente tabla:
Es importante remarcar que la semántica necesaria para la detección de estos ataques a través de la
lógica adicional de programación, proviene del profundo conocimiento de los procesos que se
controlan y de los posibles puntos débiles de los mismos. Los sistemas basados solamente en
inspección profunda de protocolo (DPI) no podrían detectar este tipo de ataques, y solamente el uso
de la tecnología DPBI junto con la correlación operacional es capaz de detectar todos estos ataques a
sistemas Ciberfísicos.
Existe otra aplicación muy potente de la correlación operacional cómo es la detección de
operaciones de control permitidas (nodos, protocolos y distribución de valores) en rangos horarios
concretos. (Una actualización del Firmware de un PLC o una RTU puede ser normal en un día
laborable y excepcional si se realiza en fin de semana o por la noche).
17. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
17
Conclusiones
Los nuevos ataques dirigidos a los sistemas Ciberfísicos de los procesos industriales que se ejecutan
en las infraestructuras críticas, hacen necesaria la adopción de nuevas estrategias capaces de
detectarlos sin interferir en su funcionamiento normal.
El cambio de las estructuras funcionales (Responsables comunes y equipos multidisciplinares) y de
los procedimientos vigentes en los operadores de infraestructuras críticas (Análisis de riesgos y
requisitos de las adquisiciones), es imprescindible para afrontar este tipo de ataques físicos.
La única tecnología capaz de detectar ataques desde dentro de la red de control usando protocolos,
mensajes y valores permitidos dentro de la misma, pero en orden o frecuencia distinta de la normal es
el uso de sistemas de detección de intrusión que soporten la inspección profunda de comportamiento
de protocolo (DPBI) con la capacidad de implementar correlación de eventos operacionales.
La implantación de este tipo de tecnologías en las redes de control de infraestructuras críticas debería
ser considerada muy seriamente por parte de los responsables de la Ciberseguridad de estas
instalaciones y de las autoridades responsables de la supervisión del cumplimiento de la Ley PIC
8/2011.
En un próximo futuro, las tecnologías tipo Sequence-aware NIDS (S-NIDS) podrían ayudar a
simplificar la implantación de este tipo de tecnologías en las redes de control mejorando
sensiblemente la generación del patrón de comportamiento de las mismas y su mantenimiento
posterior, protegiendo de manera eficaz a los procesos y sistemas Ciberfísicos de las infraestructuras
críticas.
Acerca de Telvent Global Services
Telvent Global Services (Telvent) es una compañía de servicios IT/OT con alta especialización en la
gestión de infraestructuras críticas de tecnologías de la información y operacional, que ofrece
soluciones integrales de consultoría, integración y outsourcing a lo largo de todo su ciclo de vida.
Tratamos de implementar nuestra misión de simplificar la complejidad tecnológica con una oferta de
servicios que da respuesta a las necesidades de gestión y operación de infraestructuras y sistemas IT y
OT para acompañar la evolución del negocio de nuestros clientes.
Agradecimientos
Me gustaría dar las gracias a los Doctores Daniel Trivellato, Emmanuele Zambon y Damiano Bolzoni
por sus consejos y útiles propuestas.
18. Protección de Infraestructuras Críticas frente a ataques Ciberfísicos
Detección mediante análisis de comportamiento de protocolos y correlación operacional
18
Referencias
[1] Aurora Generator Test - http://edition.cnn.com/2007/US/09/26/power.at.risk/
[2] “To Kill a Centrifuge” – Ralph Langner - http://www.langner.com/en/wp-content/uploads/2013/11/To-kill-
a-centrifuge.pdf
[3] German steel plant Cyber Attack - http://www.wired.com/wp-
content/uploads/2015/01/Lagebericht2014.pdf
[4] “Chrysler recalls 1.4M vehicles after Jeep hack
http://www.computerworld.com/article/2952186/mobile-security/chrysler-recalls-14m-vehicles-after-jeep-
hack.html
[5] “Hospira LifeCare PCA Infusion System Vulnerabilities” – ICS CERT - https://ics-cert.us-
cert.gov/advisories/ICSA-15-125-01B
[6] “Methodologies for the identification of Critical Information Infrastructure assets and services”. – ENISA-
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/Methodologies-
for-identification-of-ciis
[7] “Hacking chemical plants for competition and extortion” – Marina Krotofil -
https://www.blackhat.com/docs/us-15/materials/us-15-Krotofil-Rocking-The-Pocket-Book-Hacking-Chemical-
Plant-For-Competition-And-Extortion-wp.pdf
[8] “Towards a Taxonomy of Intrusion Detection Systems and Attacks” - Malicious- and Accidental-Fault
Tolerance for Internet Applications (MAFTIA) - http://maftia.cs.ncl.ac.uk/deliverables/D3.pdf
[9] “Sequence-aware Intrusion Detection in Industrial Control Systems” – Marco Caselli, Emmanuele Zambon
and Frank Kargl - http://dl.acm.org/citation.cfm?id=2732200
[10] “REMOTE PHYSICAL DAMAGE 101 - BREAD AND BUTTER ATTACKS” – Jason Larsen -
https://www.blackhat.com/docs/us-15/materials/us-15-Larsen-Remote-Physical-Damage-101-Bread-And-
Butter-Attacks.pdf
[11] “Five myths of industrial control system security” – David Emm - http://www.scmagazineuk.com/five-
myths-of-industrial-control-system-security/article/431387/
[12] “Texas City Refinery explosion“ - https://en.wikipedia.org/wiki/Texas_City_Refinery_explosion
[13] “FATAL ACCIDENT INVESTIGATION REPORT - Isomerization Unit Explosion - Interim Report -
Texas City, Texas, USA “ John Mogford –
http://www.rootcauselive.com/Files/Past%20Investigations/BP%20Explosion/texas_city_investigation_report.
pdf