Detección proactiva de amenazas en infraestructuras críticas

David Prieto Marqués    13 octubre, 2014

La semana pasada intervine en el III Congreso Iberoamericano de Ciberseguridad Industrial, un evento de referencia para el intercambio de conocimiento y experiencias de todos los actores involucrados en este ámbito y quería compartir con vosotros el tema del que allí hablé.

Os pongo en contexto:

En 1983 una infiltración en el Mando Norteamericano de Defensa Aeroespacial (NORAD) estuvo a punto de desatar la tercera guerra mundial. Sólo fue un juego. En realidad, nunca sucedió, se trata del argumento de la película de ficción Juegos de Guerra (WarGames , John Badham, 1983)

Veintisiete años después, en 2010, los ataques militares a las plantas nucleares iraníes llevados a cabo con el malware Stuxnet se hicieron mundialmente conocidos, incluso para aquéllos ajenos a la seguridad informática. Por primera vez la sociedad fue consciente de que las amenazas informáticas no sólo comprometen el mundo digital, sino que también son un riesgo, mucho mayor si cabe, para el mundo físico.

Cabe en este punto recordar a quienes ya lo conocen e informar a los neófitos acerca de SCADA. SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos. Este tipo de infraestructuras consiste en una arquitectura centralizada de ordenadores para la supervisión y control remoto y automático de una instalación o proceso industrial.

Tradicionalmente la seguridad para las infraestructuras SCADA se ha basado en estrategias estáticas que comprenden: la auditoría de la red para eliminar posibles brechas de seguridad, el aislamiento de la red o el bloqueo de intrusión por medio de firewalls, y el fortalecimiento de la seguridad de los terminales –esclavos o maestros– desconectando servicios innecesarios del sistema operativo, así como el análisis y resolución de errores de los sistemas operativos y el uso de antivirus.

Telefónica, con el proyecto Bands propone una original solución: la detección de anomalías en tiempo real buscando las secuelas que produce cualquier ataque o incidente. Bands está construido sobre la plataforma Sinfonier que posibilita la creación, edición y gestión de topologías para procesar flujos de datos por el sistema de computación en tiempo real Apache Storm.

Con el doble propósito de que Bands no sólo permita el procesamiento en tiempo real, sino también la personalización de las detecciones mediante la incorporación del conocimiento de las infraestructuras propias de cada cliente, la solución se ha desarrollado sobre Sinfonier.

Esta plataforma, aparte de escalabilidad, dinamismo y tolerancia a fallos, posibilita el trabajo conjunto y colaborativo entre Telefónica y sus clientes. Sinfonier permite crear módulos de procesamiento de manera sencilla y fácilmente integrable a través de una interfaz web que permite combinar los módulos de procesamiento -los propios y los genéricos alojados en la comunidad por Telefónica y otros desarrolladores- para así construir topologías complejas con un simple clic. De este modo, se empodera a la propia industria para que diseñe a medida su sistema de seguridad de Bands, según sus necesidades específicas. Sinfonier combina una interfaz fácil de usar, modular y adaptable, que se integra otras soluciones avanzadas de seguridad que sirven tanto como fuente de datos como destino de ellos.

Evaluación práctica de Bands

Se llevó a cabo en una central eléctrica, donde quedó patente que este servicio es capaz de dar respuesta a los problemas característicos de un Centro de Control (CC) de producción eléctrica. Bands fue capaz de detectar el siguiente tipo de anomalías:

  • Detección de interrupción en el reporte periódico y constante de medidas de generación eléctrica enviados desde las centrales al centro de control.
  • Detección de medidas erróneamente reportadas al CC, tanto medidas congeladas como medidas fuera del rango esperado.
  • Detección de otras situaciones interesantes para el administrador de un centro de control como son la detección de mensajes extraños, la aparición de nuevos hosts (servidores y centrales) y las anomalías horarias.

En un plano más específico, Bands detectó en las instalaciones las siguientes situaciones irregulares en tiempo real y también mediante un análisis detallado off line del proceso de modelado y sus resultados:

  • Switching de los dos servidores SCADA descubiertos en dos ocasiones. Esto ha dado lugar a una serie de alertas, descartables todas ellas por venir derivadas de dichos cambios de servidor.
  • Descubrimiento de centrales de producción no recogidas en la relación de centrales facilitada a los autores de este estudio.
  • Además, algunas centrales jamás se han visto intercambiando mensajería con los servidores SCADA más allá de simples intentos de establecimiento de conexión TCP.
  • Pérdida generalizada de reportes de medidas durante cortísimos periodos de tiempo que en todo caso no parecen afectar al funcionamiento general del sistema SCADA.
  • Existencia de determinadas medidas congeladas en un valor concreto durante largos periodos de tiempo.
  • Medidas que sobrepasan los rangos efectivos o aprendidos para cada uno de los tipos de mensaje existentes. Quedaría por comprobar que no sean falsos positivos al enfrentarlos a los rangos teóricos.

Más información del Congreso en Twitter: #CCICon3

Imagen: Jorge Franganillo

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *