Internet of Things se expande. ¿La ciberseguridad sigue su paso?
José Luis Ponce González Desarrollo de Servicios y Soluciones de Seguridad, IKUSI CISM, CRISC, CISSP, CCC-PCSM
AGENDA
o ¿Que es el IoT?
o ¿Como está cambiando nuestro entorno con el IoT?
o Efectos del IoT desde la perspectiva de Ciberseguridad.
o Enfoques Importantes de la Ciberseguridad en el Futuro del IoT
o Sistemas SCADA retos de hoy y futuros
o Conclusiones.
Fuente: CISCO
Entre el 2008 y 2009
¿Qué es IoT?
“IoT is simply the point in time when more things or objects were connected to the Internet than people” (CISCO)
Origen
“The Internet of Things (IoT) is the network of physical objects that contain embedded technology to communicate and sense or interact with their internal states or the external environment “ (Gartner)
Casas Inteligentes Experiencia de Manejo
Fuente: www.xento.com
¿Como está cambiando nuestro entorno con el IoT?
Producción Automática Hospitales Inteligentes
Fuente: blog.mesa.org Fuente: www.psqh.com
¿Como está cambiando nuestro entorno con el IoT?
Ciudades Inteligentes Control de Suministro
Fuente: www.researchgate.net Fuente: smartgrid.billion.com
¿Como está cambiando nuestro entorno con el IoT?
Internet of Things (IoT)
Fuente: Symantec ISTR 2017
Principales vectores de ataque:
• Contraseñas débiles
• Mala configuración
2017
50K
2016
7K
600% De incremento en ataques
Android & iOS
Fuente: Symantec
Riesgos vigentes
Control vía Dispositivos móviles
El malware móvil continua surgiendo
24,000 aplicaciones móviles maliciosas son bloqueadas a diario 99.9% del malware es descubierto en app stores de terceros
Riesgos vigentes
Información Personal
- Refrigeradores Inteligentes - Administración de Medicamentos
- Televisiones Inteligentes - Alarmas y Sistemas de CCTV
- Dispositivos Conectados - Sistemas de Confort
Aplicación de IoT
Escenario Posible
Casas Inteligentes
Experiencia de Manejo
Hospitales Inteligentes
Líneas de Producción
Ciudades Inteligentes
Medios
APP
Escenario Inicial
¿Por qué es diferente el enfoque de IoT?
Efectos del IoT desde la perspectiva de Ciberseguridad
Motivaciones económicas
Implicaciones de Integridad
Ambientes fuera de TI
Impacto de los Mercados
Tiempos críticos de respuesta
Premisas importantes en IoT a considerar:
Efectos del IoT desde la perspectiva de Ciberseguridad
Desarrollo de Software
IoT de manera maliciosa
Costos Altos Vulnerabilidades en redes
Balance en Componentes
IoT
Una estrategia clara sobre SBOM permite el habilitamiento de “TOP to BOTTOM” para auditorias de calidad, administración de riesgos y cumplimiento del Software.
Efectos del IoT desde la perspectiva de Ciberseguridad
Fuente: Allan Friedman, Director of Cybersecurity
Nuevo Modelo de Ciberseguridad
Integridad
Datos People
Environments
Confidencialidad
Disponibilidad
Protección
Privacidad
Confiabilidad
Resiliencia
Confianza
Servicios
Fuente: GARTNER
Iniciativas en proceso
Enfoques importantes de la Ciberseguridad en el futuro del IoT
https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot/
Principios de Seguridad
Credenciales y Acceso
Privacidad Exposición y Notificación
https://otalliance.org/IoT
- Seguridad, privacidad y consideración del ciclo de vida. - Cubre dispositivos/sensores , apps y servicios de soporte.
Enfoques importantes de la Ciberseguridad en el futuro del IoT
Diferentes capas de datos
Enfoques importantes de la Ciberseguridad en el futuro del IoT
Retos en un ambiente de IoT
Datos Dinámicos
Colección de Datos Masivos
Cadenas de Suministros
Nuevos Productos Normas Vigentes
Enfoques importantes de la Ciberseguridad en el futuro del IoT
Servicios Digitales
Fuente: ForgeRock
Enfoque de Dispositivos Conectados……
- Existen para servir mejor a los usuarios y procesos de negocio. - No son efectivos en silos. - Requieren niveles variados de confianza y seguridad - Necesidad de Identidades Digitales, credenciales, autenticación y autorización. - Son diferentes dependiendo de la industria y casos de uso. - No es meritorio llamarlos más de manera genérica como “IoT”
No más IoT
Enfoques importantes de la Ciberseguridad en el futuro del IoT
Fuente: ForgeRock
Enfoques importantes de la Ciberseguridad en el futuro del IoT
El camino a seguir
Creación de estandares para
manejo de configuraciones
de fábrica de dispositivos
conectados
Mantener políticas y
procedimientos para
proteger activos en un
ambiente de dispositivos
conectados
Prácticas de adquisión de productos y dispositivos conectados
Aprender de la historia sobre los
riesgos de los dispositivos conectados
Concientización de la seguridad en ambientes de dispositivos conectados
Entender los retos
Gestionar el campo
de alcance Análisis de riesgos
del impacto
La industrialización del Hacking
APTs Cyberware Today +
Spyware and Rootkits 2005–Today
Virus 1990–2000
Hacking empieza a ser una industria
Ataques Sofisticados, Escenarios complejos
Phishing, Muy poco sofisticados
2000 1990 1995 2005 2010 2015 2020
Fuente: Cisco
Gusanos 2000–2005
CASO SCADA/ICS – OT (ICS Malware: Los tiempos importan)
Liberación Stuxnet
Detección Stuxnet
Liberación BlackEnergy
Liberación Havex
Detección Havex
Detección BlackEnergy
2008
2009 2010
2011 2012
2013 2014
2015
Fuente: CISCO
Sistemas de SCADA/ICS - OT bajo la lupa.
Source: SANS Survey: Business Advantage
Likelihood of an ICS Cybersecurity Attack
Quite Likely Very Likely
Not Very Likely Not at All Likely
Threats to Control System Security
Severe/Critical High
Security Events in Past 12 Months
More than 50 6-10 3-5 1-2 Unknown
Inciativas Gubernamentales
NIST framework
PPD 21
Regulaciones NERC CIP
CFATS
Crecimiento de Mercado IT vendors están queriendo
posicionar soluciones, pero no entienden ICS-OT
Cybersecurity está teniendo foco
CASO SCADA/ICS-OT
CASO SCADA/ICS - OT
SCADA/ICS
Retos de los sistemas
Seguridad
Incrementar Visibilidad y Segmentación
Alineación Estándares y Regulación con costos controlados
Detectar y Reaccionar ante Amenazas Avanzadas
Protección de sistemas legados
Migraciones a esquemas móviles y de Nube
Integración y Administración de redes, accesos remotos y cuentas administrativas
Control Acceso Lógico / Físico Clasificación Dispositivos y
Segmentación
1 • Dispositivo conectado a la red de control desde una subestación remota. • Dispositivo empieza comunicación con un sistema HMI.
Dispositivo Insertado
3
• Operaciones brinda una situación en tiempo real sobre la situación detectada.
• Se colectan las evidencias mediante grabaciones del sistema • Autoridades se despliegan al lugar de los hechos.
Seguridad Física
2
• Nueva comunicación de un patrón malicioso. • Se genera alerta de la anomalía, enviada la consolas del SOC • Se activan los sistemas de control de IT y las camaras de CCTV en la
subestación o línea de producción afectada.
Alertamiento Operativo
2
• Nueva comunicación de un patrón malicioso. • Se genera alerta de la anomalía, enviada la consolas del SOC • Se activan los sistemas de control de IT y las camaras de CCTV en la
subestación o línea de producción afectada
Alertamiento Operativo
Respuesta Incidentes and Surveillance/Video
Sistemas de Detección/Prevención de Anomalías
Alertamiento/Correlación de Seguridad
Monitoreo de Seguridad, Respuesta a Incidentes, Video, Desplazo de autoridades
3
• Operaciones brinda una situación en tiempo real sobre la situación detectada.
• Se colectan las evidencias mediante grabaciones del sistema • Autoridades se despliegan al lugar de los hechos.
Seguridad Física
CASO SCADA/ICS -OT (Contramedidas de un Posible Ataque)
Administración de Sesiones Privilegiadas
Administración de Contraseñas
Análisis de Anomalías en sesiones Privilegiadas
AC
CIO
NES
IMP
OR
TAN
TES
CASO SCADA/ICS – OT REDUCCIÓN VECTORES DE ATAQUE
Fuente: CyberArk
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
DMZ
Terminal Services Patch Management AV Server
Application Mirror Web Services Operations Application Server
Enterprise Network
Site Business Planning and Logistics Network E-Mail, Intranet, etc.
Factory Client
Batch Control
Discrete Control
Drive Control
Continuous Process Control
Safety Control
Sensors Drives Actuators Robots
Application Server
Factory Directory Engineering Workstation
Domain Controller
Factory Client
Operator Interface Engineering Workstation Operator Interface
Web E-Mail
CIP
Area Supervisory Control
Basic Control
Process
Activo NIPS, NFW, Cuentas Privilegiadas, app control, content security, Protección de malware, etc.
Activo NIPS, NFW, Cuentas Privilegiadas,Protección de malware, End-Point, etc.
Pasivo/Activo Monitoreo, Cuentas Privilegiadas, Sistemas de CCTV, Segmentación Zonas, App control, End-Point,
Protección de malware , etc.
CASO SCADA/ICS (MODELO)
IoT Endpoints
IoT Business Solution
IoT Platform
= Optional IoT Localized Device/Data Management, Apps/Analytics, Communications, Security
IoT Endpoints = Things +
= APIs
Mobile
Partners
IT Apps
Cloud
OT Apps
(ERP, CRM …) (MES, BMS …)
Customers
Business Outcomes
Holistic
APIs/Integration/MOM
Gateways
Things
Agents
Orchestration
BI/Analytics
APIs/Integration/MOM
Communications
Aggregated Device Management
Data/IM
Fuente: Gartner
= CyberSecurity
CASO SCADA/ICS - OT (PLATAFORMAS)
Conclusiones
Conocer el propósito del
dispositivo
Comunicación del dispositivo
Utilización de la Información
Intercomunicación de los servicios y “Things”