CENTRO DE CIBERSEGURIDAD INDUSTRIAL

INFORME DE INCIDENTES DE CIBERSEGURIDAD EN LAS REDES DE AUTOMATIZACIÓN DE BRASIL 2016

Patrocinadores del CCI Platinum

Gold

Silver

Bronze

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Edición: diciembre 2016 Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra queda rigurosamente prohibida y estará sometida a las sanciones establecidas por la ley. Solamente el autor (Centro de Ciberseguridad Industrial, www.CCI-es.org), puede autorizar la fotocopia o el escaneado de algún fragmento a las personas que estén interesadas en ello.

4

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

El Centro de Ciberseguridad Industrial (CCI) es una organización independiente, sin ánimo de lucro, cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad Industrial desarrollando actividades de análisis, desarrollo de estudios e intercambio de información sobre el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, y cómo éstas suponen una de las bases sobre las que está construida la sociedad actual. CCI es el punto de encuentro, independiente, para los organismos, privados y públicos, y los profesionales relacionados con las prácticas y tecnologías de la Ciberseguridad Industrial; así como la referencia hispanohablante para el intercambio de conocimiento y experiencias y para la dinamización de los sectores involucrados en este ámbito. TI Safe es un proveedor brasileño de productos y servicios de calidad para la seguridad de la información. Presente en las principales ciudades de Brasil, ofrece una amplia gama de soluciones para los negocios, la industria y el gobierno. Es pionero en ciberseguridad, creando en 2008 su división de seguridad SCADA. Fue la primera empresa brasileña en proporcionar soluciones específicas para la seguridad de las redes industriales, basadas en la norma ANSI / ISA-99 y NIST SP 800-82, de la mano de profesionales del campo de la automatización, que cuentan con un amplio reconocimiento técnico, y certificaciones internacionales específicas de ciberseguridad en arquitecturas SCADA (AEAC). Actualmente la empresa cuenta con representación en el comité internacional de la norma ANSI / ISA-99 y desarrolla actividades de investigación en ciberseguridad de la automatización, algunas de las cuales han sido publicadas en artículos técnicos y presentadas en eventos nacionales e internacionales de seguridad de la automatización industrial.

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Lista de figuras Figura 1 - Evolución de los incidentes de seguridad en redes de automatización brasileñas. Figura 2 - Evolución del número de casos de infecciones por Malware en redes de automatización brasileñas

14 18

Lista de tablas Tabla 1 - Cantidad anual de incidentes de seguridad en redes de automatización Brasileñas Tabla 2 - Tipos de Malware descubiertos en redes de automatización brasileñas Tabla 3 - Top 10 – Aplicaciones de algo riesgo encontradas en redes de automatización brasileñas

14 19 20

Tabla 4 - Principales vulnerabilidades de aplicaciones en SCADA descubiertas en redes de automatización brasileñas

23

6

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Tabla de contenidos

0

Introducción

8

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Introducción

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

9

Este informe es un análisis detallado de los incidentes de ciberseguridad en las redes de automatización brasileñas, como parte de la investigación en curso, para entender la situación de las amenazas a la infraestructura crítica nacional de Brasil. Es una actualización de la primera versión de un informe publicado en 2014, y tiene como objetivo servir como fuente de referencia, e investigación de interés, para orientar a los gestores, respecto a las principales fuentes de amenazas y las vulnerabilidades por ellas explotadas. Todos los datos utilizados para la preparación del informe, fueron obtenidos a partir de proyectos reales, realizados por TI Safe en organizaciones industriales de Brasil, y tienen carácter confidencial. Por este motivo no se mostrarán ni nombres de organizaciones, ni diseños, ni se expondrá información técnica o financiera relevante. Es importante tener en cuenta que los datos que integran esta investigación no se corresponden con la totalidad de los incidentes de ciberseguridad ocurridos en las plantas industriales brasileñas. Estos datos representan exclusivamente una agregación de incidentes acaecidos en redes de automatización de organizaciones industriales en Brasil. Los datos presentados en este informe fueron

recogidos de septiembre 2008 a diciembre de 2015.

Cambio en la metodología de recogida de datos de incidentes En esta nueva versión del informe el método de recogida de datos de incidentes en las organizaciones industriales ha sido mejorado. Se ha pasado a utilizar un NGFW (Nueva Generación de Firewall o Firewall de Próxima Generación) que opera en la capa 7 (capa de aplicación) para recoger, no solo datos relativos a los incidentes de seguridad, sino también detalles técnicos sobre el malware, aplicaciones de alto riesgo que se ejecutan en las redes la automatización y las principales vulnerabilidades explotadas. A lo largo del informe se observa un aumento significativo en el número de incidentes de seguridad detectados a partir del año 2014. Esto se debe principalmente a la escasa atención que esta problemática había captado en los años anteriores. Se ha generado un informe que ofrece una mayor visibilidad de las amenazas a redes de automatización críticas de las infraestructuras de las organizaciones industriales.

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

1 Datos cuantitativos de incidentes de seguridad en las redes de automatización brasileñas

11

12

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

redes de automatización brasileñas

Datos cuantitativos de incidentes de seguridad en las

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

13

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

El año 2015 muestra claramente una explosión en el número de incidentes detectados de seguridad cibernética en las

Incidentes detectados por año Tipo de Amenaza

14

redes de automatización en Brasil, como se muestra en la tabla y en la figura, a continuación:

2008

2009

2010

2011

2012

2013

2014

2015

Total

Malware

1

1

2

2

3

7

104

667

787

Error Humano

2

2

3

4

3

3

21

56

94

Fallos en dispositivos

0

0

1

2

4

4

8

33

52

Sabotaje

0

0

1

0

0

0

1

1

3

No identificados

0

1

1

0

1

2

6

21

32

Tabla 1: Cantidad anual de incidentes de seguridad en redes de automatización Brasileñas

Figura 1: Evolución de los incidentes de seguridad en redes de automatización brasileñas

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

2 Malware: el villano principal de las redes de automatización

15

16

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

automatización

Malware: el villano principal de las redes de

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

17

18

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Los códigos dañinos, comúnmente conocidos como virus, (malware por su denominación inglesa) agrupan a todo el software o programa creado con la intención de generar funciones para penetrar en los sistemas, romper las reglas de seguridad, robar información y servir de base para otras operaciones ilícitas y/o perjudiciales.

El informe muestra que las infecciones por malware son la principal causa de incidentes de ciberseguridad en redes industriales en Brasil y, en 2015, se produjo una explosión en el número de máquinas infectadas, como se muestra a continuación:

Figura 2: Evolución del número de casos de infecciones por Malware en redes de automatización brasileñas

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

El Malware "Conficker Win32", dominó el recuento de infecciones detectadas en las instalaciones de automatización en Brasil

en ese período, y fue responsable de 395 de las 787 infecciones descubiertas.

Número de incidentes

Malware Net-Worm/Win32.Conficker.cw Virus/Win32.WGeneric.ewnbr Trojan-Downloader/Win32.agent.dn Virus/Win32.WGeneric.fbsza Virus/Win32.WGeneric.gczvh Trojan-Ransom/Win32.cryptodef.bf GenericR/Win32.dsc.c Virus/Win32.WGeneric.fpuiy Trojan/Win32.vobfus.jgcy Virus/Win32.WGeneric.gewzr None:goiaxt.com Virus/Win32.WGeneric.gdoqq

395 168 84 32 22 21 18 17 10 9 8 3

Tabla 2: Tipos de Malware descubiertos en redes de automatización brasileñas

Esta alta incidencia muestra que la mayoría de las redes de automatización en Brasil, no tienen recursos mínimos de seguridad frente a software malicioso, cuentan con máquinas sin antivirus, y con parches obsoletos, cuando existen. Este frágil escenario se debe básicamente a dos factores: el retraso de los fabricantes en la publicación y prueba de parches ya liberados, y la falta de buenas prácticas y políticas de ciberseguridad en las redes de automatización. El estudio realizado ha permitido verificar la existencia, a gran escala, de aplicaciones inseguras e inapropiadas para ser empleadas en redes de automatización. La transferencia de archivos a través de las diferentes aplicaciones puede conducir a la

pérdida de datos debido a la falta de detección de comunicaciones encapsuladas (mediante túneles, acceso a través de proxy) y puede provocar riesgos de cumplimiento; el uso abusivo de ancho de banda puede ser indicativo del uso de aplicaciones propensas al malware, o vulnerabilidades que pueden plantear riesgos para la continuidad de negocio, y los consiguientes costes operativos. La identificación de los riesgos que tiene una aplicación es el primer paso para la gestión eficaz de los riesgos corporativos relacionados. La siguiente tabla, muestra las diez aplicaciones con alto nivel de riesgo que se encontraron con mayor frecuencia

19

Aplicación de alto riesgo

Sesiones establecidas

http-proxy (proxy) Skype (voip-video) FTP (file sharing) webdav (file sharing) SMTP (email) x11 (remote access) google-docs-base (office programs) http-audio (audio streaming) rss (internet utility) Bittorrent (file sharing)

416392 56705 35372 20272 2118 1273 570 248 119 98

Tabla 3: Top 10 – Aplicaciones de alto riesgo

Los principales problemas relacionados con el uso de aplicaciones de alto riesgo en las redes de automatización son: Ocultación de la actividad: se encontraron aplicaciones con proxy y acceso remoto. Los empleados experimentados pueden estar utilizando estas aplicaciones para ocultar la actividad, y al hacerlo puede exponer a las redes de automatización a riesgos de cumplimiento y pérdida de datos. Transferencia de archivos y pérdida de datos: se utilizan a gran escala, en redes de automatización industrial, aplicaciones de intercambio de archivos (P2P o basadas en navegador). Este tipo de aplicaciones exponen a las empresas a la pérdida de datos y a riesgos de cumplimiento que pueden actuar como un vector de amenazas. Comunicaciones personales: se encontraron múltiples aplicaciones

que se utilizan comúnmente para comunicaciones personales, incluyendo aplicaciones de mensajería instantánea, correo electrónico, y VoIP/video conferencia. Este tipo de aplicaciones exponen a las empresas a una posible pérdida de productividad, riesgos de cumplimiento y para la continuidad del negocio. Aplicaciones de alto consumo de ancho de banda: se detectaron aplicaciones conocidas por consumir un alto ancho de banda, incluyendo foto/vídeo y audio. Este tipo de aplicaciones representan un gasto en la productividad de los empleados, y pueden consumir cantidades excesivas de ancho de banda, actuando como potenciales vectores de amenazas al degradar el tiempo de respuesta de las redes en tiempo real.

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

3 Las vulnerabilidades en los protocolos industriales

21

Las vulnerabilidades en los protocolos industriales

22

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Las vulnerabilidades en los protocolos industriales están siendo cada vez más explotadas. Independientemente del protocolo empleado ha aumentado la exposición de las aplicaciones que usan las redes de automatización industrial. Frente a esta circunstancia pueden emplearse túneles u otras técnicas evasivas, que se usan para

protegerse frente a vulnerabilidades, y para asegurar que las amenazas son detectadas y bloqueadas. Las vulnerabilidades de aplicaciones SCADA se han clasificado atendiendo a su gravedad y número, tal y como muestra la tabla a continuación:

Vulnerabilidades de aplicaciones SCADA

Protocolo

Cantidad

Modbus

5124628

SCADA ICCP COTP Connection Request from Unauthorized Client

cotp

3445262

SCADA ICCP Unauthorized COTP Connection Established

cotp

1232751

SCADA ICCP Unauthorized MMS Write Request Succeeded

iccp

989098

SCADA DNP3 Unauthorized Read Request to a PLC Atempt

dnp3

576098

SCADA Password Crack Brute-Force Attack

cotp

199089

SCADA DNP3 Unauthorized Write Request to a PLC Atempt

dnp3

87999

SCADA ICCP Unauthorized Association Request

iccp

24509

SCADA Modbus Read Request to a PLC Attempt (modbus-read- info-leak)

Tabla 4: Principales vulnerabilidades de aplicaciones en SCADA descubiertas en redes de automatización brasileñas

23

24

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

4 Conclusiones

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

25

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Conclusiones

26

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Brasil ha vivido en 2015 un notable incremento de la ciberdelincuencia; y en particular de los ataques dirigidos a las redes de automatización industrial. La cantidad de incidentes de ciberseguridad observados a lo largo del citado ejercicio ha superado la suma de los producidos durante todo el periodo 2008-2014, lo que representa una evolución alarmante. Las infraestructuras críticas brasileñas deben tomar inmediata conciencia ante semejante escenario y poner en marcha los controles de seguridad necesarios, que cubran un conjunto de amenazas como las documentadas en esta investigación. Los procedimientos -basados en buenas prácticas y recomendaciones- y la concienciación y formación de las personas constituyen los principales retos a abordar ante el panorama descrito. Así pues, cabe apuntar como las principales medidas de seguridad a adoptar, las siguientes: Aumentar el control sobre las aplicaciones que hacen uso de las redes de automatización. La mayoría de las organizaciones cuyos datos fueron consolidados en este informe, no contaban con una política adecuada para la gestión de sus aplicaciones – porque no había sido necesario históricamente-. Debido al creciente número de aplicaciones controladas por los usuarios en las que se aprecia una tendencia a hacer más laxos los controles de acceso -lo que supone una mayor amenaza-, se recomienda la adopción de políticas más rigurosas destinadas a limitar el uso de aplicativos a los estrictamente necesarios para la

operación y supervisión de la planta; y a robustecer los mecanismos de acceso a los mismos. A través de una correcta segregación de funciones, operadores y usuarios deben disponer de los mínimos privilegios de acceso a las aplicaciones: exclusivamente, aquellos requeridos por su actividad diaria y para los cuales cuenten con la pertinente autorización. Minimizar los riesgos relacionados con el uso, en las redes de automatización, de aplicaciones P2P y/o de intercambio de archivos basado en navegador. Existe un alto riesgo para la seguridad y el cumplimiento, asociado con estas aplicaciones. Pueden generar problemas sobre las redes en tiempo real, ya que los empleados pueden utilizar estas aplicaciones para eludir los controles de seguridad existentes. Sin la comprensión, categorización y reducción de riesgos, la red de automatización de la empresa se expone a una posible transferencia de datos no autorizados, violaciones de cumplimiento, y amenazas asociadas con las aplicaciones. Adoptar políticas que delimiten el uso de aplicaciones que oculten la actividad. Los empleados que desean ocultar sus actividades, en ocasiones, lo hacen mediante el uso de aplicaciones de anonimización, como proxies, accesos remotos y túneles cifrados. Esta práctica representa un riesgo corporativo y de seguridad para las redes de las empresas.

27

28

Informe de incidentes de ciberseguridad en las redes de automatización de Brasil 2016

Promover la supervisión y el control de las aplicaciones dentro de las redes de automatización. La única forma de reducir el riesgo ligado a las aplicaciones pasa, en primer lugar, por conocer qué aplicaciones están siendo utilizadas dentro de las redes de automatización, sus riesgos corporativos y de seguridad asociados, y en segundo lugar, por crear y aplicar políticas de seguridad pertinentes. Copias de seguridad y restauración de las mismas. Las copias de seguridad y su restauración permiten, en los procesos de automatización y control industrial, recuperar la lógica de control del proceso que haya podido perderse. Protección de las consolas de operación y supervisión. Las consolas que se utilizan en las salas de control para operar, controlar y supervisar el proceso, por parte de los operadores de planta deben estar dedicadas, exclusivamente, a las funciones típicas de operación, ingeniería y mantenimiento. De ese modo, todas las aplicaciones, servicios y puertos que no sean necesarios para apoyar dichas funciones deberán ser eliminados o deshabilitados para prevenir la exposición de vulnerabilidades que puedan ser explotadas dentro del sistema. Seguridad en redes. Se establecerán perímetros de seguridad en las redes de acceso para poder filtrar y restringir los puntos de acceso, impidiendo así que software no deseado pueda introducirse en el sistema de automatización y control del

proceso. Este nivel de seguridad en la red puede establecerse mediante la instalación de cortafuegos, empleados para segmentar la red. Bajo ningún concepto debería permitirse acceso directo a Internet o disponer de una dirección IP pública que permita el acceso directo desde una red externa. Formación y concienciación. La formación y la concienciación del personal de operación y mantenimiento son aspectos críticos para garantizar la ciberseguridad de las instalaciones industriales automatizadas, ya que, en gran medida, ésta dependerá de las acciones realizadas por dicho personal durante el desempeño de sus funciones laborales. Gestión de cambios derivados de incidentes de ciberseguridad. El ciclo de vida del proyecto debe asegurar que los cambios que se realicen estén basados en un procedimiento formal de gestión de cambios (por obsolescencia, cambios en la operación o normativas, incidentes o fallos). Cuando se detecta un incidente de ciberseguridad, debe realizarse un análisis, con el objetivo de identificar la causa y establecer un plan de acción, para reducir el riesgo, la fecha de ejecución y las lecciones aprendidas, para evitar que el incidente pueda producirse de nuevo. Proceso continuo de gestión de la ciberseguridad. El tratamiento eficaz, eficiente y continuado de los riesgos sobre la ciberseguridad de los sistemas de automatización y control industrial requieren de un proceso continuo de gestión.

REFERENCIAS BIBLIOGRÁFICAS [REF. 001] Segurança de automação industrial e SCADA / Marcelo Ayres Branquinho ... [et al.]. 1. ed. - Rio de Janeiro. Elsevier, 2014.

[REF. 002] Trend Micro Incorporated. (2013). Threat Encyclopedia. “WORM_DORKBOT: IRC Bots Rise Again?” http://www.trendmicro.com/vinfo/us/threat-encyclopedia/webattack/102/worm_dorkbot-irc-bots-rise-again .

C/ Maiquez, 18 · 28009 MADRID Tel.: +34 910 910 751 e-mail: [email protected] www.CCI-es.org Blog: blog.CCI-es.org Twitter: @info_CCI