Pages

Friday, May 8, 2015

Ciberataque a ICS frente a ataque tradicional IT - ICS Cyber Kill Chain

Recientemente ha sido publicado un informe, desarrollado conjuntamente por la empresa Norse y el American Enterprise Institute (AEI), que ha provocado, días después, una respuesta desde SANS ICS criticando la interpretación de los datos presentados y las conclusiones finales. Dejando completamente de lado el carácter político del informe y la controversia generada, y centrándome exclusivamente en el ámbito técnico, me ha llamado especialmente la atención del documento de SANS ICS la definición que se presenta de ciberataque a un Sistema de Automatización y Control Industrial comparándolo con el ataque tradicional a infraestructuras IT.

Los autores del documento de SANS ICS utilizan una definición de lo que constituye un ataque a un ICS a lo que técnicamente se acepta como impacto real sobre un ICS y en patrones conocidos seguidos por los atacantes como el presentado por Lockheed Martin en el paper “Cyber Kill Chain”.

Nota: El término “Kill Chain” es un concepto militar referido a un proceso sistemático para identificar, estudiar, atacar y neutralizar a un adversario.

ICS Cyber Kill Chain


En la siguiente imagen se puede ver las dos etapas del “ICS Cyber Kill Chain”, el patrón definido por Lockheed Martin y adaptado al mundo industrial por SANS ICS. Como se puede ver, describe perfectamente lo que hoy en día se conoce más habitualmente como APT (Advanced Persistent Threat) industrial.


Fig 1 - ICS Cyber Kill Chain - Fuente SANS ICS

Las fases de la primera etapa (Intrusión) de un ciberataque a ICS son:

  • Planificación: Reconocimiento para la obtención de información e identificación de objetivos, mediante el uso de técnicas OSINT, footprinting y, posiblemente, fingerprinting.
  • Preparación: Obtención de herramientas y técnicas necesarias que, posteriormente en la fase de intrusión, serán utilizadas contra los objetivos identificados en la fase de planificación.
  • Intrusión: Despliegue de las herramientas y técnicas, obtenidas en la fase de preparación, para conseguir la explotación de vulnerabilidades en los objetivos identificados y, posteriormente, instalación del malware en el activo que se desea controlar para conseguir persistencia a lo largo del tiempo.
  • Centro de Mando y Control (C2, del inglés Command & Control): Establecimiento de un canal de comunicaciones con un sistema externo, controlado por el atacante, que permita la manipulación remota de los activos de la víctima.
  • Ejecución de las acciones maliciosas: Acciones como localización de nuevos objetivos, extracción de información sensible, robo de propiedad intelectual, etc. 

Fig 2 - Etapa 1 - Fuente SANS ICS

Esta etapa ya supondría en el mundo IT un ataque APT completo, una intrusión con persistencia y acciones maliciosas que afectarían al negocio. En el mundo ICS, sin embargo, esta sería una primera etapa donde, por ejemplo, se darían operaciones de inteligencia y espionaje industrial mas que ciberataques reales contra el ICS.

La segunda etapa es donde se produciría el ciberataque real contra el ICS.

Fig 3 - Etapa 2 - Fuente SANS ICS

Las fases de esta segunda etapa (Ataque) son:

  • Planificación y desarrollo: Una vez el atacante se ha infiltrado y establecido en la red de la víctima, necesita estudiar y desarrollar el plan de ataque. Lo que hace tan diferente un ataque contra un ICS, frente a un ataque tradicional IT, es que, para atacar a un ICS, es necesario un conocimiento profundo por parte del atacante de la arquitectura y configuración del sistema para conseguir afectar al proceso o a los sensores y actuadores. Este es el motivo por el cual los equipos atacantes cuentan con expertos en seguridad lógica y también con ingenieros industriales o de control.

  • Validación: Es necesario comprobar y validar el plan desarrollado en la fase anterior. Normalmente el atacante contaría con un laboratorio donde poder realizar las pruebas necesarias antes de lanzar el ataque real contra las instalaciones de la víctima.

  • Ataque al ICS: Esta es la fase definitiva del ataque al ICS. Existen muchas formas de atacar un ICS, pero los impactos funcionales más comunes serían:

    • Denial of View (DoV): Los operadores no pueden acceder a los equipos de supervisión de la planta en un momento dado. Provocado, por ejemplo, por un ataque de denegación de servicio contra el SCADA o contra pantallas HMI, que consiguiera mantenerlos fuera de línea durante un periodo de tiempo.
    • Loss of View (LoV): Inutilización completa y persistente de los sistemas de supervisión, SCADA o pantallas HMI, consiguiendo colgar o bloquear estos equipos.
    • Manipulation of View (MoV): Los datos mostrados por el SCADA/HMI son falsos porque se ha comprometido al propio SCADA/HMI o porque mediante técnicas de Man-In-The-Middle se altera o bloquea los protocolos de comunicación con campo. Por ejemplo, datos manipulados de sensores, falsas alarmas o alarmas que no se activan cuando deberían, etc.

    • Denial of Control (DoC): Los operadores no pueden acceder a los equipos de control de la planta en un momento dado. Puede deberse a fallos no intencionados (fallos de hardware, fallos físicos o de congestión de red, manipulaciones manuales, etc) o ataques maliciosos que provoquen denegación de servicio.
    • Loss of Control (LoC): Perdida importante y continuada de los equipos de control de la planta, donde los operadores no serían capaces de ninguna acción alternativa que impidiera un fallo catastrófico.
    • Manipulation of Control (MoC): Reprogramación de la lógica, configuración o parametrización de los PLC o RTU. MoC no tiene porqué afectar a las comunicaciones con los equipos de campo o con supervisión, pero si puede modificar el efecto de las órdenes recibidas desde el SCADA.

    • Activation of Safety (AoS): Conseguir sobrepasar una condición de umbral de seguridad, afectar a un permisivo, etc, que consiga activar de forma intencionada y maliciosa un mecanismo de safety.
    • Denial of Safety (DoSF): Conseguir anular los sistemas de safety, bien engañando o consiguiendo desactivar el sistema de seguridad contra accidentes.
    • Manipulation of Safety (MoSF): Cambio de consignas límite de funcionamiento, modificación de la lógica del proceso, etc, de forma que no se activen las medidas de safety cuando deberían hacerlo.

    • Manipulation of Sensors & Instruments (MoSI): Consecución del control, directo o indirecto, de sensores y/o actuadores.

(Impactos funcionales - Fuente Cybersecurity for Industrial Control Systems (Tyson Macaulay, Bryan L. Singer) y SANS ICS)

Diferencias entre ataque a IT frente a ciberataque contra un ICS


Diferencias según el alcance del ataque


Un ataque contra la infraestructura IT de una organización se limitará exclusivamente a la primera etapa de la “Kill Chain” descrita anteriormente. Es decir, esta etapa ya supondría en el mundo IT un ataque APT completo, una intrusión con persistencia y acciones maliciosas que afectarían al negocio.

En el caso de los ICS, según los objetivos que persiga el atacante, puede limitarse también a la primera etapa o, sin embargo, pasar a la segunda.
  • ICS, primera etapa: Atacantes que se limiten a esta primera etapa, serían aquellos que estuvieran interesados en operaciones de inteligencia y espionaje industrial. Hay que tener en cuenta que, en muchos casos, el ataque no pasa de esta etapa ya que puede tener más valor, por ejemplo, el robo de propiedad intelectual mediante la extracción silenciosa de información clasificada, que un ataque real contra las instalaciones físicas del ICS.

  • ICS, segunda etapa: Los atacantes que llegaran a esta segunda etapa, serían aquellos interesados en afectar a las instalaciones del ICS en si, a los sistemas de supervisión y/o control, a las medidas de safety, al propio proceso industrial o, incluso, conseguir ataques masivos causando el mayor daño posible más allá del ámbito geográfico de la instalación industrial.

Más información sobre ataques al proceso industrial en la entrada APT dirigido al proceso industrial

Diferencias según el impacto de los diferentes ataques


En el mundo IT un ataque de denegación de servicio puede llegar a ser uno de los peores escenarios. En este caso, el que los servicios básicos e imprescindibles no estén disponibles, aún durante un periodo de tiempo relativamente corto, puede afectar muy seriamente al negocio. Dentro de las implicaciones negativas que supondría un ataque de este tipo estarían:
  • Usuarios y/o clientes sin servicio, lo cual supondría una parada de la marcha natural del negocio.
  • Graves daños a la reputación de la empresa. La imagen pública quedarían seriamente dañada si la parada en el negocio no es adecuadamente gestionada.
  • Pérdida de la confianza de los clientes. Si el servicio no se recupera en un tiempo razonable o se llegara a producir perdida de los datos de los usuarios o clientes, cabría muchas posibilidades de que una importante masa de clientes migrara a la competencia.
  • Pérdida de ingresos durante la ventana de tiempo de inactividad.
  • Coste extra en técnicos, contra medidas, abogados, etc.
  • Multas desde la administración pública o demandas por parte de clientes.

En el caso de los ICS, un ataque de denegación de servicio contra, por ejemplo, los sistemas de supervisión u otros no tiene porqué suponer graves consecuencias si únicamente impide a los operadores actuar o supervisar el proceso durante un tiempo relativamente corto.

Si las intenciones del atacante fueran afectar, de alguna forma, a las instalaciones de la planta industrial o causar daño a las personas, cualquiera de los impactos funcionales descritos anteriormente en la etapa dos puede llegar a ser grave pero especialmente, los casos de Loss of Control (LoC), Loss of View (LoV), manipulación o deshabilitación de las medidas de safety (AoS, DoSF, MoSF) y, finalmente, el que el atacante consiga tomar el control de los actuadores de la planta industrial.

Si las intenciones del atacante fueran afectar al proceso industrial, manteniendo persistencia durante un tiempo prolongado, no ser descubierto y conseguir causar un daño masivo más allá incluso del ámbito geográfico de la instalación industrial, los impactos funcionales más importantes serían los casos de Manipulation of View (MoV) y Manipulation of Control (MoC).

Ejemplos del impacto que puede suponer estos ataques si, de forma silenciosa, se pudiera controlar el proceso sería provocar la contaminación de las aguas en una planta desalinizadora; o la alteración de las recetas de fabricación en la industria alimentaria o farmacéutica, de forma que se distribuyan productos con propiedades peligrosas; o la liberación de gases tóxicos en la industria química; o incluso la intervención en el proceso de fabricación de mecanismos de seguridad (“safety”) que luego se utilizarían en instalaciones críticas.

Más información en APT dirigido al proceso industrial

Conclusiones


Es fundamental reconocer las diferencias entre las infraestructuras IT (Information Technology) y las OT (Operation Technology) en cuanto a la operación, las necesidades, los perfiles de los usuarios, las particularidades de los sistemas, el entorno, etc. Al mismo tiempo, hay que también ser capaz de identificar los posibles riesgos de cada tipo de infraestructura y la forma más adecuada de implementar las medidas de seguridad, tanto física como lógica, que se requieran.

Para finalizar, algunas recomendaciones importantes a tener en cuenta para asegurar un ICS, serian:
  • Diseñar una buena arquitectura de red, que incluya segmentación y separación.
  • Implementar medidas de defensa en profundidad (Defense In Depth)
  • Implantar prácticas de Network Security Monitoring.
  • Invertir tiempo y recursos en formación y concienciación de los usuarios, de forma que estos sean capaces de identificar ataques de ingeniería social, de conocer los riesgos de ciertas prácticas muy extendidas (p.ej: uso de discos USB externos en los equipos SCADA), etc.
  • Crear un laboratorio de pruebas, donde sea posible comprobar la fiabilidad y el posible impacto de las medidas de seguridad a implantar. Por ejemplo, cómo un antivirus puede afectar al funcionamiento de un SCADA, cómo un canal cifrado puede afectar a un protocolo o equipo industrial, etc.
 

Referencias y más información


[1] https://www.aei.org/wp-content/uploads/2015/04/Growing-Cyberthreat-From-Iran-final.pdf
[2] http://ics.sans.org/media/SANSICS-DUC3-Norse-Iran-Report.pdf
[3] http://www.lockheedmartin.com/us/what-we-do/information-technology/cyber-security/cyber-kill-chain.html

No comments:

Post a Comment