Detección proactiva de amenazas en infraestructuras críticas

La semana pasada intervine en el III Congreso Iberoamericano de Ciberseguridad Industrial, un evento de referencia para el intercambio de conocimiento y experiencias de todos los actores involucrados en este ámbito y quería compartir con vosotros el tema del que allí hablé.

Os pongo en contexto:

En 1983 una infiltración en el Mando Norteamericano de Defensa Aeroespacial (NORAD) estuvo a punto de desatar la tercera guerra mundial. Sólo fue un juego. En realidad, nunca sucedió, se trata del argumento de la película de ficción Juegos de Guerra (WarGames , John Badham, 1983)

Veintisiete años después, en 2010, los ataques militares a las plantas nucleares iraníes llevados a cabo con el malware Stuxnet se hicieron mundialmente conocidos, incluso para aquéllos ajenos a la seguridad informática. Por primera vez la sociedad fue consciente de que las amenazas informáticas no sólo comprometen el mundo digital, sino que también son un riesgo, mucho mayor si cabe, para el mundo físico.

Cabe en este punto recordar a quienes ya lo conocen e informar a los neófitos acerca de SCADA. SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos. Este tipo de infraestructuras consiste en una arquitectura centralizada de ordenadores para la supervisión y control remoto y automático de una instalación o proceso industrial.

Tradicionalmente la seguridad para las infraestructuras SCADA se ha basado en estrategias estáticas que comprenden: la auditoría de la red para eliminar posibles brechas de seguridad, el aislamiento de la red o el bloqueo de intrusión por medio de firewalls, y el fortalecimiento de la seguridad de los terminales –esclavos o maestros– desconectando servicios innecesarios del sistema operativo, así como el análisis y resolución de errores de los sistemas operativos y el uso de antivirus.

Telefónica, con el proyecto Bands propone una original solución: la detección de anomalías en tiempo real buscando las secuelas que produce cualquier ataque o incidente. Bands está construido sobre la plataforma Sinfonier que posibilita la creación, edición y gestión de topologías para procesar flujos de datos por el sistema de computación en tiempo real Apache Storm.

Con el doble propósito de que Bands no sólo permita el procesamiento en tiempo real, sino también la personalización de las detecciones mediante la incorporación del conocimiento de las infraestructuras propias de cada cliente, la solución se ha desarrollado sobre Sinfonier.

Esta plataforma, aparte de escalabilidad, dinamismo y tolerancia a fallos, posibilita el trabajo conjunto y colaborativo entre Telefónica y sus clientes. Sinfonier permite crear módulos de procesamiento de manera sencilla y fácilmente integrable a través de una interfaz web que permite combinar los módulos de procesamiento -los propios y los genéricos alojados en la comunidad por Telefónica y otros desarrolladores- para así construir topologías complejas con un simple clic. De este modo, se empodera a la propia industria para que diseñe a medida su sistema de seguridad de Bands, según sus necesidades específicas. Sinfonier combina una interfaz fácil de usar, modular y adaptable, que se integra otras soluciones avanzadas de seguridad que sirven tanto como fuente de datos como destino de ellos.

Evaluación práctica de Bands

Se llevó a cabo en una central eléctrica, donde quedó patente que este servicio es capaz de dar respuesta a los problemas característicos de un Centro de Control (CC) de producción eléctrica. Bands fue capaz de detectar el siguiente tipo de anomalías:

  • Detección de interrupción en el reporte periódico y constante de medidas de generación eléctrica enviados desde las centrales al centro de control.
  • Detección de medidas erróneamente reportadas al CC, tanto medidas congeladas como medidas fuera del rango esperado.
  • Detección de otras situaciones interesantes para el administrador de un centro de control como son la detección de mensajes extraños, la aparición de nuevos hosts (servidores y centrales) y las anomalías horarias.

En un plano más específico, Bands detectó en las instalaciones las siguientes situaciones irregulares en tiempo real y también mediante un análisis detallado off line del proceso de modelado y sus resultados:

  • Switching de los dos servidores SCADA descubiertos en dos ocasiones. Esto ha dado lugar a una serie de alertas, descartables todas ellas por venir derivadas de dichos cambios de servidor.
  • Descubrimiento de centrales de producción no recogidas en la relación de centrales facilitada a los autores de este estudio.
  • Además, algunas centrales jamás se han visto intercambiando mensajería con los servidores SCADA más allá de simples intentos de establecimiento de conexión TCP.
  • Pérdida generalizada de reportes de medidas durante cortísimos periodos de tiempo que en todo caso no parecen afectar al funcionamiento general del sistema SCADA.
  • Existencia de determinadas medidas congeladas en un valor concreto durante largos periodos de tiempo.
  • Medidas que sobrepasan los rangos efectivos o aprendidos para cada uno de los tipos de mensaje existentes. Quedaría por comprobar que no sean falsos positivos al enfrentarlos a los rangos teóricos.

Más información del Congreso en Twitter: #CCICon3

Imagen: Jorge Franganillo

Project Manager graduado como Ingeniero de Telecomunicación por la Universidad Politécnica de Madrid, especializado en temas de ciberseguridad. Una década de experiencia en proyectos de seguridad: I+D, experimentación, entrenamiento y gestión de información/datos protección de infraestructuras de información críticas, metodología de seguridad en infraestructuras cloud y control de acceso e identidad.Mi tiempo libre es para mi hijo. Runner habitual.

Soluciones y Sectores

Te puede interesar

Conoce toda nuestra Propuesta de Valor para Grandes Clientes

Para tu conectividad

Somos líderes en tecnologías de conectividad, contamos con un potente ecosistema de alianzas, conocemos al 100% los procesos y aplicamos las tecnologías a las necesidades de cualquier sector.

Para tu nube

Todas las ventajas que el Cloud puede aportar a tu negocio: Soluciones de los principales proveedores y puesta en marcha por equipos profesionales de primer nivel.

Para tu Ciberseguridad y Seguridad Tecnológica

Somos conscientes de que es esencial dotar a las empresas de los recursos necesarios para hacer frente a los riesgos de seguridad que pongan en peligro su negocio y su reputación.

Para tus Procesos

Desde Telefónica Empresas, te ayudamos a conocer, reducir y controlar tus procesos, generar eficiencias y optimizar operaciones, garantizando la permanencia de tu negocio.

Para tus Clientes

Conectar con tus clientes es básico para la pervivencia de tu negocio. Te ofrecemos todo tipo de soluciones (CRM, Asistentes virtuales, Espacios inteligentes, líneas 900…)
empleados dispositivos

Para tus Empleados

La propuesta de Telefónica Empresas incluye todas las herramientas que tus empleados necesitan para trabajar con la mejor experiencia de usuario. Porque retener el talento es básico.

Consultoría e innovación tecnológica

Toda nuestra experiencia de transformación e innovación a tu alcance. Porque en Telefónica Empresas contamos con un equipo con experiencia tanto en proyectos internos de la compañía, como con clientes de distintos sectores y tamaños.

Ir arriba