Un sistema ciberfísico es todo aquel dispositivo que integra capacidades de computación, almacenamiento y comunicación para controlar e interactuar con un proceso físico. Los sistemas ciberfísicos están, normalmente, conectados entre sí y también con servicios remotos de almacenamiento y gestión de datos.

 

La sonda SAT ICS puede desplegarse en diferentes entornos, tales como:

• Infraestructuras del ciclo integral del agua (captación, tratamiento (ETAP y EDAM), almacenamiento, distribución, saneamiento y depuración (EDAR)).
• Operadores de transporte y logísticos (autoridades portuarias, aeroportuarias, transporte terrestre, almacenes automatizados o grandes logísticas).
• Infraestructuras energéticas (generación, transporte, distribución eléctrica, plantas de regasificación y almacenamientos de hidrocarburos).
• Infraestructuras de tratamiento de residuos.
• Sistemas de radiodifusión.
• Manufactura.
• Centros sanitarios.
• Institutos y centros de investigación.
• Componentes de Smart Cities (sistemas de gestión de alumbrado público, control de tráfico, etc.).
• Sistemas de gestión de edificios (BMS - Building Management Systems).

 

La sonda es un servidor de alto rendimiento que permite el análisis del tráfico de la red del Organismo adscrito, la generación de eventos específicos de seguridad y su envío de forma segura al sistema central. Consta de los siguientes elementos:

• La interfaz de gestión, que se conecta a la red del Organismo para enviar al sistema central del SAT los eventos generados por la sonda.
• Los interfaces de análisis, que reciben el tráfico a analizar y que no tienen dirección IP, siendo totalmente transparentes a la red.
• Un sistema de detección de intrusiones de red (NIDS), con reglas de detección específicas de diferentes fuentes (incluyendo específicas para sistemas SCADA) y de creación propia.
• Un conjunto de agentes específicos para detectar anomalías en entornos ICS, incluyendo un análisis de la estructura de comunicaciones de la red y los disectores de protocolos industriales.
• Un recolector de los eventos detectados para su envío al Sistema Central. Este agente inicialmente estará configurado para el análisis de los eventos generados por las distintas herramientas de detección que se incorporen.

 

La sonda puede implantarse en distintos puntos de la red dentro de la infraestructura del Organismo, típicamente en los anillos de comunicaciones industriales o en las interconexiones entre los niveles de control, campo y supervisión y sus comunicaciones con el exterior.

Dependiendo de la arquitectura de la red y las capacidades que esta ofrezca para la monitorización, se estudiará junto con el Organismo la estrategia que mejor se adapte a sus posibilidades, que se pueden clasificar a grandes rasgos en 2 tipos:

• Monitorización interna de las redes:

  En aquellos casos en los que sea posible realizar un “puerto espejo” de la electrónica de red interna de las distintas redes de control o supervisión, se podrá monitorizar el tráfico interno de dichas redes de manera diferenciada, así como el tráfico que entre o salga de estas.

  
  Esquema de monitorización interna

• Monitorización perimetral interna:

  En aquellos casos en los que no se considere adecuado realizar un “puerto espejo” de la electrónica de red interna de las distintas redes de control o supervisión, se podrá (si la tecnología de la infraestructura lo permite) realizar una monitorización del tráfico que llega al cortafuegos o router que segmenta las distintas redes, con el fin de monitorizar todo el tráfico que entre o salga de las redes de sistemas ciberfísicos.

  
  Esquema de monitorización perimetral

   

El sistema central es el encargado de la recolección de la información proveniente de las distintas sondas y de la correlación de eventos para detectar incidentes de seguridad.

Está compuesto por diferentes elementos:

• Recolector de eventos. Es el encargado de recibir los eventos que provienen de los diferentes sistemas a analizar y de enviarlos al bus de eventos del que se nutre el siguiente elemento.
• Motor de correlación. Es el encargado de procesar la información que llega al bus de eventos. Este elemento del sistema implementa reglas de correlación que son las que deciden si se genera o no una alerta en respuesta a los eventos recibidos.
• Consola única de operador. Es la que permite el análisis de las alertas generadas tras la correlación de los eventos recibidos por el sistema.
• Cuadro de mando activo. Es el que presenta información relativa a los procesos monitorizados y permite la visualización de indicadores.

 

La gestión, actualización y mantenimiento del sistema central está a cargo del CCN-CERT, que con un equipo de expertos en ciberseguridad lleva a cabo tareas de administración, maduración de las reglas de detección e inclusión de posibles nuevas fuentes.

 

Dependiendo de las características de la red y de los sistemas monitorizados, se recomiendan dos tipos diferentes de sonda, cuyos requerimientos hardware para el adecuado funcionamiento son los siguientes:

1) Sonda Estándar:

2) Minisonda:

La minisonda (**) SAT-ICS está pensada para instalaciones industriales donde no es posible instalar la sonda SAT-ICS estándar por uno o varios de los siguientes motivos:

• Se dispone de poco espacio físico para la instalación de la sonda.
• Necesidades especiales de montaje en rack (carril DIN, etc.).
• Condiciones ambientales desfavorables (humedad, temperatura, polvo, etc.).
• El tráfico a analizar no supera 1Gbps de throughput.

(*) Los requerimientos hardware pueden sufrir variaciones en un futuro debido a la incorporación de nuevas capacidades de detección que incurran en una mayor demanda computacional.

(**) Cabe destacar que son equipos que van a estar trabajando 24x7 los 365 días del año. Es requerimiento esencial el uso de un equipo de tipo servidor, tanto si es enracable como para bandeja o para carril DIN. Debe evitarse el uso de equipos convencionales de puesto de trabajo.

 

El transporte de los eventos se realiza de forma segura a través de un túnel cifrado por la salida de Internet del Organismo hacia el Sistema Central, con lo que la confidencialidad e integridad de la información queda garantizada. La conexión entre la sonda individual y el sistema central se puede establecer de dos formas:

• Conexión de la sonda a Internet a través de la infraestructura de Internet del Organismo adscrito.
• Conexión directa de la sonda a una conexión a Internet independiente de la red del Organismo.

 

Las sondas únicamente envían hacia el sistema central alertas de seguridad generadas tras la detección de algún tipo de evento, definidos en las reglas de detección integradas en el sistema, y que responden a patrones de tráfico potencialmente dañinos, de comportamientos conocidos de determinado tipo de código dañino o a usos no habituales o potencialmente peligrosos de los sistemas de control industrial. En ningún momento se realiza un envío del tráfico de red del Organismo hacia el sistema central, manteniéndose así la privacidad en las comunicaciones.

 

La finalidad de la sonda es detectar ataques que se produzcan en las redes del Organismo y dar una respuesta rápida y eficaz ante incidentes, aunque el trabajo de detección se centrará principalmente en detectar actividad anómala o potencialmente peligrosa en estos sistemas y en la detección de intentos de intrusión sobre estas redes. La base del servicio radica en la identificación de aquellas situaciones que pueden suponer un riesgo para la infraestructura y en la definición de reglas para su detección, partiendo del conocimiento de la forma en que se explotan este tipo de sistemas.

Una característica del sistema SAT-ICS es que permite trabajar con los protocolos industriales, analizando también el payload de los paquetes (Deep Packet Inspection o DPI) para identificar el fin de un determinado comando: descargar o cargar programas en los PLC, escanear la red para identificar los equipos que forman parte de ella o el envío de comandos potencialmente peligrosos, por ejemplo. Actualmente es posible analizar el tráfico de los protocolos recogidos en la siguiente tabla:

Nuevos protocolos se añaden a la lista continuamente. También existe la posibilidad de implementar el análisis de protocolos específicos desarrollados a medida para un Organismo.

 

El portal del SAT es el lugar en el que el personal responsable de la ciberseguridad del Organismo adscrito puede visualizar en tiempo real los eventos generados por su sonda y que han sido enviados al sistema central. Además, permite acceder a la herramienta LUCIA para la gestión de los incidentes que hayan sido detectados por la sonda y comunicados al organismo.

Del mismo modo, también es posible el acceso a estadísticas e informes sobre el servicio ofrecido por este Sistema de Alerta Temprana.

A través de este portal también es posible visualizar de forma gráfica el mapa de activos de las redes monitorizadas, con sus correspondientes comunicaciones habituales o anómalas y enriquecidas con información adicional extraída de forma pasiva. Este mapa de activos proporciona capacidades de búsqueda y filtrado para facilitar la investigación de incidentes o simplemente aumentar el conocimiento de la red.

Mapa de activos y conexiones

El acceso a este portal se ofrece al personal del Organismo una vez se realiza la instalación de la sonda y el Organismo queda adscrito al SAT de ICS.

Adicionalmente, en el portal SAT se ofrece a los Organismos un cuestionario que permite a los operadores del sistema adaptar el tipo de alertas que se generan a sus características específicas y capacidad de gestión de incidentes de seguridad.

Portal Sistema de Alerta Temprana

 

La gestión y administración de la sonda se realiza por el personal técnico del CCN-CERT, para mantener un sistema lo más homogéneo posible. Entre las tareas de gestión y administración se incluyen la actualización diaria de las reglas de detección, actualizaciones de sistema operativo, actualización de las aplicaciones, aplicación de parches de seguridad de sistema operativo y de aplicaciones, particularización de las reglas de detección, etc.

 

Únicamente tendrán acceso a la información del Organismo adscrito los responsables de la seguridad TIC seleccionados por el propio Organismo para tal efecto y los administradores del sistema, es decir, el equipo de expertos del CCN-CERT que monitoriza el sistema central de sondas. Ninguna otra persona tendrá acceso a esta información. Es importante saber que ningún Organismo tendrá acceso a la información de otros organismos adscritos y únicamente podrá ver el estado de seguridad de su propia red, si bien sí que será usada la detección de eventos distribuida para la generación de la inteligencia del sistema de forma automatizada. En este sentido, como en todas las materias competencia del Centro Criptológico Nacional, la política a seguir será la de mantener en todo momento la confidencialidad de la información tratada.

 

Cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país que dependan para su operación de sistemas ciberfísicos de todo tipo puede adherirse al Sistema de Alerta Temprana SAT-ICS, contactando con el CCN-CERT a través de la cuenta de correo

 

El Organismo que esté adscrito al Sistema de Alerta Temprana SAT-ICS, recibirá periódicamente informes de estado del servicio. Entre otra información, los informes incluyen la actividad anómala y los ataques detectados en cada Organismo, los incidentes gestionados en un período de tiempo y un listado de todos los incidentes pendientes de resolver.

Del mismo modo, anualmente recibirá un informe en el que se recogerá la actividad de la sonda durante ese periodo e indicadores que permitirán valorar tanto el servicio ofrecido por el SAT como la capacidad de respuesta del Organismo en la resolución de los incidentes de seguridad gestionados.

 

Para la recepción de los incidentes el Organismo que esté adscrito al Sistema de Alerta Temprana SAT-ICS deberá disponer de una cuenta de correo a la que enviar la notificación de los incidentes de seguridad. Esta cuenta de correo deberá ser única, por lo que se recomienda al Organismo la creación de una lista de distribución que reciba todo el personal que vaya a encargarse de la investigación de los incidentes de seguridad.

La información referente a los incidentes de seguridad detectados por el personal técnico del CCN-CERT estará disponible en la herramienta LUCIA, al que tendrán acceso los responsables de seguridad de los Organismos adheridos a este servicio, donde podrán realizar el seguimiento de los incidentes notificados y donde podrán informar de las acciones llevadas a cabo para la resolución del mismo.

LUCIA es la herramienta de ticketing para la gestión de incidentes de seguridad desarrollada por el CCN-CERT (puede encontrar más información referente a LUCIA en https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/lucia.html).

Aunque la información relativa a los incidentes de seguridad notificados al Organismo se encontrará en la herramienta LUCIA, ante la posible necesidad de intercambio de información referente a los incidentes de seguridad a través del correo electrónico, será necesario que el organismo genere un par de claves PGP/GPG para intercambiar información de manera cifrada en el caso que fuese necesario. Una vez generadas las claves PGP/GPG asociadas a esta cuenta de correo, el Organismo deberá remitir al CCN-CERT la clave pública para poder cifrar la información que éste quisiera remitir de manera cifrada. Igualmente, el CCN-CERT proporcionará la clave pública de la cuenta de correo utilizada para la notificación de incidentes para que el Organismo pueda también enviarle información cifrada en caso necesario.