Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

SAT-ICS

Servicio de Alerta Temprana para Sistemas de Control Industrial

El SAT-ICS es un servicio desarrollado e implantado por el CCN-CERT para la detección en tiempo real de las amenazas e incidentes existentes en el tráfico en las redes de control y supervisión industrial del Organismo adscrito. A él puede adherirse cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país que dependan para su operación de tecnologías ICS.

La misión de este servicio es detectar patrones de distintos tipos de ataque y amenazas mediante el análisis del tráfico, incluyendo el tráfico en protocolos industriales gracias a capacidades de DPI (Deep Packet Inspection).

El SAT ICS se ha desarrollado teniendo en cuenta que la convergencia de las Tecnologías de la Información y las Tecnologías Operacionales (IT/OT) es una tendencia inevitable y a la vez fundamental para dar soporte a los procesos de negocio industriales actuales, pero que debe abordarse de una manera adecuada y coordinada, garantizando la seguridad de las instalaciones.

Una de las herramientas al alcance de los responsables de seguridad de Organismos públicos que explotan o dependen de infraestructuras industriales es el análisis del tráfico en las redes de supervisión y control para detectar de forma precoz anomalías en el mismo que pudieran ser indicativas de un incidente de ciberseguridad.

Disponer de una visión holística y distribuida de los riesgos y amenazas que se producen en los distintos organismos, frente a una visión centrada en el tráfico de una única organización, permite mejorar de una forma muy importante las capacidades de detección de tráfico anómalo que, de otro modo, podría pasar desapercibido. De ahí, la importancia de este servicio.

Sonda individual

Para su puesta en marcha es necesaria la implantación de una sonda individual en la red del Organismo, que se encarga de detectar y recolectar la información de seguridad más relevante y, después de un primer filtrado, enviar estos eventos de seguridad hacia el sistema central (gestionado por el CCN-CERT) que realiza una correlación entre los distintos elementos y entre los distintos dominios (organismos). Inmediatamente después, el Organismo adscrito recibe los correspondientes avisos y alertas sobre los incidentes detectados.

La sonda es un servidor dedicado que incorpora varias herramientas de detección y monitorización, incluyendo un sistema de detección de intrusos (IDS – Intrusion Detection System) y otros agentes de propósito específico, tanto de código abierto como comerciales, y que cuenta con dos interfaces de red diferenciados:

  • Interfaz de análisis: recibe una copia del tráfico del organismo para analizar. Este interfaz solo lee el tráfico fuera de línea, sin modificarlo en ningún momento, y sólo aquel que es necesario para desarrollar su función.
  • Interfaz de gestión: conecta a través de Internet de forma segura con el sistema central de monitorización/correlación, haciendo uso de la infraestructura del Organismo o de una conexión independiente.


Figura 1. Arquitectura SAT-ICS

FAQ

¿Qué es una sonda?

La sonda es un servidor de alto rendimiento que permite el análisis del tráfico de la red del Organismo adscrito, la generación de eventos específicos de seguridad y su envío de forma segura al sistema central. Consta de los siguientes elementos:

  • La interfaz de gestión, que se conecta a la red del Organismo para enviar al sistema central del SAT los eventos generados por la sonda.
  • Los interfaces de análisis, que reciben el tráfico a analizar y que no tienen dirección IP, siendo totalmente transparentes a la red.
  • Un Sistema de Detección de Intrusiones de Red (IDS), con reglas de detección específicas de diferentes fuentes (incluyendo específicas para sistemas SCADA) y de creación propia.
  • Un conjunto de agentes específicos para detectar anomalías en entornos ICS, incluyendo un análisis de la estructura de comunicaciones de la red y los disectores de protocolos industriales.
  • Un recolector de los eventos detectados para su envío al Sistema Central. Este agente inicialmente estará configurado para el análisis de los eventos generados por las distintas herramientas de detección que se incorporen.

 

¿Dónde se instala una sonda?

La sonda puede implantarse en distintos puntos de la red dentro de la infraestructura del Organismo, típicamente en los anillos de comunicaciones industriales o en las interconexiones entre los niveles de control, campo y supervisión y sus comunicaciones con el exterior.

La sonda puede estar conectada a distintas redes para realizar una monitorización diferenciada, siempre que existan suficientes interfaces de red disponibles en el servidor (y en la electrónica de red) para llevar a cabo esta tarea. En cada caso se estudiará junto con el Organismo cual es la situación ideal donde realizar la instalación de la sonda.

 

¿Qué es el sistema central?

El sistema central es el encargado de la recolección de la información proveniente de las distintas sondas y de la correlación de eventos para detectar incidentes de seguridad.

Está compuesto por diferentes elementos:

  • Recolector de eventos. Es el encargado de recibir los eventos que provienen de los diferentes sistemas a analizar y de enviarlos al bus de eventos del que se nutre el siguiente elemento.
  • Motor de correlación. Es el encargado de procesar la información que llega al bus de eventos. Este elemento del sistema implementa reglas de correlación que son las que deciden si se genera o no una alerta en respuesta a los eventos recibidos.
  • Consola única de operador. Es la que permite el análisis de las alertas generadas tras la correlación de los eventos recibidos por el sistema.
  • Cuadro de mando activo. Es el que presenta información relativa a los procesos monitorizados y permite la visualización de indicadores.

 

¿Quién monitoriza el sistema central?

La gestión, actualización y mantenimiento del sistema central está a cargo del CCN-CERT, que con un equipo de expertos en seguridad de la información lleva a cabo tareas de administración, maduración de las reglas de detección e inclusión de posibles nuevas fuentes.

 

¿Qué características debe tener el servidor?

Las tipologías de hardware recomendadas, en función del tipo de infraestructura a analizar, son los siguientes:

 

¿Cómo se envían los eventos al sistema central?

El transporte de los eventos se realiza de forma segura a través de un túnel cifrado por la salida de Internet del Organismo hacia el Sistema Central, con lo que la confidencialidad e integridad de la información queda garantizada. La conexión entre la sonda individual y el sistema central se puede establecer de dos formas:

  • Conexión de la sonda a Internet a través de la infraestructura de Internet del Organismo adscrito.
  • Conexión directa de la sonda a una conexión a Internet independiente de la red del Organismo.

 

¿Qué información se envía al sistema central?

Las sondas únicamente envían hacia el sistema central alertas de seguridad generadas tras la detección de algún tipo de evento, definidos en las reglas de detección integradas en el sistema, y que responden a patrones de tráfico potencialmente dañinos, de comportamientos conocidos de determinado tipo de código dañino o a usos no habituales o potencialmente peligrosos de los sistemas de control industrial. En ningún momento se realiza un envío del tráfico industrial del Organismo hacia el sistema central, manteniéndose así la privacidad en las comunicaciones.

 

¿Qué tipo de ataques puede detectar el servicio SAT-ICS?

La finalidad de la sonda es detectar ataques que se produzcan en las redes industriales del Organismo y dar una respuesta rápida y eficaz ante incidentes, aunque el trabajo de detección se centrará principalmente en detectar actividad anómala o potencialmente peligrosa en los ICS y en la detección de intentos de intrusión sobre estas redes. La base del servicio radica en la identificación de aquellas situaciones que pueden suponer un riesgo para la infraestructura de control y en la definición de reglas para su detección, partiendo del conocimiento de la forma en que se explotan este tipo de sistemas industriales.

Una característica del sistema SAT-ICS es que permite trabajar con los protocolos industriales, analizando también el payload de los paquetes (Deep Packet Inspection o DPI) para identificar el fin de un determinado comando: descargar o cargar programas en los PLC, escanear la red de control para identificar los equipos que forman parte de ella o el envío de comandos potencialmente peligrosos, por ejemplo. Actualmente es posible analizar el tráfico de los principales protocolos empleados en este tipo de entornos (S7COM de Siemens, FINS de Omron, Ethernet IP de Rockwell, Modbus, IEC-60.870-104, DNP3, etc.) y nuevos protocolos se añaden a la lista continuamente. También existe la posibilidad de implementar el análisis de protocolos específicos desarrollados a medida para un Organismo.

 

¿Qué es el portal SAT?

El portal del SAT es el lugar en el que el personal responsable de la ciberseguridad de los ICS del Organismo adscrito puede visualizar en tiempo real los eventos generados por su sonda y que han sido enviados al sistema central. Además, permite acceder a la herramienta LUCIA para la gestión de los incidentes que hayan sido detectados por la sonda y comunicados al organismo.

Del mismo modo, también es posible el acceso a estadísticas e informes sobre el servicio ofrecido por este Sistema de Alerta Temprana.

El acceso a este portal se ofrece al personal del Organismo una vez se realiza la instalación de la sonda y el Organismo queda adscrito al SAT de Internet.

 

¿Quién realiza la gestión de la sonda?

La gestión y administración de la sonda se realiza por el personal técnico del CCN-CERT, para mantener un sistema lo más homogéneo posible. Entre las tareas de gestión y administración se incluyen la actualización diaria de las reglas de detección, actualizaciones de sistema operativo, actualización de las aplicaciones, aplicación de parches de seguridad de sistema operativo y de aplicaciones, particularización de las reglas de detección, etc.

 

¿Quién tendrá acceso a la información de mi Organismo?

Únicamente tendrán acceso a la información del Organismo adscrito los responsables de la seguridad TIC seleccionados por el propio Organismo para tal efecto y los administradores del sistema, es decir, el equipo de expertos del CCN-CERT que monitoriza el sistema central de sondas. Ninguna otra persona tendrá acceso a esta información. Es importante saber que ningún Organismo tendrá acceso a la información de otros organismos adscritos y únicamente podrá ver el estado de seguridad de su propia red, si bien sí que será usada la detección de eventos distribuida para la generación de la inteligencia del sistema de forma automatizada.

En este sentido, como en todas las materias competencia del Centro Criptológico Nacional, la política a seguir será la de mantener en todo momento la confidencialidad de la información tratada.

 

¿Quién se puede suscribir a este servicio?

Cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país que dependan para su operación de tecnologías ICS puede adherirse al Sistema de Alerta Temprana SAT-ICS, contactando con el CCN-CERT.

 

¿Qué información voy a recibir si estoy suscrito al servicio SAT-ICS?

El Organismo que esté adscrito al Sistema de Alerta Temprana SAT-ICS, recibirá periódicamente informes de estado del servicio. Entre otra información, los informes incluyen la actividad anómala y los ataques detectados en cada Organismo, los incidentes gestionados en un período de tiempo y un listado de todos los incidentes pendientes de resolver.

Del mismo modo, anualmente recibirá un informe en el que se recogerá la actividad de la sonda durante ese periodo e indicadores que permitirán valorar tanto el servicio ofrecido por el SAT como la capacidad de respuesta del Organismo en la resolución de los incidentes de seguridad gestionados.

 

¿Cómo voy a recibir la información de los incidentes?

Para la recepción de los incidentes el Organismo que esté adscrito al Sistema de Alerta Temprana SAT-ICS deberá disponer de una cuenta de correo a la que enviar la notificación de los incidentes de seguridad. Esta cuenta de correo deberá ser única, por lo que se recomienda al Organismo la creación de una lista de distribución que reciba todo el personal que vaya a encargarse de la investigación de los incidentes de seguridad.

La información referente a los incidentes de seguridad detectados por el personal técnico del CCN-CERT estará disponible en la herramienta LUCIA, al que tendrán acceso los responsables de seguridad de los Organismos adheridos a este servicio, donde podrán realizar el seguimiento de los incidentes notificados y donde podrán informar de las acciones llevadas a cabo para la resolución del mismo. LUCIA es la herramienta de ticketing para la gestión de incidentes de seguridad desarrollada por el CCN-CERT (puede encontrar más información referente a LUCIA en https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/lucia.html).

Aunque la información relativa a los incidentes de seguridad notificados al Organismo se encontrarán en la herramienta LUCIA, ante la posible necesidad de intercambio de información referente a los incidentes de seguridad a través del correo electrónico, será necesario que el organismo genere un par de claves PGP/GPG para intercambiar información de manera cifrada en el caso que fuese necesario. Una vez generadas las claves PGP/GPG asociadas a esta cuenta de correo, el Organismo deberá remitir al CCN-CERT la clave pública para poder cifrar la información que éste quisiera remitir de manera cifrada. Igualmente, el CCN-CERT proporcionará la clave pública de la cuenta de correo utilizada para la notificación de incidentes para que el Organismo pueda también enviarle información cifrada en caso necesario.

 

 

Más información en pdf

 

Contacto:

Clave PGP Descargar

FINGERPRINT C2B6 4978 7DB7 E2A8 6EDA 18C6 FFE5 77E6 DE53 478B

Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración