lunes, 6 de febrero de 2017

ICS Cybersecurity 301

El 2017 comienza para CSIETE con la posibilidad de seguir preparándonos para afrontar de la mejor manera los desafíos que se generan en nuestros diferente proyectos, desde el año pasado y con miras de poder desarrollar una nueva línea de servicios profesionales enfocados a OT (Operational Technology)*, el equipo de CSIETE ha aprovechado sus viajes y ha asistido a diferentes entrenamientos prácticos en este tema en BSides Las Vegas y Brucon, ahora llego el momento de viajar a Idaho Falls y de la mano del ICS-CERT tomar el entrenamiento ICS Cybersecurity 301.


Fue una oportunidad única en la cual durante 5 días pudimos compartir con los expertos del ICS-CERT, de temas muy específicos relacionados ICS (Industrial Control System), desde una perspectiva general de ataque, hasta una perspectiva de protección. El entrenamiento toca diferentes temas enfocados a un público OT pero que sin duda son relevantes para los que vamos desde la perspectiva de IT.


En el primer día se realiza una introducción a ICS, los principales riesgos y amenazas a los que se enfrentan este tipo de tecnologías, se realiza una revisión de los servicios que ofrece el ICS-CERT para su comunidad, una demostración de un exploit creado por el equipo de entrenamiento para metasploit sobre un HMI (Human-Machine Interface) y se termina con un tema enfocado en descubrimiento de red, con su respectivo laboratorio, donde es muy interesante la práctica que se puede realizar con un pequeño laboratorio dedicado a dicho fin.


En el segundo día se realiza una revisión del proceso de explotación de diferentes tipos de dispositivos desde una perspectiva general de ataque (lo cuál puede ser bastante conocido para las personas de IT involucradas en seguridad), pero de nuevo se vuelve muy interesante el trabajo desarrollado en laboratorio en un ambiente controlado pero real. Al final de este segundo día se empieza a organizar el ejercicio de BLUE / RED TEAM, en este momento solo se dividen los equipos y se empieza a realizar una descripción de lo que será todo el ejercicio.

El tercer día empieza con todo el enfoque práctico de la defensa mirando que elementos pueden realmente funcionar en un ambiente ICS y junto al aprendizaje, el RED TEAM, intenta hacer diferentes tipos de ataques para obtener la información necesaria para ganar el ejercicio. En este tercer día se ven de manera práctica temas de Forense en Red, Flujos de Datos, Respuesta a Incidentes y planeación de elementos de defensa en profundidad en este tipo de arquitecturas.


El cuarto día empieza el ejercicio real de BLUE / RED TEAM, donde todo el día de manera totalmente práctica los dos equipos se encuentran inmersos en tareas de defensa (BLUE) y ataque (RED) en una planta química, donde se están realizando procesos industriales de mezcla de químicos, se encuentra una sub-estación eléctrica que debe ser protegida (desde la perspectiva de OT) y se encuentran diversos servidores, servicios y equipos (desde la perspectiva de IT) que deben funcionar de acuerdo a las necesidades del negocio y deben ser protegidos de los diferentes ataques del RED TEAM.


Un ejercicio muy interesante que le permite a uno entender de manera práctica la realidad de estos mundos, muchas veces desde IT se busca realizar la mejor protección basada en la experiencia adquirida durante años, pero no es válida en un entorno de OT. También es interesante en el ejercicio ver como la operación que es la que en realidad hace el dinero en la compañía, se puede llegar a ver interrumpida con cosas tan sencillas como un escaneo de un nmap, el aseguramiento de una base de datos o la activación de un firewall en una máquina de ingeniería.


Un ejercicio de 8 horas, donde entre las incidencias adicionales hubo un derrame de los componentes que se estaban mezclando por un error de operaciones, hubo ataques a diferentes puntos de la infraestructura y tanto BLUE como RED TEAM estuvieron peleando hasta el último momento por ganar la competencia.


En el último día se realiza una retroalimentación completa de todo el ejercicio, donde los instructores muestran todo el trabajo desde su sala de mando, donde tienen control de todas las situaciones, los equipos presentan lo que realizaron desde cada una de sus perspectivas y como fue desarrollado el ejercicio y se desarrolla desde cada perspectiva conclusiones enfocadas al tema del entrenamiento.

En la tarde, se reúnen los encargados de realizar las pruebas en el ICS-CERT para explicar su metodología, la forma en que se debe trabajar y las recomendaciones con base en su experiencia pueden permitir realizar de manera correcta las revisiones necesarias para tener infraestructuras de ICS alineadas a estándares y mejores prácticas de ciber-seguridad que en realidad permitan dar una valoración de este tipo de ambientes y generar recomendaciones adecuadas enfocadas en el funcionamiento de la infraestructura de OT.


Como si no fuera suficiente la cantidad de material, a la hora del almuerzo se realizaron diferentes charlas cortas donde se tocaron temas como; malware en ICS analizado por el ICS-CERT, el trabajo desarrollado por el ICS-CERT, temas de colaboración en temas de ciber-seguridad.

Fue una semana muy interesante, llena de nuevos recursos aplicables al desarrollo de planes de ciber-seguridad, una semana donde el conocimiento aplicado fue fundamental en el proceso de aprendizaje y donde fue posible compartir con personas con mucho conocimiento del área de OT y IT acerca de sus realidades cuando se habla de la protección de este tipo de ambientes.


Desde Colombia, pudimos dejar el PIN de CSIETE en el mapa de invitados a Idaho Falls por el ICS-CERT y esperamos poder aplicar todos los conocimientos adquiridos en proyectos de investigación, desarrollo, innovación y los retos que nos presentan nuestros clientes en esta área de conocimiento.

*Operational Technology o Tecnología de Operaciones se refiere a hardware y software que detecta o causa un cambio a través del monitoreo continuo y/o control de dispositivos físicos, procesos y eventos dentro de una compañía.

1 comentario:

  1. Felicitaciones Giovanny y Nando, esperaré con ansias el Meetup de Medellín sobre este tema. Muchas gracias por compartirnos sus conocimientos y temas tan interesantes.

    ResponderEliminar