Capacitación en Ciberseguridad en Sistemas de Automatización para Sistemas Eléctricos Siguiendo NERC – CIP.

El curso de Axon Group, empieza explorando a nivel teórico/práctico conceptos básicos de Ciberseguridad, criptografía, y certificados digitales. Además se complementa con prácticas que buscan aterrizar los conceptos utilizando herramientas a nivel de seguridad. Una vez se tienen claros conceptos fundamentales de Ciberseguridad en ambientes inseguros (Internet), se aborda los lineamientos e implementaciones de NERC – CIP para sistemas eléctricos.

Finalmente, se busca ahondar en la seguridad a nivel de redes de computadores en sistemas de automatización para sistemas eléctricos, especialmente con el uso de equipos endurecidos. En este escenario se mostrará como la norma NERC CPI (Critical Infraestructure Protection) se aplica en diferentes niveles de red. También se mostrará mediante prácticas la configuración de elementos de red utilizados para garantizar un perímetro seguro como firewalls, VPNs e IDSs.

El curso termina con muestras de topologías genéricas para sistemas de automatización en el sector eléctrico y su implementación a nivel demo.

Se utilizará las siguientes plataformas para las prácticas:

Topología y equipo en Cybersecurity

Red de control de Referencia SCADA bajo NERC-CIP

1. Introducción
2. Bases de Web Security y Penetration Testing
  • SQL Injection.
  • Cross-site scripting (XSS).
  • Cross-site request forgery.
  • Session hijacking.
  • Ethical hacking.
  • Fuzzing.
  • PenTesting Tools.
  • Prácticas.
3. Bases de Criptografía y Seguridad Hardware
  • Esquema clásico y moderno.
  • Private-Key Encryption.
  • Message Authentication
  • Hash Functions.
  • Public-Key Encryption.
  • Digital Signatures.
  • Side-Channel Attacks.
  • Physical Attacks.
  • Temas de seguridad hardware emergentes.
  • Prácticas.
4. NERC CIP (Critical Infraestructure Protection)
  • NERC CIP 002-009.
5. Seguridad en subestaciones aplicando NERC CIP
  • System Administration (SSHv2 y Https).
  • LAN e Intranet: Topology, Routing and Protocols (RSTP y LAN, OSPF e Intranet, VRRP y redundancia, QoS).
  • Traffic Segregation (Vlans).
  • Seguridad en Switches (Vlans, bloqueo de puertos, filtrado por MAC).
  • Firewall (IP Addresses filtering, Politicas, Reglas, NAT, sNAT, Port Fordwarding).
  • VPN over Ipsec (Integridad, autenticidad y confidencialidad)
  • IDS (Instrusion Detection System).
  • RADIUS (Authentication, Authorization and Accounting).
  • SNMPv3, OSPFv3 e IPv6 (authenticaion and data encryption).
  • Arquitecturas recomendadas para subestaciones bajo NERC CIP.

Ciberseguridad y NERC-CIP 002 a 009


¿Conoce que son y como aplicar los estandares de ciberseguridad NERC CIP 002 al 009 a un sistema eléctrico?

El conjunto de estándares NERC-CIP 001 a 009 (North American Electric Reliability Corp. Critical Infrastructure Protection)[2], abordan la seguridad de ciber activos esenciales para la operación confiable del sistema eléctrico. En 2003, se presento un apagón en el noreste de los Estados Unidos, algunos aún creen que el gusano MSBlast fue el causante, aunque los reportes presentados, entre ellos los de NERC, muestren causas diferentes. En 2005 cuando la era de los ataques con gusanos (worms) alcanzó su máximo apogeo, la primera versión de NERC-CIP estaba casi completa, su aprobación por parte de FERC(Federal Energy Regulation Commision) se dio en enero de 2008, la versión 2 se aprobó en 2009, la 3 en 2010, la versión 4 fue retirada, en su lugar la versión 5 fue aprobada en noviembre 22 de 2013 con algunas sugerencias de modificaciones por parte de FERC.

Tomando como marco de referencia NERC CIP - 002 a 009 y mapeando sus requisitos de seguridad a nivel de requisitos en equipos de red, teniendo en cuenta los escenarios de incidentes de ciberseguridad y posibles ataques a sistemas SCADA, SCADAs seguros y protocolos de red, gestión de claves de seguridad y tecnologías de control seguro de red, manejo de backups, en el gráfico 1 se muestra una arquitectura de referencia para redes de control SCADA y se explica a grandes rasgos sus componentes principales. Es importante notar que los estándares NERC-CIP , deben ser leídos y entendidos como un grupo de estándares y no de forma individual por ello no se muestra el mapeo de los requisitos NERC CIP-002 a 009 como un todo y no se segregan uno a uno.

Red de control de Referencia SCADA bajo NERC-CIP

En esta arquitectura se incluye:

  • Red de comunicaciones en las subestaciones.
  • Red de comunicaciones del centro de control.
  • Red Core (usualmente una intranet).
  • Firewalls para separar la red de servidores y SCADA.

Cuando se planea una red de control, la organización y en especial los encargados de la red, realizan una evaluación de los factores de riesgo a nivel de seguridad e implementan las medidas de seguridad para el sistema SCADA, para ello definen una política de seguridad y garantizan el cumplimiento de NERC-CIP-002 a 009 incluido el manejo de situaciones de emergencia. La red core usualmente es una red IP privada basada en routers y tecnología usada en la red publica internet. Las redes de las subestaciones y centro de control, usualmente son redes Ethernet que corren localmente y que se comunican con la Red Core IP a través de firewalls, en estas redes se puede aprovechar la segregación de tráfico mediante VLANs. La Red Core también puede ser implementada como una red Ethernet única usando solamente switches.

La red corporativa y la red SCADA esta también separada por un firewall, de ese modo los problemas de seguridad y desempeño en esta red no afectan la red de control. La red corporativa y la red de control no deben comunicarse directamente, en su lugar se deben definir zonas DMZ(Demilitarized Zone) donde se ubican servidores y estaciones que deben ser accedidas desde la red corporativa.

En el perímetro de seguridad de las subestaciones debería haber un firewall representando un punto de acceso a la subestación. Este firewall puede conectarse a uno o más routers en la Red Core IP, aunque también puede hacer parte de la Red Core IP.

Los accesos a la red del SCADA desde internet deben hacerse mediante VPNs que garanticen autenticación, confidencialidad e integridad donde típicamente Ipsec responde a esta necesidad. A nivel de VPN, se puede entonces utilizar VPN site-to-site, donde se pueden conectar dos redes completas a través de un túnel que pasa por una red insegura, o se puede acceder a una red con un perímetro seguro a través de un equipo y una VPN de acceso remoto.

La configuración de todos los equipos de red debe hacerse a través de canales seguros como ssh o https, o en su defecto utilizar SNMP V3 a nivel de gestión de RED. Del mismo modo éstos equipos deben permitir para su gestión el uso de contraseñas seguras y diferentes niveles de acceso, o en su defecto un manejo de acceso centralizado y uso de protocolos como RADIUS.

Toda la actividad dentro de la red debe ser monitoreada mediante alarmas y deben llevarse logs de dicha actividad. Finalmente, la configuración debe ser guardada en backups los cuales deben ser verificados para utilizarse en caso de la ejecución de un posible plan de recuperación.


Referencias

[1] North American Electric Reliability Council (NERC), Critical Infraestructure Protection Committee, NERC Standard CIP-002 a 009

http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx

[2] Mira Zafirovic, Roger Moore, Michael Lesle, Rene Midence, Marzio Pozzuoli, Ruggedcom Inc. Securing SCADA Communications following NERC CIP Requirements. Asia Energy Week 2008, Kuala Lumpur, Malaysia, May 2008.