ESMARTCITY

Todo sobre Ciudades Inteligentes

SÍGUENOS:
Inicio » Comunicaciones » Ciberejercicios en la evaluación de la resiliencia en los Smart-Territory

Ciberejercicios en la evaluación de la resiliencia en los Smart-Territory

Publicado:

Comunicación presentada al IV Congreso Ciudades Inteligentes

Autores

  • Daniel Ausin, Gerente soluciones Ciberseguridad, Sistemas Informáticos Abiertos (SIA)
  • Pablo Seijo, Director de Ciberseguridad, Sistemas Informáticos Abiertos (SIA)
  • Daniel Vega, Responsable Soluciones Smart Cities y Resiliencia Urbana, Sistemas Informáticos Abiertos (SIA

Resumen

La evaluación continúa de las capacidades de detección y respuesta de las ciudades inteligentes requiere de la implantación y desarrollo de programas de adquisición de tecnología y servicios de ciberseguridad que ejecuten simulaciones de ataques dirigidos contra los entes públicos, servicios e infraestructuras que soportan la operación y gestión del Smart-Territory.

Palabras clave

Red Team, Purple Team, Ciberejercicios, Test de Intrusión Avanzados

Ciberejercicios

Los ciberejercicios consisten en la ejecución de ataques dirigidos contra la infraestructura y los servicios de ciberseguridad para evaluar los mecanismos de protección, detección y respuesta disponibles en los Smart-Territories ante un ciberataque. Tienen como objetivo medir y verificar las medidas establecidas por las ciudades para la protección, detección y respuesta ante este tipo de amenazas.

Tipología

Los Ciberejercicios se clasifican en tres tipos:

  • Tablet Top: El ciberejercicio Tablet Top es el menos complejo y más rápido de ejecutar. Es un ciberejercicio impulsado por una planificación de eventos no reales, dónde las inyecciones y los ataques no se producen y se generar situaciones para evaluar el comportamiento de los distintos equipos. Suelen ser implementados con herramientas de gamificación.
  • Híbrido: El ciberejercicio híbrido utiliza un poco de realismo en los ataques mientras que deja algunas inyecciones o eventos que progresen a través del Storyline previsto en el ciberejercicio.
  • En vivo: Full Live se entrega completamente con inyecciones reales en un entorno productivo o en un entorno específico físico o virtual.

Medios humanos

Para la adecuada ejecución de ciberejercicios se requiere de la participación de un grupo de perfiles que se han identificado de la siguiente manera:

  • Red Team: El Equipo Rojo es el responsable de la ejecución de las inyecciones y ataques planeados contra el Equipo Azul. Su objetivo es mejorar la ciberseguridad de la empresa mediante la demostración del impacto de los ciberataques en los sistemas de defensa.
  • Blue Team: El equipo Azul es el actor más importante en el ciberejercicio, ya que son la audiencia objetivo a evaluar. Su papel es ser los defensores en el ciberejercicio y mantener los sistemas de información empresariales seguros.
  • Purple Team: Participa activamente en el diseño del ciberejercicio dándole soporte a las actividades desarrolladas por el Grupo de control para que la selección de tácticas y técnicas de ataque estén alineadas con la madurez e infraestructura a evaluar. Durante la evaluación recolectan de la infraestructura las evidencias asociadas a las acciones realizadas por el equipo azul y el equipo rojo. Una vez concluido el ciberejercicio realiza la adecua transferencia del conocimiento generado por el equipo Rojo hacia el equipo Azul y el territorio evaluado.
  • Grupo de control: El Grupo de Control de Ejercicios (ECG) funciona como controlador del ejercicio ya que son los únicos que tienen el “Storyline” y el Master Scenario Event List (MSEL) que contiene todos los ataques planificados e inyecciones a ejecutar. El ECG impulsa la ejecución dando tareas al Equipo Rojo e inyecta eventos globales que están programados para ocurrir con el soporte y colaboración del equipo Morado. El Grupo de control o quien designe recopila información a medida que el ejercicio avanza y proporciona retroalimentación para el grupo de control y el equipo azul. Trabajan como observadores y resuelven posibles conflictos que puedan surgir entre los participantes, así como respuestas a preguntas que surjan durante el ciberejercicio. También evalúa la progresión del equipo asignando puntuaciones a los equipos y midiendo dichas actividades en base a los objetivos establecidos.

Medios materiales

Se hace necesario dotarse de infraestructuras específicas para el equipo de ataque o Rojo y Morado. Las distintas infraestructuras a desplegar deben garantizar:

La reproducción de las actividades realizadas por cada uno de los equipos durante la ejecución del ciberejercicio.

  • La inyección programada de artefactos y técnicas de ataque.
  • Un sistema de gestión del desempeño de cada uno de los equipos.
  • Un sistema de reporte de la actividad.
  • Un sistema de puntuación global del ciberejercicio.

Es necesario ligar las técnicas de ataque con técnicas de defensa, las infraestructuras deben garantizar en fase de diseño que los patrones de ataque están ligados a los patrones de defensa de tal manera que una vez definida las técnicas y tácticas de ataque a ejecutar, los mecanismos de protección, detección y respuesta deben estar alineados. En caso contrario, existe la posibilidad de desarrollar ciberejercicios muy sofisticados contra infraestructuras inmaduras a nivel de seguridad. De esta forma se garantiza la mejora continua en el proceso de evaluación pudiendo establecer el nivel de exigencia de los requisitos del ciberejercicio en función del grado de madurez de los equipos e infraestructuras involucradas.

Infraestructura de ataque

La infraestructura de ataque debe incluir un número mínimo de elementos funcionales, el catálogo de patrones de ataque con sus diferentes artefactos por cada fase del ataque, los equipos y aplicaciones para la ejecución de cada una de las técnicas y tácticas definidas en el ciberejercicio.

  • Framework de ataque: Disponer de artefactos por cada una de las técnicas y tácticas gestionables para la adecuada selección en función de los objetivos establecidos en el ciberejercicio. Ejemplo de esta base de conocimiento sería Armitage, Cobaltstrike, Metasploit, etc.
  • Malware: Laboratorio de malware para el desarrollo de malware dirigido.
  • Plataforma de Test de Ingeniería Social: Plataforma para la gestión de ataques de ingeniería social tipo Phishing.
  • Command and control: Plataforma para la gestión del ataque desplegando artefactos y siendo el sistema de gobierno de los atacantes.
  • Sistemas de computación: Plataforma de cómputo para los ataques de fuerza bruta, criptología y denegación de servicio.
  • Red: Infraestructura de comunicaciones que soporte todas las actividades del equipo de atacantes.

Infraestructura de operación

El equipo morado requiere de una infraestructura técnica que permite obtener información referente:

  • Las actividades desarrolladas en una línea de tiempo de cada uno de los equipos involucrados, el flujo de información de los distintos sistemas, redes y aplicaciones. En definitiva, un recolector de evidencias que permita la evaluación formal del equipo y disponer de información para las fases posteriores al ciberejercicio. Normalmente dicho sistema estará presente en las infraestructuras objeto de la evaluación.
  • Un sistema de evaluación de cada una de las actividades desarrolladas, así como las decisiones ejecutadas a la hora de mitigar el incidente simulado.
  • Un sistema de reporte de la actividad para el grupo de control.
  • Un sistema con patrones de ataque y defensa.
  • Interconexión con las infraestructuras de defensa.
  • También se dispone de conexiones con terceros para la obtención de flujos de datos para la ejecución de determinadas técnicas de ataque.
  • Gestor documental que almacene la información relativa al ciberejercicio.
  • Herramienta colaborativa que permita la gestión de la comunicación con todos los participantes en el ciberejercicio.

Infraestructura de defensa

Si la infraestructura objeto del ataque es un entorno productivo, la complejidad del ejercicio aumenta y se hace necesario establecer los procedimientos de recuperación ante desastres y continuidad de negocio. Además, se debe contemplar el impacto en el negocio de la ejecución del ciberejercicio.

Especial atención deberán tener las infraestructuras Industriales e IoT.

  • Infraestructura Industriales: La evaluación de las infraestructuras Industriales implica habilitar entornos de pruebas similares a los entornos de producción y realizar las evaluaciones de seguridad en entornos controlados y reducidos, esto no debe impactar en el alcance del ciberejercicio sino en el desarrollo de la ejecución del mismo, aquí entra en juego la posibilidad de implementar tipos de ciberejercicios Tablet-Top e híbridos. Una aproximación plausible es subdividir el entono en los niveles de red; Redes de control dónde nos encontrados la red de PLC’s, actuadores, sensores, analizadores, etc. Redes de supervisión dónde nos encontrados los Sistemas SCADA, HMI y estaciones de ingeniería y en las Redes de Operaciones y Control dónde se dispone de los sistemas informacionales de las infraestructuras Industriales.
  • Infraestructura IoT: La evaluación de infraestructuras IoT no permite la alternativa de replicación del entorno, pero son relativamente factible la ejecución en entornos productivos, a excepción de las técnicas de ataque de denegación de servicio que sin una adecuada gestión del impacto puede ser descartadas de antemano.

Metodología

La estructura y planificación de un ciberejercicio son similares en diferentes ciudades. Cada ciberejercicio comienza con la planificación de los participantes. Se forma un escenario de ciberejercicio donde el entorno estratégico y operativo se describe con suficiente alcance y detalle. En la práctica, es el argumento o trama para todo el ciberejercicio. Las reacciones esperadas de los equipos también se incluyen en el escenario del ciberejercicio.

A la hora de realizar la definición y desarrollo de ciberejercicios se debe contemplar las fases que se presentan a continuación.

Diseño y desarrollo de ejercicios

Al diseñar y desarrollar ciberejercicios, los miembros del Grupo de Control del ciberejercicio son seleccionados para programar las reuniones de planificación, identificar y desarrollar los objetivos del ciberejercicio, diseñar el escenario, crear la documentación, planificar la ejecución y evaluación del ciberejercicio y coordinar la logística.

Para el diseño se debe disponer de la matriz de patrones de ataque y defensa. Dicha matriz contiene la relación de tácticas utilizadas por el atacante, en las distintas fases del ataque. Durante el diseño de los ciberejercicios se hace uso de esta matriz para determinar que tácticas se van a desarrollar con que técnicas, por cada técnica se debe conocer los mecanismos de detección asociado siendo esto imprescindible para definir las métricas de evaluación, sin dicha información la evaluación continua se ve afectada de manera crítica provocando un esfuerzo incremental según sea de complicado el ciberejercicio.

Cada táctica dispone de varias técnicas de ataque cada una de ellas puede no disponer de un artefacto asociado, como puede ser un exploit, malware, scripts o una secuencia de acciones que el equipo rojo desarrollará durante la ejecución. Cada una de esas técnicas dispone de un mecanismo de detección a nivel de dispositivos de seguridad (FW, IDS/IPS, ANTI-APT, EDR, SIEM, etc.), sistemas o aplicaciones que impactan en los sistemas de monitorización tanto a nivel de reglas de correlación como en la implementación de casos de uso.

Gracias a la matriz de patrones de ataque y defensa se garantiza que los ciberejercicios contemplen métricas que permitan evaluar el comportamiento de cada uno de los equipos durante la ejecución, facilitando el establecimiento de una línea base de comportamiento de cada uno de los equipos para su evaluación futura en el proceso de mejora continua. Durante el diseño del ciberejercicio es necesario seleccionar el objetivo del ciberejercicio para dicha tarea el Grupo de control debe contemplar:

  • Los objetivos del ciberejercicio deben estar alineados con las métricas de evaluación, si durante esta actividad se detectan técnicas o tácticas no medibles dichas técnicas deben ser descartadas o analizar los mecanismos necesarios para la detección de las mismas.
  • Los posibles objetivos a contemplar durante esta actividad son obtención de información, persistencia dentro del Smart-Territory y la denegación de servicio.
  • Los objetivos deben ser específicos, alcanzables, medibles y relevantes, los distintos equipos deben conocer el método de evaluación de cada técnica o táctica que se vaya a desplegar durante la ejecución del ataque.
  • A la hora de determinar el objetivo, se debe contemplar las necesidades de medios humanos y materiales. La disponibilidad de los distintos equipos y la infraestructura necesaria para la ejecución.

Planificación del ciberejercicio

Los Planes son documentos de información general que ayudan a que los ciberejercicios funcionen sin problemas, proporcionando a los participantes una sinopsis del ciberejercicio. Se publican y distribuyen a los participantes una vez desarrollados la mayoría de los elementos críticos del ciberejercicio. Además de abordar los objetivos y el alcance del ciberejercicio, los Planes asignan actividades y responsabilidades para la planificación, realización y evaluación del ciberejercicio. El Plan está pensado para ser visto por los equipos del ciberejercicio y los observadores, por lo tanto, no contiene información detallada de escenarios que pueda reducir el realismo del ejercicio. Los equipos y observadores deben revisar todos los elementos del Plan antes de participar.

Storyline

La construcción del Storyline en el que se desarrolla el escenario a reproducir durante la ejecución del ciberejercicio y se describe con el mayor detalle cada una de las situaciones y eventos que se irán produciendo, permitiendo disponer del contexto del ataque a los participantes, facilitado la información necesaria para la realización de acciones que contrarresten y mitiguen los eventos.

Master Event List (MSEL)

La elaboración del Master Scenario Event List (MSEL) consiste en detallar la planificación de los distintos eventos orquestado cronológicamente por el Grupo de Control, los equipos afectados por cada uno de estos eventos y el resultado esperado que permite la continuidad en la ejecución del ciberejercicio.

Los tres tipos de eventos descriptivos MSEL que apoyan al ciberejercicio incluyen:

  1. Las inyecciones contextuales introducidas a un equipo por un controlador ayudan a crear el entorno operativo del ciberejercicio y/o mantener el ciberejercicio en movimiento.
  2. Los eventos de acción esperados reservan un lugar en la escala de tiempo del MSEL y notifican a los controladores cuándo normalmente se llevaría a cabo una acción de respuesta.
  3. Las inyecciones de contingencia son proporcionadas por un controlador a los equipos para asegurar que el ciberejercicio avance para evaluar adecuadamente el rendimiento de las actividades.

Ejecución del ciberejercicio

Durante la ejecución del ataque y en cada fase de dicha actividad se debe determinar de antemano el número de técnicas a ejecutar de tal forma que sean evaluables posteriormente. La cadena de ataque contemplada para un ciberejercicio completo incluye las tácticas para la preparación del ataque y durante el ataque.

Figura 1. MITRE Técnicas y Tácticas [1].
Figura 1. MITRE Técnicas y Tácticas [1].
La relación de posibles tácticas antes de la ejecución de un ciberataque incluye la planificación, la obtención de información a nivel de territorio, personas e infraestructura, la construcción de artefactos y la ejecución de los mismos hasta la obtención de un punto vulnerable en la población e infraestructura para comenzar la ejecución del ataque. La relación de estados se describe con mayor detalle a continuación:

  • Reconnaissance: Estado en el que el atacante ha recogido la información antes de realizar el ataque contra el punto vulnerable de la población analizada. Ejemplo: un mail de phishings.
  • Weaponization: Estado en el que el ataque desarrollar las herramientas para el ataque o las adquiere en el mercado negro. Ejemplo: Construcción o adquisición de malware avanzado (rasonware as a service).
  • Delivery: Estado en el que el atacante despliega una herramienta contra la infraestructura. Ejemplo: El usuario pulsa en el enlace dentro de un mail de phishings y se descarga el malware de la url maliciosa.
  • Exploitation: Estado en el que el atacante encuentra el punto vulnerable en la infraestructura y obtiene el acceso. Ejemplo: Zero-day attack.

Previo a la ejecución de cada una de estas fases, el Grupo de Control o quien designe debe conocer las técnicas asociadas que serán ejecutadas. Las fases a ejecutar durante la ejecución del ciberejercicio son:

  • Control: Estado en el que el atacante obtiene persistencia en la infraestructura comprometida. Ejemplo: Escalado de privilegios o robo de credenciales de administrador.
  • Execute: Estado en el que el ataque realiza la propagación de su ataque al resto de la infraestructura. Ejemplo: Replicación de ransonware dentro de la infraestructura.
  • Maintain: Estado en el que el atacante se mueve libremente a través de la infraestructura accediendo, borrando cualquier información sensible cumpliendo con su objetivo. Ejemplo: Publicación desde dentro de información de clientes a una carpeta o servicios de intercambio de información externo.

Las tácticas a contemplar son las identificadas dentro de la matriz de Patrones de Ataque y detección.

Evaluación del ciberejercicio

La evaluación es la piedra angular de un ciberejercicio y debe ser considerada en todas las fases del ciclo de planificación del ciberejercicio, comenzando cuando el equipo de planificación del ciberejercicio se reúna para establecer los objetivos e iniciar el diseño del ciberejercicio. Una evaluación eficaz evalúa el desempeño en comparación con los objetivos del ciberejercicio, e identifica y documenta los puntos fuertes y las áreas de mejora en relación con las capacidades básicas. La estrategia de evaluación debe cubrir tanto los aspectos tecnológicos como organizativos.

  • La evaluación tecnológica debe facilitar la adquisición de tecnología siempre que se detecte una limitación funcional o técnica de la tecnología disponible, descartando una incorrecta configuración o una inadecuada operación y administración de los dispositivos. Por tanto, el resultado del ciberejercicio debe descartar los errores de configuración y operación.
  • La evaluación de los procedimientos y servicios disponibles debe permitir identificar los cuellos de botella, las ineficiencias dentro de los procedimientos de detección y respuesta ante incidentes de ciberseguridad así como las áreas de optimización de los mismos.

Para determinar el éxito o fracaso de cada una de las técnicas utilizadas por el equipo rojo, el equipo Morado obtendrá el catálogo de evidencias de los sistemas de monitorización tipo SIEM, EDR y ANTI-APT, si en dichos sistemas no se encontrara la evidencia se obtendrá de los dispositivos de seguridad disponibles. Para evitar sobre esfuerzos y una falta de rigor en la evaluación el Grupo de Control debe documentar en las fases de diseño y desarrollo los sistemas afectados por cada técnica y el mecanismo de detección que genera la evidencia.

Una de las dificultades a la hora de realizar la ejecución en entornos OT es la recopilación de evidencias debido a la naturaleza de dichas infraestructuras, no suelen disponer de elementos de seguridad orientados a la monitorización de la seguridad ni a la detección de ciberamenazas. Este hecho debe ser debidamente gestionado por el Grupo de Control durante el diseño y desarrollo del ciberejercicio. Un síntoma que el ciberejercicio ha sido desarrollado con éxito es detectar y desplegar el máximo número de acciones de mejora posible manteniendo un equilibrio entre el grado de madurez del Smart-Territory y el tipo de ciberejercicio a ejecutar.

Mejora continua

Durante la planificación de mejoras, las acciones correctivas identificadas durante los ejercicios son monitoreadas hasta su finalización, asegurando que los ejercicios produzcan mejoras tangibles en la prevención. Un programa de acción correctiva eficaz desarrolla programas, los cuales son continuamente monitoreados e implementados como parte del sistema de mejora continua de nuestras ciudades.

Conclusiones

El nivel de ciberamenzas que actualmente se tienen identificados según los analistas nacionales e internacionales crece exponencialmente, además la dependencia de los Smart – Territories en el desarrollo de sus servicios con la tecnología, y la tendencia global a la digitalización, hacen necesario implementar programas de evaluación continua de la seguridad para reducir la brecha existente entre las medidas de protección y detección con las técnicas y tácticas de ataque. Los ciberejercicios proveen y facilitan una visión realista de las capacidades de detección y respuesta de los SmartTerritories a dichas ciberamenazas.

Referencias

  • [1] MITRE Organización sin ánimo de lucro con el objetivo de resolver problemas para un mundo más seguro.
Sobre ESMARTCITY

ESMARTCITY es el principal medio de comunicación on-line sobre Ciudades Inteligentes.

Publica diariamente noticias, artículos, entrevistas, TV, etc. y ofrece la información más relevante y actualizada sobre el sector.

AUDITADO POR OJD
COPYRIGHT

©1999-2024 El material de ESMARTCITY es propiedad intelectual de Grupo Tecma Red S.L. y está protegido por ley. No está permitido utilizarlo de ninguna manera sin hacer referencia a la fuente y sin permiso por escrito de Grupo Tecma Red S.L.

SOBRE GRUPO TECMA RED

ESMARTCITY pertenece a Grupo Tecma Red, el grupo editorial español líder en las temáticas de Sostenibilidad, Energía y Nuevas Tecnologías en la Edificación y la Ciudad.

Portales de Grupo Tecma Red: