Seguridad SCADA: Implementar IDS


Un IDS siempre es una buena solución para mejorar la seguridad de una red, pero para que sea efectivo en un entorno tan particular como una red de un sistema SCADA, tiene que tener unas reglas especificas adaptadas a los protocolos que se usan en dichas redes.

La mayoría de los proveedores de IDS también ofrecen un sistema de prevención de intrusiones IPS, se refiere a la capacidad de que no sólo puede detectar un ataque, también puede bloquear la comunicación para defenderse de dicho ataque. Teniendo en cuenta que la disponibilidad es el problema de seguridad más crítico en la gran mayoría de los sistemas SCADA, los falsos positivos en una implementación de IPS podrían tener resultados desastrosos.

Digital Bond tiene un proyecto de desarrollo de firmas IDS para entornos SCADA llamado QuickDraw muy complemento y gratuito. En este momento hay firmas disponibles para: protocolos de red usados en SCADA, un conjunto de firmas que identifican ataques contra las vulnerabilidades divulgadas de sistemas SCADA y un grupo de firmas que identifican los eventos de seguridad específicos para sistemas de diferentes proveedores.  Todas las firmas están documentadas e incluyen una sección sobre falsos positivos.

Este proyecto  incluye preprocesadores y plugins para el IDS Snort. Estos preprocesadores manejan protocolos usados en redesSCADA como: DNP3, EtherNet / IP y Modbus TCP, sus funciones son preparar la comunicación para el análisis de las reglas de Snort.  Los plugins están disponibles para cada preprocesador y sirven para crear palabras clave que pueden ser utilizadas en las reglas, para evaluar el contenido descodificado en el preprocesador. En todos los casos, los preprocesadores y plugins hacen la escritura de reglas más fácil, porque realizan el trabajo de identificación de los diversos campos, al igual que la decodificación de protocolo,  así el análisis de un paquete es más sencillo. Sin el preprocesador, sería muy difícil o imposible que funcionasen las reglas. Por ejemplo, hay algunas reglas que sólo son aplicables cuando una sesión se ha establecido, una regla que no pueda realizar un seguimiento de este estado, es probable que reporte falsos positivos.

Las firmas incluidas en este proyecto  se desarrollaron inicialmente como reglas de Snort, y la descarga desde la pagina se encuentra todavía en un formato de Snort. Muchos proveedores de IDS / IPS, soportan o tienen la capacidad de importar reglas de Snort y han optado por agregar las firmas a sus bases de normas SCADA. Una lista parcial de proveedores que apoyan  todas o algunas de las firmas QuickDraw en sus IDS / IPS son:
  • 3com/Tipping Point
  • Cisco
  • Counterpane/BT
  • Fortinet
  • Industrial Defender
  • ISS/IBM
  • Juniper
  • McAfee
  • Secureworks
  • Symantec
  • Tenable Security
Mientras que las firmas de Snort se convierten fácilmente a otro formato de IDS / IPS,  los preprocesadores no son fáciles de convertir. Estos preprocesadores son esencialmente programas de software que decodificar el protocolo y almacenar los campos de las variables para el análisis de palabras clave nuevas creadas en los plugins. 


Las firmas de EtherNet / IP necesitan el preprocesador EtherNet / IP y es poco probable que funcione en cualquier IDS que no tenga un motor de Snort. La mayoría de las otras firmas disponen de versiones que trabajan con y sin un preprocesador, por lo que estos son fáciles de exportar  otro IDS / IPS.

Más información
http://vtroger.blogspot.com.ar/


Más información y descarga de QuickDraw:

Seguridad SCADA: Disponibilidad en servicios OPC. 

Seguridad SCADA: Honeypot para simular redes SCADA:



Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP: 

Seguridad SCADA: Firewall para MODBUS/TCP: 

Seguridad SCADA: Vulnerabilidades en OPC: