Laboratorio de evaluación de ciberseguridad de producto

Servicio integral para el desarrollo, validación y certificación de productos o sistemas con requisitos de ciberseguridad, de acuerdo a las normativas emergentes (IEC 62443). El conocimiento de nuestros investigadores y el equipamiento de nuestro laboratorio permite realizar el desarrollo ciberseguro de productos industriales y su posterior validación mediante diferentes tipologías de pruebas (pruebas de vulnerabilidades y penetración, pruebas de robustez de comunicaciones, pruebas de implementación, pruebas de seguridad funcional). Estas actividades sirven para realizar la pre-homologación de los productos y se utilizan como referencia en el acompañamiento a las empresas en el proceso de certificación con entidades acreditadas.

Una infraestructura PKI (Public Key Infrastructure) permite realizar la gestión del ciclo de vida de certificados digitales utilizados para establecer comunicaciones ciberseguras entre dos partes. Estos certificados pueden ser utilizados, entre otras cosas, para garantizar la identificación y autenticación de los usuarios involucrados o para garantizar la integridad de la información intercambiada, y son especialmente útiles cuando la comunicación se realiza entre partes que no se conocen previamente. Para desplegar este servicio de acuerdo a las mejoras prácticas reconocidas actualmente, se dispone de un hardware dedicado HSM (Hardware Security Module), del fabricante nCipher, que se utiliza para generar la raíz de confianza utilizando las técnicas de criptografía que más garantías ofrecen en la actualidad, lo que permite alcanzar los niveles de ciberseguridad más elevados de acuerdo con el estándar IEC 62443.

Las pruebas de implementación consisten principalmente en realizar ingeniería inversa de componentes electrónicos a partir de diferentes técnicas, entre las que destacan las siguientes: - Side channel: consiste en analizar información a través de los interfaces derivados de la implementación física del componente (consumo, radiación electromagnética, sonido, etc.). - Fault injection: consiste en manipular el dispositivo para desviarlo de su funcionamiento normal (tensión, señal de reloj, pulsos electromagnéticos, etc.). La información obtenida mediante estas técnicas es procesada utilizando equipamiento especializado y el resultado permite obtener información sensible del dispositivo (p.ej. claves criptográficas) y detectar potenciales vulnerabilidades derivadas de la implementación. La herramienta de apoyo para la realización de estas pruebas es la estación SCA (Side Channel Analysis) del fabricante Riscure.

Estas pruebas están orientadas a saturar los interfaces de comunicación del producto con mensajes incorrectos y/o mal formados con el objetivo de comprobar su robustez. Esos mensajes inyectados se generan a través de diferentes técnicas (fuzzing, grammars, storms) que permiten cubrir un amplio espectro de todas las combinaciones posibles para formar tramas de diferentes protocolos de comunicación industrial. Además de comprobar la robustez de las comunicaciones de los productos, estas pruebas también permiten detectar nuevas vulnerabilidades no conocidas como consecuencia del análisis del comportamiento observado. La herramienta de apoyo para realizar estas pruebas es Achilles, del fabricante GE Digital. Esta herramienta está reconocida en el esquema de certificación ISA Secure y soporta numerosos protocolos de comunicación industrial (Ethernet, TCP/IP, UDP, Foundation Fielbus (FF-HSE), MMS (IEC 61850/ICCP), Modbus TCP/IP, OPC UA, PROFINET IO, DNP3, SES-92, ZigBee SE (802.15.4), ICMP, ARP, Link State, OPC (via VCS), Heartbeat).

Estas pruebas tienen como finalidad comprobar que los requisitos de ciberseguridad han sido correctamente abordados y evaluar las medidas implementadas contra las amenazas detectadas en el análisis de riesgos de ciberseguridad, en definitiva, permiten verificar el rendimiento, corrección y robustez de las medidas de ciberseguridad implementadas. Estas pruebas se pueden plantear a modo de auditoria para comprobar la correcta implementación de los requisitos de ciberseguridad de acuerdo con el estándar IEC 62443-4-2.

Las pruebas de vulnerabilidades consisten en la ejecución de pruebas orientadas a la identificación de vulnerabilidades en los productos o sistemas bajo prueba. Se pueden plantear como pruebas de caja negra, en las que desde los interfaces externos y sin conocimiento del detalle de diseño e implementación del producto se persigue descubrir vulnerabilidades conocidas del producto (puertos y servicios que son inseguros por diseño, versiones o configuraciones de protocolos inseguras, etc.). Las herramientas de apoyo para la realización de estas pruebas son Nmap y Nessus. Las pruebas de penetración consisten en realizar un ataque ético al componente o sistema con la intención de encontrar las debilidades que puedan ser aprovechadas para comprometer su confidencialidad, integridad y/o disponibilidad. Estas pruebas tienen como objetivo romper las medidas de ciberseguridad implementadas y se plantean como pruebas de caja negra asumiendo el rol de atacante, que aprovecharía de toda la información pública del dispositivo para intentar explotar una o varias vulnerabilidades. Las herramientas de apoyo para la realización de estas pruebas son Nessus y Metasploit.