Buscar este blog

miércoles, 26 de diciembre de 2012

Árboles de Ataque, una herramienta imprescindible en la Protección de Infraestructuras Críticas

 
La Protección de Infraestructuras Críticas se ha convertido últimamente en un tema recurrente en todos los eventos y publicaciones del sector de la seguridad.
Nos encontramos con diferentes ponencias y artículos que, en algunos casos, exponen una visión generalista del problema y, en otros, se desarrollan aspectos técnicos y soluciones particulares.
Así, es muy difícil encontrar algún tema relativo a la Protección de Infraestructuras Críticas (PIC) del que no se haya hablado en un evento o en una publicación, con mayor o menor concreción. Pero hay una herramienta, que nuestra experiencia en la prestación de servicios de seguridad en infraestructuras críticas nos ha demostrado, que es imprescindible, y de la que apenas se oye hablar: se trata de los “Árboles de Ataque”.
La actual legislación PIC establece que es necesario realizar un análisis de riesgos, de forma que “contemple de una manera global, tanto las amenazas físicas como lógicas”. Para ello, es necesario disponer de una metodología lo suficientemente robusta e integrada que lo permita, que esté preparada para analizar todas las amenazas y vulnerabilidades a las que está expuesta la infraestructura crítica, de forma conjunta, independientemente del origen y naturaleza de dichas amenazas. De esta forma, se tiene en cuenta la posibilidad de que exista un “ataque combinado”, y que la materialización de un ataque de este tipo pueda causar un impacto sobre el funcionamiento de la infraestructura crítica muy superior al que causaría un ataque que provenga de un sólo vector.
No hay que olvidar que en la  Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, en sus Disposiciones Generales, define la Protección de Infraestructuras Críticas como:
“El conjunto de actividades destinadas a asegurar la funcionalidad, continuidad e integridad de las infraestructuras críticas con el fin de prevenir, paliar y neutralizar el daño causado por un ataque deliberado contra dichas infraestructuras y a garantizar la integración de estas actuaciones con las demás que procedan de otros sujetos responsables dentro del ámbito de su respectiva competencia”.

Central de Garaña 
Por lo tanto, si se trata de protegerse de “un ataque deliberado”, una herramienta imprescindible a la hora de efectuar un análisis de riesgos en una infraestructura crítica son los “Árboles de Ataque”. Esta técnica es muy útil para modelar las diferentes formas que puede utilizar un atacante para alcanzar un objetivo.
Para construir un árbol de ataque el objetivo del atacante se usa como raíz del árbol y, a partir de éste, de forma iterativa e incremental, se van detallando como ramas del árbol las diferentes formas de alcanzar dicho objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse.
Al estudiar y analizar el conjunto de todos los posibles ataques a los que está expuesto un objetivo, se acaba modelando un bosque de árboles de ataque. El conjunto de ataques a estudiar está formado tanto por ataques de carácter físico como cibernético y, como se ha indicado anteriormente, se debe tener en cuenta la posibilidad de un ataque combinado.
Un árbol de ataque estudia y analiza cómo se puede atacar un objetivo y, por tanto, permite identificar qué salvaguardas se necesita desplegar para impedirlo. También permiten estudiar las actividades que tendría que desarrollar el atacante y, por ello, lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma es posible determinar la probabilidad de que el ataque se produzca, si se conoce quién pudiera estar interesado en atacar el objetivo y se analiza su capacidad para disponer de la información, habilidades y recursos necesarios para llevar a cabo dicho ataque.
Análisis del escenario
Para poder elaborar un árbol de ataque hay que analizar el escenario al que nos enfrentamos y estudiar el problema desde el punto de vista en que lo haría el potencial atacante. Si consideramos, que cuando un potencial atacante se plantea el ataque a una IC elabora un plan, debemos ser capaces de analizar el escenario y determinar las posibles alternativas que estudiaría el potencial atacante a la hora de elaborar dicho plan de ataque.
Una preparación del Plan de Ataque puede considerarse que consta de las siguientes fases:

Árbol de ataque 
  • Fase 1: Obtención de Información.
  • Fase 2: Determinación del objetivo estratégico .
  • Fase 3: Asignación de recursos .
  • Fase 4: Determinar los objetivos tácticos.
  • Fase 5: Elaboración de los planes tácticos.
  • Fase 6: Ejecución del ataque.
  • Fase 7: Análisis del resultado del ataque.
Durante la Fase 1, el atacante se dedicará a obtener la mayor cantidad de información posible de la IC objetivo del ataque, esta labor que podemos considerar de inteligencia, la realizará utilizando tanto información de fuentes abiertas, Internet es hoy en día una gran fuente de información, como información obtenida de fuentes cerradas, así como de la observación y vigilancia de las instalaciones y personas que prestan servicios en ellas o que suponen que tienen conocimientos críticos de las mismas.
Una vez disponga de la información necesaria, procederá a definir el objetivo estratégico del ataque, con el que pretende causar el mayor daño posible. Una vez fijado se dedicará obtener los recursos necesarios para llevar a cabo el ataque, si la obtención de los recursos le plantea grandes dificultades o le suponen un coste que no puede asumir, puede llevarle a tomar la decisión de variar el objetivo o de abandonar el ataque.
Si el atacante ha logrado obtener los recursos que considera necesarios, en función de la información de la que dispone, para llevar a cabo el ataque pasará a la Fase 4, determinar los objetivos tácticos, en la que fijará los puntos concretos en los que golpeará, para alcanzar su objetivo estratégico, interrumpir un servicio esencial que afecte al mayor número de personas posible y que cause el mayor impacto posible, tanto económico, como medioambiental.
Una vez fijados los objetivos tácticos, los puntos concretos donde se llevarán a cabo los ataques, elaborará los planes tácticos donde concretará el momento y el modo en que se ejecutarán dichos ataques y que recursos empleará en cada uno de ellos.
Al atacante solo le queda esperar a que llegue el momento en el que ha decidido lanzar el ataque y atacar y, una vez realizado el ataque, analizar los resultados para mejorar sus técnicas y procedimientos, para el siguiente ataque.
A la hora de elaborar un “Árbol de Ataque” que se vaya a utilizar para analizar los riesgos de una IC, debemos emplear un esquema de Plan de Ataque como el que acabamos de exponer, la raíz de un árbol de ataque, a partir de la que se construye, no es otra que el “objetivo estratégico” del atacante, si no elegimos bien la raíz, el árbol no será útil, no nos proporcionará información de cómo protegernos de la amenazas a las que está expuesta nuestra IC.
Para elegir bien la raíz de un árbol de ataque, es necesario que nosotros realicemos el mismo proceso que lleva a cabo un potencial atacante para determinar su “objetivo estratégico”, vamos a utilizar su Plan de Ataque:
Fase 1: Obtención de Información. Tenemos que conocer qué información sobre nuestra IC y sobre nuestras interdependencias está disponible en fuentes abiertas. Si la analizamos, nos vamos a sorprender de la cantidad de información que estamos proporcionando a los potenciales atacantes.
Fase 2: Determinación del objetivo estratégico. Debemos analizar toda la información que se encuentra disponible en fuentes abiertas y que hemos recopilado en la fase anterior, y elaborar una relación de los posibles objetivos estratégicos que se desprenden de dicha información pública. Todos estos posibles objetivos estratégicos deben estudiarse mediante Árboles de Ataque, que juntos darán forma al Bosque de Árboles de Ataque que utilizaremos para determinar las medidas de protección necesarias para nuestras IC.
Para finalizar es necesario destacar la gran importancia que tiene la información sobre las infraestructuras críticas que se encuentra disponible en fuentes abiertas, como puede ser Internet. En Internet podemos encontrar gran cantidad de información, como pueden ser fotos de las instalaciones tomadas por satélite, descripción de la instalaciones, manuales de elementos técnicos, informes de incidentes, procedimientos de seguridad, mapas de red, métricas en tiempo real de producción y distribución de servicios y productos, así como un largo etcétera de datos que, una vez analizados, permiten al potencial atacante fijar fácilmente un “objetivo estratégico”.
Según nuestra experiencia, la utilización de “Árboles de Ataque”, nos ayuda a diseñar las medidas de protección necesarias contra ataques deliberados de todo tipo, tanto de carácter físico como cibernético, y entre estas medidas se encuentra obstaculizar las labores de inteligencia del potencial atacante.

No hay comentarios:

Publicar un comentario