apresentação - evento de segurança de automação em salvador
TRANSCRIPT
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SeguranSegurançça da Informaa da Informaçção em Ambientes de ão em Ambientes de AutomaAutomaçção Industrial (TA) e redes SCADAão Industrial (TA) e redes SCADA
Salvador, BAMaio de 2013
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Agenda do Evento
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
TI Safe: Presença Nacional
• Escritórios
� Rio de Janeiro
� São Paulo
• Representantes Comerciais
� Porto Alegre
� Brasília
� Goiânia
� Salvador
� Manaus
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Siga a TI Safe nas Redes Sociais
• Twitter: @tisafe
• Youtube: www.youtube.com/tisafevideos
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Palestrante
Marcelo Branquinho
Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão
de negócios e membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança
da Informação onde também atua como chefe do departamento de segurança para
sistemas de automação industrial.
• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o
desenvolvimento da Formação de Analistas de Segurança de Automação, primeira
formação brasileira no segmento e ministrada em infra-estruturas críticas e organismos
governamentais brasileiros.
• Atualmente é integrante do comitê internacional que mantém a norma ANSI/ISA-99.
• Possui certificação internacional CSSA (Certified SCADA Security Architect)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Demonstrações Técnicas
Jan Seidl
• Coordenador técnico da TI Safe. Especialista em análise de riscos em sistemas de
automação e pesquisador na área de engenharia de Malware.
• Evangelista apaixonado *NIX, BSD, C e Python. Profissional e pesquisador de seguranc a
da informac ão, dedicado ao pentest e análise reversa de malware com larga experiencia
na administrac ão e seguranc a de servidores, redes e aplicacões.
• Autor do blog sobre infosec http://wroot.org.
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Cyber Terrorismo e a Segurança das Infraestruturas Críticas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
8
O que é automação?
• Engenharia de automação é o estudo das técnicas que visam otimizar um processo de
negócio, aumentando sua produtividade, promovendo a valorização da força de
trabalho humano, e assegurando uma operação ambientalmente segura.
• É um conjunto de métodos para a realização de tarefas repetitivas
• Deixa para o homem, fazer no máximo intervenções sob demanda, análise e tomada
de decisões
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
9
Automação hoje
Cada sistema de automação normalmente é composto por 5 elementos:
• Acionamento : provê ao sistema energia para atingir determinado objetivo. Ex:
Motores, Pistões hidráulicos, etc
• Sensoriamento : mede o desempenho do sistema de automação ou uma propriedade
particular de alguns de seus componentes
• Controle : Utiliza as informações dos sensores para regular, controlar os dispositivos.
Ex: para acionar motores, válvulas, etc
• Comparador : elemento que permite comparar valores medidos com valores pre-
estabelecidos e que servem para a tomada de decisão de quando e como atuar. Ex:
termostato e os sistemas de software
• Programas : contêm as informações de processo e permitem controlar as interações
entre os diversos componentes
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
10
Exemplos de aplicações
Para automatizar uma academia de ginástica:
� Leitor biométrico para identificar o cliente
� O Leitor biométrico envia as informações para o computador
� O cliente é identificado pelo software (programa)
� Caso sua matricula esteja em ordem, a catraca é liberada pelo computador
(acionamento)
� É registrado a ocorrência no banco de dados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
11
Campos de atuação na área IndustrialControle de Plantas Industriais:
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
12
Campos de atuação na área Industrial
Controle e Monitoramento de componentes:
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
13
Campos de atuação na área Industrial
Na saída dos produtos:
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
14
Centro de Controle Operacional
Agrupa em um único centro as informações dos sistemas de controle industriais.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Arquitetura de sistemas Arquitetura de sistemas industriaisindustriais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sistemas SCADA
• Os sistemas SCADA são utilizados em
processos industriais, como na
produção de aço, produção de energia
(convencional e nuclear), distribuição
de energia, metalomecânica, indústria
química, estações de tratamento de
águas, etc.
• Em Indústrias, as soluções baseadas
na arquitetura SCADA são as mais
usadas (Fix, Factory Link,
CIMPLICITY, e outras soluções de
mercado).
SCADA = Supervisory Control And Data Acquisition
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Arquitetura básica
• Um sistema SCADA é composto por:
� Instrumentação de campo.
� Autômatos Programáveis.
� Rede de comunicações.
� Sistemas Supervisórios
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Instrumentação de Campo
• Dispositivos que estão ligados ao equipamento ou máquinas a
serem monitoradas e controladas pelo sistema SCADA:
� Sensores para monitorar alguns parâmetros;
� Atuadores para controlar alguns módulos do sistema.
• Estes dispositivos convertem os parâmetros físicos (i.e. fluxo,
velocidade, nível, etc.) em sinais elétricos que serão acessados
pelas estações remotas.
• As saídas podem ser analógicas ou digitais.
• As saídas em tensão são utilizadas quando os sensores são instalados perto dos controladores; em
corrente quando os sensores estão longe dos controladores.
• As entradas podem ser analógicas ou digitais.
� Entradas digitais podem ser utilizadas para ligar/desligar equipamento;
� Entradas analógicas são usadas para controlar a velocidade de um motor ou a posição de uma
válvula motorizada.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Autômatos Programáveis
• Instalados na planta e controlados pela
entidade central. A instrumentação de
campo é ligada aos autômatos
programáveis, que recolhem a
informação do equipamento e a
transferem para o SCADA central.
• Tipos:
� CLP: Controlador Lógico
Programável (PLC em Inglês)
� RTU: Também chamados de
remotas (do inglês, Remote
Terminal Units)
� IED: dispositivos controladores
comumente utilizados em
empresas de energia elétrica.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Topologias de redes SCADA
*FEP = Front End Processor
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Redes Industriais
• Integram todo ou parte do conjunto de informações presentes em uma indústria
• Sistema distribuído eficaz no compartilhamento de informações e recursos dispostos por
um conjunto de máquinas processadoras
• Vários usuários podem trocar informações em todos os níveis dentro da fábrica
• Vários protocolos de comunicação para redes SCADA foram desenvolvidos por diferentes
fabricantes de equipamentos industriais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Protocolos Industriais - Padrões Fieldbus
• Fieldbus é um termo genérico empregado para descrever tecnologias de
comunicação industrial para controle em tempo real;
• O termo Fieldbus abrange diferentes protocolos para redes industriais
• Atualmente há uma vasta variedade de padrões Fieldbus. Alguns dos mais usados
são:
� AS-Interface (ASI)
� CAN Bus
� DeviceNet
� Data Highway
� LonWorks
� Modbus
� Profibus
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Supervisão e Controle de Processos
• A supervisão e o controle de processos produtivos suportam os operadores para a
gestão de aplicações bastante complexas.
• A supervisão e controle assume-se como uma plataforma crucial à gestão, visualização
e processamento de informação em ambiente industrial.
• Existem dois tipos de supervisão e controle:
� IHM: Interface Homem Máquina, para supervisão e controle distribuído.
� Sistemas Supervisórios : para supervisão e controle centralizado.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Infraestruturas CrInfraestruturas Cr ííticas e ticas e Cyber TerrorismoCyber Terrorismo
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O que são infraestruturas críticas?
São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda,
interrupção significativa ou degradação dos serviços poderia ter graves conseqüências
sociais ou à segurança nacional.
Exemplos:
� Geração e distribuição de eletricidade;
� Telecomunicações;
� Fornecimento de água;
� Produção de alimentos e distribuição;
� Aquecimento (gas natural, óleo combustível);
� Saúde Pública;
� Sistemas de Transportes;
� Serviços financeiros;
� Serviços de Segurança (polícia, exército)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataques aéreos – 1ª Guerra Mundial
• Aviões foram usados em combate pela primeira vez na primeira guerra mundial
• Trunfo: podiam bombardear a infraestrutura crítica de nações sem serem atingidos
• Na época, causaram grande terror à população e aos governos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Cyber War
• Cyber War ou Guerra Cibernética é (conceitualmente) apenas uma nova modalidade
da guerra convencional.
• Principais diferenças:
• Silenciosa
• Anônima
• Sem território definido
• Sem reação
• Quem? Como? De onde?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Guerra Convencional X Guerra Cibernética
$1.5 a $2 bilhões
$80 a $120 milhões
Quanto custa um bombardeiro Stealth
Quanto custa um caça Stealth?
$1 a $2 milhõesQuanto custa um míssil de cruzeiro
$300 a $50,000Quanto custa uma cyber arma?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Encontre as armas de destruição em massa:
Fábricas de armas nucleares Fábricas de cyber-armas
Onde estão as fábricas de cyber armas?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Antigamente...
Chen-Ing Hau, 24(Autor do vírus CIH)
Joseph McElroy, 16(Invadiu o laboratório de pesquisas
nucleares dos EUA)Jeffrey Parson, 18(autor do Blaster.B virus)
Objetivo:Destruir
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Os tempos mudaram…“Script Kiddies”, usando toolkits baixados da internet precisam de muito pouco
conhecimento técnico para lançar um ataque!
PhishingToolkits
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Literatura Hacker
• A criticidade do uso e o impacto provocado por ataques a redes de automação
aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando
como atacar uma rede industrial.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O que movimenta esse mercado?
SPAM
Phishing
EspionagemIndustrial
Roubo deidentidades
Roubo de dados
corporativos
Sequestro debrowser
Pop ups& BOs
Roubo deDados
pessoais
É um negócio!
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Os novos atacantes
• Silenciosos
� Sem alarmes, sem vestígios
• Precisos
� Personalização, códigos
específicos
� Tomam vantagem sobre fraquezas
tecnológicas e humanas
• Patrocinados
� Por governos
� Por empresas concorrentes
� Por empresas de hacking
� Por grupos terroristas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ciberterroristas
• Grupos organizados custeados por governos de países ou organizações terroristas
para promover o terrorismo ao redor do mundo.
• A infraestrutura crítica dos países é o alvo preferido destes grupos.
• Enquanto hackers se preocupam em roubar ativos da empresa, Ciberterroristas se
dedicam a promover atos de destruição.
• Cyber-Jihad e Cyber Al-Qaeda são exemplos.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ciberespiões
• Ciberespionagem é a prática de usar computadores e tecnologia da informação para
conseguir informação confidencial de um adversário.
• Diferentemente das técnicas tradicionais de espionagem, como plantar escutas
telefônicas, as escutas cibernéticas são bem mais difíceis de serem detectadas.
• Uma vez que o espião tenha desenvolvido ou comprado uma escuta cibernética, a
técnica mais comum de plantá-la é por email. Entretanto deve ser notado que já foram
encontrados códigos espiões no firmware de equipamentos eletrônicos fornecidos por
empresas estrangeiras, principalmente chinesas.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Hacktivistas
• Hacktivismo é o ato de invadir sistemas de computação por motivos políticos ou
sociais.
• O indivíduo que realiza atos de Hacktivismo é denominado Hacktivista.
• Alguns grupos hacktivistas famosos:
� Anonymous: http://anonymous.pysia.info/
� Lulzsec: http://lulzsecbrazil.net/
� Team Web Ninjas: http://hackmageddon.com/tag/web-ninjas/
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Guerreiros cibernéticos (Cyber Warriors)
• São pessoas que se engajam na guerra cibernética, seja por razões pessoais, patriotismo
ou crenças religiosas.
• Ciberguerreiros podem atacar computadores ou sistemas de informação através de
hacking ou outras estratégias relacionadas, ou defendê-los dos seus inimigos.
• Eles também podem encontrar melhores maneiras de proteger um sistema ao encontrar
vulnerabilidades por meio de técnicas de hacking e anulando estas vulnerabilidades antes
que os inimigos a explorem.
• Ciberguerreiros são frequentemente contratados por governos de países e organizações
militares.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
A Ameaça Interna
• Grande parte das invasões realizadas em sistemas de tecnologia corporativos têm
participação de funcionários ou ex-funcionários das empresas. A afirmação feita há
alguns meses pelo detetive britânico Chris Simpson - da unidade de crimes de
computação da polícia metropolitana londrina - é reforçada no Brasil pelo IPDI (Instituto
de Peritos em Tecnologias Digitais e Telecomunicações).
• Segundo o IPDI, 80% dos golpes realizados no ambiente corporativo, sejam on-line ou
off-line, contam com colaboração interna.
• Esta tendência, aliada à popularização do uso da tecnologia, facilita o roubo de
informações, espionagem industrial, sabotagem, entre outros tipos de crime.
Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u19452.shtml
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Principais ataques contra Principais ataques contra redes de automaredes de automa ççãoão
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Shodan
• Hackers estão usando o site de busca Shodan para encontrar computadores
de sistemas SCADA que utilizam mecanismos potencialmente inseguros para
autenticação e autorização.
http://www.shodanhq.com
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Repository for Industrial Security Incidents
• http://www.securityincidents.org/
• O Repositório de Incidentes de Segurança Industrial é um banco de dados de
incidentes que têm (ou podem ter) afetado controle de processos e sistemas SCADA.
• O objetivo da RISI é coletar, investigar, analisar e compartilhar importantes incidentes
de segurança industrial entre as empresas associadas para que elas
possam aprender com as experiências dos outros.
• Os dados são recolhidos através da investigação sobre incidentes de conhecimento
público e de comunicação privados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Como os atacantes entram…
a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de
automação
b) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativa
c) Atos intencionais de funcionários insatisfeitos
d) Conexões via modem
e) VPNs
Internet Directly17%
VPN Connection7%
Dial-up modem7%
Trusted 3rd Party Connection
10%
Telco Network7%
Wireless System3%
Via Corprate WAN & Business Network
49%
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Bomba lógica destrói oleoduto na Sibéria
• Em 1982, durante a guerra fria, os planos de um
sofisticado sistema SCADA para controle de
oleoduto foram roubados pela KGB de uma
empresa canadense.
• A CIA alega que esta empresa detectou o ataque
e inseriu uma bomba lógica no código roubado
para sabotar e explodir o oleoduto.
• A explosão foi equivalente a um poder de 3
Quilotons de TNT. A explosão foi tão poderosa
que satélites americanos enviaram alertas
nucleares aos centros de controle nos EUA.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Oleoduto explode em Bellingham (EUA)
01/06/1999
• Falhas no SCADA resultaram na explosão
do oleoduto.
• Gasolina atingiu dois rios nas cidades de
Bellingham e Washington.
� Explosão matou 3 pessoas e feriu 8.
� Aproximadamente 26 hectares de
árvores e vegetação foram
queimados durante o incidente.
� Liberou aproximadamente 236.000
galões de gasolina, causando danos
substanciais ao meio ambiente.
É possível quantificar o prejuízo de um incidente como estes?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque à ETR de Maroochy Shire31/10/2001
• Ataque ao sistema de controle de
tratamento de resíduos de
Maroochy Shire em Queensland,
Austrália.
• A Planta passou por uma série de
problemas: bombas não acionavam
quando comandadas, alarmes não
estavam sendo reportados, e havia
uma perda de comunicações entre
o centro de controle e as estações
de bombas.
• Estes problemas causaram o
alagamento do terreno de um hotel
próximo, um parque, e um rio com
mais de 7 milhões de litros de
esgoto bruto.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque à Usina Nuclear de Davis-Besse
• Em 25/01/2003, a usina nuclear Davis-Besse
usina nuclear em Oak Harbour, Ohio, foi
infectada com o worm "Slammer" do MS SQL.
• A infecção causou sobrecarga de tráfego na
rede local. Como resultado, o Sistema de
Segurança de Display de Parâmetros (DOCUP)
ficou inacessível por quase 5h, e o computador
de processos da planta por mais de 6h.
• Um firewall estava no local para isolar a rede de controle da rede da empresa, no
entanto, havia uma conexão T1 a partir de uma empresa de consultoria de software,
que entrou na rede de controle por trás do firewall, ignorando todas as políticas de
controle de acesso impostas pelo firewall corporativo.
• O worm infectou servidor do consultor e foi capaz de entrar na rede Davis-Besse
através da linha T1.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Transporte Ferroviário – Ataque à CSX
20/08/2003
• Sistema de sinalização ferroviário
da CSX
• Virus Sobig causa desligamento
dos sistemas de sinalização da
costa leste dos EUA
• Virus infectou a base de controle
da Flórida, desligando sinalização
e outros sistemas de controle
ferroviário
• Trens que fazem percursos de
longas distâncias foram atrasados
entre 4 a 6 horas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque a centro de comando derruba satélite• Em 2008 investigadores da NASA reportaram que
uma falha no ROSAT estava ligada à uma cyber
invasão no Goddard Space Flight Center, centro de
comando do satélite.
• Segundo o relatório da NASA: “Atividades hostis
comprometeram sistemas de computadores que
direta ou indiretamente lidam com o controle do
ROSAT”
• Após sucessivas falhas nos meses seguintes, em
23/10/11 o satélite alemão ROSAT explodiu ao
reentrar na atmosfera terrestre. Seus destroços
caíram em áreas inabitadas do planeta não
causando vítimas.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Incidentes reportados até 2/3/2011 - RISI
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tipos de incidentes (Brasil – KB TI Safe)
• Fonte: Knowledge Base TI Safe
• Incidentes computados desde Julho de 2008
• Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes # Casos
Malware 9
Erro Humano 15
Falhas em dispositivos 8
Outros 6
Incidentes no Brasil
24%
39%
21%
16%
Malware
Erro Humano
Falhas em dispositivos
Outros
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Intervalo Intervalo –– 15 Min.15 Min.
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Desenvolvendo estratégias para segurança de redes de automação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Novas e poderosas Novas e poderosas CyberCyber Armas.Armas.
A necessidade urgente de A necessidade urgente de seguranseguran çça em redes de a em redes de
automaautoma çção.ão.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
2010, O Worm Stuxnet• O Stuxnet é um worm desenvolvido para
atingir sistemas de controle industriais que
usam PLCs Siemens.
• Seu objetivo aparenta ser a destruição de
processos industriais específicos.
• O Stuxnet infecta computadores com sistema
operacional Windows no controle de sistemas
SCADA, independente de ser ou não
Siemens.
• O Worm somente tenta fazer modificações
em controladoras dos PLCs modelos S7-300
ou S7-400, entretanto ele é agressivo e pode
afetar negativamente qualquer sistema de
controle. Computadores infectados também
podem ser usados como uma entrada para
futuros ataques.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Stuxnet ataca usinas Iranianas (2010)
http://www.reuters.com/article/idUSTRE6AS4MU20101129http://arstechnica.com/business/news/2012/04/stuxnet-worm-reportedly-
planted-by-iranian-double-agent-using-memory-stick.ars
• O Stuxnet foi instalado em um pen-
drive e transportado por um agente
duplo iraniano contratado pelo
governo de israel e acima de
qualquer suspeita que o conectou a
um computador do sistema de
segurança.
• Uma vez introduzido o vírus se
espalhou silenciosamente durante
meses procurando por PLCs
Siemens.
• Os PLCs visados estavam nas
centrífugas que são usadas no
processo de enriquecimento do
urânio a ser usado para a
construção de bombas atômicas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
http://www.csmonitor.com/USA/Foreign-Policy/2010/1004/Iran-s-Bushehr-nuclear-plant-delayed-Stuxnet-not-to-blame-official-says
Stuxnet ataca usinas Iranianas (cont.)
• Em condições normais de operação
as centrífugas giram tão rápido que
suas bordas externas se deslocam
com velocidades quase sônicas.
• O Stuxnet aumentou a velocidade
das centrífugas para 1600 km/h
ultrapassando o ponto em que o
rotor explodiu.
• Simultanemante o Stuxnet enviava
sinais falsos para os sistemas de
controle indicando que tudo
funcionava normalmente.
• Aproximadamente 1000 centrífugas
foram afetadas e o programa nuclear
iraniano paralisado.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O Framework Metasploit (metasploit.org)
• O Metasploit é uma plataforma open-sorce para desenvolvimento, teste e uso de
códigos de exploração (exploits).
• É um framework de scripts totalmente modular.
• Torna fácil e rápido o desenvolvimento de ataques.
• Ataques são frequentemente adicionados sem que exista um patch para eles (ataques
"Zero-Day“).
• O Metasploit não é uma ferramenta para hacking!
• Metasploit é para:
� Pesquisa de técnicas de exploração.
� Entendimento de métodos usados por atacantes.
� Testes de eficácia de IDPS.
� Testes de penetração em sistemas.
� Demonstrações e apresentações.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Metasploit e SCADA Exploits
https://www.infosecisland.com/blogview/9340-Metasploit-and-SCADA-Exploits-Dawn-of-a-New-Era-.html
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exploits SCADA Zero Day publicados
http://www.scmagazine.com.au/News/272175,zero-day-industrial-control-system-exploits-published.aspx
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
2011, O Worm Duqu
• O Duqu é um Worm descoberto em 1/9/2011.
• Seu nome vem do prefixo "~DQ" que ele atribui aos arquivos que ele cria.
• A Symantec denominou o Duqu de “quase idêntico ao Stuxnet, mas com propósito
totalmente diferente“. Ela acredita que o Duqu tenha sido criado pelos mesmos autores
do Stuxnet, ou por pessoas que tiveram acesso ao código fonte do Stuxnet.
• O worm, assim como o Stuxnet, tem um certificado digital válido (roubado da C-Media)
e coleta informações para a preparação de futuros ataques.
• Duqu utiliza comunicação peer-to-peer para se alastrar de redes inseguras para redes
seguras. De acordo com a McAfee, uma das ações do Duqu é roubar certificados de
computadores atacados para ajudar em futuros ataques.
• O Duqu é o primeiro worm a surgir com código fonte derivado do Stuxnet (segunda
geração).
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
2012, O Malware Flame
• Também conhecido como sKyWiper.
• O Flame é um conjunto de ferramentas
de ataque para espionagem industrial.
• Ele é um backdoor, um trojan e se
espalha como um Worm, se replicando
através de mídias externas e contato
com outras redes contaminadas.
• Segundo a Kaspersy labs, “ele é muito
mais complexo que o Duqu. A geografia
dos seus alvos (alguns países do oriente
médio) e sua complexidade não deixa
dúvidas de que alguma nação está por
trás dele.”
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
2012, O Malware Shamoon
• O Shamoon, também conhecido como Disttrack, é um malware que ataca
computadores rodando a linha Microsoft Windows "NT" de sistemas operacionais. O
Malware tem sido usado para cyber espionagem no setor de energia.
• Similaridades entre o Shamoon e o Flame foram destacadas pelos laboratórios de
pesquisa da Kaspersky Lab e Seculert. Ambos possuem a capacidade de se espalhar
para outros computadores na rede através da exploração de discos compartilhados.
Uma vez que um sistema tenha sido infectado, o malware continua a compilar uma lista
de arquivos de locais específicos no sistema, os apaga e envia a informação sobre
estes arquivos para o atacante que o programou. Finalmente, o malware sobrescreverá
o registro de master boot da máquina, impedindo-a de inicializar.
• Um grupo chamado "Cutting Sword of Justice" se
responsabilizou pelo ataque a 30.000 computadores
na empresa de petróleo Saudi Aramco, fazendo com
que a empresa tivesse que levar uma semana para
restaurar seus serviços. O grupo indicou
posteriormente que o Shamoon foi usado neste
ataque.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
A Norma de SeguranA Norma de Seguran çça a ANSI/ISAANSI/ISA --9999
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Aspectos legais
• Objetivo
� Fornecer maior confiança aos investidores e
sustentabilidade às organizações
• Empresas devem demonstrar boas práticas corporativas:
� Governança corporativa;
� Evitar Penalidades criminais;
� Ampliação da cultura de ética profissional;
� Estabelecimento e manutenção de controles internos;
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
A norma ANSI/ISA 99
• Norma elaborada pela ISA (The
Instrumentation Systems and Automation
Society) para estabelecer segurança da
informação em redes industriais
• É um conjunto de boas práticas para
minimizar o risco de redes de sistemas
de controle sofrerem Cyber-ataques
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Relatórios Técnicos da ISA 99
• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and
Control Systems”: Fornece métodos para avaliação e auditoria de tecnologias de
cybersegurança, métodos para mitigação, e ferramentas que podem ser aplicadas para
proteger os sistemas de controle de automação industriais (IACS) de invasões e
ataques.
• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing
and Control Systems Environment”: Framework para o desenvolvimento de um
programa de segurança para sistemas de controle. Fornece a organização
recomendada e a estrutura para o plano de segurança. O Framework está integrado no
que é chamado de CSMS (Cyber Security Management System), cujos elementos e
requerimentos estão organizados em 3 categorias principais:
• Análise de Riscos
• Endereçando os riscos com o CSMS
• Monitorando e melhorando o CSMS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ANSI/ISA-TR99.00.02-2004 : Estabelecendo um programa de segurança de sistemas de controle e automação industrial
Categoria 1
Categoria 2
Categoria 3
Elementgroup
Element
Relacionamento de categorias
Análise de RiscosIdentificação,
classificação e análise de riscos
Racional do Negócio
Endereçando riscos com o CSMSPolítica de Segurança,
organização e treinamento
Escopo do CSMS
SegurançaOrganizacional
Treinamento de segurança da
equipe
Plano de continuidade de
negócios
Políticas de segurança e
procedimentos
Contramedidas de segurança selecionadas
SegurançaPessoal
Segurançafísica e
ambiental
Segmentaçãoda rede
Controle de acesso: gestão
de contas
Controle de Acesso:
autenticação
Implementação
Gestão do risco e implementação
Desenvolvimentode sistemas e manutenção
Informação e gestão de
documentos
Planejamento e resposta a incidentes
Monitorando e melhorando o CSMS
ComplianceRevisar, melhorar
e manter o CSMS
Elemento
Grupos de elementos
*Cyber SecurityManagement System
Controle de Acesso:
autorização
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Etapas para a implementação do CSMS
1. Análise de Riscos : Racional do negócio, identificação de riscos, classificação e análise.
2. Endereçando riscos com o CSMS:
• Política de Segurança, Organização e Treinamento
• Definir escopo, segurança organizacional, treinamento da equipe, plano de
continuidade de negócios, políticas e procedimentos
• Selecionar contramedidas de segurança
• Segurança pessoal, segurança física, segmentação de rede, controle de
acesso, autenticação e autorização
• Implementação
• Gerência de riscos e implementação, desenvolvimento e manutenção de
sistemas, gestão da informação e documentos, planejamento de incidentes
3. Monitoramento e melhorias noCSMS: Compliance, revisão e melhorias nas
contramedidas implantadas.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Guia para infraestruturas críticas (2010)
• Desenvolvido pelo CGSI (Comitê Gestor da
Segurança da Informação), órgão ligado à
presidência da república e instituído através da
portaria 45 DSIC GSI
• O Guia visa garantir a segurança das infra-
estruturas críticas da informação no Brasil
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Editais com referência à norma ANSI/ISA-99
• O primeiro edital que claramente
apresenta referências à norma
ANSI/ISA-99 no Brasil foi o da Petrobrás
para a licitação do COMPERJ
(Complexo Petroquímico do Rio de
Janeiro).
• Este edital, publicado em Maio de 2009
possuía um caderno somente para as
especificações de segurança cibernética.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
EstratEstrat éégias de defesa em gias de defesa em profundidadeprofundidade
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Porque as soluções de segurança falham?
• Uma solução popular para a segurança industrial é instalar um firewall entre as redes
de negócios e de controle.
• Conhecido como o Bastion Model , uma vez que ele depende de um ponto único de
segurança.
• Exemplo: Muralha da China.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Proteger o perímetro não é suficiente
• Não se pode somente instalar um firewall para controle de sistemas e esquecer do
resto da segurança.
• Os invasores normalmente entram.
• É necessário proteger o chão de fábrica com uma estratégia de defesa em
profundidade.
• Um Worm infiltrou-se em*:
• Uma planta nuclear através de uma conexão 3G.
• Um sistema SCADA de energia através de uma VPN.
• Um sistema de controle de Oil&Gas através do sistema do laptop de um
terceirizado.
• Firewalls existiam em todos estes casos.
* Dados obtidos do RISI
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Caminhos dentro da rede de controle
�Laptops Infectados
Firewalls mauconfigurados�
Control LAN
Rede da planta
Rede corporativa
Internet
Conexões nãoautorizadas
�
Rede de PLCs
�
Suporte remotoinfectado
�
Modems�
Drives USB�
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Modelo de Zonas e ConduModelo de Zonas e Condu íítestes
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O que torna um sistema seguro?
• Na maioria dos incidentes reportados, havia uma falha em conter as comunicações em
áreas apropriadas ou sub-sistemas.
• Problemas em uma área eram permitidos de migrar para outra área devido à uma
estratégia de separação pobre ou inexistente.
• A Solução é o uso de zonas de segurança, como definido na ANSI/ISA-99.
• ELEMENTO 4.3.2.3 – Segmentação de rede:
� Objetivo:
• Agrupar e separar sistemas de controle de infraestruturas críticas chave em
zonas com níveis de segurança comuns de maneira a gerenciar os riscos de
segurança e atingir um nível de segurança desejado para cada zona.
� Requerimento 4.3.2.3.1:
• Uma estratégia de contramedida baseada na segmentação de rede deve ser
desenvolvida para os elementos de uma rede crítica de acordo com o nível de
riscos desta rede.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Definição de zona de segurança
• “Zona de segurança: agrupamento de ativos físicos e lógicos que dividem os mesmos
requerimentos de segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116].
• Uma zona deve ter uma borda claramente definida (seja lógica ou física), que será a
fronteira entre elementos incluídos e excluídos.
Zona IHM
Zona Controladora
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Conduítes
• Um conduíte é um caminho para o fluxo de dados entre duas zonas:
� Pode fornecer as funções de segurança que permitem diferentes zonas a se
comunicar com segurança.
� Todas as comunicações entre zonas devem passar por um conduíte.
Zona IHM
Zona Controladora
Conduíte
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Níveis de Segurança
• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores como sua
criticidade e consequências.
• Equipamentos em uma zona terão uma capacidade para o nível de segurança (SLC).
• Se eles não forem iguais, então será necessário adicionar tecnologias de segurança e
políticas para torná-las iguais.
Zona IHMSLC = 2SLT = 2
Zona PLCsSLC = 1SLT = 2
Conduíte aumentao SL em 1
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Usando zonas: o exemplo da refinaria
Topologia da rede de
automação da refinaria.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Especificando as zonas (1º Passo)
Rede de automação da
refinaria dividida em
zonas de segurança.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Adicionando os conduítes (2º Passo)
Conduítes são
adicionados entre as
zonas de segurança.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Protegendo as Zonas (3º Passo)
• A solução foi separar algumas zonas que
estava em desequilíbrio entre o SLC e o
SLT.
• E então colocar firewalls industriais entre
estas zonas para atingir o nível de
segurança desejado.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SoluSolu çções TI ões TI SafeSafeSeguranSeguran çça para redes industriaisa para redes industriais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
TI Safe: Pioneira em Segurança SCADA no Brasil
• Missão
� Fornecer produtos e serviços de qualidade para a
Segurança de Infraestruturas
Críticas
• Visão
� Ser referência de excelência
em serviços de Segurança de redes de automação e
SCADA
• Equipe técnica altamente
qualificada
• Parceria com grandes fabricantes mundiais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Suporte Tecnológico
• Equipe técnica permanentemente certificada
• Parcerias com fornecedores de soluções e equipamentos para segurança da
informação bem posicionadas nos relatórios de avaliação do Gartner
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Governan ça Industrial
• Plano Diretor de Segurança de Automação (PDSA)• Análise de Riscos em Redes SCADA• Análise de Vulnerabilidades em Redes de Automação• Monitoramento do ambiente e performance da rede SCADA • Suporte de Segurança
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Plano Diretor de Segurança de Automação (PDSA)
• Especificação e implementação de política de segurança específica para a área de automação.
• Especificação da topologia da rede de automação,
identificando, classificando e segregando
logicamente os ativos de acordo com o modelo de zonas e conduítes preconizado pela norma
ANSI/ISA-99.
• Especificação de soluções para segurança de borda e segurança interna da
rede de automação.
• Especificação de matriz de controle de acesso para a rede de automação visando a implantação futura de domínio de segurança.
• Desenvolvimento de plano de treinamento e conscientização em segurança
de automação para as equipes de TA da empresa.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Análise de Riscos em Redes SCADA
• Baseado nas normas ANSI/ISA-99 e NIST 800-82 (Guide to Industrial Control Systems Security)
• Atividades realizadas
� Inventário da rede de automação
� Entrevistas com os gestores
� Levantamento de vulnerabilidades e ameaças
� Análise qualitativa ou quantitativa
� Estimativa de impacto no negócio
� Definição de contramedidas e resposta a incidentes
� Avaliação do risco residual
� Plano de tratamento de riscos
� Manutenção e gestão continuada
Serviços executados com o auxílio do Módulo Risk Manager, com base de conhecimento para segurança industrial (ANSI/ISA-99)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Análise de vulnerabilidades em redes de automação
• Análise de vulnerabilidades em servidores OPC, Modbus TCP, e DNP3 bem como e alguns modelos de PLCs e aplicativos SCADA.
• Escaneamento seguro de servidores com ferramentas específicas para redes
industriais
• Geração de relatório com as vulnerabilidades encontradas e contramedidas
indicadas
• Mentoring para Hardening de servidores SCADA e OPC
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Monitoramento do ambiente e performance da rede SCADA
• Redes SCADA apresentam um padrão de QoS (Quality of Service) que dificilmente éalterado dado o processo repetitivo das operações de sistemas de controle.
• O Monitoramento contínuo dos parâmetros de QoS de uma rede de automação pode
antecipar problemas como a contaminação da rede por malware e falhas em
equipamentos como switches e roteadores.
• Os serviços de monitoramento oferecidos pela TI Safe englobam:
� Monitoramento da performance da rede e de seus principais servidores.
� Monitoramento de alertas críticos de equipamentos de segurança de perímetro.
� Monitoramento de alertas críticos de equipamentos de segurança da rede interna.
� Imediata resposta a incidentes de segurança na rede de automação.
� Alertas por email e SMS.
� Relatórios mensais para acompanhamento de incidentes.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Suporte de segurança
• Centro de operações : Rio de Janeiro
• Portal do cliente : sistema web de Service Desk
acessado pelos especialistas da TI Safe e do
cliente
• Suporte remoto com SLA : acesso remoto
seguro à rede do cliente buscando a solução
imediata dos problemas de segurança e a
manutenção preventiva do seu ambiente
operacional.
• Suporte local: Nos casos em que não for
possível resolver o incidente remotamente a TI
Safe deslocará especialistas em segurança para
o atendimento local.
• Relatório mensal de suportes: a equipe da TI
Safe envia para seus clientes um relatório mensal
sobre os atendimentos realizados
•Serviços executados remotamente
� Gestão de IPS para segurança de borda
� Gestão de Firewalls da rede interna
� Gestão de solução de backup
� Gestão de solução de controle de
acesso reforçado
� Gestão de solução DLP
� Gestão de performance de servidores e
tráfego da rede de automação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Seguran ça de Borda SCADA
• Segurança de perímetro da rede SCADA• Controle de acesso à rede de automação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Segurança de perímetro da rede SCADA
• Análise da topologia da rede de automação e conectividade com redes externas
(corporativa, parceiros externos, organismos de regulamentação, etc).
• Especificação, venda e implantação de soluções para segurança de perímetro da rede de automação (Firewall Checkpoint e IPS de rede IBM-ISS).
• Implantação de DMZ (Demilitarized Zone) para hospedar servidores comuns à rede de
automação e outras redes (corporativa e externas).
• Treinamento e capacitação da equipe gestora da rede de automação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controle de acesso à rede de automação
• Uma solução de NAC (Network Access Control) usa um conjunto de protocolos para definir e implementar a política de controle de aceso à rede de automação.
• Esta solução implementa processos de correção automática nos computadores que
desejam se conectar à rede de automação.
• Com o NAC, quando um computador tenta se conectar à rede de automação ele não
terá permissão para acessar qualquer dispositivo enquanto não estiver de acordo com
a política de controle de acesso, incluindo nível de proteção antivírus e patching.
• Uma vez que as exigencias da política sejam cumpridas, o computador poderá acessar os recursos da rede de automação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Prote ção da Rede Interna
• Segmentação - Modelo de Zonas e Conduítes• Domínio de Segurança para redes de automação• Controle de Malware (DLP & White listing)• Suite Tofino• Família Siemens SCALANCE S• Gateways de segurança unidirecionais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Segmentação - Modelo de Zonas e Conduítes
• É necessário proteger não somente o perímetro como também a rede interna.
• A norma ANSI/ISA-99 define o modelo de zonas e conduítes
onde a rede interna é dividida logicamente em zonas de
segurança interligadas por segmentos de rede denominados
conduítes.
• Nos conduítes devem ser implantadas soluções de segurança para as zonas da rede interna.
• Para este propósito a TI Safe oferece os seguintes serviços:
� Inventário de ativos da rede de automação.
� Especificação da arquitetura da rede de acordo com o
modelo de zonas e conduítes.
� Segmentação da rede interna através de configuração de
VLANs (Redes Locais Virtuais).
� Especificação de modelos de firewalls industriais específicos para uso nos conduítes.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Domínio de segurança para redes de automação
• Especificação de política de controle de acesso para a rede de automação.
• Implantação de domínio para área de automação baseado no Microsoft Active Directory (esquema de autenticação centralizada ou distribuída).
• Integração com login de plataformas UNIX
like e login transparente.
• Estabelecimento de relação de confiança
com domínio corporativo.
• Ativação de GPOs específicas para
segurança de redes industriais.
• Registros (Logs) de atividades de usuários na rede de automação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Suite Tofino
• Completa solução para segurança de plantas de automação indicada para empresas que desejam atingir o compliance com a norma ANSI/ISA-99 sem a
necessidade de paradas de produção nem configurações complicadas.
• A solução é controlada e monitorada em tempo real por uma console de
gerência que armazena trilhas de auditoria para os eventos de segurança.
• A TI Safe é o único VAR da Byres Security autorizado para prestar consultoria e serviços no
Brasil.
• Serviços prestados:
• Certificação oficial da Suíte Tofino (12h)
• Implantação e configuração da Solução• Monitoramento 24 X 7 X 365
• Suporte de Segurança da solução
implantada
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Família Siemens SCALANCE S
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controle de Malware
• A gestão das portas lógicas dos computadores da rede de automação é importante
pois elas são o principal vetor de contaminação por Malware.
• O controle do uso de mídias removíveis (pen drives, discos rígidos externos, etc) e modems 3G em redes de automação é fundamental para evitar infecções.
• É necessário implementar solução de DLP em redes de automação para realizar o
controle das portas lógicas da rede SCADA.
• Complementar à solução de DLP, deve ser instalada também uma solução de
whitelisting.
• O software de Whitelisting cria ou contém uma lista de programas e aplicativos que têm permissão para ser executados na rede de automação. Qualquer software não listado
nesta “lista branca” é impedido de executar
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gateways de segurança unidirecionais
• Laser em TX, fotocélula em RX, cabo de fibra ótica – você pode enviar dados para fora, mas nada consegue retornar no sentido contrário para a rede protegida.
• TX usa protocolos em duas vias para reunir dados de redes protegidas.
• RX usa protocolos em duas vias para publicar dados em redes externas.
• Derrota ataques de controle avançado / remoto.
• Casos típicos de uso:
� Replicação de bases de dados / históricos;
� Replicação de servidores OPC;
� Acesso remoto e comunicação segura entre plantas de automação;
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Acesso Remoto e Wi-Fi Industrial
• Acesso remoto seguro• Segurança de redes sem fio industriais• Vídeoconferência industrial segura
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Acesso Remoto Seguro
• Solução composta por itens de consultoria aliados à solução Check Point GO, que cria
um desktop virtual totalmente seguro e fornece segundo fator de autenticação em
acessos a sistemas SCADA, independente da máquina que o usuário estiver usando.
• Com a solução a rede de automação fica totalmente livre do risco de infecção por
malware e do roubo das credenciais durante o acesso remoto,
• Serviços de consultoria incluídos na solução:
� Implementação da solução Check Point GO dentro da rede de automação
� Definição e implantação de políticas de segurança no acesso remoto.
� Especificação de controles de segurança para uso de Modems na rede de automação.
� Revisão de segurança do acesso remoto da rede de automação de acordo com as boas
práticas da norma ANSI/ISA-99.
� Testes integrados e startup da solução.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Segurança de redes sem fio industriais
• As redes sem fio trazem muitos benefícios para plantas industriais, mas também geram novas vulnerabilidades.
• Sem as ferramentas corretas para compreender o que está acontecendo no ambiente
sem fio, a planta fica exposta e a performance da rede comprometida.
• Os riscos vão desde a invasão das redes e a subtração de dados até poderosos
ataques de negação de serviço que podem afetar o throughput e até mesmo paralisar
o tráfego de dados na rede.
• A TI Safe oferece soluções de WIPS (Wireless IPS) da AirTight Networks que fornece proteção contínua contra ameaças na rede sem fio industrial, garantindo que a rede
somente será usada por equipamentos autorizados e registrados na política de uso da
rede sem fio.
• Todos os outros equipamentos não autorizados pela política terão o sinal da rede sem fio cortado ao entrar no perímetro da rede sem fio, não oferecendo riscos.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Vídeoconferência industrial segura
• Redes de telecomunicações industriais exigem altos níveis de confidencialidade,
integridade e disponibilidade. Soluções para Vídeoconferência em ambientes
industriais precisam ter o tráfego de dados criptografado para evitar espionagem
industrial.
• Para garantir a segurança nessas redes são utilizados criptógrafos IP ou ISDN
(dependendo da tecnologia usada pelo sistema de videoconferência).
• A TI Safe é revenda de valor agregado (VAR) da DICA Technologies para o Brasil e
única empresa certificada para instalação, configuração e suporte das soluções de
criptografia para vídeoconferências em ambientes industriais.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Seguran ça de Dados
• Criptografia de Informações Confidenciais• Controle de Acesso a Dados• Certificação Digital
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Criptografia de Informações Confidenciais
Criptografia de Bancos de Dados
• Dados sensíveis em bancos de dados
estão vulneráveis a ataques.
• Na maioria dos casos, as informações ficam armazenadas dentro do banco de
dados em formato visível, permitindo
fácil acesso para quem o administra ou para qualquer usuário que o acesse.
• A TI Safe comercializa, implementa e
suporta a solução Safenet ProtectDB
que fornece poderosa criptografia e
proteção para dados sensíveis armazenados em bancos de dados no
datacenter e na nuvem.
Criptografia de Dispositivos Móveis
• A TI Safe comercializa e implementa
soluções para proteção de dispositivos móveis que conjugam
criptografia total de discos rígidos
conjugada com forte autenticação no pré-boot dos equipamentos.
Proteção de Diretórios
• Solução completa para
segurança de diretórios
locais ou em rede, baseada em solução líder de mercado
que protege arquivos através
de criptografia forte.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controle de Acesso a Dados
• Para resolver problemas relacionados à fraqueza da segurança de senhas, a TI Safe
oferece a implantação de segundo fator de autenticação em sistemas de autenticação.
• Implantamos soluções completas de controle de acesso a dados confidenciais
baseadas em tokens USB (contendo certificados digitais ou senhas gerenciadas
automaticamente) ou tokens OTP (One Time Password – geram senhas numéricas
diferentes a cada aperto do botão).
• O Gerenciamento e o backup de tokens é feito através de sistema integrado com o AD
e Autoridades Certificadoras (Safenet Authentication Manager – SAM)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Certificação Digital
Modelo PCI : usados para aplicações em um único servidor
Modelo de rede: usados em sistemas que demandam serviços criptográficos distribuídos pela rede da empresa
Módulos de Criptografia (HSMs)
• Projetos completos, incluindo a especificação,
instalação, configuração, integração, treinamento e
suporte.
• Soluções para:
• Implementação de Autoridades Certificadoras Internas
• Assinatura Digital e criptografia de documentos
confidenciais
• Integração de HSMs com sistemas legado
• Substituição de HSMs defeituosos, implantando as chaves
privadas em um novo HSM
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Academia TI SafeTreinamento e Conscientiza ção
• Formação em Segurança de Automação Industrial• Certificação CASE• Automation Security Day
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Formação em segurança de automação industrial
• Baseada na norma ANSI/ISA-99
• Escopo:
• Introdução às redes Industriais e SCADA
• Infraestruturas Críticas e Cyber-terrorismo
• Normas para segurança em redes industriais
• Introdução à análise de riscos
• Análise de riscos em redes industriais
• Malware em redes industriais e ICS
• Desinfecção de redes industriais contaminadas por Malware
• Uso de firewalls e filtros na segurança de redes industriais
• Uso de Criptografia em redes industriais
• Segurança no acesso remoto à redes industriais
• Implementando o CSMS (ANSI/ISA-99) na prática
• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)
• Alunos recebem material didático em formato digital
• Formação com 20h de duração
• Instrutor membro da ISA Internacional e integrante do comitê da norma ANSI/ISA-99, com anos de experiência em segurança de automação industrial
• Objetiva formar profissionais de TI e TA:
� Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99
� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras
• Calendário com próximas turmas disponível em http://www.tisafe.com/solucoes/treinamentos/
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Certificação CASE
Domínios de conhecimento
• Introdução às redes Industriais e sistemas
SCADA.
• Infraestruturas Críticas e Cyber-
terrorismo.
• Governança para redes industriais.
• Análise de riscos em redes industriais e
sistemas SCADA.
• Malware em redes industriais e sistemas
de controle.
• Segurança de perímetro em redes de
automação.
• Criptografia em redes industriais.
• Controle de acesso em sistemas SCADA.
• Implantando o CSMS (ANSI/ISA-99) na
prática. O Modelo de Zonas e Conduítes.
• Prova presencial com 60 perguntas de
múltipla escolha.
• Tempo de prova: 90 minutos.
• As questões com pesos diferentes. Aluno será aprovado se acertar 70% do
valor total dos pontos.
• Se aprovado o aluno receberá o
certificado por e-mail e seu nome seráincluído em listagem no site da TI Safe.
• Os certificados tem 2 anos (24 meses)
de validade a partir da emissão.
• Guia de estudos, simulado e calendário
disponíveis no website.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Automation Security Day
• Atividades de conscientização distribuídas ao longo de um dia (8 horas)
• Palestras ministradas nos auditórios ou locais
designados pelas indústrias
• Fornecimento de material didático em formato digital
• Temas disponíveis:
� Análises de riscos para plantas industriais
� Implementação de estratégias de defesa em
profundidade (ANSI/ISA-99)
� Monitoramento contínuo de plantas industriais
� Cyberwar: Ataques e sabotagem em instalações
industriais
� Infecções por Malware em redes industriais e SCADA
� Demonstrações de ataques a redes industriais
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Demonstração prática de ataques com uso de simulador SCADA
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataques a protocolos em redes industriais
• Padrões de protocolos, particularmente os de sistemas críticos de controle na indústria
do petróleo e energia, têm sido tradicionalmente concebidos para tratar de uma
aplicação específica, com pouca atenção para a segurança.
• Na melhor das hipóteses, houve apenas a preocupação de passar para a segurança
problemas que podem surgir em implantação; no pior caso, projetistas de protocolos
assumem um ambiente isolado (e, portanto, seguro), o que, em muitos casos, não
existe mais.
• No protocolo MODBUS, um dos mais usados na indústria, foram identificados 11
ataques possíveis que exploram vulnerabilidades de segurança inerentes tanto a
especificação e implantações típicas de sistemas SCADA.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Árvore de ataques ao MODBUS
* Fonte: White Paper “The Use of Attack Trees in Assessing Vulnerabilities in SCADA Systems”, de Eric Byres, Matthew Franz e Darrin Miller.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataques a serem demonstrados
1. Alteração não autorizada de set points no PLC.
2. Sabotagem do Supervisório.
3. Ataque de ARP Poison contra o PLC.
4. Paralisação total do PLC.
5. Contaminação por Malware e bloqueio.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
1. Alteração desautorizada de set points
• Sniffing da rede entre a HMI e o PLC.
• Ataque por força bruta para descobrir TAGS do PLC.
• Apresentação de cliente de Modbus baixado da Internet e usado para setar as
variáveis.
• Alteração não autorizada do set point da bomba de drenagem e do nível de
componentes químicos no tanque.
• Visualização de consequências na tela do supervisório e nos gráficos com dados
históricos.
• Alguns scripts engraçados ☺:
� Pump Dance
� Level Wave
� Dead or Alive
� Bad Contact
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
2. Sabotagem do Supervisório
• Congelamento da atualização dos dados na tela do supervisório.
• Alteração não autorizada do set point do tanque de componentes químicos provocando
seu transbordamento.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
3. Ataque de ARP Poison contra o PLC
• Este ataque é realizado usando técnica de ARP Poison, enganando o PLC, fazendo-o
acreditar que a máquina da HMI está em outro MAC Address.
• Como consequência a HMI não recebe mais valores do PLC e mostra “####” nos campos
onde deveriam estar apresentados os valores das variáveis de controle.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
4. Paralisação total do PLC
• Este ataque é realizado usando técnica de DOS usando a ferramenta hping3 em modo
flood.
• A máquina do atacante dispara inúmeros pacites de dados na porta TCP 502 (usada
pelo Modbus) até o ponto em que o PLC entra em estado de problema.
• Como consequência ele para de operar e desliga todos os equipamentos controlados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
5. Contaminação por Malware e bloqueio
• Apresentação do Tofino protegendo zona de segurança do PLC em uma rede de
indústria química (simulador).
• Em um primeiro momento são apresentados os efeitos do ataque por malware
em uma planta desprotegida..
• Logo após é apresentado o mesmo ataque sendo bloqueado por um appliance
industrial Tofino.
• Apresentação de LOGs do bloqueio do ataque.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
DDúúvidas e Sorteiovidas e Sorteio
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Contato
Salvador: