apresentação realizada no webinar com módulo security em 15-10-2013

Marcelo Branquinho

[email protected]

Renato Teodoro Tocaxelli

[email protected]

http://www.slideshare.net/ModuloSecurityhttp://www.slideshare.net/tisafe

Foque no Foque no Foque no Foque no

Conteúdo!!!Conteúdo!!!Conteúdo!!!Conteúdo!!!

Você pode focar no

conteúdo, sem se

preocupar em copiar

os Slides.

A apresentação estará

disponível em nossas

redes sociais.

PROTEÇÃO DE PROTEÇÃO DE PROTEÇÃO DE PROTEÇÃO DE INFRAESTRUTURA CRÍTICAINFRAESTRUTURA CRÍTICAINFRAESTRUTURA CRÍTICAINFRAESTRUTURA CRÍTICA

Gestão e Análise de Riscos Gestão e Análise de Riscos Gestão e Análise de Riscos Gestão e Análise de Riscos com Base com Base com Base com Base na na na na ANSI/ISA99 ANSI/ISA99 ANSI/ISA99 ANSI/ISA99 e NIST 800e NIST 800e NIST 800e NIST 800----82828282

Marcelo Branquinho

[email protected]


[email protected]

Providing

Comprehensive

Solutions for

Governance, Risk

and Compliance

Management

� Riscos em redes Industriais e Riscos em redes Industriais e Riscos em redes Industriais e Riscos em redes Industriais e SCADASCADASCADASCADA

� Ataques a Infraestruturas críticasAtaques a Infraestruturas críticasAtaques a Infraestruturas críticasAtaques a Infraestruturas críticas

� Normas Internacionais para Normas Internacionais para Normas Internacionais para Normas Internacionais para Segurança SCADASegurança SCADASegurança SCADASegurança SCADA

� Gestão de Riscos para Gestão de Riscos para Gestão de Riscos para Gestão de Riscos para Infraestruturas CríticasInfraestruturas CríticasInfraestruturas CríticasInfraestruturas Críticas

� Casos de SucessoCasos de SucessoCasos de SucessoCasos de Sucesso

PROTEÇÃO DE INFRAESTRUTURA CRÍTICA

• Homeland Security - ICS-CERT– Time de Resposta Emergencial a Incidentes

Cibernéticos - Controle de Sistemas Industriais

• Grupo Norte Americano com vistas a redução dos riscos nos setores de Infraestrutura Crítica

• Colabora com CERT´s para compartilhar incidentes de segurança e medidas de mitigação

Mobilização Mobilização Mobilização Mobilização

Mundial Mundial Mundial Mundial

sobre Riscos sobre Riscos sobre Riscos sobre Riscos

em redes em redes em redes em redes

industriais e industriais e industriais e industriais e

SCADASCADASCADASCADA

• ICS-CERT: 1º. Sem 2013– 200 incidentes

– maior percentual no setor de energia em 53%

• watering hole, SQL injection, spear-phishing attacks

Mobilização Mobilização Mobilização Mobilização

Mundial Mundial Mundial Mundial

sobre Riscos sobre Riscos sobre Riscos sobre Riscos

em redes em redes em redes em redes





• GSI - PR– GUIA DE REFERÊNCIA PARA A SEGURANÇA DAS

INFRAESTRUTURAS CRÍTICAS DA INFORMAÇÃO

• De acordo com o Diário Oficial da União nº 27, de 11 de fevereiro de 2008, são consideradas infraestruturas críticas as instalações, serviços e bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico e/ou político

O Brasil O Brasil O Brasil O Brasil

forte sobre forte sobre forte sobre forte sobre

Riscos Riscos Riscos Riscos em em em em

redes redes redes redes




• MINISTÉRIO DA DEFESA – EXÉRCITO BRASILEIRO– Sistema Integrado de Proteção de

Estruturas Estratégicas Terrestres (Projeto PROTEGER)

• Plano Integrado de longo prazo com o objetivo oferecer prevenção, proteção e resposta rápida, em caso de ocorrências, para instalações de infraestrutura

• Projetado para atender as 664 Estruturas Estratégicas Terrestres do país, sendo 222 apenas no setor de energia

• Contempladas ações de defesa contra agentes cibernéticos, químicos, biológicos, radiológicos e nucleares

O Brasil O Brasil O Brasil O Brasil

forte sobre forte sobre forte sobre forte sobre

Riscos Riscos Riscos Riscos em em em em




Riscos em Riscos em Riscos em Riscos em




Sistemas Supervisórios Sistemas SCADA – No início

• Sistemas proprietários isolados e dependente de fabricantes

• Arquiteturas fechadas , “Ilhas de automação”





Evolução dos sistemas SCADA

• Sistemas abertos

• Arquitetura centrada em Conectividade

• Integrações cada vez mais frequentes:

• Sistemas SCADA e Intranet corporativa

• Sistemas SCADA e Internet





Alguns riscos em RedesIndustriais





Casos de Casos de Casos de Casos de

Ataques à Ataques à Ataques à Ataques à

infraestruturasinfraestruturasinfraestruturasinfraestruturas

críticas críticas críticas críticas e e e e


Shodan

• Hackers estão usando o site de busca Shodan para

encontrar computadores de sistemas SCADA que utilizam

mecanismos potencialmente inseguros para autenticação e

autorização.

http://www.shodanhq.com




críticas e críticas e críticas e críticas e


Incidentes SCADA na ficção –Die Hard 4

Casos de “In”Sucesso• 1992 -- Chevron -- Emergency system was sabotaged by disgruntled employee in over 22 states

1997 -- Worchester Airport -- External hacker shut down the air and ground traffic communication system

for six hours

1998 -- Gazprom -- Foreign hackers seize control of the main EU gas pipelines using trojan horse attacks

2000 -- Queensland, Australia -- Disgruntled employee hacks into sewage system and releases over a

million liters of raw sewage into the coastal waters

2002 -- Venezuela Port -- Hackers disable PLC components during a national unrest and general workers

strike, disabled the country's main port

2003 -- U.S East Coast blackout -- A worm did not cause the blackout, yet the Blaster worm did

significantly infect all systems that were related to the large scale power blackout

2003 -- Ohio Davis-Besse Nuclear Plant -- Plant safety monitoring system was shut down by the Slammer

worm for over five hours

2003 -- Israel Electric Corporation -- Iran originating cyber attacks penetrate IEC, but fail to shut down the

power grid using DoS attacks

2005 -- Daimler Chrysler -- 13 U.S manufacturing plants were shut down due to multiple internet worm

infections (Zotob, RBot, IRCBot)

2005 -- International Energy Company -- Malware infected HMI system disabled the emergency stop of

equipment under heavy weather conditions

2006 -- Middle East Sea Port -- Intrusion test gone wrong. ARP spoofing attacks shut down port signaling

system

2006 -- International Petrochemical Company -- Extremist propaganda was found together with text files

containing usernames & passwords of control systems






Ataque à planta de Energia Nuclear de Davis-Besse






Ataque à planta de Energia Nuclear de Davis-Besse

• Em 25 de janeiro de 2003, a usina nuclear Davis-Besse usina nuclear em Oak Harbour,

Ohio, foi infectada com o worm "Slammer" do MS SQL.

• A infecção causou uma sobrecarga de tráfego na rede local. Como resultado, o

Sistema de Segurança de Display de Parâmetros (DOCUP) ficou inacessível por quase

cinco horas, e o computador de processos da planta por mais de 6 horas.

• Um firewall estava no local para isolar a rede de controle da rede da empresa, no

entanto, havia uma conexão T1 a partir de uma empresa de consultoria de software,

que entrou na rede de controle por trás do firewall, ignorando todas as políticas de

controle de acesso impostas pelo firewall corporativo.

• O worm infectou servidor do consultor e foi capaz de entrar na rede Davis-Besse

através da linha T1.






Ataque à ET de Maroochy Shire






Ataque à ET de Maroochy Shire31/10/2001

• Ataque ao sistema de controle de tratamento de resíduos de Maroochy Shire em

Queensland, Austrália.

• A Planta passou por uma série de problemas: bombas não acionavam quando

comandadas, alarmes não estavam sendo reportados, e havia uma perda de

comunicações entre o centro de controle e as estações de bombas.

• Estes problemas causaram o alagamento do terreno de um hotel próximo, um

parque, e um rio com mais de 7 milhões de litros de esgoto bruto.






Ataque Cibernético a Centro de Comando derruba Satélite






• Em 2008 investigadores da NASA

reportaram que uma falha no ROSAT

estava ligada à uma cyber invasão

no Goddard Space Flight Center,

centro de comando do satélite.

• Segundo o relatório da NASA:

“Atividades hostis comprometeram

sistemas de computadores que

direta ou indiretamente lidam com o

controle do ROSAT”

• Após sucessivas falhas nos meses

seguintes, em 23/10/11 o satélite

alemão ROSAT explodiu ao reentrar

na atmosfera terrestre. Seus

destroços caíram em áreas

inabitadas do planeta não causando

vítimas.

Ataque Cibernético a Centro de Comando derruba Satélite






O Worm Stuxnet






O Worm Stuxnet






• O Governo Obama usou o “Stuxnet” para causar medo e mostrar o controle

sobre a Guerra na Internet - @notalemming - YourDaddy's Politics

O Worm Stuxnet• O Stuxnet é um worm desenvolvido para atingir sistemas de controle

industriais que usam PLCs Siemens.

• Seu objetivo aparenta ser a destruição de processos industriais

específicos.

• O Stuxnet é muito grande, muito codificado, muito complexo para ser

compreendido imediatamente. Ele tem em seu bojo, incríveis truques

novos, como a tomada de controle de um sistema de computador sem o

usuário tomar qualquer ação ou clicar em qualquer botão, apenas

inserindo um pendrive infectado.

• O Stuxnet infecta computadores com sistema operacional Windows no

controle de sistemas SCADA, independente de ser ou não Siemens.

• O Worm somente tenta fazer modificações em controladoras dos PLCs

modelos S7-300 ou S7-400, entretanto ele é agressivo e pode afetar

negativamente qualquer sistema de controle. Computadores infectados

também podem ser usados como uma entrada para futuros ataques.






• O Stuxnet foi o primeiro worm conhecido a ter como alvo uma

rede industrial.

• Especialistas apontam como alvo inicial do worm a

infraestrutura do Irã, que utilizava o sistema de controle da

Siemens em suas principais plantas de enriquecimento de

urânio.

• A infestação do worm danificou as instalações nucleares

iranianas de Natanz, e atrasou o início da produção da usina

de Bushehr.

• Em Israel, centrífugas nucleares virtualmente idênticas às

localizadas no Irã permitiram testes do Stuxnet em condições

muito próximas das reais.

• Foi comprovado que o Stuxnet tinha duas funções:

• Fazer com que as centrífugas iranianas começassem a girar

40% mais rapidamente por quinze minutos, o que causava

rachaduras nas centrífugas de alumínio.

• Gravar dados telemétricos de uma típica operação normal das

centrífugas nucleares, sem que o alarme soasse, para depois

reproduzir esse registro para os operadores dos

equipamentos enquanto, na verdade, as centrífugas estavam

literalmente se destruindo sob a ação do Stuxnet sem que os

funcionários soubessem.

O Worm Stuxnet






Normas Normas Normas Normas

Internacionais Internacionais Internacionais Internacionais

para para para para

Segurança Segurança Segurança Segurança


Normas para segurança SCADA• ANSI/ISA-99 ( www.isa.org )

• NIST SP 800-82 (http://csrc.nist.gov/publications/PubsDrafts.html )



para para para para



A Norma ANSI/ISA 99• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society)

para estabelecer segurança da informação em redes industriais

• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de

controle sofrerem Cyber-ataquesNormas Normas Normas Normas


para para para para



Normas para segurança SCADA Representação Brasileira



para para para para



ANSI/ISA-TR99.00.02-2004: Estabelecendo um programa de segurança de

sistemas de controle e automação industrial



para para para para



As Etapas para a implementação do CSMS – cyber security management system

1. Análise de Riscos• Racional do negócio, identificação de riscos, classificação e análise

2. Endereçando riscos com o CSMS• Política de Segurança, Organização e Treinamento

• Definir escopo, segurança organizacional, treinamento da

equipe, plano de continuidade de negócios, políticas e

procedimentos

• Selecionar contramedidas de segurança

• Segurança pessoal, segurança física, segmentação de rede,

controle de acesso, autenticação e autorização

• Implementação

• Gerência de riscos e implementação, desenvolvimento e

manutenção de sistemas, gestão da informação e documentos,

planejamento de incidentes

3. Monitorando e Melhoria Contínua do CSMS• Compliance

• Revisar, melhorar e manter o CSMS



para para para para



A norma NIST 800-82• Norma elaborada pelo NIST

• O documento é um guia para o estabelecimento de sistemas de controle

de segurança para indústrias (ICS).

• Estes sistemas incluem controle supervisório e aquisição de dados em

sistemas SCADA, sistemas de controle distribuídos (DCS), e outras

configurações de sistema para PLCs.

http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf



para para para para



Solução Solução Solução Solução

Modulo Modulo Modulo Modulo Risk Risk Risk Risk

ManagerManagerManagerManager™ ----

ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----99 99 99 99

e NIST 800e NIST 800e NIST 800e NIST 800----

82.82.82.82.

Análise e Gestão de Riscos para Automação

Software Módulo Risk Manager™ com base de conhecimentos de

gestão de riscos ANSI/ISA-99 e NIST 800-82

• Objetivos

• Avaliar ameaças aos ativos

• Levantar vulnerabilidades existentes

• Definir a probabilidade de ocorrência de incidentes

• Quantificar o impacto no negócio

• Definir medidas para prevenir e responder aos incidentes

• Avaliar o risco residual

• Procedimentos

• Aprovação da execução

• Levantamento de ativos da planta de automação

• Análise de riscos qualitativa e/ou quantitativa em áreas de automação

• Definição de ações prioritárias

• Execução do plano de tratamento de riscos: Mitigação / Transferência /

Aceitação

• Manutenção e gestão continuada






82.82.82.82.



• A norma ANSI/ISA-99 detalha uma estratégia para análise, mitigação e

monitoramento de riscos de segurança denominada CSMS (Cyber Security

Management System).

• A implantação do CSMS em uma rede industrial é uma tarefa bastante

complexa e que envolve diversos atores na empresa, desde gerentes industriais

ao pessoal da rede de TI devem participar e o controle de todas as atividades

relacionadas requer ferramentas automatizadas.

• Verificando esta necessidade e de acordo com o foco da empresa em segurança

de automação industrial, a TI Safe Segurança da Informação desenvolveu

durante o ano de 2011 uma completa base de conhecimento que relaciona

todos os 70 controles de segurança que devem ser avaliados em uma rede

industrial e sistemas SCADA durante a implantação do CSMS preconizado pela

norma ANSI/ISA-99.

Análise e Gestão de Riscos para AutomaçãoSolução Solução Solução Solução





82.82.82.82.






82.82.82.82.

Requisito de documento de referênciaRequisito de documento de referência

Nível de processoNível de processo

Nível de aplicaçãoNível de aplicação

Nível de banco de dadosNível de banco de dados

Nível de SONível de SO

VirtualizaçãoVirtualização

Nível de redeNível de rede

Escopo do projetodefinido

pelousuário.









82.82.82.82.









82.82.82.82.

Risk Risk Risk Risk

ManagerManagerManagerManager™::::

FacilidadeFacilidadeFacilidadeFacilidade

de de de de InventárioInventárioInventárioInventário e e e e

ColetaColetaColetaColeta

AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatizaçãode Auditoria de Auditoria de Auditoria de Auditoria

MídiasMídiasMídiasMídiasAbertasAbertasAbertasAbertas

ReuniõesReuniõesReuniõesReuniões

SistemasSistemasSistemasSistemas,,,,

BancosBancosBancosBancos de Dados,de Dados,de Dados,de Dados,

PlanilhasPlanilhasPlanilhasPlanilhas

QuestionáriosQuestionáriosQuestionáriosQuestionários,,,,

FiscalizaçãoFiscalizaçãoFiscalizaçãoFiscalização

Totem,Totem,Totem,Totem,

Call Center,Call Center,Call Center,Call Center,

OuvidoriaOuvidoriaOuvidoriaOuvidoria....

Redes Redes Redes Redes SociaisSociaisSociaisSociais....

SmartphoneSmartphoneSmartphoneSmartphone,,,,

TabletTabletTabletTablet....

GestãoGestãoGestãoGestão porporporpor

indicadoresindicadoresindicadoresindicadores

EntreEntreEntreEntre----vistasvistasvistasvistas

SensoresSensoresSensoresSensores

EEEE----mail,mail,mail,mail,

InternetInternetInternetInternet

Risk Risk Risk Risk



de de de de IntegraçãoIntegraçãoIntegraçãoIntegração







Risk Risk Risk Risk




e e e e MobilidadeMobilidadeMobilidadeMobilidade

InfraestruturaCTOInfraestrutura

Gerente do Ambiente

$$$ adicionado

Risk Risk Risk Risk




e e e e MobilidadeMobilidadeMobilidadeMobilidade e e e e

AutomatizaçãoAutomatizaçãoAutomatizaçãoAutomatização




Ativos e Sistemas

Tabelas

GráficosAlertas

Mapas

Risk Risk Risk Risk






GRC

Processo manual de gestãode riscos

15%

35%25%

25%

Risk Risk Risk Risk






GRC

Processo automatizado no primeiro ano com a Módulo

15%45%25%

15%

Risk Risk Risk Risk






GRC70%

5%

5%

20%

Processo automatizado no segundo ano com a Módulo

Risk Risk Risk Risk






Risk Risk Risk Risk










SucessoSucessoSucessoSucesso

Tecnologia Tecnologia Tecnologia Tecnologia da da da da InformaçãoInformaçãoInformaçãoInformação

OperaçõesOperaçõesOperaçõesOperações CorporativaCorporativaCorporativaCorporativa

PortfólioPortfólioPortfólioPortfólio de de de de

SoluçõesSoluçõesSoluçõesSoluções

Mais de 30

soluções para

Gestão de Riscos

Corporativos,

Operacionais e

de TI.

Centros Centros Centros Centros de de de de Comando Integrados Comando Integrados Comando Integrados Comando Integrados Monitoramento Físico

Integração da Gestão de TI, Operações e Corporativa

Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Governança, Riscos e Governança, Riscos e Governança, Riscos e Governança, Riscos e ComplianceComplianceComplianceCompliance (GRC)(GRC)(GRC)(GRC)

PortfólioPortfólioPortfólioPortfólio de de de de

SoluçõesSoluçõesSoluçõesSoluções

Mais de 30

soluções para

Gestão de Riscos

Corporativos,

Operacionais e

de TI.

Tecnologia da Tecnologia da Tecnologia da Tecnologia da InformaçãoInformaçãoInformaçãoInformação

OperaçõesOperaçõesOperaçõesOperações CorporativaCorporativaCorporativaCorporativa

Centros Centros Centros Centros de de de de Comando Integrados Comando Integrados Comando Integrados Comando Integrados Monitoramento Físico

Integração da Gestão de TI, Operações e Corporativa

Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Soluções para Gestão de Segurança da Informação, Governança, Riscos e Governança, Riscos e Governança, Riscos e Governança, Riscos e ComplianceComplianceComplianceCompliance (GRC)(GRC)(GRC)(GRC)

Módulo – Copyright © Todos os direitos reservados www.modulo.com.br

Análise de Riscos − Planta de Automação

do Centro de Operação de Rede Manaus Modulo Risk Manager™

Base de conhecimento ANSI/ISA99 e NIST 800-82

www.tisafe.com

Ambiente analisadoCOR Manaus: Sistema SCADA – SAGE

• Desenvolvido e implantado pelo CEPEL

• Arquitetura fechadaAnálise de Análise de Análise de Análise de

Riscos − Planta Riscos − Planta Riscos − Planta Riscos − Planta

de Automação de Automação de Automação de Automação

do Centro de do Centro de do Centro de do Centro de

OperaçãoOperaçãoOperaçãoOperação

Resultado: Riscos por ativos(quantitativo)

Análise de Análise de Análise de Análise de





Resultado: Riscos porativos (qualitativo)

Distribuição de Controles por Níveis de Risco

Muito Alto 69%

Alto 15%

Médio 13%

Baixo 3%







Sistema de Fiscalização da Produção – SFPModulo Risk Manager™

Controle da Movimentação de Gás Natural - CMGN

www.tisafe.com

Sistema de Fiscalização da Produção - SFP






• Sala de Controle com informações diárias

• Aumento da confiabilidade dos números da produção de petróleo e gás

• Otimização do trabalho de fiscalização

• Redução dos desvios para aumento da arrecadação

• Emissão de alertas a partir de variações críticas

Sistema de Fiscalização da Produção - SFP







Gestão de Riscos, Gestão de Continuidade de Negócios,

Política de Segurança e, Campanha de ConscientizaçãoModulo Risk Manager™

www.tisafe.com


Formação em Segurança de Automação Industrial

Formação em Formação em Formação em Formação em

Segurança de Segurança de Segurança de Segurança de

Automação Automação Automação Automação

IndustrialIndustrialIndustrialIndustrial

DESAFIOS DO NEGÓCIO

A Coordenação do grupo de proteção do conhecimento sensível do Departamento de Contra Inteligência da ABIN

(CGPC/DCI), que integra o Grupo de Trabalho para Segurança de Infraestruturas Críticas do Gabinete de

Segurança Institucional da Presidência da República - GSI/PR entrou em contato relatando que seu grupo

desenvolve metodologia para diagnóstico e análise de risco e que necessitam adaptá-la para aplicação

específica nas infraestruturas nacionais críticas.

SOLUÇÃO

Foi fornecida consultoria para as equipes de agentes da ABIN baseada na norma ANSI/ISA 99. Incluso na

consultoria foi ministrada, para 3 turmas, a formação de segurança de automação industrial, treinamento

único no setor e que fornece recursos tecnológicos para ajudar no trabalho desenvolvido pelo CGPC/DCI. A

capacitação foi ministrada em períodos distintos nos anos de 2009, 2010 e 201

RESULTADOS OBTIDOS

• Com o treinamento a equipe da ABIN pôde perceber novos aspectos da segurança de sistemas

SCADA e também verificar algumas vulnerabilidades proporcionadas por equipamentos e aplicações

de mercado e também por seus fornecedores. Estes conceitos estão sendo aplicados diretamente

na auditoria das principais infraestruturas críticas nacionais.

A Agência Brasileira de Inteligência (ABIN) é o Serviço de Inteligência de Estado do Brasil. A função principal da

ABIN é neutralizar ameaças reais e potenciais, bem como identificar oportunidades de interesse da

sociedade e do Estado brasileiro, e defender o estado democrático de direito e a soberania nacional. A

Inteligência Brasileira tem uma longa trajetória de serviços prestados ao País, tendo como objetivo a defesa

do Estado e da Sociedade. A área de atuação da ABIN é definida pela Política Nacional de Inteligência,

definida pelo Congresso Nacional de acordo com as diretrizes indicadas pelo Poder Executivo Federal, como

de interesse do País.

Empresas formadas em Segurança de Automação

Industrial• USIMINAS• Eletrobrás Distribuição Alagoas• Eletrobrás Distribuição Acre• Eletrobrás Amazonas Energia• Eletrobrás Distribuição Rondônia• Eletrobrás CHESF• Eletrobrás Furnas• Eletrobrás Eletrosul• Eletrobrás CEPEL• Itaipu Binacional

• Eletrobras Holding

• Eletrobrás Eletronorte

• Eletrobrás Distribuição Roraima

• Eletrobrás CHESF

• Eletrobrás Eletronuclear

• ABB

• EDP

• DETEN

• Gerdau

• TKCSA

• Petrobrás

• ANP

Matrículas abertas para próximas turmas

• Rio de Janeiro: – de 29 a 31 de Outubro.

• São Paulo: – de 19 a 21 de Novembro.

• Salvador: – de 26 a 28 de Novembro.

Empresas formadas em Segurança de Automação

Industrial

Marcelo Branquinho

[email protected]


[email protected]

apresentação realizada no webinar com módulo security em 15-10-2013

Documents