apresentação técnica - estratégias de segurança para redes industriais e scada

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

ESTRATÉGIAS DE SEGURANÇA PARA REDES DE AUTOMAÇÃO E SISTEMAS SCADA

Marcelo BranquinhoUTC Summit - Florianópolis, Março de 2015

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

ApresentaApresentaApresentaApresentaççççãoãoãoão

Marcelo Branquinho

[email protected]

• Engenheiro eletricista, com especialização em sistemas de computação com MBA em

gestão de negócios e membro da ISA Seção RIODJ, atualmente é CEO da TI Safe

Segurança da Informação onde também atua como chefe do departamento de segurança

para sistemas de automação industrial.

• Com larga experiência adquirida ao longo de 14 anos de atuação na área, coordenou o

desenvolvimento da Formação de Analistas de Segurança de Automação, sendo autor do

livro “Segurança em Automação Industrial e SCADA”, lançado em 2014.

• Atualmente é integrante do comitê internacional que mantém a norma ANSI/ISA-99 e

detém diversas certificações internacionais na área..


• Introdução• Incidentes de segurança em redes industriais brasileiras

• Panorama da segurança da informação nas indústrias

• Principais normas de referência• Escopo de segurança nas indústrias

• Estratégia modularizada de Segurança

@tisafe

AgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgenda


• Cada vez mais sofisticados, os ataques cibernéticos são hoje capazes de paralisar setores inteiros da infraestrutura critica de um

país.

• Os eventos internacionais de grande porte atraem a atenção do

mundo e trazem riscos de invasões virtuais em infraestruturas críticas brasileiras.

• E o Brasil, estaria blindado contra ataques virtuai s como estes? Já houve incidentes de segurança cibernética no Brasil? Qual o estado atual da segurança de nossa infraestrutura crítica?

IntroduIntroduIntroduIntroduIntroduIntroduIntroduIntroduççççççççãoãoãoãoãoãoãoão


• As organizações industriais pesquisadas englobam os principais setores da indústria

brasileira, com uma maior presença das empresas do setor elétrico e petróleo e gás,

mas incluindo também os setores de alimentos e bebidas, águas e resíduos, transportes e logística, siderúrgicas, nuclear, mineradoras e indústrias químicas.

RelatRelatRelatRelatRelatRelatRelatRelatóóóóóóóóriorioriorioriorioriorio TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014


• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de compartilhar publicamente os incidentes de segurança, 55% das empresas tratam internamente os incidentes de segurança e apenas 12% das empresas declaram seus incidentes sigilosamente aos fabricantes e consultorias especializadas de segurança.

DeclaraDeclaraDeclaraDeclaraDeclaraDeclaraDeclaraDeclaraççççççççãoãoãoãoãoãoãoão ppppppppúúúúúúúúblicablicablicablicablicablicablicablica de de de de de de de de incidentesincidentesincidentesincidentesincidentesincidentesincidentesincidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa


• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação

brasileiras

• Incidentes computados de Setembro de 2008 a Abril de 2014

• Dados obtidos somente de clientes da TI Safe no Brasil

Incidentes # Casos

Malware 27

Erro Humano 24

Falhas em dispositivos 15

Sabotagem 2

Outros - Não identificados 9

IncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa ciberncibernciberncibernciberncibernciberncibernééééééééticaticaticaticaticaticaticatica industrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasil


IncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa ciberncibernciberncibernciberncibernciberncibernééééééééticaticaticaticaticaticaticatica industrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasil

• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação

brasileiras (ainda não divulgado)

• Incidentes computados de Setembro de 2008 a Abril de 2014

• Dados obtidos somente de clientes da TI Safe no Brasil


• O DOWNAD, mais conhecido como “Conficker”, dominou a contagem de malware em plantas industriais no Brasil.

• Dos 27 casos documentados em nosso estudo, 14 foram derivados de infecções do Conficker .

• Isso acontece porque plantas de automação não são atualizadas com os últimos patches, deixando-as expostos a malwares como o Conficker.

• Além disso, boa parte das plantas industriais brasileiras não possui política de segurança adequada, medidas para controle de acesso àrede de automação e proteção de portas USB.

MalwareMalwareMalwareMalwareMalwareMalwareMalwareMalware, o principal , o principal , o principal , o principal , o principal , o principal , o principal , o principal vilãovilãovilãovilãovilãovilãovilãovilão


• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de incidentes de segurança cibernética industrial desenvolvido e em produção.

• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa quando ocorrem incidentes de segurança.

• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este processo.

GestãoGestãoGestãoGestãoGestãoGestãoGestãoGestão de de de de de de de de incidentesincidentesincidentesincidentesincidentesincidentesincidentesincidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa ciberncibernciberncibernciberncibernciberncibernééééééééticaticaticaticaticaticaticatica


Panorama Panorama Panorama Panorama Panorama Panorama Panorama Panorama ttttttttíííííííípicopicopicopicopicopicopicopico da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. nananananananana indindindindindindindindúúúúúúúústriastriastriastriastriastriastriastria

• Falta de cultura de segurança cibernética para a equipe de T.A.

• Dificuldade de planejar e executar as tarefas necessárias para a segurança

do ambiente em função da necessidade de juntar equipes, know-how e

tecnologias diversas.

• Adoção de soluções pontuais e segmentadas entre a tecnologia da

informação (T.I.) e a automação (T.A.).

• Falta de ferramentas de segurança que contemplem desde as necessidades

do chão de fábrica até os níveis corporativos.

• Processo de gerenciamento dos riscos, quando existe, está espalhado em

múltiplos consoles e em diversos pontos de monitoramento.

• Dificuldade de rastreabilidade e falta de trilha de auditoria dos eventos.

• Inexistência de monitoramento contínuo de eventos e incidentes.


• Bases de conhecimento de ameaças e vulnerabilidades desatualizada

ou inexistente.

• Falta de sintonia entre as equipes de T.I. e T.A.

• Sistemas desatualizados, sem a adoção de patches obrigatórios para

mitigação de vulnerabilidades.

• Antivírus inexistente, ou existente mas com base de assinaturas

desatualizada.

• Restrições para instalação de sistemas de controle de malware e

atualização destes por parte dos fabricantes.

• Investimentos em segurança cibernética industrial ainda não são uma

prioridade.

Panorama Panorama Panorama Panorama Panorama Panorama Panorama Panorama ttttttttíííííííípicopicopicopicopicopicopicopico da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. nananananananana IndIndIndIndIndIndIndIndúúúúúúúústriastriastriastriastriastriastriastria


PrincipaisPrincipaisPrincipaisPrincipaisPrincipaisPrincipaisPrincipaisPrincipais normasnormasnormasnormasnormasnormasnormasnormas de de de de de de de de referênciareferênciareferênciareferênciareferênciareferênciareferênciareferência

ANSI/ISA.99NIST 800-82


A Norma ANSI/ISA 99A Norma ANSI/ISA 99A Norma ANSI/ISA 99A Norma ANSI/ISA 99

• Norma elaborada pela ISA (The

Instrumentation Systems and Automation

Society) para estabelecer segurança da

informação em redes industriais

• É um conjunto de boas práticas para

minimizar o risco de redes de sistemas

de controle sofrerem Cyber-ataques


O Guia NIST 800O Guia NIST 800O Guia NIST 800O Guia NIST 800----82828282

• Guia elaborado pelo NIST.

• O documento é um guia para o

estabelecimento de sistemas de controle

de segurança para indústrias (ICS).

• Estes sistemas incluem controle

supervisório e aquisição de dados em

sistemas SCADA, sistemas de controle

distribuídos (DCS), e outras

configurações de sistema para PLCs.

http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf


EscopoEscopoEscopoEscopoEscopoEscopoEscopoEscopo de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa emememememememem indindindindindindindindúúúúúúúústriasstriasstriasstriasstriasstriasstriasstrias


PontosPontosPontosPontosPontosPontosPontosPontos paraparaparaparaparaparaparapara umaumaumaumaumaumaumauma estratestratestratestratestratestratestratestratéééééééégiagiagiagiagiagiagiagia de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa

• Organizar, executar e operar a segurança da informação em sistemas industriais e

infraestruturas críticas:

• Implementar as boas práticas descritas no CSMS (Cyber Security Management System)

da norma ANSI/ISA-99 e nas linhas base do guia NIST 800-82.

• Acelerar o processo de conformidade da segurança cibernética.

• Atender às necessidades de T.I. e T.A.

• Prover gerenciamento centralizado do monitoramento, defesa e controle de ameaças.

• Garantir a atualização das bases de dados de assinaturas e vulnerabilidades para todos

os componentes de segurança.

• Facilitar a identificação de ameaças e isolamento imediato de incidentes.

• Produzir trilha confiável para rastreabilidade dos eventos.

• Fornecer detalhados relatórios de auditoria.


DividirDividirDividirDividirDividirDividirDividirDividir paraparaparaparaparaparaparapara conquistarconquistarconquistarconquistarconquistarconquistarconquistarconquistar –––––––– EstratEstratEstratEstratEstratEstratEstratEstratéééééééégiagiagiagiagiagiagiagia ModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizada

SEGURANÇA DE BORDA

SEGURANÇADE DADOS

PROTEÇÃO DA REDE INTERNA

CONTROLE DE

MALWARE

MONITORAMENTO E CONTROLE

TREINAMENTO E CONSCIENTIZAÇÃO


TreinamentoTreinamentoTreinamentoTreinamentoTreinamentoTreinamentoTreinamentoTreinamento e e e e e e e e ConscientizaConscientizaConscientizaConscientizaConscientizaConscientizaConscientizaConscientizaççççççççãoãoãoãoãoãoãoão

TREINAMENTO E CONSCIENTIZAÇÃO

• Segundo a norma ANSI/ISA-99, todas as empresas com redes de automação e

sistemas SCADA devem elaborar e manter um programa anual de treinamento

e conscientização específico para os profissionais das áreas de automação.

• Um módulo de treinamento e conscientização deverá inclui seminários internos,

workshops e treinamentos formais, presenciais ou online, em segurança de

automação.

• Os gestores das plantas de automação devem ser certificados periodicamente.


SeguranSeguranSeguranSeguranSeguranSeguranSeguranSeguranççççççççaaaaaaaa de de de de de de de de BordaBordaBordaBordaBordaBordaBordaBorda

SEGURANÇA DE BORDA

• Controle proativo dos acessos externos de/para a rede interna.

• Garantir o acesso seguro à DMZ, às redes de fornecedores e clientes e a outras

redes públicas.

• Implementar acesso remoto seguro com controle granular de usuários via VPN

industrial.

• Permitir a segmentação conforme a arquitetura de rede e negócios do cliente.

• Permitir a atualização permanente das principais bases mundiais de assinaturas

de segurança e proteção contra intrusos.

• Capaz de bloquear ameaças 0-day.

• Proteger de acessos remotos à rede de automação via WiFi corporativo.


ProteProteProteProteProteProteProteProteççççççççãoãoãoãoãoãoãoão da da da da da da da da RedeRedeRedeRedeRedeRedeRedeRede InternaInternaInternaInternaInternaInternaInternaInterna

PROTEÇÃO DA REDE INTERNA

• Garantir a segurança nos conduítes da rede segmentada conforme descrito na

norma ANSI/ISA-99.

• Controlar a autenticação através de domínio e políticas de grupo.

• Proteger a rede de T.A. através de firewalls industriais específicos com suporte

aos protocolos industriais utilizados.

• Monitorar alterações nos ativos de campo ou nos programas de controle.

• Garantir a replicação segura de dados entre redes internas.

• Estabelecer redes WiFi industriais seguras.


Controle de Controle de Controle de Controle de Controle de Controle de Controle de Controle de MalwareMalwareMalwareMalwareMalwareMalwareMalwareMalware

CONTROLE DE

MALWARE

• Deve permitir o controle central de assinaturas de antivírus para todo o

ambiente de T.I. e T.A.

• Deve implementar whitelisting em dispositivos de função fixa.

• Deve monitorar o tráfego da rede industrial para tráfegos suspeitos, incluindo

sandboxing.

• Controle de portas USB e dispositivos de armazenamento externo usados na

rede SCADA.

• Possuir tecnologia Virtual Patch (ou similar) para sistemas de T.A. onde não

seja possível a instalação de patches.


SeguranSeguranSeguranSeguranSeguranSeguranSeguranSeguranççççççççaaaaaaaa de Dadosde Dadosde Dadosde Dadosde Dadosde Dadosde Dadosde Dados

SEGURANÇA DE DADOS

• Evitar espionagem industrial e alteração indevida de set points.

• Monitorar em tempo real os acessos a todas as bases de dados da indústria –

ERP, MES, Nível 2, etc.

• Bloquear o acesso a dados sensíveis.

• Monitorar contas privilegiadas (SYS, SYSADM, etc.).

• Analisar vulnerabilidades das bases de dados.

• Emitir relatórios de auditoria e conformidade com normas internacionais.


MonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramento e Controlee Controlee Controlee Controlee Controlee Controlee Controlee Controle

MONITORAMENTO E CONTROLE

• Centro nervoso das operações de segurança da planta industrial.

• Deve concentrar as atividades de todas as soluções de segurança da planta

industrial e prover visibilidade em tempo real das ameaças, ocorrências e

incidentes.

• Será a base de registros de auditoria e forense para a rede de automação.


FasesFasesFasesFasesFasesFasesFasesFases de de de de de de de de ImplantaImplantaImplantaImplantaImplantaImplantaImplantaImplantaççççççççãoãoãoãoãoãoãoão dos dos dos dos dos dos dos dos MMMMMMMMóóóóóóóódulosdulosdulosdulosdulosdulosdulosdulos

Análise de riscos e planos de

continuidade

Aquisição e implantaçãoTreinamento Monitoramento e

Controle

CICLO PARA CADA MÓDULO


BenefBenefBenefBenefBenefBenefBenefBenefíííííííícioscioscioscioscioscioscioscios da da da da da da da da EstratEstratEstratEstratEstratEstratEstratEstratéééééééégiagiagiagiagiagiagiagia ModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizada

• Garante o monitoramento e controle atualizado para as mais recentes ameaças, incluindo ameaças 0-day.

• Permite a notificação imediata e proativa de incidentes e ameaças.

• Gera trilha de eventos para rastreabilidade e investigação.

• Permite o trabalho das equipes de T.A. e T.I. dentro de disciplinas bem organizadas, facilitando a implementação e a absorção de know-how.

• Projetos mais objetivos com resultados tangíveis.

• Permite a concepção de projetos de plantas Green Field já com segurança cibernética embutida.


Referência em PortuguêsReferência em PortuguêsReferência em PortuguêsReferência em Português


VEM AI...

MAIO I SÃO PAULO


Siga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes Sociais

• Twitter: @tisafe

• Youtube: www.youtube.com/tisafevideos

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe


ContatosContatosContatosContatosContatosContatosContatosContatos

Marcelo Branquinho, [email protected]

apresentação técnica - estratégias de segurança para redes industriais e scada

Technology