Avaliação de Risco Cibernético para tomar Boas Decisões e selecionar

Tecnologias Apropriadas para a Segurança Cibernética Industrial

Maximillian G Kon, WisePlant HQ, CEO & Managing Director

Marcelo G. Zaremba, Wiseplant AR, Regional Business Development Manager

O r g a n i z a ç õ e s i n t e r n a c i o n a i s

e p a d r õ e s d e s e n vo l v i d o s

p a r a a c i b e r s e g u r a n ç a

i n d u s t r i a l

• Existem atualmente muitas iniciativas e trabalhos desenvolvidos para a

cibersegurança industrial.

• Claramente não são todos os mesmos e, portanto, os seus resultados tampouco.

• Controles de segurança

• Leis (nacional)

• Normas internacionais

• Regulamentos (governos)

• Melhores práticas

• Etc.

• Todos estes contribuem para a confusão dos usuários, uma vez que é geralmente

observado que as empresas da América do Sul estão aderindo a todos (mais de um),

mas, finalmente não atende a nenhum, gastan dinheiro sem resultados verificáveis e

insuficientes.

Gestão de riscos cibernéticos em infraestrutura crítica e sistemas industriais

• NIST SP 800-39: Integrated Enterprise Risk Management

• NIST SP 800-37: Risk Management Framework

• ANSI/ISA99/IEC-62443: Cyber Security Management System

Normas, leis, regulamentos, guias, melhores práticas, métodos, técnicas, políticas, controles, tecnologias, etc.

• NIST SP 800-53: Recommended Security Controls for Federal Information Systems

• NIST SP 800-82: Guide to Industrial Control Systems (ICS) Security

• NIST CyberSecurity Framework

• ANSI/IEC-62443-X-X: Security Technologies for Industrial Automation and Control Systems

• NERC: Critical Infrastructure Protection (CIP) Cyber Security Standards

• DHS: Catalog of Control Systems Security Recommendations for Standards Developers

• AMI-SEC- Task Force: AMI Systems Security Requirements

• IEEE 1686: Standard Intelligent Electronic Devices Cyber Security

• 6 CFR part 27: Chemical Facility Anti-terrorism Standard (CFATS)

• TSA Pipeline Security Guidelines, April 2011

• Guidance for Adressing CyberSecurity in the Chemical Industry versión 3.0

• API Standard 1164 – SCADA Security

• ….…. e muitos mais!

ABB Automation & Power WorldMietek Glinkowski, Dir. Tech.

Everything you wanted to know but afraid to ask about standards

IEEE, ANSI, IEC, UL, NEMA,…

Organizações nacionais e internacionais e seu trabalhoHá muitas organizações que desenvolveram empregos para a segurança cibernética industrial, no entanto....

TI

TO

ISA/IEC-62443 é uma série de

Normas internacionais desenvolvido por dois grupos

ISA99 → ANSI/IEC-62443

IEC TC65/WG10 → IEC-62443

Em consulta com

ISO/IEC JTC1/SC27 → ISO/IEC 2700x

No Comitê ISA99 somos cerca de 900 membros de setores industriais, usuários finais, fabricantes, fornecedores, governo, organizações (ISO, IEC,..), Destinatários de risco,…

ANSI/ISA99/IEC-62443

• 7 Estándares (SP)

• 7 Referencias Técnicas (TR)

Sobre o Comitê ISA99O Comitê ISA99 é o resultado de uma associação de três organizações que decidiram unificar esforços e recursos

para desenvolver um único trabalho (ISA, ISO e IEC)

Confidencialidade

Segurança funcional Segurança intrínsecaCiberseg. Industrial

Plant A

Laptop Computer

EngineeringWorkstation

File / PrintServer

App.Server

DataServer

Control System & Room

App.Server

DataServer

Maint.Server

Router

Firewall

Fieldbus

Field Instrumentation & Devices

HART 4-20 mA

ControllerController

Mainframe

Server ServerWorkstation

Laptop Computer

Enterprise Network

PlantNetwork

Control SystemNetwork

ControlNetwork

Plant B

Laptop Computer

EngineeringWorkstation

File / PrintServer

App.Server

DataServer

Control System & Room

App.Server

DataServer

Maint.Server

Router

Firewall

Fieldbus

Field Instrumentation & Devices

HART 4-20 mA

ControllerController

PlantNetwork

Control SystemNetwork

ControlNetwork

Plant C

Laptop Computer

EngineeringWorkstation

File / PrintServer

App.Server

DataServer

Control System & Room

App.Server

DataServer

Maint.Server

Router

Firewall

Fieldbus

Field Instrumentation & Devices

HART 4-20 mA

ControllerController

PlantNetwork

Control SystemNetwork

ControlNetwork

O que eles têm em comum?

• Consequências

• Segurança pelo desenho

• Som os mesmos Equipos

Como eles diferem?

• As causas• Vulnerabilidade

• Falhas

• Arco/Elétrico

Algumas disciplinas de riscos industriais

Outras disciplinas de risco para cada segmento industrial.

• Energia

• Alimentos

• Farmacêutico

• Etc.

• Três anos após o naufrágio do Titanic as autoridades criaram novas leis para as empresas …

•… Em apenas alguns minutos, mais pessoas morreram do que no Titanic e Lusitania juntos e em um lago.

“Este desastre exemplifica a importância do “desenho" na

segurança”

O desastre de EastlandUm dos desastres mais terríveis que ele rapidamente queria esconder.

• Tolerância ao risco: Diferentes pessoas percebem o risco de uma forma diferente.

• É da responsabilidade da alta administração definir os objetivos de cibersegurança industrial, políticas, tolerâncias, etc.

• Incidentes como (o desastre de Eastland), sistema elétrico interligado da Ucrânia, e tantos outros. Como as organizações falham?

(1) Não conhecen os padrões/padrões

(2) falha na implementação

(3) Não são consideradas necessárias às normas

Risco = f(Vulnerabilidade, Ameaça, Consequência)

Segurança de Processos ….

Segurança de Pessoas

Segurança de Meio Ambiente

Segurança da Informação

Continuidade OperativaContinuidade do Negocio

HS&E = Health, Safety and Environmental

Avaliação do risco industrial cibernético A avaliação dos riscos cibernéticos industriais deve necessariamente incorporar à segurança das

pessoas, dos processos, do meio ambiente,..

BPCS

BPCS HMI

Equipment Room

Field

Control Room

Plant Admin

Building

SIS

Maint

Laptop

Internet

Corp HQ

Remote Control System

User

BUSINESS ZONE

EMPLOYEE

REMOTE

ACCESS

ZONE

VENDOR

REMOTE

ACCESS

ZONESAFETY

ZONE

WIRELESS

ZONE

Dial-up

Modem

DCS Server B

DCS Server A

Remote Control System

User

IT DomainController

DataHistorian

Supervisor

BusinessServers

PROCESS

CONTROL

ZONE

BusinessWorkstations

Operator Consoles

Operator Consoles

RAS

Corporate

WAN

Comm Room

`

EngineeringWorkstation

Router

Router

A metodologia desenvolvida no ANSI/ISA99/IEC-62443 é chamada

Cyber-PHA (análise de Risco Cibernético em TO) que cumpre as

exigências RAGAGEP/OSHA

RAGAGEP = Recognized And Generaly Accepted Good Engineering Practice

Alcançar a segurança cibernética desejada ou necessária O Comitê ISA99 introduz uma metodologia e fórmula matemática para gerenciar o risco cibernético

industrial e também propõe sua mitigação pelo desenho.

Triton/Itris/HatManSistema Instrumentado de Segurança

Spectre-MeltdownVulnerabilidade em Microprocessadores

Malware desarrolhado en os 5 linguajes de programação IEC-61131-3

Wireless HART es vulnerável a os ciberataques - Hacked

Segurança de Processos

Segurança de as Pessoas

Segurança do Meio Ambiente

Disponibilidade

Integridade

Confidencialidade

Criticidade Destinatários de risco

Segurança da Informação

Impactos

Sectores de la Comunidad

Cibersegurança industrial: incidentes, consequências,

impactos,...

Los Chinos estão espiando com microchips escondidos em as fábricas americanas: Cisco, etc.

Os ataques são cada vez mais sofisticados e prejudiciais nas tecnologias proprietárias de fabricantes industriais. Não só nas tecnologias tradicionais de TI.

É evidente que a confidencialidade das informações no TO é a menor das preocupações. Os impactos mais severos estão no mundo

físico.

E x i s t e m m u i t o s t i p o s

d i f e r e n t e s d e a va l i a ç õ e s

a p l i c á ve i s a o s s i s t e m a s

i n d u s t r i a i s

• Existem muitas técnicas e métodos para a realização de avaliações de cibersegurança

industrial. Cada um deles com diferentes objetivos, resultados e benefícios.

• Muitos consultores confundem a identificação de vulnerabilidades em redes e

sistemas industriais com avaliação de risco, levando a conclusões, recomendações e

ações incorretas e insuficientes. Não é a mesma análise de vulnerabilidade que uma

análise de risco.

• As metodologias tradicionais de TI empregadas na OT não têm conhecimento e

prática para incorporar na avaliação de risco os impactos e conseqüências do mundo

físico da OT, tais como, disponibilidade, saúde das pessoas, segurança do processo,

Segurança ambiental, entre outros.

Há muitos tipos e avaliações diferentes que podem ser feitas em sistemas industriais

Diferentes tipos de avaliação

• Análise GAP: São avaliações que são desenvolvidas principalmente em entrevistas para conhecer as práticas atuais da planta e para serem comparadas com as melhores práticas. (IEC62443, NIST, NERC, etc.)

• Análise passivos: Eles são desenvolvidos com ferramentas para levantar dados, informações sobre redes e sistemas industriais. (por exemplo, captura de tráfego, análise de log, inspeção de configuração, revisão de política de segurança, etc, como Wireshark, Indegy em modo passivo e outros)

• Ativo não intrusivo: Eles são assistidos com ferramentas aprovadas e certificadas com a capacidade de dialogar com os sistemas industriais (por exemplo. Consulta, verificação de firmware, verificação de lógica de escada, verificação de mudança, etc. como o sistema Indegy no modo ativo ou outras ferramentas desenvolvidas pelos fabricantes de sistemas de controle, kits de ferramentas e outros.

• Ativo intrusivo: Eles são feitos com ferramentas que podem causar uma interrupção ou efeito indesejado nos sistemas industriais. (E.g. Maior largura de banda de rede, carga da CPU, redução de memória, etc, como a execução de um Cyber-FAT/SAT,...)

• Destrutivo: Eles são realizados a fim de detectar vulnerabilidades por meio de sua exploração. (E.g. Cyber-FAT, Cyber-SAT, certificação de laboratório – ISA Secure -, descobrindo novas vulnerabilidades, teste de penetração, fuzzing, etc)

A b o r d a g e n s e t e c n o l o g i a s

p a r a a l c a n ç a r a s e g u r a n ç a

n e c e s s á r i a o u e x i g i d a n o s

d o m í n i o s d a p r o d u ç ã o

i n d u s t r i a l

• Segurança cibernética industriais,

segurança de processos industriais,

segurança de as pessoas e o ambiente

estão juntos. Não e aceitável melhorar

um em detrimento do outro.

• Qual será o futuro do cybersecurity

Industrial? Quais são as tecnologias do

futuro para os fabricantes de sistemas

de controle? Etc.

No últimos 5 anos a situação mudo muito. Alem de isso muitas empresa ainda não são consentes.

TCO – Custo Total de Propiedade de IACS

• Engenharia: Simplicidade da arquitetura e soluções universais para pequenas, médias e grandes sistemas permitem projetos ser provado e reutilizados. Facilidade de integração, fornecendo soluções para problemas imediatos. Escalabilidade permitirá as soluções imediatas para ser expandido na.

• Instalação/Colocação em funcionamento: a instalação e Colocação em funcionamento é uma parte da fase de construção. Simplicidade e universalidade da solução será benéficos para a instalação, comissionamento, treinamento e transferência de soberania para as operações. Simplicidade e universalidade da arquitetura irão melhorar a experiência do usuário e reduzir a resistência à mudança.

• Manutenção: A fase mais longa. Custo de propriedade (licenciamento e suporte taxas) é muitas vezes maior que o custo original. Disponibilidade de peças de reposição e suporte técnico local são fundamentais. Simplicidade da arquitetura irá aumentar a confiabilidade e segurança.

• Sistema: Impedindo a obsolescência do produto, incluindo o controle do fornecedor de disponibilidade a longo prazo dos componentes ativos digitais utilizados na concepção juntamente com hardware, firmware e software de origem de fabricação seguro longevidade de sistema global.

• Cibersegurança: Esta fase tem fatores de risco relevantes sobre o ciclo de vida. Segurança da cadeia de abastecimento, incluindo o desenvolvimento de software, fornecimento de componentes e instalações de fabricação. A capacidade de fixar o projeto, fabricação e teste de falsificação e obsolescência são alguns dos critérios importantes a considerar.

A tecnologia vulnerável tão elevando o TCO ao duplo, custo de manutenção ao triplo e muito mais ainda.

Níveis de certificação baseados em requisitos para

hardware, software, design, manufatura, tecnologias,

cadeia de abastecimento (OEMs), etc.

Três certificações

com 4 níveis:

• IEC 62443 - EDSA

Certification

• IEC 62443 - SSA

Certification

• IEC 62443 - SDLA

Certification

O que acontece com fornecedores e fabricantes? O ISA Secure criou um programa de certificação para fabricantes e fornecedores para

desenvolver uma linguagem comum entre usuários e fornecedores.

MODELO DE SEGURIDAD OTANSI/ISA99/IEC-62443 & ISA84/IEC-61508/61511

Fases da cibersegurança industrial e do seu ciclo de vida

S o l u c o e s e M o n i t o r a m e n t o

d e a t i vo s i n d u s t r i a i s

c i b e r n é t i c o s p a r a d e t e c ç ã o

d e a l t e r a ç õ e s , a n o m a l i a s ,

i n t r u s õ e s e i n t e g r a ç ã o c o m

o S O C .

• Identificando ativos cibernéticos

• Identificação de vulnerabilidades

• Identificação de alterações não autorizadas da rede

• Identificando alterações não autorizadas localmente no sistema

• Disponibilidade de recursos

• Detecção de intrusão

• Detecção de anomalias

• Outros eventos configurados pelo usuário

• Visibilidade unificada

• Detecção de anomalias como um serviço

• Conformidade com os níveis de cibersegurança (zonas e condutas)

• Resposta a incidentes

• Outros eventos

Novos sistemas

(Built-In)

Cibersegurança

intrínseca, nativa

ou incorporada

Na base instalada (Bolt-On)

Segurança cibernética

adicionada aos sistemas

convencionais criando

arquiteturas seguras.

Ej: Firewalls, Hardening, etc.Cibersegurança de hardware

Nativa intrínseca (Built-In)e/ou Sistemas de monitoramento (Bolt-On) 7x24x365 (SIEM/SOC-OT)

• Gestão de ciberactivos

• Análise de vulnerabilidades

• Detecção de intrusão

• Detecção de anomalias

• Gerenciamento de mudanças

…. e muitos mais

Tecnologias para a cibersegurança industrial Duas abordagens para duas situações diferentes. Não podemos continuar fazendo as mesmas

coisas da mesma maneira. A tecnologia do futuro chegou.

Exemplo: Sistema de monitoreo Pasivo y Activo No IntrusivoO sistema Idengy é completamente não-intrusivo. Mesmo em seus dois modos de trabalho.

CONTROL NETWORK INSPECTION (CNI)

O sistema Indegy utiliza técnicas passivas para analisar

todo o tráfego em redes de controle com coletores e

intérpretes que compreendem os protocolos industriais

e o conteúdo da mensagem.

AGENTLESS CONTROLLER VERIFICATION (ACV)

O sistema Indegy usa técnicas ativas não intrusivas

aprovadas para atender aos requisitos de segurança de nível

mais alto SL3 e SL4 com a capacidade de detectar

incidentes sofisticados que não são possíveis de detectar

por métodos passivos.

Tecnologias no serviço OT, agente passivoO sistema Idengy é completamente não-intrusivo. Mesmo em seus dois modos de trabalho.

Visibilidad de los Activos Visibilidad de las Actividades

SATAN

Redes

Sociales

BD IoCs

• IBM Threat

Intelligence

• Recolección local

• Otras BD IoC

SIEM

Framework

Analítica e

intercambio

IoC

Arcsight

Logger

Maltego

Inteligencia de

la Amenaza

Correlación y

AnalíticaInvestigación y

Hunting

Fuentes

Noticias

Eventos

Clientes

Herramientas

Estadísticas

Respuesta y

Forense

Herramientas

de Análisis

Remoto

(RedLine, HX)

Herramientas

de análisis

Forense

(Volatility,

EnCase, etc)

Vulnerabilidades

UEBA

Tecnología de

Operaciones (OT)

Amenazas Externas

Intencionadas o No

intencionadas

Amenazas Internas

Ej. Empleado

Incorforme

Error Humano y

Negligencia

AM

EN

AZAS

Múltiples plantas

y/o procesos

distribuidos

Integração de SOC (Security Operations Center) com OT

Perguntas

Maximillian G. Kon

m.kon@wiseplant.com

Marcelo Zaremba

m.zaremba@wiseplant.com

V Simpósio ISA São Paulo

de Automação em Saneamento19 de março de 2019 – São Paulo / SP

Mais

perguntas?COMPANY