[class 2014] palestra técnica - silvio rocha
DESCRIPTION
Título da Palestra: Segurança em centro de controle da operação para sistemas de automação SCADA na distribuição de águaTRANSCRIPT
Segurança em Centro de Controle da Operação para
Sistemas de Automação SCADA na Distribuição de Água
� Graduação em Tecnologia em Processamento de Dados pela UNICID;� Pós-graduação em Ciência da Computação pela FASP;� Pós-graduação em Administração Estratégica Empresarial pela UNINOVE; � Mestrando em Engenharia da Computação – Redes de Computadores pelo
Instituto de Pesquisas Tecnológicas - IPT/USP (Previsão da Defesa: 26/11/2014).
� Professor Especialista dos cursos de graduação em Sistema de Informação, Redes de Computadores, Banco de Dados, Gestão de Projetos e Gestão da Tecnologia da Informação;
� Gestor de TI na Cia de Saneamento Básico do Estado de São Paulo -SABESP – Unidade de Negócio Leste;
� Consultor em Governança de TI pela ITPASSPOT.
� ITIL® V3 Foundation (EXIN);� IT Service Management Foundation according to ISO/IEC 20000 (EXIN);� Information Security Foundation based on ISO/IEC 27002 (EXIN).
Silvio Rocha
• Motivadores e Justificativa• Objetivo• Referencial Teórico• Trabalhos Relacionados• Proposta• Validação• Conclusão
Agenda
Motivadores e Justificativas� Envolvimento com ambientes SCADAs no setor de saneamento com foco na distribuição de água;
� A área de sistemas automatizados vem ganhando maior visibilidade nos últimos anos e a sua utilização torna-se cada vez mais importante para os negócios, principalmente pela sua integração com as redes corporativas;
� Garantir uma melhor proteção das informações que trafegam nas redes de automação, que se atacadas podem ter grande impacto na sociedade;
� Os sistemas de controle e aquisição de dados (Supervisory Control andData Acquisition – SCADA) estavam protegidos de ataques externos e internos graças a seus protocolos proprietários e redes isoladas;
� Com o crescente uso do padrão Ethernet nas estruturas de automação industrial, esse ambiente vem convergindo para sistemas abertos e com isso levanta a questão da segurança da informação.
Motivadores e JustificativasFigura 1 – Compara três anos e mostra o crescimento em incidentes (azul) e o nível de impacto (vermelho) para as organizações que utilizem sistemas de controle.
Figura 2 – Mostra a distribuição por setor para todos os incidentes relatados em 2011.No setor de saneamento (água) temos um elevado número de incidentes devido as características de acesso remoto inseguro.
Objetivo
O objetivo do artigo é propor um modelo de arquitetura conceitual de segurança em redes de automação por meio de mecanismo de autenticação e autorização, tendo por base os conceitos das normas ISO/IEC 27002 e ISA 99 para o ambiente SCADA no saneamento, com foco principal no processo de distribuição de água.
Referencial TeóricoSegurança da Informação
De uma maneira simplista, a grande maioria dos incidentes é causado intencionalmente por pessoas maliciosas. Para tornar uma rede segura e proteger contra ameaças e ataques, pode-se utilizar:
� Sistema de Detecção de Intruso – IDS� Firewall� Criptografia� Tecnologias de Autenticação e Autorização
O padrão 802.1x se integra com o padrão AAA (Authentication, Authorization and Accounting) da IETF (Internet Engineering Task Force). Em segurança da informação, o padrão AAA é uma referência aos protocolos relacionados com os procedimentos de:
� autenticação;� autorização e � contabilização
Norma ISA 99 - Arquitetura da Automação Industrial
Entre os principais elementos dessa arquitetura estão os sistemas SCADA ou supervisórios, são sistemas digitais que provem supervisão, controle, gerenciamento e monitoramento dos processos em tempo real.
� Unidade de Terminal Remota (Remote Terminal Unit – RUT)� Controlador Lógico Programável (Programmable Logic Controller – PLC)� Interface Homem-Máquina (Humam Machine Interface – HMI)� Protocolos de Redes Industriais (CAN Bus, Modbus, Profibus, etc)
O RADIUS é um protocolo utilizado para disponibilizar acesso a redes utilizando a arquitetura AAA.
Implementado em pontos de acesso sem fio, switches e outros tipos de dispositivos que permitem acesso autenticado a redes de computadores. O protocolo RADIUS é definido pela RFC 2865 (RIGNEY, 2000).
O RADIUS foi idealizado para centralizar as atividades de Autenticação, Autorização e Contabilização.
Referencial Teórico
TECNOLOGIA DESCRIÇÃOVULNERABILIDADES
CORRIGIDASDEFICIÊNCIAS RECOMENDAÇÕES
Redes Virtuais(Vlan)
Segregação de redes físicas e redes lógicas
Segregação do tráfego
Spoof de MacProtocolos Spanning treeVLAN Hopping
Atualizações periódicas de versão.Segregação entre rede corporativa e a rede industrial.
Firewalls de RedeMecanismo usadopara controle de tráfego.
Proteção do tráfego de rede que passa através do dispositivo
Necessidade de trabalhar em conjunto com detectores de intrusão;Grande quantidade de Logs;Profissionais treinados paraoperações diárias.
Segmentation of the networks into zones;Criação de uma DMZ para o tráfego de Internet.
Redes VirtuaisPrivadas (VPN)
Acesso Remoto com criptografia
Acesso às redescontrolado via autenticação
Acesso de qualquer lugar(Internet) à rede corporativa
Processo de autenticação forte
Utilidades do log de auditoria
Suporte à ferramenta de log
Verificação de autenticação e utilização
Documentação e backupextensos
Planejamento estratégico emconjunto com outras áreas.
AutenticaçãoBiométrica
Autenticaçãobiométrica
Atutenticação forte Não é amplamente usadoUso ocasional em equipamentorestrito
Tecnologia de Autenticação e Autorização
Permissão e níveisde acesso
Acesso controlado a redes, via autenticação
Necessidade de sincronizar todos os ativos no ambiente
Método de autenticação / autorização centrados na rede
CriptografiaProcesso de encriptação e decriptação
Criptografia emtráfego de texto puro
Deve ser usado um método de criptografia suportado portodos os equipamento
Utilização de criptografia em todasas comunicações internas e externas
Detectores de Intrusão
Utilidade para a detecção de eventosnão permitidos narede
Identificação de tráfego malicioso
Requer atualizações de assinaturas e excesso de falsos positivos
Utilização em segmentos
Controle FísicoAcesso restrito aosequipamentos decampo
Somente pessoasautorizadas podemoperar e realizaralterações físicas
Se não for usado com ummétodo biométrico, poderevelar-se ineficaz
Acesso controlado
Recomendações da ISA
Trabalhos RelacionadosTipo Tema Objetivo
DissertaçãoCibersegurança em sistemas de automação em plantas de tratamento de água.
Propor uma metodologia cujo foco seja e minimização dos riscos de segurança.
ArtigoICS-CERT Incident Response Summary Report: 2009 –2011.
Apresentar um resumo dos incidentes cibernéticos e orinetar a defesa dos ambientes de sistema de automação contra ameaças cibernéticas emergentes.
Guia
Guia de Referência para a Segurança das InfraestruturasCríticas da Informação –Versão 01 – Nov/2010.
Reunir métodos e instrumentos, visando garantir a Segurança das InfraestruturasCríticas da Informação e com isso assegurar, dentro do espaço cibernético, ações de segurança da informação e comunicações como fundamentais para garantir disponibilidade, integridade, confidencialidade e autenticidade da informação, no âmbito da Administração Pública Federal.
Trabalhos RelacionadosTipo Tema Objetivo
Norma ANSI/ISA–99Segurança para Automação Industrial e Sistemas de Controle: Terminologia, Conceitos e Modelos
ArtigoArquitetura de Segurança da Informação em Redes de Controle e Automação.
Ilustrar uma arquitetura de uma solução de segurança para os diversos estágios de evolução dos sistemas de automação que compõem as instalações da Companhia Hidro Elétrica do São Francisco – CHESF.
Guia
Firewall Deployment for SCADA and Process Control Networks – Good Practice Guide - CPNI
Coleção de informações que foram resumidas em um artigo em termos de arquitetura de firewall, implantação, concepção e gestão para determinar práticas de segurança atuais.
Livro Industrial Network SecurityProteção de infraestruturas críticas, Redes para Smart Grid, SCADA e outras sistemas de controle industrial.
Norma ABNT NBR ISO/IEC 27002Código de prática para a gestão da segurança da informação.
Proposta� A proposta desenvolvida foi norteada por todos os trabalhos relacionados nessa apresentação, porém teve forte influência das normas ANSI/ISA 99 e ISO 27002, como também do Guia de Boas Práticas do Centro de Proteção Nacional de Infraestrutura (CPNI).
� Para o artigo optou-se pelo estudo dos modelos de arquitetura de automação SCADA que pudessem ser aplicados no setor de saneamento, em especial distribuição de água.
� Com base na norma ISA 99, veremos no próximo slide um diagrama de uma arquitetura recomendada para uma série de situações práticas e mostra como definir zonas de segurança.
Proposta
PropostaOutro estudo utilizado nesse artigo foi realizado pelo Grupo de Tecnologia da Informação Avançada (Group for Advanced Information Technology – GAIT) que analisou implantações de redes SCADA e identificou oito arquiteturas:
Arquiteturas Segurança Gerenciamento Disponibilidade Po ntuação
1) Duas interfaces de Rede nos Computadores; 1,00 2,00 1,00 4,00
2) Servidor com duas interfaces de rede e com software defirewall pessoal;
2,00 1,00 1,00 4,00
3) Filtragem de pacotes Router/Switch Camada 3 entre aRede de Controle de Processos e a Rede Corporativa;
2,00 2,00 4,00 8,00
4) Firewall com duas portas, uma na Rede de Controle deProcessos e outra na Rede Corporativa;
3,00 5,00 4,00 12,00
5) Combinação de Router/Firewall entre Rede de Controlede Processos e Rede Corporativa;
3,50 3,00 4,00 10,50
6) Firewall com zonas desmilitarizadas entre a Rede deControle de Processos e a Rede Corporativa;
4,00 4,50 4,00 12,50
7) Firewalls emparelhados entre a Rede de Controle deProcessos e a Rede Corporativa;
5,00 3,00 3,50 11,50
8) Combinações de Firewall e VLAN entre a Rede deControle de Processos e a Rede Corporativa.
4,50 3,00 5,00 12,50
Pontuação aproximada para arquiteturas de redes SCA DA
Pontuação (1 = Pior e 5 = Melhor)
Sistemas de Negócio e Informação
SCADA e Sistemas
Supervisório
Automação Industrial e
Sistemas de Controle
SCADA DMZ
Mesmo com essas diferenças funcionais entre as redes de automação e asredes corporativas, a integração é necessário conforme já explanado.
Por essa razão é recomendado uma arquitetura segura e que para validaçãodesse artigo será adotado a arquitetura de número 8 – Combinações deFirewall e VLAN entre Rede de Controle de Processos e a RedeCorporativa.
Essa arquitetura será complementada de alguns mecanismos de proteçãode perímetro ligados a tecnologia de autenticação e autoriza ção ,propostos pelo autor deste artigo.
Proposta
Validação
Para validação da proposta utilizou-se de duas situações:
� Ambiente existente de produção com os servidores SCADAssegregados por VLAN;
� Ambiente de laboratório prático para validação do processo de autenticação e autorização RADIUS, por meio do servidor FreeRadius e serviço de diretório LDAP.
Centro de Controle
Rede de Controle do
Processo
Estação de Tratamento
de Água
Reservatórios de Água
Rede Corporativa
Internet
Rede de Automação
Rede de Automação no Campo
ServidorAplicação
ServidorSCADA
Corporativo
ServidorOPC
ServidorRADIUS/
LDAP
ServidorHistoriador
HMI Local
HMI Local
HMI Local
Estação de Tratamento
de Água
RTU ou PLC
RTU ou PLC
RTU ou PLC
Arquitetura Conceitual
Filias
ServidorSCADA WEB
Rede Corporativa
Frame RelayAutomação
MPLS - Rede Corporativa
RADIUS/MSCHAP
ServidorRADIUS/LDAP
ServidorHistoriador
ServidorSCADA WEB
Rede Corporativa
ServidorAplicação
ServidorSCADA
Corporativo
ServidorOPC
Rede de Controle do Processo
Centro de Controle
802.1x/PEAP/MSCHAPv2
RADIUS/TLS
Arquitetura Física e Lógica
Rede IP10.66.8.0/21
VLAN 2
Rede IP172.21.0.0/24
VLAN 1
Firewall/NAT
Rede IP192.168.0.0/24
Autenticação com 802.1x
Liberação de acesso na VLAN
Internet
Autenticação e autorização
Conclusões
• Existe uma melhoria significativa na segurança com a utilização defirewalls para separação das redes de processo das redes corporativas,por meio de DMZ e Vlan;
• Utilizar um ambiente de rede que possua mecanismos de autenticação eautorização para acesso ao meio é uma das formas de aumentar asegurança;
• Com o processo de autorização, somente usuários legítimos edevidamente identificados tem acesso aos recursos disponíveis. Já oprocesso de autorização fornece flexibilidade para implementar umahierarquia de acesso, bem como manter centralizada a base de usuários.