TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ESTRATÉGIAS DE SEGURANÇA PARA REDES DE AUTOMAÇÃO E SISTEMAS SCADA
Marcelo BranquinhoUTC Summit - Florianópolis, Março de 2015
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ApresentaApresentaApresentaApresentaççççãoãoãoão
Marcelo Branquinho
• Engenheiro eletricista, com especialização em sistemas de computação com MBA em
gestão de negócios e membro da ISA Seção RIODJ, atualmente é CEO da TI Safe
Segurança da Informação onde também atua como chefe do departamento de segurança
para sistemas de automação industrial.
• Com larga experiência adquirida ao longo de 14 anos de atuação na área, coordenou o
desenvolvimento da Formação de Analistas de Segurança de Automação, sendo autor do
livro “Segurança em Automação Industrial e SCADA”, lançado em 2014.
• Atualmente é integrante do comitê internacional que mantém a norma ANSI/ISA-99 e
detém diversas certificações internacionais na área..
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• Introdução• Incidentes de segurança em redes industriais brasileiras
• Panorama da segurança da informação nas indústrias
• Principais normas de referência• Escopo de segurança nas indústrias
• Estratégia modularizada de Segurança
@tisafe
AgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgendaAgenda
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• Cada vez mais sofisticados, os ataques cibernéticos são hoje capazes de paralisar setores inteiros da infraestrutura critica de um
país.
• Os eventos internacionais de grande porte atraem a atenção do
mundo e trazem riscos de invasões virtuais em infraestruturas críticas brasileiras.
• E o Brasil, estaria blindado contra ataques virtuai s como estes? Já houve incidentes de segurança cibernética no Brasil? Qual o estado atual da segurança de nossa infraestrutura crítica?
IntroduIntroduIntroduIntroduIntroduIntroduIntroduIntroduççççççççãoãoãoãoãoãoãoão
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• As organizações industriais pesquisadas englobam os principais setores da indústria
brasileira, com uma maior presença das empresas do setor elétrico e petróleo e gás,
mas incluindo também os setores de alimentos e bebidas, águas e resíduos, transportes e logística, siderúrgicas, nuclear, mineradoras e indústrias químicas.
RelatRelatRelatRelatRelatRelatRelatRelatóóóóóóóóriorioriorioriorioriorio TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014TI Safe, 2014
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de compartilhar publicamente os incidentes de segurança, 55% das empresas tratam internamente os incidentes de segurança e apenas 12% das empresas declaram seus incidentes sigilosamente aos fabricantes e consultorias especializadas de segurança.
DeclaraDeclaraDeclaraDeclaraDeclaraDeclaraDeclaraDeclaraççççççççãoãoãoãoãoãoãoão ppppppppúúúúúúúúblicablicablicablicablicablicablicablica de de de de de de de de incidentesincidentesincidentesincidentesincidentesincidentesincidentesincidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação
brasileiras
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes # Casos
Malware 27
Erro Humano 24
Falhas em dispositivos 15
Sabotagem 2
Outros - Não identificados 9
IncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa ciberncibernciberncibernciberncibernciberncibernééééééééticaticaticaticaticaticaticatica industrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasil
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
IncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentesIncidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa ciberncibernciberncibernciberncibernciberncibernééééééééticaticaticaticaticaticaticatica industrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasilindustrial no Brasil
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação
brasileiras (ainda não divulgado)
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• O DOWNAD, mais conhecido como “Conficker”, dominou a contagem de malware em plantas industriais no Brasil.
• Dos 27 casos documentados em nosso estudo, 14 foram derivados de infecções do Conficker .
• Isso acontece porque plantas de automação não são atualizadas com os últimos patches, deixando-as expostos a malwares como o Conficker.
• Além disso, boa parte das plantas industriais brasileiras não possui política de segurança adequada, medidas para controle de acesso àrede de automação e proteção de portas USB.
MalwareMalwareMalwareMalwareMalwareMalwareMalwareMalware, o principal , o principal , o principal , o principal , o principal , o principal , o principal , o principal vilãovilãovilãovilãovilãovilãovilãovilão
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de incidentes de segurança cibernética industrial desenvolvido e em produção.
• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa quando ocorrem incidentes de segurança.
• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este processo.
GestãoGestãoGestãoGestãoGestãoGestãoGestãoGestão de de de de de de de de incidentesincidentesincidentesincidentesincidentesincidentesincidentesincidentes de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa ciberncibernciberncibernciberncibernciberncibernééééééééticaticaticaticaticaticaticatica
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Panorama Panorama Panorama Panorama Panorama Panorama Panorama Panorama ttttttttíííííííípicopicopicopicopicopicopicopico da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. nananananananana indindindindindindindindúúúúúúúústriastriastriastriastriastriastriastria
• Falta de cultura de segurança cibernética para a equipe de T.A.
• Dificuldade de planejar e executar as tarefas necessárias para a segurança
do ambiente em função da necessidade de juntar equipes, know-how e
tecnologias diversas.
• Adoção de soluções pontuais e segmentadas entre a tecnologia da
informação (T.I.) e a automação (T.A.).
• Falta de ferramentas de segurança que contemplem desde as necessidades
do chão de fábrica até os níveis corporativos.
• Processo de gerenciamento dos riscos, quando existe, está espalhado em
múltiplos consoles e em diversos pontos de monitoramento.
• Dificuldade de rastreabilidade e falta de trilha de auditoria dos eventos.
• Inexistência de monitoramento contínuo de eventos e incidentes.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• Bases de conhecimento de ameaças e vulnerabilidades desatualizada
ou inexistente.
• Falta de sintonia entre as equipes de T.I. e T.A.
• Sistemas desatualizados, sem a adoção de patches obrigatórios para
mitigação de vulnerabilidades.
• Antivírus inexistente, ou existente mas com base de assinaturas
desatualizada.
• Restrições para instalação de sistemas de controle de malware e
atualização destes por parte dos fabricantes.
• Investimentos em segurança cibernética industrial ainda não são uma
prioridade.
Panorama Panorama Panorama Panorama Panorama Panorama Panorama Panorama ttttttttíííííííípicopicopicopicopicopicopicopico da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. da S.I. nananananananana IndIndIndIndIndIndIndIndúúúúúúúústriastriastriastriastriastriastriastria
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PrincipaisPrincipaisPrincipaisPrincipaisPrincipaisPrincipaisPrincipaisPrincipais normasnormasnormasnormasnormasnormasnormasnormas de de de de de de de de referênciareferênciareferênciareferênciareferênciareferênciareferênciareferência
ANSI/ISA.99NIST 800-82
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
A Norma ANSI/ISA 99A Norma ANSI/ISA 99A Norma ANSI/ISA 99A Norma ANSI/ISA 99
• Norma elaborada pela ISA (The
Instrumentation Systems and Automation
Society) para estabelecer segurança da
informação em redes industriais
• É um conjunto de boas práticas para
minimizar o risco de redes de sistemas
de controle sofrerem Cyber-ataques
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O Guia NIST 800O Guia NIST 800O Guia NIST 800O Guia NIST 800----82828282
• Guia elaborado pelo NIST.
• O documento é um guia para o
estabelecimento de sistemas de controle
de segurança para indústrias (ICS).
• Estes sistemas incluem controle
supervisório e aquisição de dados em
sistemas SCADA, sistemas de controle
distribuídos (DCS), e outras
configurações de sistema para PLCs.
http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
EscopoEscopoEscopoEscopoEscopoEscopoEscopoEscopo de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa emememememememem indindindindindindindindúúúúúúúústriasstriasstriasstriasstriasstriasstriasstrias
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PontosPontosPontosPontosPontosPontosPontosPontos paraparaparaparaparaparaparapara umaumaumaumaumaumaumauma estratestratestratestratestratestratestratestratéééééééégiagiagiagiagiagiagiagia de de de de de de de de seguranseguranseguranseguranseguranseguranseguranseguranççççççççaaaaaaaa
• Organizar, executar e operar a segurança da informação em sistemas industriais e
infraestruturas críticas:
• Implementar as boas práticas descritas no CSMS (Cyber Security Management System)
da norma ANSI/ISA-99 e nas linhas base do guia NIST 800-82.
• Acelerar o processo de conformidade da segurança cibernética.
• Atender às necessidades de T.I. e T.A.
• Prover gerenciamento centralizado do monitoramento, defesa e controle de ameaças.
• Garantir a atualização das bases de dados de assinaturas e vulnerabilidades para todos
os componentes de segurança.
• Facilitar a identificação de ameaças e isolamento imediato de incidentes.
• Produzir trilha confiável para rastreabilidade dos eventos.
• Fornecer detalhados relatórios de auditoria.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
DividirDividirDividirDividirDividirDividirDividirDividir paraparaparaparaparaparaparapara conquistarconquistarconquistarconquistarconquistarconquistarconquistarconquistar –––––––– EstratEstratEstratEstratEstratEstratEstratEstratéééééééégiagiagiagiagiagiagiagia ModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizada
SEGURANÇA DE BORDA
SEGURANÇADE DADOS
PROTEÇÃO DA REDE INTERNA
CONTROLE DE
MALWARE
MONITORAMENTO E CONTROLE
TREINAMENTO E CONSCIENTIZAÇÃO
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
TreinamentoTreinamentoTreinamentoTreinamentoTreinamentoTreinamentoTreinamentoTreinamento e e e e e e e e ConscientizaConscientizaConscientizaConscientizaConscientizaConscientizaConscientizaConscientizaççççççççãoãoãoãoãoãoãoão
TREINAMENTO E CONSCIENTIZAÇÃO
• Segundo a norma ANSI/ISA-99, todas as empresas com redes de automação e
sistemas SCADA devem elaborar e manter um programa anual de treinamento
e conscientização específico para os profissionais das áreas de automação.
• Um módulo de treinamento e conscientização deverá inclui seminários internos,
workshops e treinamentos formais, presenciais ou online, em segurança de
automação.
• Os gestores das plantas de automação devem ser certificados periodicamente.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SeguranSeguranSeguranSeguranSeguranSeguranSeguranSeguranççççççççaaaaaaaa de de de de de de de de BordaBordaBordaBordaBordaBordaBordaBorda
SEGURANÇA DE BORDA
• Controle proativo dos acessos externos de/para a rede interna.
• Garantir o acesso seguro à DMZ, às redes de fornecedores e clientes e a outras
redes públicas.
• Implementar acesso remoto seguro com controle granular de usuários via VPN
industrial.
• Permitir a segmentação conforme a arquitetura de rede e negócios do cliente.
• Permitir a atualização permanente das principais bases mundiais de assinaturas
de segurança e proteção contra intrusos.
• Capaz de bloquear ameaças 0-day.
• Proteger de acessos remotos à rede de automação via WiFi corporativo.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ProteProteProteProteProteProteProteProteççççççççãoãoãoãoãoãoãoão da da da da da da da da RedeRedeRedeRedeRedeRedeRedeRede InternaInternaInternaInternaInternaInternaInternaInterna
PROTEÇÃO DA REDE INTERNA
• Garantir a segurança nos conduítes da rede segmentada conforme descrito na
norma ANSI/ISA-99.
• Controlar a autenticação através de domínio e políticas de grupo.
• Proteger a rede de T.A. através de firewalls industriais específicos com suporte
aos protocolos industriais utilizados.
• Monitorar alterações nos ativos de campo ou nos programas de controle.
• Garantir a replicação segura de dados entre redes internas.
• Estabelecer redes WiFi industriais seguras.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controle de Controle de Controle de Controle de Controle de Controle de Controle de Controle de MalwareMalwareMalwareMalwareMalwareMalwareMalwareMalware
CONTROLE DE
MALWARE
• Deve permitir o controle central de assinaturas de antivírus para todo o
ambiente de T.I. e T.A.
• Deve implementar whitelisting em dispositivos de função fixa.
• Deve monitorar o tráfego da rede industrial para tráfegos suspeitos, incluindo
sandboxing.
• Controle de portas USB e dispositivos de armazenamento externo usados na
rede SCADA.
• Possuir tecnologia Virtual Patch (ou similar) para sistemas de T.A. onde não
seja possível a instalação de patches.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SeguranSeguranSeguranSeguranSeguranSeguranSeguranSeguranççççççççaaaaaaaa de Dadosde Dadosde Dadosde Dadosde Dadosde Dadosde Dadosde Dados
SEGURANÇA DE DADOS
• Evitar espionagem industrial e alteração indevida de set points.
• Monitorar em tempo real os acessos a todas as bases de dados da indústria –
ERP, MES, Nível 2, etc.
• Bloquear o acesso a dados sensíveis.
• Monitorar contas privilegiadas (SYS, SYSADM, etc.).
• Analisar vulnerabilidades das bases de dados.
• Emitir relatórios de auditoria e conformidade com normas internacionais.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
MonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramento e Controlee Controlee Controlee Controlee Controlee Controlee Controlee Controle
MONITORAMENTO E CONTROLE
• Centro nervoso das operações de segurança da planta industrial.
• Deve concentrar as atividades de todas as soluções de segurança da planta
industrial e prover visibilidade em tempo real das ameaças, ocorrências e
incidentes.
• Será a base de registros de auditoria e forense para a rede de automação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
FasesFasesFasesFasesFasesFasesFasesFases de de de de de de de de ImplantaImplantaImplantaImplantaImplantaImplantaImplantaImplantaççççççççãoãoãoãoãoãoãoão dos dos dos dos dos dos dos dos MMMMMMMMóóóóóóóódulosdulosdulosdulosdulosdulosdulosdulos
Análise de riscos e planos de
continuidade
Aquisição e implantaçãoTreinamento Monitoramento e
Controle
CICLO PARA CADA MÓDULO
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
BenefBenefBenefBenefBenefBenefBenefBenefíííííííícioscioscioscioscioscioscioscios da da da da da da da da EstratEstratEstratEstratEstratEstratEstratEstratéééééééégiagiagiagiagiagiagiagia ModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizadaModularizada
• Garante o monitoramento e controle atualizado para as mais recentes ameaças, incluindo ameaças 0-day.
• Permite a notificação imediata e proativa de incidentes e ameaças.
• Gera trilha de eventos para rastreabilidade e investigação.
• Permite o trabalho das equipes de T.A. e T.I. dentro de disciplinas bem organizadas, facilitando a implementação e a absorção de know-how.
• Projetos mais objetivos com resultados tangíveis.
• Permite a concepção de projetos de plantas Green Field já com segurança cibernética embutida.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Referência em PortuguêsReferência em PortuguêsReferência em PortuguêsReferência em Português
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
VEM AI...
MAIO I SÃO PAULO
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Siga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes SociaisSiga a TI Safe nas Redes Sociais
• Twitter: @tisafe
• Youtube: www.youtube.com/tisafevideos
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ContatosContatosContatosContatosContatosContatosContatosContatos
Marcelo Branquinho, [email protected]