palestra técnica - evento aptel 2012
TRANSCRIPT
![Page 1: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/1.jpg)
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Introdução à Segurança em Redes Industriais e SCADA
Marcelo Branquinho, Setembro de 2012
![Page 2: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/2.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Termo de Isenção de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.
![Page 3: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/3.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PalestrantePalestrantePalestrantePalestrante
Marcelo [email protected]
• Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de negócios e membro da
ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde também atua como chefe do
departamento de segurança para sistemas de automação industrial.
• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da Formação
de Analistas de Segurança de Automação, primeira formação brasileira no segmento e ministrada em infra-estruturas
críticas e organismos governamentais brasileiros.
• Atualmente é integrante no ANSI/ISA 99 WG5 TG2 Gap Analysis Task Group, grupo de trabalho que está revisando e
atualizando a norma ANSI/ISA-99 contra as recentes ameaças do Stuxnet e suas variantes.
• Possui certificação internacional CSSA (Certified SCADA Security Architect)
![Page 4: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/4.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Siga a TI Safe nas Redes Sociais
• Twitter: @tisafe
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe
![Page 5: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/5.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Não precisa copiar...
http://www.slideshare.net/tisafe
![Page 6: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/6.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Agenda
• Ameaças às redes industriais e sistemas
SCADA
• Caso reais documentados
• Normas para Segurança em Redes Industriais
• Soluções para segurança de redes industriais
• Treinamento e conscientização
![Page 7: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/7.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Introdução às redes industriais e SCADA
![Page 8: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/8.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O que são infraestruturas críticas?
São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda, interrupção significativa ou degradação dos serviços poderia ter graves consequências sociais ou à segurança nacional.
Exemplos:�Geração e distribuição de eletricidade; �Telecomunicações;�Fornecimento de água;�Produção de alimentos e distribuição;�Aquecimento (gas natural, óleo combustível);�Saúde Pública;�Sistemas de Transportes;�Serviços financeiros;�Serviços de Segurança (polícia, exército)
![Page 9: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/9.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sistemas SCADA
• Os sistemas SCADA são utilizados em processos industriais, como na produção de aço, produção de energia (convencional e nuclear), distribuição de energia, metalomecânica, indústria química, estações de tratamento de águas, etc.
• Em Indústrias, as soluções baseadas na arquitetura SCADA são as mais usadas (Fix, Factory Link, CIMPLICITY, e outras soluções de mercado).
SCADA = Supervisory Control And Data Acquisition
![Page 10: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/10.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sistemas Supervisórios Sistemas Supervisórios Sistemas Supervisórios Sistemas Supervisórios • Sistemas SCADA – No início
• Sistemas proprietários ���� Dependente de Fabricantes
• Sistemas isolados
• Arquiteturas fechadas
• “Ilhas de automação”
Arquitetura Básica SCADA
![Page 11: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/11.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Evolução dos sistemas SCADA Evolução dos sistemas SCADA Evolução dos sistemas SCADA Evolução dos sistemas SCADA
• Sistemas abertos
• Arquitetura centrada em Conectividade
• Integrações cada vez mais freqüentes:
• Sistemas SCADA e Intranet corporativa
• Sistemas SCADA e Internet
• Acesso a Dados Operacionais• Dashboards; Relatórios
• Centro de Controle para múltiplas Redes Operacionais• Diferentes tipos de acesso
• Diretores/Gerentes• Informação em tempo real• Tomada de decisão no processo
Servidores
SCADA
Rede Operacional
Gateway
Servidores
Corporativos
Rede Corporativa
�Produtividade
�Competitividade
![Page 12: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/12.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Evolução – Sistemas Supervisórios
• No início os sistemas supervisórios eram desenvolvidos em
plataformas operacionais caríssimas, baseadas em sistemas Unix like
e máquinas poderosas como os Digital Vax e Alpha.
• Desenvolver aplicativos para estas plataformas
era algo extremamente caro
• Com isto, supervisórios passaram a ser
desenvolvidos para plataformas Windows, cujo
processo de desenvolvimento era muito mais
rápido e os custos globais do projeto eram
bastante reduzidos
![Page 13: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/13.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tipos de Vulnerabilidades
• Vulnerabilidades dos Sistemas Operacionais e Protocolos
• Vulnerabilidades no Projeto dos Produtos
• Vulnerabilidades das Implementações
• Vulnerabilidades de Configurações Inadequadas
![Page 14: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/14.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Vulnerabilidades no Sistema Operacional Windows
http://www.microsoft.com/brasil/technet/security/bu lletin/ms07-032.mspx
![Page 15: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/15.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Vulnerabilidades e Exploits para SW SCADA
http://www.frsirt.com/english/advisories/2008/0306
![Page 16: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/16.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervis ório e o PLC através da porta COM e obter as senhas (Principal e Master) do PLC
![Page 17: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/17.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Injeçaõ de código em PLCs• Ataque de injeção de código: uma bomba relógio com 14 bytes
• Desenvolvido por Ralph Langner, este ataque não necessita de informação interna e nenhuma programação ao nível da controladora para ser executado
• É inspirado no ataque do Stuxnet contra sistemas de controle
• O ataque consiste em injetar o código ao lado no início da varredura principal (OB1), na frente do código legítimo
• Para cada chamada do OB1, o ambiente de execução passa a data/hora atual como um parâmetro para a pilha, então nenhuma chamada de função de sistema é necessária.
http://www.langner.com/en/2011/07/21/a-time-bomb-wi th-fourteen-bytes/
Código do ataque
(Step7 STL)
• No exemplo ao lado, a data/hora programada é o natal de 2011, que é simplemente carregada no acumulador ao lado da data hora atual.
• A partir daí, é feita uma comparação. Assim que o relógio interno do controlador vai para 25 de dezembro, as saídas são congeladas, porque a directiva BEC salta execução da lógica de controle legítimos.
![Page 18: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/18.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Vulnerabilidades no Protocolo OPC
• Vulnerabilidades de alto risco do sistema operacional� Serviços de sistema desnecessários� Enumeração do sistema e seus perfis
• Escuta de tráfego (sniffing)• Consultas ao DNS• Consultas ao Active Directory/LDAP• Escaneamento de TCP/UDP• Enumeração de NetBIOS – Domínios e grupos de trabalhos• Enumeração de SMB (Server Message Block) usando login anônimo• Descoberta de Enpoints RPC• Aplicativos de gerenciamento de rede
� Senhas fracas e vulneráveis� Segurança inadequada no login� Atualizações e patches inadequados no servidor� Uso de mecanismos fracos para autenticação� Navegação remota no registro (Registry)� Vulnerabilidades locais
![Page 19: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/19.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Segurança Industrial Segurança Industrial Segurança Industrial Segurança Industrial –––– Vulnerabilidades Vulnerabilidades Vulnerabilidades Vulnerabilidades
• Caminhos Dentro da Rede ....
� Conexões não autorizadas
� Sistemas e Serviços
Vulneráveis
� Suporte Remoto Infectado
� Notebooks Infectados
� Firewalls mal configurados
� Modems sem proteção
�Pontos de rede de
dispositivos remotos com
baixa segurança física
Rede Corporativa
Rede Operacional
Hacker
Hacker
Hacker
Hacker
Vulnerabilidades
![Page 20: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/20.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Casos Casos Casos Casos reais documentadosreais documentadosreais documentadosreais documentados
![Page 21: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/21.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Slide Oculto
• Slide oculto
![Page 22: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/22.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
RISI RISI RISI RISI ---- Repository for Industrial Security IncidentsRepository for Industrial Security IncidentsRepository for Industrial Security IncidentsRepository for Industrial Security Incidents
• http://www.securityincidents.org/
• O Repositório de Incidentes de Segurança Industrial é um banco de dados de incidentes que têm (ou podem ter) afetado controle de processos e sistemas SCADA.
• O objetivo da RISI é coletar, investigar, analisar e compartilhar importantes incidentes de segurança industrial entre as empresas associadas para que elas possam aprender com as experiências dos outros.
• Os dados são recolhidos através da investigação sobre incidentes de conhecimento público e de comunicação privados.
![Page 23: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/23.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede
de automaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede
corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs
Internet Directly17%
VPN Connection7%
Dial-up modem7%
Trusted 3rd Party Connection
10%
Telco Network7%
Wireless System3%
Via Corprate WAN & Business Network
49%
![Page 24: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/24.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Incidentes reportados até 2/3/2011 -RISI
![Page 25: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/25.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tipos de incidentes (Brasil – KB TI Safe)
• Fonte: Knowledge Base TI Safe
• Incidentes computados desde Julho de 2008
• Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes # Casos
Malware 5
Erro Humano 14
Falhas em dispositivos 7
Outros 4
![Page 26: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/26.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Shodan
• Hackers estão usando o site de busca Shodan para encontrar computadores de sistemas SCADA que utilizam mecanismos potencialmente inseguros para autenticação e autorização.
http://www.shodanhq.com
![Page 27: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/27.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Oleoduto explode em Bellingham (EUA)01/06/1999
• Falhas no SCADA resultaram na explosão do oleoduto
• Gasolina atingiu dois rios nas cidades de Bellingham e Washington
� Explosão matou 3 pessoas e feriu outras 8
� Aproximadamente 26 hectares de árvores e vegetação foram queimados durante o incidente.
� Liberou aproximadamente 236.000 galões de gasolina, causando danos substanciais ao meio ambiente
É possível quantificar o prejuízo de um incidente como estes?
![Page 28: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/28.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Bomba lógica destrói oleoduto na Sibéria• Em 1982, durante a guerra fria, os planos de
um sofisticado sistema SCADA para controle de oleoduto foram roubados pela KGB de uma empresa canadense.
• A CIA alega que esta empresa detectou o ataque e inseriu uma bomba lógica no código roubado para sabotar e explodir o oleoduto.
• A explosão foi equivalente a um poder de 3 Quilotons de TNT. A explosão foi tão poderosa que satélites americanos enviaram alertas nucleares aos centros de controle nos EUA.
![Page 29: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/29.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque à planta de Energia Nuclear de Davis-Besse
• Em 25 de janeiro de 2003, a usina nuclear Davis-Besse usina nuclear em Oak Harbour, Ohio, foi infectada com o worm "Slammer" do MS SQL.
• A infecção causou uma sobrecarga de tráfego na rede local. Como resultado, o Sistema de Segurança de Display de Parâmetros (DOCUP) ficou inacessível por quase cinco horas, e o computador de processos da planta por mais de 6 horas.
• Um firewall estava no local para isolar a rede de c ontrole da rede da empresa, no entanto, havia uma conexão T1 a partir de uma empre sa de consultoria de software, que entrou na rede de controle por trás d o firewall, ignorando todas as políticas de controle de acesso impostas pelo firew all corporativo.
• O worm infectou servidor do consultor e foi capaz d e entrar na rede Davis-Besse através da linha T1.
![Page 30: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/30.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque ao sistema de Águas de Maroochy Shire
31/10/2001
• Ataque ao sistema de controle de tratamento de resíduos de Maroochy Shire em Queensland, Austrália.
• A Planta passou por uma série de problemas: bombas não acionavam quando comandadas, alarmes não estavam sendo reportados, e havia uma perda de comunicações entre o centro de controle e as estações de bombas.
• Estes problemas causaram o alagamento do terreno de um hotel próximo, um parque, e um rio com mais de 7 milhões de litros de esgoto bruto.
![Page 31: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/31.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque a centro de comando derruba satélite ROSAT
• Em 2008 investigadores da NASA reportaram que uma falha no ROSAT estava ligada à uma cyber invasão no Goddard Space Flight Center, centro de comando do satélite.
• Segundo o relatório da NASA: “Atividades hostis comprometeram sistemas de computadores que direta ou indiretamente lidam com o controle do ROSAT”
• Após sucessivas falhas nos meses seguintes, em 23/10/11 o satélite alemão ROSAT explodiu ao reentrar na atmosfera terrestre. Seus destroços caíram em áreas inabitadas do planeta não causando vítimas.
![Page 32: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/32.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Transporte Ferroviário – Ataque à CSX20/08/2003
• Sistema de sinalização ferroviário da CSX
• Virus Sobig causa desligamento dos sistemas de sinalização da costa leste dos EUA
• Virus infectou a base de controle da Flórida, desligando sinalização e outros sistemas de controle ferroviário
• Trens que fazem percursos de longas distâncias foram atrasados entre 4 a 6 horas
![Page 33: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/33.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque à ETA de South Houston (EUA)• 18/11/2011• Hacker invadiu e
publicou em blog imagens das IHMs do SCADA da ETA de South Houston, provando que poderia ter operado a planta
• http://pastebin.com/Wx90LLum
![Page 34: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/34.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O Worm Stuxnet - 2010
• Também conhecido como W32.Temphid e Rootkit.TmpHider
• Worm desenvolvido para tirar vantagem de vulnerabilidade existente em todas as versões do sistema Windows.
• O Stuxnet foi desenvolvido para atingir qualquer sistema usando a plataforma Siemens WinCC.
• O Objetivo do Malware parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)
• Existem patches liberados para cada plataforma Windows e também alguns ajustes provisórios (workarounds)
![Page 35: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/35.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Metasploit e SCADA Exploits: Despertar de uma Nova Era?
• https://www.infosecisland.com/blogview/9340-Metasploit-and-SCADA-Exploits-Dawn-of-a-New-Era-.html
![Page 36: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/36.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exploits SCADA Zero Day publicados
http://www.scmagazine.com.au/News/272175,zero-day-industrial-control-system-exploits-published.aspx
![Page 37: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/37.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O Worm Duqu (2011)
• O Duqu é um Worm descoberto em 1/9/2011
• Seu nome vem do prefixo "~DQ" que ele atribui aos arquivos que ele cria
• A Symantec denominou o Duqu de “quase idêntico ao Stuxnet, mas com propósito totalmente diferente“. Ela acredita que o Duqu tenha sido criado pelos mesmos autores do Stuxnet, ou por pessoas que tiveram acesso ao código fonte do Stuxnet.
• O worm, assim como o Stuxnet, tem um certificado digital válido (roubado da C-Media) e coleta informações para a preparação de futuros ataques.
• Duqu utiliza comunicação peer-to-peer para se alastrar de redes inseguras para redes seguras. De acordo com a McAfee, uma das ações do Duqu é roubar certificados de computadores atacados para ajudar em futuros ataques.
• O Duqu é o primeiro worm a surgir com código fonte derivado do Stuxnet (segunda geração)
![Page 38: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/38.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O Malware Flame (2012)
• Também conhecido como sKyWiper
• O Flame é um conjunto de ferramentas de ataque para espionagem industrial.
• Ele é um backdoor, um trojan e se espalha como um Worm, se replicando através de mídias externas e contato com outras redes contaminadas.
• Segundo a Kaspersy labs, “ele é muito mais complexo que o Duqu. A geografia dos seus alvos (alguns países do oriente médio) e sua complexidade não deixa dúvidas de que alguma nação está por trás dele.”
![Page 39: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/39.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Literatura HackerLiteratura HackerLiteratura HackerLiteratura Hacker
• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.
![Page 40: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/40.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque à ETA de South Houston (EUA)
• 18/11/2011
• Hacker invadiu e
publicou em blog
imagens das IHMs do
SCADA da ETA de
South Houston,
provando que poderia
ter operado a planta
• http://pastebin.com/Wx
90LLum
![Page 41: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/41.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataque à ETA de South Houston (Cont.)Retirado de post feito pelo Hacker em http://pastebin.com/Wx90LLum
![Page 42: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/42.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Normas para Segurança em
Redes Industriais
![Page 43: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/43.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Slide Oculto
• Slide oculto
![Page 44: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/44.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
A norma ANSI/ISA 99
• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais
• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques
![Page 45: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/45.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Relatórios Técnicos da ISA 99
• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and Control Systems”� Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos para mitigação, e
ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.
• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment”� Framework para o desenvolvimento de um programa de segurança para sistemas de controle
� Fornece a organização recomendada e a estrutura para o plano de segurança.
� O Framework está integrado no que é chamado de CSMS (Cyber Security Management System)
� Os elementos e requerimentos estão organizados em 3 categorias principais:
• Análise de Riscos
• Endereçando os riscos com o CSMS
• Monitorando e melhorando o CSMS
![Page 46: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/46.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----TR99.00.02TR99.00.02TR99.00.02TR99.00.02----2004200420042004: Estabelecendo um programa de segurança de sistemas de controle e automação industrial
Categoria 1
Categoria 2
Categoria 3
Elementgroup
Element
Relacionamento de categorias
Análise de RiscosIdentificação, classificação e análise de riscos
Racional do Negócio
Endereçando riscos com o CSMSPolítica de Segurança, organização e treinamento
Escopo do CSMS
Segurança Organizacional Treinamento de segurança da equipe
Plano de continuidade de negócios
Políticas de segurança e procedimentos
Contramedidas de segurança selecionadas
Segurança Pessoal
Segurança física e ambiental
Segmentação da rede
Controle de acesso: gestão de contas
Controle de Acesso: autenticação
Implementação
Gestão do risco e implementaçãoDesenvolvimento de sistemas e manutenção
Informação e gestão de documentos
Planejamento e resposta a incidentes
Monitorando e melhorando o CSMS
ComplianceRevisar, melhorar e manter o CSMS
Elemento
Grupos de elementos
*Cyber SecurityManagement System
Controle de Acesso: autorização
![Page 47: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/47.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
A norma NIST 800-82
• Norma elaborada pelo NIST• O documento é um guia para o
estabelecimento de sistemas de controle de segurança para indústrias (ICS).
• Estes sistemas incluem controle supervisório e aquisição de dados em sistemas SCADA, sistemas de controle distribuídos (DCS), e outras configurações de sistema para PLCs.
http://csrc.nist.gov/publications/drafts/800-82/dra ft_sp800-82-fpd.pdf
![Page 48: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/48.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Livro Azul - Guia de segurança das infraestruturas críticas
• Desenvolvido pelo CGSI e publicado
em 2010
• O Guia reúne métodos e instrumentos,
visando garantir a Segurança das
Infraestruturas Críticas da Informação,
com relevantes aspectos destacados
dada a complexidade do tema nos dias
atuais.
![Page 49: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/49.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Editais com referência à norma ANSI/ISA-99
• O primeiro edital que claramente
apresenta referências à norma
ANSI/ISA-99 no Brasil foi o da
Petrobrás para a licitação do
COMPERJ (Complexo
Petroquímico do Rio de Janeiro)
• Este edital, publicado em Maio
de 2009 possuía um caderno
somente para as especificações
de segurança cibernética
![Page 50: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/50.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Soluções para segurança de redes industriais
![Page 51: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/51.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Análise de Riscos para redes industriaisAnálise de Riscos para redes industriaisAnálise de Riscos para redes industriaisAnálise de Riscos para redes industriais
• Baseado nas normas ANSI/ISA-99, NIST SP 800-30 (Risk Management Guide for Information Technology Systems) e NIST 800-82 (Guide to Industrial Control Systems Security)
• Atividades realizadas
� Inventário da rede de automação
� Entrevistas com os gestores
� Levantamento de vulnerabilidades e ameaças
� Análise qualitativa ou quantitativa
� Estimativa de impacto no negócio
� Definição de contramedidas e resposta a incidentes
� Avaliação do risco residual
� Plano de tratamento de riscos
� Manutenção e gestão continuada
Serviços executados com o auxílio do Módulo Risk Manager, com base de conhecimento para segurança industrial (ANSI/ISA-99)
![Page 52: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/52.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gap Assessment Gap Assessment Gap Assessment Gap Assessment para adequação à ANSIpara adequação à ANSIpara adequação à ANSIpara adequação à ANSI----ISA 99ISA 99ISA 99ISA 99
• O Gap Assessment é uma análise realizada na rede de automação da indústria que define as mudanças e implementações necessárias para que o ambiente esteja em conformidade com o que preconiza a norma ANSI/ISA-99
• Fornece uma direção clara sobre o trabalho necessário para cumprir com as diretrizes da norma.
• Atividades realizadas
� Inventário da rede de automação
� Especificação de modelo de Zonas e Conduítes e modelo de defesa em profundidade
� Avaliação de controles e políticas de segurança existentes e níveis de segurança atuais
� Recomendações de segurança para compliance com a ANSI-ISA 99
� Elaboração de relatório de conformidade, documento que descreve os objetivos globais de segurança de cada zona e conduíte visando a compatibilidade com norma ANSI/ISA-99 e indica as principais contramedidadas de segurança a serem aplicadas
![Page 53: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/53.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA PentestPentestPentestPentest
• Análise de vulnerabilidades em servidores SCADA e OPC� Escaneamento seguro de servidores com ferramentas específicas para redes industriais� Geração de relatório com as vulnerabilidades encontradas e contramedidas indicadas � Mentoring para Hardening de servidores SCADA� Mentoring para Hardening de servidores OPC
• SCADA Pentest� Testes de SQL injection em IHMs locais e acessos remotos� Testes de invasão com ataques de Brute Force, XSS e execução de códigos maliciosos contra
aplicativos SCADA� Geração de relatório com os testes efetuados e seus resultados
� Mentoring para hardening de aplicativos e correção de códigos de aplicativos vulneráveis
![Page 54: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/54.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Domínio de segurança para redes de automaçãoDomínio de segurança para redes de automaçãoDomínio de segurança para redes de automaçãoDomínio de segurança para redes de automação
• Implementação de procedimentos de governança para redes de automação
� Revisão / implementação de Política de Segurança específicas para áreas de automação
� Especificação de política de controle de acesso (grupos, recursos, direitos)
• Implementação de domínio para área de automação
� Baseado em Microsoft Active Directory
� Integração com login de plataformas UNIX like
� Implementação de login transparente
� Relação de confiança com domínio corporativo
� Ativação de GPOs específicas para segurança de redes industriais
� Implementação de ACLs para acesso restrito a CLPs e remotas
� Registros (Logs) de atividades de usuários na rede de automação
![Page 55: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/55.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
TI Safe SRA TI Safe SRA TI Safe SRA TI Safe SRA ---- Acesso Remoto Seguro Acesso Remoto Seguro Acesso Remoto Seguro Acesso Remoto Seguro
• Solução composta por itens de consultoria aliados à solução Check Point GO, que cria
um desktop virtual totalmente seguro e fornece segundo fator de autenticação em
acessos a sistemas SCADA, independente da máquina que o usuário estiver usando.
• Com a solução TI Safe SRA a rede de automação fica totalmente livre do risco de
infecção por malware e do roubo das credenciais durante o acesso remoto,
• Serviços de consultoria incluídos na solução:
� Implementação da solução Check Point GO dentro da rede de automação
� Definição e implantação de políticas de segurança no acesso remoto.
� Especificação de controles de segurança para uso de Modems na rede de automação.
� Revisão de segurança do acesso remoto da rede de automação de acordo com as boas
práticas da norma ANSI/ISA-99.
� Testes integrados e startup da solução.
![Page 56: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/56.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Suporte de segurança para plantas industriaisSuporte de segurança para plantas industriaisSuporte de segurança para plantas industriaisSuporte de segurança para plantas industriais
• Centro de operações : Rio de Janeiro
• Portal do cliente : sistema web de Service Desk
acessado pelos especialistas da TI Safe e do
cliente
• Suporte remoto com SLA : acesso remoto
seguro à rede do cliente buscando a solução
imediata dos problemas de segurança e a
manutenção preventiva do seu ambiente
operacional.
• Suporte local: Nos casos em que não for
possível resolver o incidente remotamente a TI
Safe deslocará especialistas em segurança para
o atendimento local.
• Relatório mensal de suportes: a equipe da TI
Safe envia para seus clientes um relatório mensal
sobre os atendimentos realizados
• Serviços executados remotamente
� Gestão de IPS para segurança de borda
� Gestão de Firewalls da rede interna
� Gestão de solução de backup
� Gestão de solução de controle de
acesso reforçado
� Gestão de solução DLP
�Gestão de sofware SIEM
�Monitoramento de performance de
servidores e tráfego da rede de automação
![Page 57: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/57.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Treinamento e Conscientização
![Page 58: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/58.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Academia TI Safe
• Certificação CASE
� Prova presencial de 60 questões a ser realizada em 90 minutos. Aprovação com 70% de acertos ou superior
� Importante diferencial no mercado.
• Security Day
� Evento dentro da empresa cliente com até 8 horas de duração.
� Apresentações técnicas baseadas nas normas ISO/IEC 27001/27002, BS 25999 e ANSI/ISA-99.
� Apostila em formato digital.
• Formação em segurança de automação industrial (20h)
• Formação em Fundamentos de Guerra e Defesa Cibernética (24h)
� Treinamentos em turmas regulares ou on-site (mínimo de 10 alunos)
� Alunos recebem material didático em formato digital
� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras
![Page 59: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/59.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Formação em segurança de automação industrial
• Baseada na norma ANSI/ISA-99
• Escopo:
• Introdução às redes Industriais e SCADA
• Infraestruturas Críticas e Cyber-terrorismo
• Normas para segurança em redes industriais
• Introdução à análise de riscos
• Análise de riscos em redes industriais
• Malware em redes industriais e ICS
• Desinfecção de redes industriais contaminadas por Malware
• Uso de firewalls e filtros na segurança de redes industriais
• Uso de Criptografia em redes industriais
• Segurança no acesso remoto à redes industriais
• Implementando o CSMS (ANSI/ISA-99) na prática
• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)
• Alunos recebem material didático em formato digital
• Formação com 20h de duração
• Instrutor membro da ISA Internacional e integrante do comitê da norma ANSI/ISA-99, com anos de experiência em segurança de automação industrial
• Objetiva formar profissionais de TI e TA:
� Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99
� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras
• Calendário com próximas turmas disponível em http://www.tisafe.com/solucoes/treinamentos/
![Page 60: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/60.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CertificaçãoCertificaçãoCertificaçãoCertificação CASE CASE CASE CASE –––– Certified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security Engineer
A certificação CASE abrange os seguintes domínios de conhecimento:
• Introdução às redes Industriais e sistemas SCADA.• Infraestruturas Críticas e Cyber-terrorismo.• Governança para redes industriais.• Políticas e padrões de segurança industrial.• Introdução à análise de riscos.• Análise de riscos em redes industriais e sistemas SCADA.• Malware em redes industriais e sistemas de controle.• Desinfecção de redes industriais contaminadas por Malware.• Segurança de perímetro em redes de automação.• Criptografia em redes industriais.• Controle de acesso em sistemas SCADA.• Implantando o CSMS (ANSI/ISA-99) na prática.
• Prova presencial composta de 60 perguntas de múltipla escolha que devem ser resolvidas em 90 minutos.
• As questões têm pesos diferentes e o aluno será aprovado caso obtenha quantidade de acerto igual ou superior a 70% do valor total dos pontos atribuídos ao exame.
• Em caso de aprovação o aluno receberá o certificado CASE por e-mail e seu nome poderá ser verificado em listagem no site da TI Safe.
• Os certificados tem 2 anos (24 meses) de validade a partir de sua data de emissão.
• Guia de estudos, simulado e calendário com próximas provas disponível em (aba “Certificação CASE”): http://www.tisafe.com/solucoes/treinamentos/
![Page 61: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/61.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
• Eventos com 8 horas de duração destinados à criação de
consciência de segurança em empresas.
• Realizados dentro da empresa (normalmente em auditório)
e sem limite de número de alunos.
• Utiliza estratégias de divulgação e elaboração em formato
de palestras com apostila personalizada, atingindo a todos
os níveis de colaboradores da organização.
• Palestras técnicas baseadas nas normas ISO/IEC 27001,
ISO/IEC 27002, BS 25999 e ANSI/ISA-99
• Escolha as palestras técnicas para o Security Day em sua
empresa em nossa base de conhecimento disponível em
http://www.slideshare.net/tisafe
Security Day
![Page 62: Palestra Técnica - Evento APTEL 2012](https://reader034.vdocuments.com.br/reader034/viewer/2022042717/55d511c2bb61eb682e8b46ad/html5/thumbnails/62.jpg)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Contato