ti safe - análise de riscos scada
TRANSCRIPT
ANÁLISE DE RISCOS DE REDES INDUSTRIAIS E SCADA
Versão 1.5 - Setembro de 2016
• Ameaças para redes industriais e sistemas SCADA• Desafios de proteção em redes industriais e sistemas
SCADA• Normas de Segurança Cibernética• ICS Security Framework• Análise de riscos SCADA• Clientes TI Safe
Agenda
Ameaças para redes industriaise sistemas SCADA
Evolução no tempo
Dados DadosInternet
Criptografia Alvos
Organizado Focado Financiado
Uma pessoa ou grupos pequenosConhecimento e recursos limitadosAtaques básicos
Presente
OBJETIVO: Notoriedade
Internet
PASSADO
PRESENTE
OBJETIVO: Lucro, Sabotagem,Conflito
SCADA – Tempestade perfeita para ciberataques
Redes em IP e ServidoresWindows
Conectividade Interna, Externa, VPN,Fabricantes, etc..
Baixa maturidade desegurançacibernética
Patches não frequentes Ataques e APT´sespecíficos
Redes em IP e ServidoresWindows
Conectividade Interna, Externa, VPN,Fabricantes, etc..
Baixa maturidade desegurançacibernética
Patches não frequentes
s
Centro de Controle
IHMENG
Remotas/Substações/Zona deProcessos
PLC / RTU
HIST
OPCServer
Centro de Controle
IHMENG HIST
OPCServer
ICCPMMS
Elcom 90
GeralModbus
DNP3CIP Ethernet
Bridge/ServiçosOPC DA/UA
AppsCygnet – Oil &
Gas SCADAPI - Historian
Protocolos Industriais: Inseguros por natureza
DNP3: Amplamente usado em energia, saneamento, etc: Sem autenticação ou criptografia DNP3 Secure Authentication: Uso restrito
Modbus TCP: Utilizado em I/O Sem autenticação ou criptografia Sem supressão de broadcast Vulnerabilidades publicadas
OPC: Padrão para aquisição de dados Baseado em COM/DCOM Sem autenticação ou criptografia Altamente vulnerável
Vulnerabilidades e Exploits
• Diversas vulnerabilidadesconhecidas são deixadas semcorreção para uma variedade derazões
• Exploits estão disponíveis parasistemas SCADA, PLCs, IHMs,supervisórios e historiadores.
• Exploits estão disponíveis parao sistema operacional host(Windows)
• Exploits estão disponíveis paraprotocolos específicos(Modbus, IEC, Ethernet IP, etc.)
HistorianServer
(CVE-2012-2516)
OPCServer
(CVE-2011-1914)
SCADA Master /HMI
(CVE-2012-0233)
PLC / RTU / IED(CVE-2010-2772)
Múl
tiplo
sve
tore
spa
raat
aque
s
Acesso à internet eredes de suporte
Mídiasremovíveis
Computaçãoportátil
CVE = CommonVulnerabilitiesand Exposures
Ransomware: O malware virando um negócio
• Ransomware é um tipo de malware que previne ou limita usuários de acessarem seus
arquivos e sistemas.
• Força a vítima a pagar resgate através de determinados métodos de pagamento online para
devolver o acesso as suas informações.
• Alguns tipos de ransomware criptografam arquivos (ex. Cryptolocker), enquanto outros usam
a rede TOR para ocultar comunicação C&C (ex. CTB Locker).
• Na maioria dos casos envolve o pagamento de resgate.
Ransomware
Malware avançado atingindo redes industriais eSCADA
FUDFully UnDetectable (muitas vezes encurtado para "FUD") significa software incapaz de serdetectado por antivirus convencional quando um scan é executado. O termo é utilizado emcírculos “underground” para se referir a código que resulta em veredito “limpo” ou “benigno”para a maioria dos antivirus, ainda que seja uma ferramenta de hacking. Técnicas incluemcriptografia e/ou fuzzing de payload.
Desafios de proteção em redesindustriais e sistemas SCADA
Ter visibilidade e controle
Rede SCADA
Controlar, permitir eproteger protocolosControlar, permitir eproteger protocolos
IdentificaraplicaçõesIdentificaraplicações
Bloquear usonão apropriadoBloquear uso
não apropriadoProteger perímetroProteger perímetro
Identificarameaças
Identificarameaças
Atender normase conformidadeAtender normase conformidade
☣
Visibilidade e controle granular de:
• Protocolos que trafegam na rede industrial
• Aplicativos industriais e não industriais queestão sendo executados
• Usuários conectados
• Conteúdo e arquivos trocados
HumanMachineInterface
EngineeringWorkstation
AutomationServer
Proteger sistemas desatualizados• Sistemas SCADA não podem receber
patches ou atualizações regularmente.
• Nem sempre pode-se proteger comtecnologias de proteção de endpoint.
• Não podem parar – no downtime.
• Possuem restrições de processo.
• Alguns sistemas já não são mais suportadospelo fornecedor.
• Operam muitas vezes em sistemasoperacionais descontinuados.
• Quaisquer novas vulnerabilidades sãoresolvidas em “forever day”.
Proteger protocolos inseguros
DNP3 Modbus
• Controles específicos para leitura e escrita (reprogramação) de setpoints,registros, comandos de restart e reset, downloads, etc.
Uma vez que o protocolo não pode ser alterado, deve-se adquirirvisibilidade e controle de ações relacionadas a condições eparâmetros operacionais:
Realizar controle comportamental
SCADAcomprometidoReconhecimento Estabelecimento de
canais de controleComprometimento
do endpoint
O momento certo para prevenir uma ameaça é antes de umatacante comprometer um endpoint e ganhar entrada no seu
ambiente.A melhor forma de prevenir uma ameaça é monitorando e
bloqueando comportamentos não permitidos
Estabelecer acesso externo granular e segmentação interna.
Implementar modelo de zonas e conduítes – Norma ANSI/ISA-99.
Arquitetura de DMZ e AD industriais.
Sistemade
ControleIndustrial
Rede deNegócios
Parceiros
Comunicaçãocom outras
plantasindustriais
Suportede
terceiros
Proteger a interconexão do SCADA
Normas de SegurançaCibernética
Norma ANSI/ISA 99 (ou IEC-62443)
• Norma elaborada pela ISA (The InstrumentationSystems and Automation Society) para estabelecersegurança da informação em redes industriais
• É um conjunto de boas práticas para minimizar orisco de redes de sistemas de controle sofreremCyber-ataques
ANSI/ISA-TR99.00.02-2004: Programa desegurança de sistemas de controle industriais
1. Análise de Riscos (Assessment & Plan)• Racional do negócio, identificação de riscos, classificação e
análise• Primeira etapa e condição si-ne-qua-non para implementação
de segurança cibernética em redes industriais
2. Endereçando contramedidas (Execute)• Política de Segurança, Organização e Treinamento
• Definir escopo, segurança organizacional, treinamentoda equipe, plano de continuidade de negócios, políticase procedimentos
• Selecionar contramedidas de segurança• Segurança pessoal, segurança física, segmentação de
rede, controle de acesso, autenticação e autorização• Implementação
• Gerência de riscos e implementação, desenvolvimento emanutenção de sistemas, gestão da informação edocumentos, planejamento de incidentes
3. Monitorando e controlando (Control)• Compliance• Revisar, melhorar e manter o CSMS
Norma NIST 800-82
• Norma elaborada pelo NIST
• O documento é um guia para oestabelecimento de sistemas de controle desegurança para indústrias (ICS).
• Estes sistemas incluem controlesupervisório e aquisição de dados emsistemas SCADA, sistemas de controledistribuídos (DCS), e outras configuraçõesde sistema para PLCs.
http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf
Normas ISO 27001 / 27002• Base para a criação de documentos de segurança da informação, como políticas e padrões.• Usada para análise de segurança física
ICS Security Framework
Materializando as normas em ações direcionadas
DETECÇÃO, DEFESA E CONTROLE INTEGRADO DE AMEAÇAS PARA SISTEMASSCADA E INFRAESTRUTURAS CRÍTICAS
ANSI/ISA.99
Metodologia desenvolvida pela TI Safe para mapear as necessidades,organizar as prioridades, executar as contramedidas e controlar onível de segurança da informação em sistemas industriais einfraestruturas críticas.
Resultado efetivo
ANSI/ISA.99
• Implementa as boas práticas descritas no CSMS (Cyber Security ManagementSystem) das normas ANSI/ISA-99 (IEC-62443) e NIST 800-82.
• Considera e atende às particularidades do ambiente industrial.
•Acelera o processo de maturação de segurança em redes industriais e sistemasSCADA.
• Oferece planejamento consistente e visibilidade adequada das ações mitigatóriasno ambiente industrial.
• Define os controles e métricas para gerenciamento da segurança do ambiente.
Módulos do ICS.SecurityFramework
Análise de riscos SCADA
Análise de Riscos em redes industriais e SCADA
• Objetivos
• Avaliar ameaças aos ativos
• Levantar riscos existentes
• Definir a probabilidade de ocorrência de incidentes
• Definir medidas para prevenir e responder aos incidentes
• Procedimentos
• Levantamento inicial
• Análise de riscos estática e dinâmica em redes de automação
• Definição de ações prioritárias
• Elaboração do plano de tratamento de riscos: Mitigação /
Transferência / Aceitação
Fases da Análise
Etapas Análise estática: nesta análise são verificados diagramas da rede,
vistoriado o ambiente e respondidos questionários de auditoria desegurança física e lógica da rede de automação alinhados com as boaspráticas das normas ANSI/ISA-99 , NIST 800-82 e ISOs 27001/27002.
Análise dinâmica: coleta de dados automatizada suportada por um firewallde próxima geração que será configurado em modo TAP (não intrusivo) ecoletará informações da rede a nível de aplicação .
A análise dinâmica é executada com a utilização de firewall depróxima geração capaz de analisar pacotes de dados encapsuladosem protocolos industriais e aplicações em camada 7.
• Realizada em duas fases: Análise de riscos de segurança lógica segundo as normas ANSI/ISA-99 e
NIST 800-82.
Análise de riscos de segurança física do centro de controle segundo as
normas ISO 27001 e ISO 27002
Análise Estática
• Baseada na resposta a questionário desenvolvido de acordo com asdiretrizes do CSMS (Cyber Security Management System) especificadonas normas ANSI/ISA-99 e NIST 800-82.
• Nesta análise são levantadas as principais vulnerabilidades inerentes àarquiteturas de rede inseguras e/ou em não conformidade com omodelo de defesa em profundidade da norma, fragilidades deaplicativos, sistemas e protocolos, e por fim, falhas no processo degovernança de TA da infraestrutura crítica.
Análise de Riscos de Segurança Lógica
• Baseada na resposta a questionário desenvolvido de acordo com asdiretrizes de segurança física de datacenters das normas ISO 27001 e ISO27002
• Objetiva analisar a segurança física do meio ambiente das áreas de TI/TA e éde fundamental importância, visto que, os processos de controle sãoexecutados em equipamentos instalados neste(s) ambiente(s)
Análise de Riscos de Segurança Física
• Realizada com o uso de um Firewall de Próxima Geração, permiteanalisar vulnerabilidades da rede de controle em camada 7 (aplicação)
• São realizados testes de IPS (Intrusion Prevention System) tradicionais,com uma abordagem mais compreensiva que leva em consideraçãoaplicações modernas e suas capacidades, bem como detecta ameaçascomo Vírus, Malware e inspeção de conteúdo.
• Os testes dão visibilidade de tráfego e ameaças provenientes daInternet, bem como demais perímetros de automação como fronteirascom redes corporativas, sistemas supervisórios, datacenter deautomação, rede de processos, assim como links com terceiros econexões externas de VPN ou entidades regulamentadoras que fazemleitura da capacidade produtiva das plantas de automação.
Análise de Riscos Dinâmica
• Os testes em ambientes de automação seguem o conceito doespelhamento de tráfego sem gerar impactos ou mudança natopologia uma vez que a disponibilidade é o princípio da segurança dainformação mais relevante para redes industriais.
• Para o espelhamento de tráfego é necessário apenas interface(s) emmodo TAP conectado ao tráfego real (Port Mirror/SPAN Port) parapoder analisá-lo, sem causar qualquer impacto para o ambiente.A definição dos pontos de espelhamento é a chave do sucesso de umbom teste em ambientes de automação.
• Quanto mais segmentos forem espelhados, mais amostras de tráfegopara visibilidade de aplicações e ameaças serão coletadasidentificando-se riscos associados ao uso de protocolos industriais,comandos operacionais de automação e ameaças que possam incidirnos perímetros de plantas de automação.
Análise de Riscos Dinâmica (Cont.)
Entregáveis
Relatório de Análise Estática de Riscos (RAER)Relatório de Análise de Segurança Física (RASF)Relatório de Visibilidade de Aplicativos e Riscos (RVAR)Planejamento de Segurança Cibernética Industrial
(PSCI)
RAER - Implantação de controles por site
Site 1 Site 2 Site 3 Site 4 Site 5
RAER - Estabelecimento de controles por área
RAER – Quantitativo de controles por área
RASF - Avaliação de controles em Datacenter
RASF - Problemas encontrados no DatacenterAu
dito
ria e
Mon
itora
men
to E
letrô
nico • As imagens
do DataCentercaptadas porcircuitointerno de TVdevem sergravadas.
• O circuitofechado deTV (CFTV) doData Centerdeve serconectado aum sensor demovimento.
Cab
eam
ento • Cabos
inativosdevem serremovidos doData Center.
Clim
atiz
ação • Um
mecanismodemanutençãode energiacontínua deveser instaladopara osistema derefrigeraçãodo DataCenter.
Com
unic
ação
de
dado
s/vo
z • Um sistemade proteçãocontra escutaem linhastelefônicas doData Centerdeve serinstalado.
RAER e RASF - Detalhes dos Relatórios
RVAR - Aplicativos Indutores de Risco
RVAR – Operações Vulneráveis em ProtocolosIndustriais
RVAR – Avaliação de controles implementados
Segurança de Borda• [3] Algum tipo de criptografia ou ofuscação de mensagens trocadas entresistemas de automação deve ser implementada.
• [26] Duplo fator de autenticação para acesso remoto aos sistemasSCADA deve ser utilizado.
• [55] Soluções de segurança devem ser implementadas para evitarataques por Denial of Service (DoS).
• [63] Usuários, dados e dispositivos dentro da rede de automação devemser autenticados.
Proteção da Rede SCADA• [20] Protocolos seguros devem ser usados nas redes das áreas deautomação.
• [35] Serviços de controle de rede utilizados pela rede de automação(DNS, DHCP, por exemplo) não devem estar instalados em servidores narede de TI.
Controle de Malware• [4] As assinaturas do software de Antivírus devem ser atualizadasperiodicamente.
• [16] Software SCADA com vulnerabilidades conhecidas e divulgadas emmanuais ou websites deve ser evitado.
• [17] Um software Antivírus deve ser instalado nas máquinas da rede deautomação.
Segurança de Dados• [50] As senhas de computadores e dispositivos devem ser trocadasperiodicamente.
• [54] O tráfego de dados entre dispositivos deve ser criptografado.
RVAR – Validação de controles
Segurança deBorda
Algum tipo de criptografia ouofuscação de mensagenstrocadas entre sistemas deautomação deve serimplementada.
Pode ser evidenciado nostráfegos de operações deRead e Write em protocolosindustriais apresentados naconsole do equipamento enos Relatório de AnáliseDinâmica.
Duplo fator de autenticaçãopara acesso remoto aossistemas SCADA deve serutilizado.
Pode ser evidenciado atravésda análise dinâmica caso hajatráfego externo (da Internet)em redes de automação queteoricamente são isoladas
Soluções de segurançadevem ser implementadaspara evitar ataques por Denialof Service (DoS).
Pode ser evidenciado noRelatório de AnáliseDinâmica. Existe uma seçãosó para falar de ataques deDoS sofridos pela rede.
Usuários, dados e dispositivosdentro da rede de automaçãodevem ser autenticados.
Pode ser evidenciado noRelatório de Análise Dinâmicaao identificar a comunicaçãoentre equipamentos da redede automação com máquinasfora da rede de automação ena Internet).
– Aprovado | – Atenção | - Reprovado
• O Planejamento de Segurança Cibernética Industrial (PSCI) é o produtofinal da análise de riscos SCADA.
• É um instrumento elaborado a fim de orientar, definir objetivos e prazosrelativos aos procedimentos de implementação de controles eprocedimentos de segurança cibernética para redes industriais esistemas SCADA.
• Dinâmico e flexível, o PSCI descreve as soluções tecnológicas e deprocesso e os passos de implementação para atender as necessidadesde segurança do escopo analisado.
Planejamento de Segurança CibernéticaIndustrial (PSCI)
PSCI - Definição de metas de cibersegurança
Site 1 Site 2 Site 3 Site 4 Site 5
PSCI - Priorização de ações
Área de atenção Nível de atençãoProteção da Rede SCADA 120Controles de segurança física às instalações críticas dos sistemas de automação devem ser implementados. 20Uma fonte de alimentação ininterrupta (UPS) deve ser fornecida para todos os pontos críticos e sistemas da rede de automação. 20Serviços desnecessários devem ser desabilitados nos novos servidores. 20A segurança dos sistemas SCADA deve ser levada em consideração durante os projetos de novos sistemas da empresa. 20A arquitetura da rede de automação deve ser estabelecida considerando a segurança das informações. 20ACLs (Access Control Lists) na rede de automação devem ser implementadas. 20Governança e Monitoramento 100Um perímetro de segurança definido para a rede de controle deve ser implementado. 20Backup das configurações críticas dos equipamentos e sistemas de automação deve ser feito para o caso de alterações acidentais ouincidentais nos sistemas em produção que o levem à indisponibilidade. 20LOGs de servidores de aplicações críticas de sistemas de automação devem ser permanentemente monitorados. 20Revisões nos códigos escritos para os sistemas de controle e monitoramento devem ser executadas. 20Rotinas de segurança específicas para os sistemas de automação devem ser implementadas. 20Controle de Malware 80Uma plataforma de testes deve ser implementada para garantir que novos softwares de antivírus ou novas atualizações de assinaturas nãotrarão danos aos sistemas de automação. 20Um software Antivírus deve ser instalado nas máquinas da rede de automação. 20As assinaturas do software de Antivírus devem ser atualizadas periodicamente. 20Os patches e atualizações de sistemas operacionais e aplicativos disponibilizados pelos fabricantes devem ser aplicados nos sistemas deautomação da empresa assim que disponibilizados. 20Segurança de Dados 20Uma política visando o uso de senhas fortes para o acesso aos sistemas SCADA deve ser implementada. 20Segurança de Borda 20Soluções de segurança devem ser implementadas para evitar ataques por Denial of Service (DoS). 20
Total Geral 340
Clientes no BrasilSetor de Energia Setor Industrial
Setor FinanceiroEmpresas de Tecnologia
Governo
Clientes Internacionais
Siga a TI Safe nas Redes Sociais
• Twitter: @tisafe• Youtube: www.youtube.com/tisafevideos• SlideShare: www.slideshare.net/tisafe• Facebook: www.facebook.com/tisafe• Flickr: http://www.flickr.com/photos/tisafe
Dúvidas?