uditoria e anÁlise de riscos em istemas … · segurança especificamente desenvolvida para suas...

© 2007-2019 – TI Safe

Todos os direitos reservados www.tisafe.com

AUDITORIA E ANÁLISE DE RISCOS EM SISTEMAS

COMPUTACIONAIS INDUSTRIAISMarcelo Pessoa Branquinho

04 de Outubro de 2019

© 2007-2019 – TI Safe


SOBRE MARCELO PESSOA BRANQUINHO

Analista de Segurança

Jr.

P&D TI Safe

Ciências da Computação

Defesa de Infraestruturas

Críticas

© 2007-2019 – TI Safe


AGENDA

Ataques cibernéticos atuais

Infraestruturas críticas

Desafios para proteger redes industriais

Análise de riscos: ponto de partida

Conclusões e dúvidas

© 2007-2019 – TI Safe


TRAGÉDIASACONTECEM

ATAQUES CIBERNÉTICOS OCORRIDOS NA ÚLTIMA DÉCADA

© 2007-2019 – TI Safe


AGENDA






© 2007-2019 – TI Safe


ATAQUES CIBERNÉTICOS

PODEM PARALISAR

INFRAESTRUTURAS

CRÍTICAS

© 2007-2019 – TI Safe


INFRAESTRUTURAS CRÍTICAS SÃO INTERLIGADAS

A perda, interrupção

significativa ou

degradação desses

serviços pode ter

graves

consequências

sociais ou

comprometer a

segurança nacional

Energia

TelecomunicaçõesAquecimento

(Óleo e Gás)

Química

Saúde Pública

Manufatura

Transportes Economia

Agronegócio

Água e Resíduos

© 2007-2019 – TI Safe


VEJAM O QUEACONTECEU NAVENEZUELA...

© 2007-2019 – TI Safe


AGENDA






© 2007-2019 – TI Safe


TI VS TA

12

CxOSegurança TI Engenheiros

CID - CONFIDENCIALIDADE DIC - DISPONIBILIDADE

Segurança TA

DIFERENTES

PRIORIDADES

DIFERENTES

COLABORADORES

DIFERENTES ATIVOS

PARA PROTEGER

PCs, SERVIDORES,

DISPOSITIVOS MÓVEIS

PLC, HMI, PROTOCOLOS IND., ETC

CxO

© 2007-2019 – TI Safe


VISÃO GERAL DE UM SISTEMA DE CONTROLE INDUSTRIAL (ICS)

• PLC

• IED

• RTU

Conversão

• Dispositivos de campo

• Sensores

• Medidores

Aquisição

• Protocolos

• Equipamentode rede

Comunicação

• SCADA

• HMI

Controle

© 2007-2019 – TI Safe


Arquitetura Básica SCADA

AS ILHAS DE AUTOMAÇÃO

• Sistemas SCADA, algumas décadas atrás:

• Sistemas proprietários, totalmente dependentes

de fabricantes.

• Sistemas isolados com arquiteturas fechadas -

“Ilhas de automação”.

© 2007-2019 – TI Safe


A EVOLUÇÃO DOS SISTEMAS DE CONTROLE INDUSTRIAIS

• Sistemas abertos com arquitetura centrada em

conectividade.

• Integrações cada

vez mais frequentes com

a rede corporativa

e a Internet.

• Acesso a Dados Operacionais:• Dashboards; • Relatórios;

• Centro de Controle para múltiplas Redes Operacionais;• Diferentes tipos de acesso:

• Diretores/Gerentes;• Informação em tempo real;• Tomada de decisão no processo;

Servidores SCADA

Rede Operacional

Gateway

Servidores Corporativos

Rede Corporativa

✓Produtividade

✓Competitividade

© 2007-2019 – TI Safe


CONVERGÊNCIA ENTRETI ETA

16

1970 1980/90 2000 Atualmente Indústria 4.0

TA

TI Mainframe

ERPInternet,

módulos de ERP,

MES, etc.

Arquitetura

integrada

Controle direto

digital

I/O Remoto

Controladores lógicos

Robótica

Protocolos Fieldbus,

TCP/IP

ER

P –

Ente

rpri

se R

eso

urc

ePla

nnin

g |

MES

–M

anufa

turi

ng

Execu

tion

Syst

em

| S

CA

DA

–Su

perv

isory

Contr

olan

dD

ata

Acq

uis

itio

n|

PLC

–Pro

gram

mab

leLogi

cC

ontr

olle

r| I/O

–In

put/

Outp

ut

Sign

als

Backbone industrial

Nuvens local e global

PLCs virtuais

Field I/O

Interconectividade

Integração de PLCs e I/Os

Conect

ivid

ade

ERP

MES

SCADA

PLC

I/O

Ambiente

ideal para

ataques cibernéticos

Baixamaturidade de

controles

Patches sãoraramenteaplicados

Maiorconectividade

Uso de plataformas de

mercado

Mais ferramentas de ataques em ICS

© 2007-2019 – TI Safe


A SUPERFÍCIE DE ATAQUE É GRANDE...

Internet

Acesso remotoinseguro

USB infectado

Interface serial insegura

RS-232PLC Infectado

Software inseguro de

terceirosRede de controle

Rede de supervisão

Rede corporativa

Acesso remotoinseguro

Configuraçõesinseguras de

firewalls

Wireless inseguro

Laptopsinfectados

Baixa segurançafísica

Redes externas

DMZ

SQL Injection

Vazamento de informações

Sistemasvulneráveis

Erro humano

Sabotagem

© 2007-2019 – TI Safe


AMEAÇAS MUDARAM -ATAQUESAVANÇADOS

Dados DadosInternet

Encryption Direcionado

OBJETIVO: Lucratividade, Sabotagem

e conflitos entre nações• Organizados

• Ataques direcionados

• Financiado – Industria foco crescente

OBJETIVO: Notoriedade• Uma pessoa, grupos pequenos

• Conhecimento e Recursos limitados

• Ataques básicos

Internet?Passado

Presente

© 2007-2019 – TI Safe


ATINGIR O ALVODESLIGAR A

OPERAÇÃOGANHAR

ACESSO

ATACAR O

PERÍMETRO

ENTREGAR O

MALWARE

Internet

Controlador

de domínio

TI TA

WAN

SCADA

SubestaçãoCentro de ControleRede Corporativa

Servidor

Spearphishing (Black

Energy 0-day)

Roubo de credenciais

dos usuários

Pivot para SCADA

(usando credenciais roubadas) Abertura de chaves elétricas

(protocolos industriais)

IED / RTU

IHM comprometida

(malware conhecido)

Alteração de

firmware

(protocolos

industriais)

ANATOMIA DO ATAQUE“BLACK ENERGY” (DEZ/2015)

© 2007-2019 – TI Safe


AGENDA






© 2007-2019 – TI Safe


CONCEITOS

• Dicionários• Risco: “possibilidade de perda”

• Random House• Gerenciamento de Risco: “técnica ou

atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança”

• (ISC)²• Gerenciamento de Risco: “a aprendizagem de

conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades”

Vulnerabilidade

Ameaça

Impacto

Ativo

explora

causando

Risco

exposição

© 2007-2019 – TI Safe


OBJETIVOS CRONOGRAMA

ANÁLISE

ESTÁTICA

ANÁLISE

DINÂMICA

ANÁLISE DE RISCOS

A Análise de Riscos (AR) é o primeiro passo para o entendimento das falhas de segurança

cibernética. O processo fornece uma pontuação de maturidade de controles e indica as

prioridades de segurança a serem tomadas.

A AR é executada em duas fases complementares:

• Análise estática: auditoria de segurança física e lógica da rede de automação baseada nas

normas IEC 62443, NIST SP 800-82, NERC CIP e ISO 27002.

• Análise dinâmica: coleta de dados em camada de aplicação de modo não intrusivo, para

validar a efetividade de controles, obter detalhes da topologia, mapear comunicações e

vulnerabilidades.

© 2007-2019 – TI Safe


ANÁLISE ESTÁTICA

• Questionários e entrevistas;

• Verificação de diagramas de rede;

• Vistoria dos ambientes operacionais;

• Coleta de respostas ao questionário de auditoria;

Categoria ID Controle Status Situação Rel Relevância Nível Indicador Observação de campo

Governança e

Monitoramento10

Logs de soluções de segurança cibernética devem

ser monitorados.2

Não

implementado5 Muito alta 25

Não estabelecido. A TI poderia fornecer o

serviço de monitoramento de logs via

NOC/SOC, mas a segmentação de rede

impossibilita a prática.

Governança e

Monitoramento12

Logs de servidores de aplicações críticas de

sistemas de automação devem ser

permanentemente monitorados.

2Não






Governança e

Monitoramento13

Auditorias de segurança devem ser realizadas

periodicamente nos sistemas de automação

industrial da empresa.

2Não

implementado5 Muito alta 25 Não há.

Governança e

Monitoramento39

A documentação dos sistemas de automação

implementados na empresa deve estar atualizada e

disponível.

2Não


Inexistente. Somente o programa

comentado.

Governança e

Monitoramento42

A área de automação deve possuir uma política de

segurança especif icamente desenvolvida para suas

atividades.

2Não


Não implementado. O arcabouço de

documentos que def inem a política de

segurança serão produto do projeto.

Governança e

Monitoramento43

Rotinas de verif icação de segurança especif icas

para os sistemas de automação devem ser

implementadas.

2Não

implementado5 Muito alta 25 Não há.

Governança e

Monitoramento47

Planos de continudade de negócios devem

contemplar os sistemas de automação da planta.

Os mesmos devem ser testados e atualizados

f requentemente.

2Não


Atualmente não há procedimentos claros

para a recuperação dos sistemas. Há

dependência dos fornecedores, que não

necessariamente respondem prontamente.

Governança e

Monitoramento9

Logs de equipamentos de rede e conectividade

devem ser monitorados.2

Não

implementado4 Alta 20





Governança e

Monitoramento11

Logs das operações dos sistemas de automação

industrial devem ser implementados, armazenados

e monitorados.

2Não

implementado4 Alta 20





Governança e

Monitoramento14

O backup das conf igurações de equipamentos de

rede deve ser executado.10

Parcialmente

Implementado5 Muito alta 15

Backups são realizados ad hoc e

controlados em uma planilha. Quando

ocorre alguma falha, são restaurados

backups. Não é garantida a capacidade de

restauração dos backups.

Segurança de

Borda49

Firewalls de Próxima Geração devem ser instalados

e conf igurados na borda da rede de automação.2

Não


Os f irewalls de borda camada 4 da Cisco

serão substituídos em breve por NGFW da

Fortinet.

© 2007-2019 – TI Safe


ANÁLISE DINÂMICA

• Identificação de:

• tráfego de rede;

• ameaças existentes na rede;

• conexões entre redes e a Internet;

• protocolos de aplicações em uso para sistemas de controle;

• links com terceiros e conexões externas.

© 2007-2019 – TI Safe


CONSOLIDAÇÃO DOS RESULTADOS – RELATÓRIO DEAR

Análise Estática

Análise Dinâmica

Relatório de Análise de Riscos

© 2007-2019 – TI Safe


Internet

Controlador

de domínio

TI TA

WAN

SCADA

SubestaçãoCentro de ControleRede Corporativa

Servidor

Spearphishing (Black

Energy 0-day)

Roubo de credenciais

dos usuários

Pivot para SCADA

(usando credenciais roubadas) Abertura de chaves elétricas

(protocolos industriais)

IED / RTU

IHM comprometida

(malware conhecido)

Alteração de

firmware

(protocolos

industriais)

POTENCIAIS AÇÕES DE DEFESA

ATINGIR O ALVODESLIGAR A

OPERAÇÃOGANHAR

ACESSO

ATACAR O

PERÍMETRO

ENTREGAR O

MALWARE

Políticas e

procedimentos

Proteção de borda com

a internet com a TI

Proteção da

Rede Industrial

Controle

de Malware

Backup e

restauraçãoCapacitação de

pessoas

Monitoramento contínuo

Isolamento da

borda da TA

© 2007-2019 – TI Safe


CONCLUSÃO

• Diferenças entre TI e TA → convergência de tecnologias relacionadas.

• Ameaças cibernéticas

o Mais inteligentes;

o Avançadas;

o Direcionadas;

o Silenciosas;

• Infraestruturas Críticas são de SUMA IMPORTÂNCIA para uma nação.

© 2007-2019 – TI Safe


OBRIGADO!Marcelo Pessoa Branquinho

[email protected]

• Acompanhe o site do evento: class.tisafe.com

• Inscrições serão abertas em breve

• Submeta seu trabalho técnico através do Call For Papers do evento. Se seu trabalho for aceito ele será apresentado na plenária principal do evento.

VISITEM NOSSAS REDES SOCIAIS

class.tisafe.com

uditoria e anÁlise de riscos em istemas … · segurança especificamente desenvolvida para suas...

Documents