TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Aprendendo Segurança em Redes Industriais e SCADA

Jarcy AzevedoAgosto de 2012

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Sobre a TI Safe

• Missão� Fornecer produtos e serviços

de qualidade para a Segurança da Informação

• Visão� Ser referência de excelência

em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Siga a TI Safe nas Redes Sociais

• Twitter: @tisafe

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Não precisa copiar...

http://www.slideshare.net/tisafe

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Agenda

• Introdução às redes industriais e SCADA• Segurança SCADA• Política de segurança• Segurança do perímetro• Segurança física• Patches• Antivírus• Autenticação e Identificação• Autorização• Active Directory• Security Standards• Detecção• Protocolos• Monitoramento em sistemas SCADA• Outros controles de segurança• Treinamento e conscientização

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Introdução às redes industriais e SCADA

• Ele é..

� Um sistema que controla e coleta dados de um processo

� Encaminha dados para outros dispositivos

� Usado industrialmente

• Ele não é..

� Um dispositivo

� Encriptado

� Controlador de dispositivos

Sistemas SCADA devem primar pela velocidade da aquisição dos dados. Cada segundo de delay pode ser crítico.

SCADA = Supervisory Control And Data Acquisition

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Introdução às redes industriais e SCADA

• Autômatos programáveis

� RTU

� PLC

� IED

• Protocolos Fieldbus

� DeviceNet

� Modbus

� DNP3

� Profibus

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Introdução às redes industriais e SCADA

• Redes SCADA estão em um mundo diferente, quanto a segurança,

do mundo de TI (Mito)

• Sistemas SCADA não possuem vulnerabilidades com as

vulnerabilidades de TI (Mito)

• Hackers não atacam sistemas SCADA (Mito)

• Possuo um sistema e protocolos personalizados, portanto não estou

vulnerável (Mito)

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança SCADA

• Segurança CUSTA Dinheiro

• Funcionalidade e facilidade GERAM dinheiro

• Segurança gera perda de funcionalidade e facilidade

Confidencialidade Disponibilidade

Integridade

SCADA

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança SCADA

• Segurança deve estar entre os requisitos para aquisição de novos

equipamentos

• Os controles se dividem entre controles Técnicos (Firewall, IDS,

smart card etc) e Administrativos ( Políticas de segurança,

procedimentos etc)

• Quando não é possível estabelecer controles diretos sobre algum

dispositivo, devemos compensar com controles sobre o sistema

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança SCADA

• Ameaças a um sistema SCADA

� Hackers (Direta e Indireta)

� Desenvolvedores de Virus (Indireta)

� Insiders (direta)

� Cyber Terroristas (direta)

• Riscos à que o sistema pode estar exposto

� Perda de vidas humanas

� Destruição do ambiente

� Perda das estruturas

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Política de segurança

• Cada organização é única

• Políticas não são procedimentos

• Se a politica é bonita, mas não se aplica à sua organização, ela não

serve

• DEVE vs PODE

• Sempre Auditar e Revisar a política

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Política de segurança

• Proteção legal para a empresa

• Erros

� Políticas impossíveis de serem seguidas

� Politicas que não podem ser auditadas

� Políticas não seguidas

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança do perímetro

• Use Firewall como Firewall e Roteador como Roteador

� Firewalls trabalham com regras

� Roteadores com Access lists

� Firewalls são stateful

� Roteadores são stateless

• ACLs podem ser exploradas

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança do perímetro

• Outros benefícios dos Firewalls

� Inspeção de camadas

� Assinaturas de IDS integradas

� VPN

� Firewalls podem rodar em computadores e appliances

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança do perímetro

• Zonas de segurança

� Confiável

• Dispositivos e redes SCADA

� Não Confiável

• Todo o resto (Inclusive pareceiros de negócio e empresas de suporte)

• Regras de Firewall básicas

� Isolar a rede SCADA das demais

� Criar DMZs

� O que não esté autorizado deve ser implicitamente negado

� Seja o mais específico possível

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança do perímetro

• Regras de Firewall básicas

� Diferenciar as redes

• Um Firewall mal configurado, alem de

ser inútil ainda gera latência na rede.

• Redundância é sempre bem-vinda.

Usando fabricantes diferentes é ainda

melhor.

• DMZs são baratas, use quantas forem

necessárias

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança do perímetro

• Quando usar uma DMZ?

� Quando os grupos diferirem quanto às permissões ou papéis

� Não deve ser usado quando um dispositivo possui uma vulnerabilidade

conhecida

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança do perímetro

• Prioridades de segurança nas áreas da planta

1. Prevenir que uma área comprometida afete o sistema SCADA

2. Prevenir que uma área comprometida afete outra área

3. Prevenir um Ciberataque em uma área

• Não se restrinja a firewalls de borda, também use firewalls internos

no limite de cada área

• Crie grupos com permissões semelhantes

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança do perímetro

• Política de acesso remoto

� Dividido em acesso aos dispositivos na DMZ e ao sistema SCADA

(confiável)

� Acesso ao sistema SCADA

• Deve ser extremamente limitado

• Não deve permitir controle remoto

• Acesso emergencial dos administradores

• Acesso para suporte por parte do vendedor

� Utilizar controles compensatórios

� Exigir segurança nos contratos

� Acesso via VPNs

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança física

• Muitos dispositivos podem ser hackeados pelo acesso físico

� Reboot

� Violência

� Desligar da tomada

• Restringir o acesso ao centro de controle e às HMIs

• Observar janelas e portas abertas, etc

• Utilizar biometria, RFID, smart cards, etc

• Colocar servidores e infra em um local diferente

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança física

• Restringir o acesso de pessoal desnecessário

• Proteção

� Coloque guardas nos pontos de acesso

� Boas trancas, mantenha portas fechadas

• Detecção

� Câmeras

� Detectores de movimento

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Patches

• São softwares com código destinado a resolver problemas, em um

software principal.

• Atualmente basta baixar rodar um scan de vulnerabilidades, exploit e

payload para explorar um sistema com falhas de segurança não

“patcheada”. Tudo isso sem entender nada de programação e

protocolos.

• Você PRECISA instalar os patches no seus sistema para protegê-lo,

mas esse patch pode “quebrar” seus sistema.

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Patches

• Precisam ser testados de forma a não afetar a disponibilidade do

sitema

• Não podem ser instalados sem autorização do fabricante

• Como proteger o sistema até que o patch seja autorizado?

• Controles compensatórios!

• Verificar a real necessidade do patch

• Realize testes e homologação do patch

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Antivírus

• Deve ser instalado em todos os sistemas, de acordo com as

informações dos fabricantes dos sistemas SCADA

• Deve ser atualizado automaticamente em todos os sistemas não-

críticos a partir de um WSUS na rede de automação não conectado à

Internet

• Atualizado manualmente em sistemas críticos

• Redundância ajudará a evitar reboots

• Uma boa arquitetura da planta isolará o sistema da maior parte dos

malwares

• Verifique atualizações diariamente

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Autenticação e Identificação

• Não adianta ter um kerberus bem configurado se os seus funcionários

guardam as senhas atrás do teclado

• Usuário/Senha é o mais fraco meio de autenticação

• Identificação

� Privilégios baseados em quem você é e onde você está logado

� Autenticação por 2 fatores

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Autenticação e Identificação

• Problemas de autenticação

� Sistemas logados ao fim do boot

� Sistemas monousuário

� Contas compartilhadas

• Soluções de autenticação

� Contas individuais

� Realizar logoff após o uso

� Trocas de senha periódicas

� Termos de responsabilidade

� Política de segurança

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Autorização

• O que um usuário está autorizado a fazer ?

• Identificação, autenticação e autorização provêm acesso

• Manter um registro (log) de todos os acessos, bem como quando eles

ocorreram

• Criar um controle de acesso baseado no papel de cada usuário no

sistema

• Mesmo os sistemas SCADA antigos têm formas sofisticadas de

controle de autorização

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Security Standards

• NERC CIP 002 to 009

� Setor de eletrecidade

� Medidas e conformidades para todos os requisitos

� Programa de auditoria

� Penalidades para não-conformidades

• CIDX / ACC

� Setor de química

� Segurança no setor químico

� Avaliação de vulnerabilidades

� Como começar um programa de cyber segurança

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Security Standards

• ANSI/ISA SP99

� Padrão de segurança adotado por todas as indústrias que possuem

sistemas de controle

� Um dos grupos mais ativos

� Visão geral das tecnologias de cyber segurança

� Autorização, encriptação, firewall, IDS

� Controles de acesso

• NIST SP 800-82

� Organização do governo americano

� Guideline de segurança para sistemas de controle

� Programa de testes de antivírus

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Detecção

• Proteção vs Detecção

• Identifica ataque em tempo real

• Possibilita a tomada imediata de medidas

• Serve como uma camada a mais

• A detecção de ameaças cibernéticas deve fazer parte de todo

sistema crítico

• Detecção é ainda mais crítica quando um sistema de proteção ainda

não foi implementado

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Detecção

• Logs do firewall

� Por que olhar os logs do firewall?

• Identificar tentativas de Insiders bloqueados

• Identificar mudanças de configuração

• Identificar atividades suspeitas ou não usuais

• Sistemas de detecção de intrusão (IDS)

� Verifica assinaturas de ataque passivamente

� Dividido em IDS de host e IDS de rede

� Ajuda na detecção de anomalias

� IDS de host pode gerar problemas de performance, sendo assim, veja

qual IDS seu fornecedor de equipamentos recomenda

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Detecção

• Sistemas de prevenção de intrusão

� Pode bloquear tráfego suspeito

� Efetivo contra exploits conhecidos

� Não avalia o tráfego interno

• Monitoramento

� Sistemas operacionais e aplicações

� Ajudam em uma possível forense

� MSSP

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Protocolos

• A comunicação PLC/RTU e o centro de controle era originariamente

serial, mas mudou praticamente toda para IP

• A comunicação entre o PLC/RTU e os sensores e atuadores ainda é

serial

• Porque mudar para IP?

� Maior taxa de transferência

� LAN/WAN pode ser compartilhada

� Roteamento para requisitos de disponibilidade

� Preço

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Protocolos

• Modbus

� Protocolo Serial

� Checagem de erro

� Largamente usado

� Não prevê segurança!

• DNP3

� Industria elétrica

� Originalmente serial

� Similar ao modbus

� Cliente-Servidor

� Não prevê segurança!

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Protocolos

• Um protocolo ideal teria:

� Autenticação da origem

� Conteúdo autenticado

� Encriptação ótima

� Boa performance

� Não existe nada nem próximo disso

• A solução atual se baseia em roteadores e firewalls de comunicação

de campo

• Encriptadores de campo estão sendo desenvolvidos

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Monitoramento de sistemas SCADA

• Controle compensatório

• As medidas de detecção atuais detectam:

� Protocolos comuns de ataque

� Aplicações comuns de ataque

� Sistemas operacionais comuns de ataque

• Elas não detectam:

� Ataques ou mal uso de protocolos SCADA

• Assinaturas de IDS:

� Os protocolos SCADA não fornecem a origem nem autenticação dos

dados neles contidos

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Monitoramento de sistemas SCADA

• Logs dos sistemas SCADA

� Podem conter informações valiosas

� Cada fabricante possui um padrão diferente de logs

� A solução é criar um dicionário de dados SCADA e normalizar os logs

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Outros controles de segurança

• Programa de conscientização

� Usuários acabam não lendo ou esquecendo a política

� Pôster, e-mails vídeos, palestras, auditorias

• Campanhas de conscientização

� Já fez seu backup hoje ?

� Você deixou seu pc ligado ontem

• Análise de vulnerabilidades

� Identifica patches não aplicados

� Erros de configuração

� Senhas fracas ou default

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Outros controles de segurança

• Análise de vulnerabilidades

� Faça scans regularmente

� Cuidado! Scans podem tirar o sistema SCADA do ar

� Faça scans em pequenos grupos de hosts, para diminuir o impacto

� Prepare-se para possíveis efeitos colaterais

• Siga as boas práticas SEMPRE!

� ANSI/ISA 99

� NIST SP 800-82

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Formação em segurança de automação industrial

• Baseada na norma ANSI/ISA-99

• Escopo:

• Introdução às redes Industriais e SCADA

• Infraestruturas Críticas e Cyber-terrorismo

• Normas para segurança em redes industriais

• Introdução à análise de riscos

• Análise de riscos em redes industriais

• Malware em redes industriais e ICS

• Desinfecção de redes industriais contaminadas por Malware

• Uso de firewalls e filtros na segurança de redes industriais

• Uso de Criptografia em redes industriais

• Segurança no acesso remoto à redes industriais

• Implementando o CSMS (ANSI/ISA-99) na prática

• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)

• Alunos recebem material didático em formato digital

• Formação com 20h de duração

• Instrutor membro da ISA Internacional e integrante do comitê da norma ANSI/ISA-99, com anos de experiência em segurança de automação industrial

• Objetiva formar profissionais de TI e TA:

� Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99

� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras

• Calendário com próximas turmas disponível em http://www.tisafe.com/solucoes/treinamentos/

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

CertificaçãoCertificaçãoCertificaçãoCertificação CASE CASE CASE CASE –––– Certified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security Engineer

A certificação CASE abrange os seguintes domínios de conhecimento:

• Introdução às redes Industriais e sistemas SCADA.• Infraestruturas Críticas e Cyber-terrorismo.• Governança para redes industriais.• Políticas e padrões de segurança industrial.• Introdução à análise de riscos.• Análise de riscos em redes industriais e sistemas SCADA.• Malware em redes industriais e sistemas de controle.• Desinfecção de redes industriais contaminadas por Malware.• Segurança de perímetro em redes de automação.• Criptografia em redes industriais.• Controle de acesso em sistemas SCADA.• Implantando o CSMS (ANSI/ISA-99) na prática.

• Prova presencial composta de 60 perguntas de múltipla escolha que devem ser resolvidas em 90 minutos.

• As questões têm pesos diferentes e o aluno será aprovado caso obtenha quantidade de acerto igual ou superior a 70% do valor total dos pontos atribuídos ao exame.

• Em caso de aprovação o aluno receberá o certificado CASE por e-mail e seu nome poderá ser verificado em listagem no site da TI Safe.

• Os certificados tem 2 anos (24 meses) de validade a partir de sua data de emissão.

• Guia de estudos, simulado e calendário com próximas provas disponível em (aba “Certificação CASE”): http://www.tisafe.com/solucoes/treinamentos/

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

• Eventos com 8 horas de duração destinados à criação de

consciência de segurança em empresas.

• Realizados dentro da empresa (normalmente em auditório)

e sem limite de número de alunos.

• Utiliza estratégias de divulgação e elaboração em formato

de palestras com apostila personalizada, atingindo a todos

os níveis de colaboradores da organização.

• Palestras técnicas baseadas nas normas ISO/IEC 27001,

ISO/IEC 27002, BS 25999 e ANSI/ISA-99

• Escolha as palestras técnicas para o Security Day em sua

empresa em nossa base de conhecimento disponível em

http://www.slideshare.net/tisafe

Security Day

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Contato