Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

35
© 2013 IBM Corporation IBM Security Systems SCADA / Sistemas de controle Industriais Quem está realmente no controle de nossos Sistemas? Alexandre Freire, [email protected] IBM Security Systems Technical Sales

description

Apresentação de soluções IBM realizada no Road Show TI Safe & IBM.

Transcript of Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

Page 1: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation

IBM Security Systems

SCADA / Sistemas de controle Industriais Quem está realmente no controle de nossos Sistemas?

Alexandre Freire, [email protected] Security Systems Technical Sales

Page 2: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation2

Palestrante

Alexandre Freire

• Docente do Núcleo de Computação Eletrônica (NCE) da UFRJ, responsável pela disciplina “Defesa de Perímetros” do programa depós-graduação em Gestão de Segurança da Informação.

• Mestrando do Núcleo de Computação Eletrônica da UFRJ desenvolvendotese na Linha de Pesquisa sobre “Guerras Cibernéticas”.

• Autor da publicação “Como Blindar Seu PC“, Editora Campus/Elsiever.

• Recebeu a premiação de Segurança da Informaçã, prêmio SECMASTER,como Melhor Contribuição Editorial e Jornalística pela obra Como Blindar Seu Pc.

• Certificado pelo SANS Institute(EUA) em tecnologias de Defesa de Perímetros. Vencedor da competição internacional de invasão de sistemas IDNET Challenge, no Sans Intitute durante a conferência anual do instituto na Flórida, EUA.

• Mais de 15 anos de experiência em Governança, Riscos e Conformidade (GRC) atuando na especificação de controles de Segurança para mitigação de riscos e fraudes para conformidade com os padrões BS 7799/ISO 17799, 27001/27002 e COBIT em processos de auditoria PCI, Basiléia e Sarbanes Oxley.

• Atualmente é arquiteto de soluções de segurança da divisão de segurança da IBM Brasil.

Page 3: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation3

Incidentes SCADA na ficção – Die Hard 4

Page 4: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation4

Incidentes SCADA são reais!

Page 5: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation5

Segurança em sistemas SCADA é real e preocupante

� O número de vulnerabilidades detectadas foi aumentado em 20 vezes (desde 2010 )

� 50% das vulnerabilidades permitem executar código

� Existem exploits públicos para 35% das vulnerabilidades reportadas

� 41% de vulnerabilidades são Críticas. Mais de 40% de sistemas disponíveis a partir da Internet podem ser invadidos e sabotados por usuários sem conhecimentos avançados (Metasploit ?).

� 54% e 39% de sistemas disponíveis a partir da Internet na Europa e na América do Norte, respectivamente, estão vulneráveis

Page 6: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation6

ICS-CERT Incidents by Sector – Fiscal Year 2012

Segurança em sistemas SCADA é real e preocupante

Page 7: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation7

Mitos a respeito de SCADA

”Sistemas SCADA residem em uma rede fisicamente separa da,

independente e isolada dos demais perímetros corporati vos. ”1

Page 8: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation8

Mitos a respeito de SCADA

“Conexões entre sistemas SCADA e redes corporativas sã o

protegidas por forte controles de acesso”2

Page 9: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation9

Mitos a respeito de SCADA

“ Conexões a sistemas SCADA requerem conhecimento es pecializado,

dificultando que intrusos acessem e controlem a red e.”3

Page 10: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation10

Típico ataque a sistemas SCADA

Page 11: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation11

Papel da TI para Segurança em SCADA

"Não são os caras de SCADA que não sabem o que estão fazendo. Parte destes sistemas foram criados há mais de 20 anos, e os engenheiros projetaram essas coisas presumindo que deveriam operar de forma isolada. Porém, não estão mais isolados“

Alan Paller, diretor de pesquisa, SANS Institute

Segurança para SCADA está geralmente anos atrás da segurança implementada em sistemas tradicionais de tecnologia da informação por causa de seu histórico de isolamento .

Muito dos problemas confrontados no mundo SCADA já foram endereçados e mitigados no mundo corporativo de TI. Essas soluções, onde apropriadas, necessitam ser aplicadas às redes e sistemas SCADA para que as redes industriais não reinventem a roda.

Page 12: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation12

Os Process Control Systems (PCS) estão migrando para redes TCP/IP

• Controles Analógicos e protocolos de status incorporados nos protocolos digitais

• Limitações no uso de Criptografia

• Gama pobre de protocolos TCP/IP

Problemas com as correções de patchesincorporados aos sistemas operacionais• Controladoras geralmente rodando em sistemas

operacionais desatualizados;

• Patches de segurança e atualizações do SistemaOperacional não são aplicados;

• Dificuldade na correção das controladoras;• Fabricantes não se responsabilizam pela aplicação de

patches e updates caso sistemas industriais venham aapresentar falhas operacionais ou indisponibilidade.

12

Um Mundo TCP/IP Ativado

Page 13: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation13

Mudança de controles analógicos para digitais e incorporação de padrões de rede:• Comunicações TCP/IP• Comunicações Wireless

Substituição de equipamentosincluem novos recursos “gratuitos”:• Conectividade ativada

por padrão;• Podem ser ligados

pelos engenheiros de campo.

A partir de analógico

para digital (+ em rede )

A partir de analógico

para digital (+ em rede )

integração de Wirelessintegração de Wireless

Proliferação de Dispositivos de Rede

Page 14: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation14

Resultados típicos de Assessments realizados em

ambientes SCADA

Page 15: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation15

• Protocolos fracos trazem vulnerabilidades aos sistemas

• Redes PCS (Process Control Systems) carecem de segmentação

• Redes PCS carecem de proteção de antivirus

• Sistemas operacionais com instalação padrão permitem exploração de ataque em brechas já conhecidas e difundidas no mundo de TI

• A maioria das comunicações IP dentro das redes PCS não são criptografadas.

• A maioria dos sistemas PCS possuem limitações para gerar rastreabilidade da trilha de auditoria. Logs não são ativados.

• Correções não são, ou não podem ser instalado nos sistemas SCADA

• Nenhum tipo de segurança baseada em host é configurada nos dispositivos SCADA

• Muitas organizações ainda implementam forte medidas de segurança física esquecendo da importância da segurança lógica.

Descobertas típicas durante Assessments SCADA

Page 16: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation16

Hackable Backbone

Andy Greenberg , 22.08.2007 , 18:00 ET

A primeira vez que Scott Lunsford tentou hackear uma planta de energia nuclear, disseram que sería impossível. Não existia nenhuma forma de acesso dos componentes SCADA a partir da Internet – enfatizaram os responsáveis pela operação da unidade nuclear. Lunsford, um pesquisador da IBM Security Systems,provou o contrário. “Foi um dos testes de invasão mais fáceis que já fiz em toda minha vida”, disse o pesquisador. No primeiro dia Lunsford já havia penetrado na rede SCADA. “Depois de uma semana sería possível contorlar a planta inteira e isso realmente é um problema” – disse o pesquisador.Em retrospectiva , Lunsford diz--e a Comissão Nuclear dos EUA concorda - que garantias de regulamentações governamentais o impediu do acionamento de um ataque nuclear. Mas ele afirma que se desejasse acessar os controles através da rede, teria conseguido sabotar o fornecimento de energia para grande parte do país. “Teria sido tão simples como fechar uma válvula," disse ele . http://www.forbes.com/2007/08/22/scada-hackers-infrastructure-tech-security-cx_ag_0822hack_print.html

Avaliação de Instalação Nuclear

Page 17: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation17

Como a proteger a infraestrutura

Page 18: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation18

Control/Office InfrastructureControl/Office InfrastructureBridge ControlBridge Control

Plant Infrastructure

Plant Infrastructure

Ataques WirelessAtaques Wireless

Ataques Wireless RF

Ataques Wireless RF

Infecções Indiretas de

malware

Infecções Indiretas de

malware

Ataques diretos da Internet

Ataques diretos da Internet

Serviços vulneráveis

Serviços vulneráveis

Hosts infectados

por malware

Hosts infectados

por malware

Ataques indiretos da

Internet (ex: VPN)

Ataques indiretos da

Internet (ex: VPN)

Ataques de Mídia

removível

Ataques de Mídia

removível

Roubo de credenciaisRoubo de

credenciais

Ataques Incorporado

s

Ataques Incorporado

s

Contaminação do DispositivoContaminação do Dispositivo

Vetores de Ataque SCADA

Page 19: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation19

Control/Office InfrastructureControl/Office InfrastructureControl Bridge

Control Bridge

Plant Infrastructure

Plant Infrastructure

Logs e Trilha de AuditoriaLogs e Trilha de Auditoria

Alertas e Detecção de Anomalias

Alertas e Detecção de Anomalias

Proteção baseada em host

Proteção baseada em host

Controle de acesso

Controle de acesso

Segregação de Redes

Segregação de Redes

Gerenciamento de Vulnerabilidades

Gerenciamento de Vulnerabilidades

Prevenção de Intrusos e Virtual Patch

Prevenção de Intrusos e Virtual Patch

Resposta a EmergênciaResposta a Emergência

Estratégias de Proteção SCADA

Page 20: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation20

IBM Security Network IPSProtege ambientes bloqueando ameaças mutantes e ataques 0 Day

Segregação de redes SCADA

provent aIBM ISS Proventia GX Intrusion Prevention System

Page 21: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation21

� Utiliza abordagem baseada em protocolo para capturar muitos ataques "dia-zero" e ameaças mutantes versus IPS de somente assinatura

� Oferece proteção contra vulnerabilidades conhecidas quando uma correção estáindisponível ou implementado usando uma “correção virtual”

� Patch virtual protege os sistemas SCADA uma vez que os sistemas e controladoras não podem receber correções.

IBM Security Network IPSProtege ambientes bloqueando ameaças mutantes e ataques 0 Day

Segregação de redes SCADA

Fontes: Tolly Group, outubro de 2012, IBM X-Force Research and Development Team

Hackers incluem novas

vulnerabilidades nos kits de exploração

Como o IBM IPS pode ajudarComo o IBM IPS pode ajudar

Page 22: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation22

IBM Security Network IPSProteção de ataques específicos de redes SCADA

Segregação de redes SCADA

Assinaturas do PAM (Protocol Analysis Module) incluídas nativamente na proteção de redes industrais dos sensores de prevenção de intrusos da IBM

• Assinaturas nativas dos sistemas de Prevenção de Intrusos da IBM protegem os segmentos de redes industriais inspecionando tráfego e bloqueando o conteúdo malicioso direcionado aos ambientes de automação.

Page 23: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation23

IBM Security Network IPSProteção de ataques específicos de redes SCADA

Segregação de redes SCADA

Importação de assinaturas oficiais SNORT/SourceFire ou assinaturas mantidas pela comunidade.

Dezenas de assinaturas criadas pela comunidade de pesquisa e desenvolvimento de segurança em redes industrais para proteção de unidades industriais.

• Mecanismo de inspeção SNORT acrescenta segundo nível de proteção contra ataques direcionados a redes SCADA. As regras podem ser modificadas ou novas regras podem ser criadas utilizando-se a sintaxe SNORT para proteção de sistemas ou cenários específicos.

Page 24: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation24

IBM Security Network IPSProteção de ataques específicos de redes SCADA

Segregação de redes SCADA

• Exemplo de criação de assinatura personalizada SNORT para monitoração da condição de Reboot ou Restart de uma PLC a partir de um cliente não autorizado.

alert tcp !$ENIP_CLIENT 44818 -> $ENIP_SERVER any (msg:”SCADA_IDS: ENIP/CIP – Reboot or Restart from Unauthorized Client”; flags:PA; cip_service:5; reference:scada,1111501.htm, classtype:attempted-dos; sid:1111501; rev:1; priority:1;)

Page 25: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation25

IBM Security Network IPSA inteligência da IBM no bloqueio de ataques a sistemas industriais

Prevenção de Intrusos e Patch Virtual sistemas SCADA

Stuxnet: “Malware” orientado a sistemas de automação industrial que monitora centrífugas nucleares iranianas, arquitetado de for ma sofisticada, levantando suspeitas diversas sobre a natureza da a ção

� Sofisticado: � Inclui exploits para 4 vulnerabilidades (0-day) sem patches

� Inclui componentess assinados certificados digitais roubados� Disseminados através de diversos vetores, incluindo pen-drives � Infectou máquinas de desenvolvimento c/rootkit que esconde tanto o “malware” como as

mudanças que ele faz nos programas sendo desenvolvidos

� Dirigido:� Modifica códigos nos controladores lógicos programáveis - PLCs � Modificações só acontecem em determinadas circunstâncias (drivers de alguns fornecedores, operando

em condições específicas de frequência, etc

� Danos colaterais � – Infecção pode se espalhar de forma generalizada

Page 26: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation26

IBM Security Network IPSA inteligência da IBM no bloqueio de ataques a sistemas industriais

Prevenção de Intrusos e Patch Virtual sistemas SCADA

•CVE-2008-4250 (MS-08-067) – Windows Server Service NetPathCanonicalize()

Vulnerability

•CVE-2010-2568 (MS-10-046) - Windows Shell LNK Vulnerability

•CVE-2010-2729 (MS-10-061) – Windows Print Spooler Service Vulnerability

•CVE-2010-2743 (MS-10-073) – Windows Win32K Keyboard Layout Vulnerability

•CVE-2010-2772 - Siemens SIMATIC WinCC Default Password Vulnerability

•CVE-xxxx-xxxx (MS-xx-xxx) – Windows Task Scheduler Vulnerability

Page 27: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation27

IBM Security Network IPSA inteligência da IBM no bloqueio de ataques a sistemas industriais

Prevenção de Intrusos e Patch Virtual sistemas SCADA

2727

27

Page 28: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation28

� Redes podem ser construídas com uma zona de segurança "SCADA" isoladas e segmentadas das demais redes com uso de um IPS Next Generation.

� Acesso para a zona SCADA pode ser autenticado pelo usuário, e não o endereço IP. A capacidade de políticas de segurança com a identidade do usuário fornecem não apenas de acesso apropriados para a zona , mas também um relatório e trilha de auditoria.

� Os usuários não autorizados são negados.

� Inspeção SSL garante a visibilidade de tráfego criprografado.

Prevenção de Intrusos e controle de acesso SCADA

Controle de acesso granular a partir do entendimento de aplicações web, cliente x server e dos diversos comportamentos de uma aplicação.

Pare o mau uso da rede corporativa bloqueando sites que introduzem risco e custos indevidos

Políticas flexíveis de controle de acesso à rede

Limite o uso de redes sociais, compartilhamento de arquivos e webmail para usuários comuns

IBM Security Network IPSNext Generation IPS

Page 29: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation29

Prevenção de Intrusos e detecção de anomalias SCADA

IBM Security Network IPSNext Generation IPS

� Uma estrutura de proteção completa pode ser implementada para inspecionar todo o tráfego que atravessar a zona SCADA em busca de códigos hostis que explorem os sistemas industriais.

� O Next Generation IPS agrupa os pacotes em fluxos de rede compreendendo a sequencia de dados transmitidos. Captura pode ser enviada ao sistema de inteligência de segurança QRadar em busca de anomalias.

� O fluxo de rede capturado contém dados relacionados a camada de aplicação (layer 7), aumentando a leitura de ameaças em curso no ambiente.

Fluxos de rede podem ser enviados ao QRadar para análise avançada, correlação e detecção de anomalias

Contexto de identidade relaciona usuários e grupos às suas atividades de rede, indo além de políticas baseadas apenas em endereço IP

Contexto de aplicação classifica totalmente o tráfego de rede, independente de porta, protocolo ou técnicas de evasão

Aumente a Segurança Reduza Custos Habilite a Inovação

Page 30: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation30

•Plataforma auxilia no processo de entendimento de vulnerabilidades existentes em equipamentos de rede, aplicações e sistemas operacionais;

•Determina os pontos vulneráveis topologias de rede SCADA, como existência de PLCs com sistemas operacionais desatualizados;

•Organiza as vulnerabilidades encontradas por grupos, ativos e severidades no painel central;

•Exibe feeds em tempo real de notícias e informações sobre existência de vulnerabilidades e advisories de diversos fabricantes.

Gerenciamento de Vulnerabilidades SCADA

IBM Security QRadar Vulnerability ManagerSecurity Intelligence

Page 31: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation31

•Monitoramento de ameaças e resposta a incidentes de segurança de rede e operações de data centers, incluindo os sistemas de SCADA;

•Segurança interna com visibilidade em tempo real dos eventos e ameaças direcionadas as redes e sistemas SCADA;

•Agregação e correlação de logs para análise de diferentes tecnologias e fornecedores;

•Inteligência na visibilidade do Fluxo de Rede em busca de anomalias a partir da correlação dos fluxos com eventos de auditoria de sistemas operacionais, equipamentos de conectividade e aplicações.

•Auditoria de conformidade, relatórios e apontamentos de suporte NERC, CIP, FERC, etc.

Log de Auditoria e Inteligência SCADA

IBM Security QRadarSecurity Intelligence

Page 32: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation32

Log de Auditoria e Inteligência SCADA

IBM Security QRadarSecurity Intelligence

� Determina os padrões de uso típicos para usuários, aplicativos de rede e acesso de dados

� Monitora e alerta desvios significativos, fornecendo visibilidade para o comportamento não autorizado em redes SCADA.

� Ajuste para sazonalidade e tendências de crescimento

� Correlaciona contra a inteligência de ameaças X-Force

Como o IBM QRadar pode ajudarComo o IBM QRadar pode ajudar

– Solução de inteligência de segurança avançada que analisa dados de segurança volumosos para entrega de informações úteis

– Correlação de logs, eventos, fluxos de rede, vulnerabilidades e inteligência de ameaças

– Plataforma totalmente integrada torna a busca, a articulação e a investigação mais fácil e mais rápida

– Arquitetura escalável para as maiores implementações

– Não intrusive no ambiente de rede.

Page 33: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation33

Dicas do IBM X-Force

As estratégias a seguir são recomendadas para ajuda r a proteger seus SCADA ambiente contra ataques:

• Conheça seu ambiente SCADAQuais são as senhas e eles são fortes?

• Capture e armazene dados para análise e futuro forense

• Implemente uma VPN para facilitar o gerenciamento de acesso e de segurança

• Se utilizar WLAN, utilize uma infra - estrutura wireless criptografadas, de preferência WPA ou WPA2

• Ativar os firewalls e as outras ACLs para permitir que apenas acesso de saída para um número muito limitado de sites. Monitore e acompanhe de perto os acessos.

• Implementar IPS de rede para bloquear possíveis ataques e utilizar o conceito de Virtual Patching.

• Executar análises de vulnerabilidades nas redes corporativas e perímetros SCADA

Page 34: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation34

Links úteis

Folder Soluções de Segurança IBM (em português)http://www.ibm.com/common/ssi/cgi-bin/ssialias?subtype=BR&infotype=PM&appname=SWGE_WG_WG_BRPT&htmlfid=WGB03004BRPT&attachment=WGB03004BRPT.PDF

Tolly report (em português)Avaliação Comparativa de Eficácia e Desempenho do Sistema de Prevenção contra Intrusão para Segurança de Redes GX7800 da IBM

ftp://public.dhe.ibm.com/software/security/br/pdf/Tolly_report_IBM_IPS_GX7800_PORT.pdf

Relatório semestral X-Force Riscos e Tendências de Segurança (Março 2013) (em português)https://www.ibm.com/services/forms/signup.do?source=swg-xforce13br

Website (em inglês) : www.ibm.com/securityWebsite (em português) : www.ibm.com/software/products/br/pt/category/SWI00?lnk=mhso

Page 35: Apresentação de soluções IBM realizada no Road Show TI Safe & IBM

© 2013 IBM Corporation35