[Apresentação Técnica] Introdução à Forense Industrial
-
Upload
ti-safe-seguranca-da-informacao -
Category
Technology
-
view
211 -
download
2
Transcript of [Apresentação Técnica] Introdução à Forense Industrial
Introdução à Forense IndustrialMarcelo Branquinho e Leonardo Cardoso
Junho de 2015
Introdução à Forense Industrial
Siga a TI SafeSiga a TI Safe
• Twitter: @tisafe
• Youtube: www.youtube.com/tisafevideos
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe
Não precisa copiarNão precisa copiarNão precisa copiarNão precisa copiar
http://www.slideshare.net/tisafe
• Principais riscos de ataques cibernéticos em infraestruturas críticas
• Panorama da Segurança Industrial no Brasil
• Malware
• APT – Advanced Persistent Threat
• A Lei e seus desdobramentos
• Caso prático
• Forense Industrial
• Desafios à forense em ambientes de T.A.
• Incidente Criminal
• Monitoramento Contínuo
• Incidente Marco Zero
• Melhores Práticas
• A Academia TI Safe
Agenda
Principais riscos de ataques cibernéticos em infraestruturas críticas
Infraestruturas críticas
• São sistemas de infraestrutura para os quais a continuidade é tão
importante que a perda, interrupção significativa ou degradação dos serviços
poderia ter graves conseqüências sociais ou à segurança nacional.
• Exemplos:
– Geração e distribuição de eletricidade;
– Telecomunicações;
– Fornecimento de água;
– Produção de alimentos e distribuição;
– Aquecimento (gas natural, óleo combustível);
– Saúde Pública;
– Sistemas de Transportes;
– Serviços financeiros;
– Serviços de Segurança (polícia, exército)
As Ilhas de automaAs Ilhas de automaAs Ilhas de automaAs Ilhas de automaççççãoãoãoão
Sistemas SCADA, algumas décadas atrás:
• Sistemas proprietários, totalmente dependente de fabricantes.
• Sistemas isolados com arquiteturas fechadas - “Ilhas de automação”.
Arquitetura Básica SCADA
A evoluA evoluA evoluA evoluçççção dos sistemas SCADA ão dos sistemas SCADA ão dos sistemas SCADA ão dos sistemas SCADA
• Sistemas abertos com arquitetura centrada em conectividade.
• Integrações cada vez mais freqüentes com a Intranet corporativa e Internet.
• Acesso a Dados Operacionais• Dashboards; Relatórios
• Centro de Controle para múltiplas Redes Operacionais• Diferentes tipos de acesso
• Diretores/Gerentes• Informação em tempo real• Tomada de decisão no processo
Servidores Servidores
SCADASCADA
Rede Operacional
GatewayGateway
Servidores Servidores
CorporativosCorporativos
Rede Corporativa
��Produtividade Produtividade
��CompetitividadeCompetitividade
A evolução dos sistemas SCADA
• No início os sistemas supervisórios eram desenvolvidos em plataformas
operacionais caríssimas, baseadas em sistemas Unix like e máquinas
poderosas como os Digital Vax e Alpha.
• Desenvolver aplicativos para estas plataformas
era algo extremamente caro.
• Com isto, supervisórios passaram a ser
desenvolvidos para plataformas Windows, cujo
processo de desenvolvimento era muito mais
rápido e os custos globais do projeto eram
bastante reduzidos.
Vulnerabilidades em redes industriaisVulnerabilidades em redes industriaisVulnerabilidades em redes industriaisVulnerabilidades em redes industriais
� Conexões não autorizadas
� Sistemas Vulneráveis
� Suporte Remoto Infectado
� Notebooks Infectados
� Firewall mal configurado
� Modems sem proteção
�Baixa segurança física em dispositivos remotos
Rede Corporativa
Rede Operacional
HackerHacker
HackerHacker
HackerHacker
HackerHacker
Vulnerabilidades
Vulnerabilidades comuns em SCADA
Arquitetura de rede insegura
• Configuração de servidores de FTP, web e e-mail de maneira inadvertida ou sem necessidade
fornecem acesso à rede interna da empresa.
• Conexões de rede com parceiros de negócios não protegidas por Firewalls, IDS ou VPN são
portas de entrada para invasões.
• Modems habilitados, sem mecanismos fortes de controle de acesso.
• Firewalls e outros dispositivos de segurança de rede não implementados internamente,
deixando pouca ou nenhuma separação entre as redes corporativa e de automação.
• Redes sem fio configuradas sem segurança adequada.
• PLCs não requerem autenticação para serem usados.
• Softwares de supervisórios possuem vulnerabilidades publicadas na Internet.
• Pontos de rede de dispositivos no campo como CLPs e remotas estão diretamente
conectados à rede de automação e podem ser porta de entrada para ataques.
Vulnerabilidades comuns
em SCADA (Cont.)
• Falta de monitoramento em tempo real
– LOGs de equipamentos de segurança não são analisados, impedindo o pessoal de
segurança de redes de reconhecer ataques individuais
– Empresas não utilizam software especialista para gestão de logs e incidentes
• Bombas Lógicas
– Pedaços de código intencionalmente inseridos em um sistema de software que
irá executar uma função maliciosa quando condições específicas forem atingidas.
• Falta de Conhecimento e crença em mitos
– “ Nossa rede de automação não está conectada à Internet, então não temos
nenhum problema”
– “ Nossos funcionários são 100% confiáveis”
Panorama da Segurança Industrial no Brasil
• Cada vez mais sofisticados, os ataques cibernéticos são
hoje capazes de paralisar setores inteiros da
infraestrutura critica de um país.
• Os eventos internacionais de grande porte atraem a
atenção do mundo e trazem riscos de invasões virtuais
em infraestruturas críticas brasileiras.
• E o Brasil, estaria blindado contra ataques virtuais como
estes? Já houve incidentes de segurança cibernética no
Brasil? Qual o estado atual da segurança de nossa
infraestrutura crítica?
IntroduIntroduççãoão
• As organizações industriais pesquisadas englobam os principais setores
da indústria brasileira, com uma maior presença das empresas do setor
elétrico e petróleo e gás, mas incluindo também os setores de alimentos
e bebidas, águas e resíduos, transportes e logística, siderúrgicas,
nuclear, mineradoras e indústrias químicas.
RelatRelatóóriorio TI Safe, 2014TI Safe, 2014
• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de
compartilhar publicamente os incidentes de segurança, 55% das empresas
tratam internamente os incidentes de segurança e apenas 12% das empresas
declaram seus incidentes sigilosamente aos fabricantes e consultorias
especializadas de segurança.
DeclaraDeclaraççãoão ppúúblicablica de de
incidentesincidentes de de seguranseguranççaa
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes#
Casos
Malware 27
Erro Humano 24
Falhas em dispositivos 15
Sabotagem 2
Outros - Não
identificados 9
IncidentesIncidentes de de seguranseguranççaa
ciberncibernééticatica industrial no Brasilindustrial no Brasil
IncidentesIncidentes de de seguranseguranççaa
ciberncibernééticatica industrial no Brasilindustrial no Brasil
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras (ainda não divulgado)
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
• O DOWNAD, mais conhecido como “Conficker”, dominou a
contagem de malware em plantas industriais no Brasil.
• Dos 27 casos documentados em nosso estudo, 14 foram
derivados de infecções do Conficker.
• Isso acontece porque plantas de automação não são
atualizadas com os últimos patches, deixando-as expostos a
malwares como o Conficker.
• Além disso, boa parte das plantas industriais brasileiras não
possui política de segurança adequada, medidas para
controle de acesso à rede de automação e proteção de
portas USB.
MalwareMalware, o principal , o principal vilãovilão
Estudo de Caso
Grande Siderúrgica Nacional
• Malware e sua variante: Conficker Win32
• Número de máquinas infectadas: toda a rede, mais de 30 computadores entre eles
servidores, estações de engenharia, estações de operação e gateway. “Não estou
mencionando os problemas do complexo siderúrgico. Apenas relatei a Termelétrica.
Houveram outras infecções nas demais unidades como Alto Forno, Sinter, Coqueria e
Distribuição de Energia”.
• Existia anti-virus na planta, porém estava com as assinaturas desatualizadas.
• Principais consequências da infecção: operação as cegas até o isolamento total do
problema. Entre 2 e 4 horas correndo risco.
• Houve prejuízos financeiros quantificáveis? Não, mas tivemos que explicar o ocorrido
para o O.N.S.
• Como foi o processo de desinfecção e quanto tempo levou? A desinfecção para
retornar a operação segura 4 horas, mas no total levaram mais de 30 dias até
podermos estabelecer todas as interfaces. A última interface estabelecida foi com a
rede corporativa até obtermos total segurança da rede.
• Foi descoberta a origem da infecção? Não. Na época era difícil porque a planta estava
em comissionamento e havia muitas interfaces trabalhando nessas redes.
• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de
incidentes de segurança cibernética industrial desenvolvido e em produção.
• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa
quando ocorrem incidentes de segurança.
• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este
processo.
GestãoGestão de de incidentesincidentes
de de seguranseguranççaa ciberncibernééticatica
Malware
Definição
• Malware, ou software malicioso, é um termo relativamente novo para o
mundo da tecnologia da informação.
• Agrupa todo software ou programa criado com a intenção de abrigar
funções para:
– penetrar em sistemas
– quebrar regras de segurança
– servir de base para operações
ilegais e/ou prejudiciais
Exemplos de Malware
• Virus
– Funções específicas para cópia e dispersão, normalmente vem anexados em
arquivos de programas e formatos populares de documentos.
• Worms
– Parecidos com os vírus, porém se propagam na rede independente das ações
do usuário (não é necessário clicar no arquivo).
• Trojans� Enganam o usuário, que pensa estar executando algo legítimo quando na realidade está sendo atacado.
• Zumbis DDoS / BOTs� Abrem o computador para processar por terceiros. Os usuários infectados normalmente não tem qualquer sinal
do que ocorre (exceto sobrecarga da CPU).
• Keylogger� Normalmente inseridos via trojans, capturam as teclas digitadas e cliques do mouse e transfere as informações
através da Internet para seu desenvolvedor.
• Pranks� Malware que implica com o usuário.
Como o Malware se instala?
• Exploits.
• Uso de mídias removíveis (Pen Drives, HD Externos).
• Compartilhamentos na rede.
• Comunicação entre servidores OPC de diferentes plantas.
• Uso de redes 3G na rede de automação.
• Funcionários insatisfeitos.
• Falta de perícia do usuário (clicar no anexo...).
Mecanismo de Persistência
� Mata anti-virus e anti-malwares que
não o tenham detectado para que
não recebam novas assinaturas e
passem a detectá-lo.
� Tenta se espalhar sozinho para
outras máquinas e mantém um
protocolo próprio que avisa os outros
pares quando está sendo
exterminado, forçando a re-infecção.
� Deixa máquinas - já com patch -
vulneráveis ao corromper o serviço
Server da máquina
APT – Advanced PersistentThreat
O que é um APT
• APT é a abreviatura de “advanced
persistent threat” (ameaça persistente
avançada).
• O objetivo final de um ataque APT é atingir a
máquina em que exista algum tipo de
informação valiosa.
• APTs implementam ataques direcionados a
alvos específicos e são personalizados para
atingir vítimas com características muito
particulares, como infraestruturas críticas, por
exemplo.
• Esses ataques podem simultaneamente usar (e
frequentemente usam) mais de uma técnica.
Stuxnet, o primeiro APT famoso
• O Stuxnet é um APT desenvolvido para atingir
sistemas de controle industriais que usam PLCs
Siemens.
• Seu objetivo aparenta ser a destruição de
processos industriais específicos.
• O Stuxnet infecta computadores com sistema
operacional Windows no controle de sistemas
SCADA, independente de ser ou não Siemens.
• O Stuxnet somente tenta fazer modificações em
controladoras dos PLCs modelos S7-300 ou S7-
400, entretanto ele é agressivo e pode afetar
negativamente qualquer sistema de controle.
Computadores infectados também podem ser
usados como uma entrada para futuros ataques.
Como funciona o Stuxnet?
• O Stuxnet é um dos mais complexos e bem projetados APTs que se tem conhecimento. Ele tira vantagem de
pelo menos 4 vulnerabilidades zero-day e mostra considerável sofisticação na exploração de sistemas
Siemens.
• Quando instalado em um computador, o Stuxnet tenta localizar as estações programáveis Siemens STEP 7 e
infectá-las. Caso tenha sucesso, ele substitui as DLLs do STEP 7 de maneira que qualquer pessoa que veja a
lógica do PLC não verá quaisquer mudanças que o Stuxnet tenha feito anteriormente nos PLCs.
• O Stuxnet então procura modelos específicos de PLCs Siemens (6ES7-315-2 e 6ES7-417). Caso ele consiga se
conectar a um destes dois modelos, ele realiza um fingerprint do PLC ao checar a existência de configurações
de processos e certas strings nos PLCs.
• Se o Stuxnet encontra o que está procurando no PLC, ele começa uma de três seqüências para injetar código
STEP 7 no PLC. O driver Profibus do PLC é substituído e o bloco de programa principal (Bloco organizacional
1) e o bloco de watchdog primário (Bloco organizacional 35) são significantemente modificados.
Dependendo de qual seqüência tiver sido selecionada, dentre 17 a 32 blocos de funções e blocos de dados
são injetados no PLC.
• O PLC infectado agora aparenta esperar por um evento específico para ocorrer, que ele detecta ao monitorar
uma variável. Se esta variável encontra um valor específico (0xDEADF007), então ela altera a execução do
processo lógico e impede a lógica original do bloco de watchdog de executar. O quanto esta mudança na
lógica impacta os processos industriais atuais ainda é desconhecido.
Stuxnet ataca
usinas Iranianas (2010)
http://www.reuters.com/article/idUSTRE6AS4MU20101129
http://arstechnica.com/business/news/2012/04/stuxnet-worm-reportedly-planted-by-iranian-double-agent-using-memory-stick.ars
• O Stuxnet foi instalado em um pen-drive e
transportado por um agente duplo iraniano
contratado pelo governo de israel e acima de
qualquer suspeita que o conectou a um
computador do sistema de segurança.
• Uma vez introduzido o vírus se espalhou
silenciosamente durante meses procurando por
PLCs Siemens.
• Os PLCs visados estavam nas centrífugas que
são usadas no processo de enriquecimento do
urânio a ser usado para a construção de bombas
atômicas
http://www.csmonitor.com/USA/Foreign-Policy/2010/1004/Iran-s-Bushehr-nuclear-plant-delayed-Stuxnet-
not-to-blame-official-says
Stuxnet ataca
usinas Iranianas (cont.)• Em condições normais de operação as
centrífugas giram tão rápido que suas
bordas externas se deslocam com
velocidades quase sônicas.
• O Stuxnet aumentou a velocidade das
centrífugas para 1600 km/h
ultrapassando o ponto em que o rotor
explodiu.
• Simultanemante o Stuxnet enviava
sinais falsos para os sistemas de
controle indicando que tudo funcionava
normalmente.
• Aproximadamente 1000 centrífugas
foram afetadas e o programa nuclear
iraniano paralisado.
A Anatomia do Stuxnet
A Lei e seus desdobramentos
20022002
1.0161.016
do Cdo Cóódigo Civildigo Civil
Lei 10406 deLei 10406 de
Art.Art.
• Art. 1.016. Os administradores respondem solidariamente perante a sociedade e aos
terceiros prejudicados, por culpa no desempenho de suas funções.
ImperImperííciacia ImprudênciaImprudência NegligênciaNegligência
• A empresa possui direito de regresso. Portanto pode acionar judicialmente o
executivo responsável pelo setor / área envolvido na origem do incidente de
segurança.
Seja por:
Podendo atingir:
Lei 10406 de 2002
Caso prCaso práático tico -- vvíídeodeo
Na prática - vídeo
Fonte: RJTV
Alguém sabe a causa deste incidente?
Aparentemente NÃO!
Alvos de ataque hacker SCADA: IHM, PLC, RTU, BDs
Mascarar o que o operador está vendo
Induzir ao erro
Geralmente só dá tempo de correr…
Alvos de um ataque
IHM
Supervisório
RTU
PLC
Forense Industrial
O desafio da Forense na indústria
Desafios à forense em ambiente de T.A.
A maioria dos dispositivos e sistemas de controle não possuem tecnologia capaz de coletar e
armazenar dados que venham a ser utilizados logo após um sinistro ou incidente de
segurança.
O rito tradicional de uma perícia forense não é suficiente para endereçar os eventos de uma
planta de automação industrial.
Arquiteturas industriais não utilizam firewall, IPS/IDS e nem uma solução unificada de
guarda e interpretação de logs (SIEM). O fator tempo é crucial!
Há a dependência do envolvimento do fabricante em análises dos eventos e
incidentes de segurança.
Demanda-se então:
Melhores práticas de respostas a incidentes de segurança
Especificações técnicas do ambiente SCADA
Categorização das tecnologias empregadas na planta
Definir as singularidades dos sistemas de controle
Coleta e métodos de análise
Manter capacidade técnica para a realização de forense
Documentar os requerimentos de controles de processos
DocumentaDocumentaçção de sistemasão de sistemas
Sistema de Controle Forense
Ocorrência Criminal
Incidente e
A realidade industrial versa sobre cenários com ciclos de produção previstos para meses
e anos.
Preservação da cena do crime
As paradas programadas são poucas e oferecem reduzidas janelas de manutenção.
Ao contrário de um ambiente de T.I., não podemos simplesmente parar tudo para fazer a
custódia de HDs. A preservação de evidências é impossível em alguns cenários.
Como provar o crime considerando que a IHM, PLC, RTU ou BD sofreram ataque
hacker e foram comprometidos?
O ambiente de automação deve estar configurado de forma a manter e a preservar o
monitoramento contínuo e respectivos logs de todos os ativos da planta industrial que
sejam passíveis disto.
Usar software SIEM para gerir trilhas de auditoria forense.
O SIEM deve analisar e correlacionar logs de firewalls, switches, máquinas, etc.
Configurado para alarmar por tipo de incidente e ocorrência.
Nunca deve ser reativo!
Deve-se levar em consideração que autômatos como PLCs e RTUs também são
passíveis de ataques e comandos externos.
Preservação da cena do crime
Protocolos industriais que trafegam dados em tempo real.
Monitoramento de todos os processos supervisórios e também da latência da rede
comparados aos padrões operacionais normais.
Ponto fora da curva - Comparar anormalidade imediatamente com a IHM.
Alarmes deverão ser disparados a todos os envolvidos na operação e
manutenção.
Os logs deverão ser imediatamente analisados e já contemplados em
política de backup e storage externo.
Contemplar:Contemplar:
Monitoramento Contínuo
Monitoramento Contínuo
Monitoramento Contínuo
Estado da arte: geração de trilhas de auditoria forense
Monitoramento Contínuo
Análise do log com destaque para
os pacotes 154, 156 e 162.
154154 - o atacante enviou um comando de
parametrização IOA 4821 para 50.354%
para a remota.
156156 – A RTU atendeu o comando.
162162 – A remota informa que o comando
foi realizado com sucesso e que as
comportas do reservatório foram abertas.
A PLANTA FOI A PLANTA FOI
INVADIDA E INVADIDA E
COMANDADA POR UM COMANDADA POR UM
AGENTE EXTERNOAGENTE EXTERNO
Análise de Log
http://pt.slideshare.net/tisafe/white-paper-detectando-problemas-em-redes-industriais-
atravs-de-monitoramento-contnuo
Baixem o White Paper TI SAFE
Dicas
Perícia de Marco Zero
Incidente
Forense
Planta industrial paralisada por vários dias em decorrência de infecção por vírus onde este
interferia nos comandos dos CLPs e degradava a velocidade de rotação dos autômatos por
eles comandados. Então o que fazer neste caso?
Necessário retirar todos os computadores da rede local, desinfectá-los um a um, realizar
uma varredura completa em seus logs de sistemas identificando qual máquina originou e
deu início a toda a infecção e assim por diante
Somente sob a certeza de que todas as máquinas estavam isentas de
pragas virtuais é que estas voltaram à operação normal em rede.
Diante deste quadro urge que sejam implementadas melhores práticas forenses em ambientes industriais informatizados.
Caso Real – Marco Zero
1. Como saber se há invasão
2. Decidir o que consertar primeiro
3. Perícia em equipamentos de campo
4. Acesso físico
Melhores Práticas
1. Como saber se há invasão?
a. Os ataques podem parecer problemas anormais ou até mesmo problemas corriqueiros
no seu painel de controle. Mas assim mesmo devem ser investigados.
b. Procure por indicadores como mudanças bruscas em diversos sinais de mal
funcionamento, persistência e telas azuis de dumping de memória.
c. Investigue no campo os indicadores e os compare com os apresentados na
tela do painel de controle do monitoramento contínuo.
d. Compare as leituras dos sistemas de segurança com as leituras dos
sistemas de controle
e. Logs a serem analisados – firewall, DNS, Proxy, IPS/IDS, routers e
switches, tráfego de rede, acessos físicos,…
Melhores Práticas
2. Decidir o que consertar primeiro
a. Definir as prioridades processuais para o retorno da operação. Ambiente mínimo.
b. Pode ser perda de tempo tentar restaurar tudo ao mesmo tempo.
c. Use o mínimo recomendado para mode ON.
d. Tentar operar manualmente sistemas auxiliares.
e. Religar sistema primário com a certeza que não serão reinfectados.
f. Tenha sempre HW backup como PLCs, routers, etc..
Melhores Práticas
3. Perícia em equipamentos de campo
a. Ainda usa modem? Cheque as linhas e LSS – line sharing switch. Mantenha os logs do
PABX. Ative logs de I/O. #war #dialing
b. Cheque por evidências de alteração em configurações operacionais. #SETUP
c. Analise o #firmware encontrado no equipamento suspeito através da
comparação de HASH. Ou ainda comparar os binários.
d. Tentar operar manualmente sistemas auxiliares.
e. Religar sistema primário com a certeza que não serão reinfectados.
f. Tenha sempre HW backup como PLCs, routers, etc..
i. Setup padrão x fabricante (reset) x suspeito
Melhores Práticas
4. Acesso físico
a. Cheque CFTV
b. Cheque acessos a setores, elevadores, catracas e portas.
c. Analise alarmes.
d. Registro de visitantes.
Melhores Práticas
Referências
1. American Academy of Forensic Sciences. Disponível em: http://www.aafs.org/about-aafs.Acesso em 08 set. 2013.
2. SCADA Network Forensics with IEC-104, Disponível em: http://www.netresec.com/?page=Blog&month=2012-08&post=SCADA-Network-Forensics-with-IEC-104. Acesso em 11 set. 2013.
3. FABRO, MARK. CORNELIUS, ERIC. Creating Cyber Forensics Plans for Control Systems. Disponível em: http://www.inl.gov/technicalpublications/Documents/4113665.pdf. Acesso em 10 set. 2013.
+Único livro sobre
segurança SCADA escrito em português
no mundo
Único livro sobre segurança SCADA
escrito em português no mundo
Academia TI SafeAcademia TI Safe
• Formação Presencial
• Formação via ensino a distância (EAD)
• Certificação CASE
FormaFormaççãoão PresencialPresencial
• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)
• Alunos recebem livro texto e material didático complementar em formato digital
• Formação com 20h de duração
• Instrutores com anos de experiência em segurança de automação industrial
• Objetiva formar profissionais de T.I. e T.A.:
– Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS
(Cyber Security Management System) preconizado pela norma ANSI/ISA-99
– Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas
empresas brasileiras
Próximas turmas em 2015:•Rio de Janeiro: de 9 a 11 de Setembro
•São Paulo: de 22 a 24 de Setembro
•Salvador: de 30/9 a 2 de Outubro
FormaFormaçção via ão via
Ensino a Distância (EAD)Ensino a Distância (EAD)
Matricule-se em www.tisafe.com/ead_fsaiMatricule-se em www.tisafe.com/ead_fsai
CertificaCertificaççãoão CASECASE
• Prova online com 60 perguntas de múltipla
escolha em português.
• Tempo de prova: 90 minutos.
• As questões com pesos diferentes. Aluno será
aprovado se acertar 70% do valor total dos
pontos.
• Se aprovado o aluno receberá o certificado por
e-mail e seu nome será incluído em listagem no
site da TI Safe.
• Os certificados tem 2 anos (24 meses) de
validade a partir da emissão.
• Guia de estudos, simulado e calendário
disponíveis no website.
Matricule-se em www.tisafe.com/ead_case
Matricule-se em www.tisafe.com/ead_case
Dúvidas?