CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
-
Upload
ti-safe-seguranca-da-informacao -
Category
Technology
-
view
292 -
download
0
Transcript of CLASS 2016 - Palestra Paulo Antunes de Souza Jr.
Unrestriced © Siemens Ltda. 2015 siemens.com/energy-automation-products
Segurança cibernética para sistemas de
automação de energia
Como a Defesa em Profundidade Pode Aumentar a Segurança Cibernética em Instalações Críticas
Digital Grid
Paulo Antunes – Siemens
Marcelo Branquinho – TI Safe
Andreas Kiefer – Siemens
Cosme dos Santos – Siemens
Edson Videira - Siemens
Pág. 2 EM DG EN
1 – IEC-61850 e a aplicação de redes Ethernet em Infraestrutura Crítica
• Com a publicação da norma IEC-61850 no ano de 2003, cada vez mais sistemas de automação de energia começaram a contar com redes Ethernets e conectividade
com o segmento Intranet das empresas de geração, transmissão e distribuição de energia.
• No entanto, essa expansão do perímetro tem aumentado o risco de exposição desses sistemas e, consequentemente, a possibilidade de ataques cibernéticos. Este problema, embora mais comum e já bastante discutido no ambiente de Tecnologia da Informação, ainda não recebeu a devida atenção nos ambientes industriais e nas instalações críticas.
Pág. 3 EM DG EN
1 – IEC-61850 e a aplicação de redes Ethernet em Infraestrutura Crítica
Bay
Parallel wiring
Fault recorderProtection
RTU
Mimic boardAncient past
Parallel wiring
1st generation:Standard cabling
Recent past
Other bays
Serial connection
Parallel wiring
Bay
Substationcontroller
Control Center
HMI
2nd generation:Point-to-point connectionssince 1985 ........
3rd Generation: Digital Substations
Pág. 4 EM DG EN
2 – Ataques a Infraestrutura Crítica
• Em 25/01/2003, a usina nuclear Davis-Besse, em Oak Harbour - Ohio, foi infectada com o worm "Slammer“ do MS SQL.
• A infecção causou sobrecarga de tráfego na rede local. Como resultado, o Sistema de Segurança de Display de Parâmetros (DOCUP) ficou inacessível por quase 5h, e o computador de processos da planta por mais de 6h;
• Um firewall estava no local para isolar a rede de controle da rede da empresa, no entanto, havia uma conexão T1 a partir de uma empresa de consultoria de software, que entrou na rede de controle por trás do firewall, ignorando todas as políticas de controle de acesso impostas pelo firewall corporativo.
Pág. 5 EM DG EN
2 – Ataques a Infraestrutura Crítica
• Em 23/12/2015, distribuidoras de energia na Ucrânia vivenciaram interrupções não planejadas de energia elétrica. Essas interrupções foram causadas por Cyber Attacks;
• As interrupções foram causadas por intrusões remotas em 3 diferentes empresas de distribuição de energia, impactando aproximadamente 225 mil consumidores.
• Durante os ataques, manobras de disjuntores de energia foram realizadas remotamente através de acessos VPN, com o objetivo de causar as interrupções de energia.
• Alguns sistemas (Gateways e IHM´s) foram apagados usando o malware KillDisk ao término do ataque, dificultando a recuperação do sistema elétrico. Paralelamente, ligações telefônicas falsas foram feitas para o SAC, impedindo que clientes reais informassem a falta de energia.
• Em todas empresas atacadas, foi encontrado o malware BlackEnergy. No entanto, ainda não está clara a relação do malware com os Cyber Attacks.
https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01
Pág. 6 EM DG EN
2 – Ataques a Infraestrutura Crítica
Fábricas de armas nucleares Fábricas de cyber-armas
Pág. 7 EM DG EN
2 – Ataques a Infraestrutura Crítica
Usando toolkits baixados da internet precisam de muito pouco conhecimento técnico para lançar um ataque:
Pág. 8 EM DG EN
3 – Honey-Pot SCADA Brasileito
Exposição de um sistema SCADA à internet. Analisando o total de incidentes (361), com o período de tempo de exposição do sistema (90 dias), tem-se uma média de 4,01 incidentes por dia (Regis Carvalho – 2014):
Origem Faixa IP Ataque Total
Brasil, EUA, Alemanha, Argélia, Indonésia TCP SYN – Port SCAN 14
EUA UDP – Port SCAN 1
Brasil, EUA, Paraguai Modbus – Fluxo Inválido de gravação
82 Brasil Modbus – Requisição de Leitura
Brasil, Rússia, Romênia, Suiça, Suécia Modbus – Leitura de identificação do CLP
EUA, Brasil, Canadá, Espanha Conficker 6
Argentina, China, Espanha, Indonésia, Índia, Suiça
SQL Slammer 40
Alemanha, Coréia do Sul, EUA, França, Holanda, República Tcheca, Suécia, Ucrânia
DoS 218
Pág. 9 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Conectividade aumenta o
risco de ataques
cibernéticos
Acesso não
autorizado HMI
Malware
Field Level
Substation Level
Ataques via internet
Control Center Level
Pág. 10 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Condições:
Infraestrutura Crítica
Operação 24/7
OS Windows e Linux
Interfaces com redes não seguras
Interfaces com Intranet empresas
Componentes legados
Tecnologias proprietárias
Combinação de componentes de
diferentes fabricantes
Station level
Field level
Switch
Switch
Switch Switch
Switch
Switch
Switch
Switch
Control center
Untrusted network
Remote access
Service PC
HMI PC Station controller
IEDs Protection and field devices
Router
Pág. 11 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Station level
Field level
Switch
Switch
Switch Switch
Switch
Switch
Switch
Switch
Control center
Untrusted network
Remote access
Service PC
HMI PC Station controller
IEDs Protection and field devices
Router
! Acesso não autorizado
!
Uso indevido de direitos de adm !
!
! Ataques via Internet
!
! Malware
!
Firmware modificado !
!
Possíveis Atacantes:
Organizações Criminosas
Script Kiddies
Funcionários da empresa
etc
!
Sequestro de dados/sistema !
! ! !
Pág. 12 EM DG EN
4 – Ameaças para sistemas baseados em IEC-61850
Stat
ion lev
el
Acesso Remoto
Malware
Malware
Acesso não autorizado
Ataques via Internet
Service PC
Field
leve
l
Riscos para IHMs sem elementos adequados de
segurança:
Com uma IHM sem controle de acesso, é possível conseguir acesso não autorizado e controle da subestação
IHMs que não passaram pelo processo de hardening ou estão com sistemas e hotfixs desatualizados são vulneráveis a malwares e vírus
Malwares/virus podem gerar valores de processo incorretos na tela de operação ou influenciar os IEDs de maneira maliciosa
Condições favoráveis para hackers obterem exito no ataque se a IHM pode ser acessada remotamente (arquitetura sem conceito de defesa em profundidade)
IHM
Pág. 13 EM DG EN
5 – Defesa em Profundidade (Defense in Depth)
• A defesa em profundidade é originalmente uma estratégia militar, que tenta atrasar o ataque, ao invés de preveni-lo.
• Adaptando ao cenário de automação de energia, o esquema visa não apenas prevenir brechas de segurança, mas garantir tempo à organização para detectar e responder ao ataque. Assim, reduzir e mitigar as consequências da exploração de uma vulnerabilidade de segurança.
• A aplicação direta dessa filosofia em uma arquitetura de um sistema de automação de energia
consiste na utilização de diversos mecanismos de proteção, desde o ponto de acesso da subestação com a Intranet da empresa, até os IEDs (Intelligent Electronic Devices) instalados para a proteção e controle do sistema de energia elétrica.
Pág. 14 EM DG EN
6 – Mitigação de Riscos
A solução de defesa em profundidade, associada a outros mecanismos, ajuda a aumentar a segurança cibernética de uma infraestrutura crítica:
• Segmentação de rede e utilização de DMZ (Demilitarized Zone);
• Uso de Firewalls Industriais combinado com funcionalidade de VPN;
• Criptografia de protocolos de controle remoto (ex. IEC-104 e DNP 3.0);
• Uso de aplicativo Whitelisting (alternativamente ao Antivírus convencional);
• Hardening: um processo que consiste em aumentar a segurança de um sistema reduzindo a superfície de ataque;
• Firmwares de IEDs com assinatura digital;
• Uso de Radius Server (Remote Authentication Dial In User Service);
• Gestão de Senhas centralizada
Pág. 15 EM DG EN
7 – Arquitetura de rede Segura
Pág. 16 EM DG EN
7 – Arquitetura de rede Segura DMZ
• Não é possível acesso remoto direto da Intranet para a Zona da Subestação;
• O acesso é feito inicialmente ao computador da Zona DMZ;
• A conexão remota é feita via VPN, com verificação de certificado digital para acesso ao sistema.
Pág. 17 EM DG EN
7 – Arquitetura de rede Segura DMZ
• Uma vez conectado à estação local, o usuário pode:
• Acessar o Gateway da SE;
• Acessar o IHM;
• Acessar os IEDs;
• Para acessar arquivos de oscilografia, obter log de eventos, modificar parâmetros remotamente, etc.
Pág. 18 EM DG EN
7 – Arquitetura de rede Segura Hardening
1. Switches: • Desabilitar FTP;
• Desabilitar múltiplos acessos;
• Alterar senha padrão;
• Desabilitar Telnet;
2. Gateway e IHMs (Windows OS): • Habilitar Firewall;
• Desabilitar USB;
• Desabilitar serviços não utilizados do
Windows;
• Instalar Hotfix / Patches Testados;
3. IEDs: • Desabilitar Acessos não utilizados (Web
Monitor);
• Alterar senha padrão;
Switches
Switches
Pág. 19 EM DG EN
7 – Arquitetura de rede Segura Antivírus / Whitelisting
Antivírus ou Whitelisting?
• Antivírus (AV): apropriado para sistemas dinâmicos, que passam por constante instalação e atualização de aplicativos;
• Whitelisting (WL): apropriado para sistemas que não sofrem alterações constantes;
WL
AV
WL
AV
Pág. 2
0
EM
DG
EN
8 –
No
rma
s V
ige
nte
s p
ara
Au
tom
aç
ão
de
En
erg
ia
Realiz
atio
n
Gu
idelin
e
Req
uire
men
t
Vendor Operator Integrator
IEC
62443-2
-2 O
pera
ting IA
CS
Sec. P
rogra
m
IEC
62443-2
-1 E
stablish
IAC
S S
ec. P
rog
ram
IEC 62443-3-3
System security requirements and security levels
IEC 62443-4-1
Product development requirements
IEC 62443-4-2
Technical security requirements for IACS products
BDEW Whitepaper
“Ausführungshinweise”
NE
RC
-CIP
NIST SP800-82
Guide to Industrial Control - Systems (ICS) Security
ISO
/IEC
27019
DIN SPEC 27009 - Annex B
BDEW Whitepaper
WIB Report
M2784-X-10
IEC 62443-2-4 Installation and
maintenance requirements for IACS suppliers
NISTIR 7628
Guidelines for SmartGrid Cyber Security
IEC 62351
Data and communication security
Pág. 21 EM DG EN
9 – Situação das Empresas Brasileiras de Energia
• Observa-se que a legislação brasileira tem construção bastante antiga e, portanto, defasada em
termos do contexto atual de segurança cibernética.
• Movimento crescente pelos setores envolvidos para mitigar os potenciais danos :
• PNSIEC (Plano Nacional de Segurança das Infraestruturas Críticas);
• Os Grupos Técnicos de Segurança das Infraestruturas Críticas de Energia, Transportes, Comunicações, Água, e Finanças;
• O Grupo de Trabalho de Segurança das Infraestruturas Críticas da Informação;
• Equipes de resposta e tratamento de incidentes. como o CERT.br;
• Rede Nacional de Segurança da Informação e Criptografia (RENASIC), gerenciada pelo CDCiber do Ministério da Defesa.
Pág. 22 EM DG EN
9 – Situação das Empresas Brasileiras de Energia
Destacam-se os trabalhos no contexto do RENASIC , um conjunto de ação práticas aplicadas às Infraestruturas Críticas como:
• Desenvolvimento de mapa de rota para segurança SCADA no Brasil;
• Plano de capacitação;
• Normatização e aspectos regulatórios, aspectos de certificação e homologação;
• Iniciativas de P&D;
• Criação de um ICS-CERT Nacional.
Pág. 23 EM DG EN
10 - Conclusão
• Uma opção é defesa em profundidade associada a outros elementos de segurança, pois criam ambiente muito mais seguro do que o atual;
• Segurança Cibernética não depende apenas da instalação de equipamentos! É necessária a capacitação do corpo técnico que opera e mantém sistemas de infraestrutura critica. Grande parte dos ataques a sistemas começa com a chamada “Engenharia Social”!
• O Brasil está no foco devido à Copa do Mundo de 2014 e às Olimpíadas de 2016. Casos reais de ataques e o resultado do “Honey Pot SCADA” mostram o interesse mundial em sistemas de energia;
• A legislação e regulamentação devem mudar rapidamente para garantir que esses sistemas possuam o mínimo de recursos para mitigar as vulnerabilidades;