Gerenciamento de

Vulnerabilidades em Sistemas

de Controle IndustriaisClavis Segurança da Informação

Características Clavis

• Empresa especializada em Segurança Ofensiva.

• Atuante nas áreas de Consultoria, Treinamento e

Pesquisa.

• Forte atuação em setores como Comércio

Eletrônico, Bancário, Forças Armadas e

Infraestruturas Críticas.

• Sócio Diretor Técnico da Clavis Segurança da Informação

• Teste de Invasão em Redes, Sistemas e Aplicações

rafael@clavis.com.br

@rafaelsferreira

rafaelsoaresferreira

Apresentação

Agenda

• Objetivos

• Problemas

• Estudos de Caso

• Soluções

• Conclusões

”Industrial control system (ICS) is a general term that

encompasses several types of control systems, including

supervisory control and data acquisition (SCADA) systems,

distributed control systems (DCS), and other control system

configurations such as skid-mounted Programmable Logic

Controllers (PLC) often found in the industrial sectors and

critical infrastructures.”

Fonte: NIST Special Publication 800-82

Sistemas de Controle Industriais

• Mapeamento de Redes e de Dispositivos

• Monitoramento pró-ativo e contínuo da rede

• Auditoria de redes e gestão automatizada de vulnerabilidades

Gerenciamento de Vulnerabilidades - Objetivos

• Possibilidade de ocorrência de efeitos colaterais de alto impacto em testes de experimentações por varreduras

• Indisponibilidade, comportamento anômalo e falhas de

operação

• Ações incorretas podem causar perdas financeiras, danos

físicos a equipamentos, ferimentos e até mortes

Gerenciamento de Vulnerabilidades - Problemas

Dutos de Gás – União Soviética - Junho de 1982

• Operação da CIA em plena Guerra Fria.

• Espionagem e sabotagem de software exportados.

• Maior explosão não-nuclear da história.

• Mais informações em:

http://www.telegraph.co.uk/news/worldnews/northamerica/

usa/1455559/CIA-plot-led-to-huge-blast-in-Siberian-gas-

pipeline.html

Estudos de Caso

Controle de Tráfego Aéreo - Inglaterra – Março de 1997

• Acesso via modem dial-up à rede de telefonia.

• Serviços críticos como torre de controle, policiamento,

brigada de incêndio, meteorologia, logística, iluminação

da pista e até impressão, ficaram incomunicáveis.

• Mais informações em:

http://www.cnn.com/TECH/computing/9803/18/juvenile.hac

ker/ index.html

Estudos de Caso

Fornecimento de Gasolina - Estados Unidos - 1999

• Falha no sistema de monitoramento e controle da pressão

nos dutos

• Vazamento de 900 mil litros de gasolina

• Além dos danos patrimoniais, 3 mortes e 8 feridos

• Mais informações em:

http://www.ntsb.gov/news/2002/021008.htm

Estudos de Caso

Tratamendo de Lixo – Austrália – Abril de 2000

• Software malicioso instalado previamente por funcionário

• Retaliação motivada por projeto reprovado

• Aproximadamente 1000 litros de lixo despejados em rios e

parques

• Mais informações em:

http://www.theregister.co.uk/2001/10/31/

hacker_jailed_for_revenge_sewage/

Estudos de Caso

Usina Nuclear – Estados Unidos – Janeiro de 2003

• Software malicioso infectou servidores de banco de dados

(Microsoft SQL Server) na rede privada da usina

• Monitoramento ficou fora do ar por pelo menos 5 horas

• Os maiores danos foram causados pela grande

quantidade de tráfego gerado pelo worm Slammer

• Mais informações em:

http://www.securityfocus.com/news/6767

Estudos de Caso

Sistema de Sinalização – Estados Unidos – Agosto de 2003

• Software malicioso infectou milhões de computadores

• Uma série de composições de trem ficaram

impossibilitadas de trafegar devido a falhas na sinalização

• Mais informações em:

http://www.cbsnews.com/stories/2003/08/21/tech/main569

418.shtml

http://www.informationweek.com/story/showArticle.jhtml?

articleID=13100807

Estudos de Caso

Centrífugas Nucleares – Irã – Julho de 2010

• Utilização de software desenvolvido especificamente para

sistemas de controle e automação -> Stuxnet Worm.

• Envolvia desde técnicas clássicas de contaminação até

exploração de vulnerabilidades do tipo zero day

• Mais informações em:

http://www.seginfo.com.br/o-codigo-fonte-do-stuxnet-esta-

disponivel- online/

Estudos de Caso

Shodan

• Sinais e Cameras de Trânsito

• Filtros de Piscina

• Equipamentos Hospitalares, Hoteleiros e Domésticos

• Teleférico

• Lava a jato

• Mais infomrações em:

http://money.cnn.com/gallery/technology/security/2013/05/

01/shodan-most-dangerous-internet-searches/9.html

Estudos de Caso

OctopusGerenciamento de Eventos e

Informações de SegurançaClavis Segurança da Informação

Gerenciamento de Eventos e Informações de Segurança

BARTBaselines, Análises de Risco

e Testes de SegurançaClavis Segurança da Informação

Gestão de Vulnerabilidades

Leitura Recomendada

• Se algo esta errado, você deve ser o primeiro a saber.

• Quanto mais rápida a resposta, melhor!

• Não existe sistema inviolável, é preciso monitorar de

maneira contínua.

• Prepare-se pra tudo!

Conclusões

rafael@clavis.com.br

rafaelsoaresferreira

Rafael Soares Ferreira

Muito Obrigado!

Standards

Certification

Education & Training

Publishing

Conferences & Exhibits

As iniciativas da ISA

Distrito 4 para a

padronização da segurança

cibernética das redes de

automação brasileiras

Carlos Mandolesi Vice Presidente - ISA América do Sul CLASS 2016 – São Paulo 20/Maio/2016

Quem é a ISA - International Society of Automation ?

Associação sem fins lucrativos Fundada em 1945 nos EUA Atualmente possui 40.000 membros em todo o

mundo

Dividida no mundo em: 14 Distritos (Regiões) 154 Seções Profissionais 169 Seções Estudantis 323 Seções no Total

Site: www.isa.org

VISÃO

VISÃO: Trabalhar em parceria com os seus membros, clientes e

especialistas no assunto para disseminar informações de

automação em todo o mundo, com qualidade e de forma

imparcial.

Sede da ISA nos EUA

• Research Triangle Park (RTP), Durhan / Carolina do Norte / EUA

PRESENÇA MUNDIAL DA ISA

PRESENÇA NA AMÉRICA DO SUL

Venezuela

Bolivia

Par.

Brasil

Argentina

Ch

ile

Colombia

Eq.

Peru

Trinidad & Tobago

Student Section 20 - Universidad del Cauca

21 - Campos dos Goytacazes School

22 - CEFET - Cubatao - SP

23 - CEFET – Leopoldina - MG

24 - Universidad Federal de Itajuba

25 - Escuela Politecnica Nacional Ecuad

26 - Esc.Politecnica Universidade de SP

27 - Escola Senai de Santos

28 - Institute Tecnologico Sulcre de Quito

29 - Seção Estudanil Gaúcha

30 - Senai-Prof Zerbini

31 - Instituto TECSUP

32 - Sertaozinho Estudantil

33 - Universidade Católica de Minas Gerais

34 - Universidad de los Andes

35 - Universidad Fracisco de Paula Santander

36 - Universidad Nacional Del Callao

37 - Universidad Ricardo Palma

02

09

21

12

17

16 23

27 15

26 04

30

07

13

01 05

37

10

31

08

06 20

34 18

14

22

33 03

Seções Estudantis

Seções Profissionais

Escritório da ISA Distrito4

Regular Sections 01 - Argentina

02 - Bahia

03 - Belo Horizonte

04 - Campinas

05 - Chile

06 - Colombia

07 - Curitiba

08 – Ecuador

09 - Espírito Santo

10 - Peru

11 - Recife

12- Rio de Janeiro

13 - Rio Grande do Sul

14 - San Fernando, Trinidad

15 – São Paulo

16 - Sertaozinho

17 - Vale do Paraíba

18- Venezuela Metropolitan

25

24

28

29

11

19

32

36

35

Atividades Realizadas

pela ISA

Treinamentos

Treinamentos - Laboratórios

Certificação Profissional

Certified Automation Professional® (CAP®) Program

ISA Certified Control Systems Technician® (CCST®) Program

Publicações

• Livros da ISA – Dezenas de títulos escritos por especialistas da indústria

– Baseados em implementações e uso da tecnologia

– Membros da ISA possuem desconto

• Artigos Técnicos da ISA – Centenas de artigos publicados nos eventos da ISA

– Download gratuito para membros da ISA

• ISA Transactions – Jornal internacional para publicações de pesquisa e

desenvolvimento em medição e automação

– Publicação bimestral, indexada pela Elsevier

– Acesso online gratuito para membros

• Base de Dados da ISA – Diretório online mundial com empresas e fornecedores de

automação

• Revista InTech e InTech+

– Publicação bimestral

gratuita para membros

– Soluções práticas para os

desafios da indústria

– Edição impressa ou online

– Intech+ traz conteúdo

diferenciado em aplicativo

para iPad / celulares

Uma pesquisa apontou a

Revista Intech como sendo a

mais lida entre os profissionais

de automação.

Revista Intech

• Visualização on-line gratuita de mais

de 150 normas, recomendações

práticas e relatórios técnicos da ISA

– 162 Normas Publicadas

– 133 Comitês e Subgrupos

– Mais de 3.500 profissionais envolvidos

– De mais de 40 países

– Representando mais de 2000

empresas e organizações

• Benefícios da Normatização:

– Simplifica processos

– Melhora segurança e confiabilidade

– Aumento da eficiência e produtividade

Desenvolvimento de Normas Técnicas

Alguns exemplos dos Normas da ISA mais usadas

• Symbols and Diagrams (ISA5): P&IDs, Tagging, Loop Diagrams, Functional

Specifications, etc.

• Electrical Equipment for Hazardous Locations (ISA12)

• Alarm Systems (ISA18)

• Instrumentation Specification Forms (ISA20)

• Electrical Signal Compatibility (ISA50)

• Control Valves (ISA75)

• Functional Safety (ISA84)

• Batch Control (ISA88, formerly “S88”) • Enterprise Control System Integration (ISA95)

• Valve Actuators (ISA96)

• Personnel Certification, CCST & CAP certifications (ISA98)

• Industrial Automation & Control System Security (ISA99)

• Wireless Systems for Automation (ISA100)

• Procedural Automation (ISA106)

A serem publicadas em breve:

• Human Machine Interfaces (ISA101)

• Commissioning, Loop Checks, FAT and SAT Testing (ISA105)

Nosso Site

www.isa.org

Como a ISA pode ajudar sua empresa

na área de Cyber Segurança?

ISA líder mundial em Cybersegurança

A área de Cybersegurança é um dos focos da ISA ISA é Parceira da Casa Branca e do NIST

A norma ISA 99 foi adotada como padrão mundial através

da IEC 62443

Oferece treinamentos e certificação de profissionais

Certificação de equipamentos através do selo ISASecure.

Normas sobre Cybersegurança A ISA 99/IEC 62443

A ISA 99 é uma Norma elaborada pela ISA para estabelecer segurança da informação em redes industriais.

Adotada pelo IEC 62443

É um conjunto de boas

práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques.

Normas sobre Cybersegurança A ISA 99/IEC 62443

A ISA 99 é dividida em 4 partes

Norma sobre Cybersegurança ISA 99/IEC 62443

Divisão em Zonas e uso de Conduítes

Evento na ISA Campinas

Realização Eventos sobre Cybersegurança abertos e in-company

Painel de Discussões entre Palestrantes

Realização Eventos sobre Cybersegurança abertos e in-company

Conscientização dos Profissionais de Automação

Realização Eventos sobre Cybersegurança abertos e in-company

Conscientização dos Profissionais de Automação

Realização Eventos sobre Cybersegurança abertos e in-company

Feira Internacional da Mecânica 2016

Realização Eventos sobre Cybersegurança abertos e in-company

Realização de Visitas Técnicas

Treinamento em Cybersegurança

TRAINING COURSES

• Introduction to Industrial Automation Security and the ISA99 Standards (IC32C) • Using the ANSI/ISA99 Standard to Secure Your Control System (IC32) • Industrial Networking and Security (TS12) • Advanced Industrial Cybersecurity (TS13) • Assessing the Cybersecurity of New or Existing IACS Systems (IC33) • Advanced Industrial Networking and Cybersecurity (TS20) • IACS Cybersecurity Design & Implementation (IC34) • IACS Cybersecurity Operations & Maintenance (IC37)

ONLINE TRAINING

• Cybersecurity for Automation, Control, and SCADA Systems (IC32E)

Certificação em Cybersegurança

ISA/IEC 62443 Cybersecurity Certificate Programs: - Certificate 1: ISA/IEC 62443 Cybersecurity Fundamentals Specialist - Certificate 2: ISA/IEC 62443 Cybersecurity Risk Assessment Specialist - Certificate 3: ISA/IEC 62443 Cybersecurity Design Specialist - Certificate 4: ISA/IEC 62443 Cybersecurity Maintenance Specialist - ISA/IEC 62443 Cybersecurity Expert: Individuals who achieve Certificates 1, 2, 3, and 4 are designated as ISA/IEC 62443 Cybersecurity Experts.

Webinars

Livros sobre Cybesgurança

Artigos sobre o tema na Revista Controle & Instrumentação

Recursos disponibilizados pela ISA

www.isa.org/cybersecuritybrochure

White Paper “What Executives need to know …”

White Paper “The Industrial Cybersecurity Problem”

Grupo Técnico da ISA América do Sul Cooperação com o Comitê do Standard ISA99 nos EUA Formado por membros do Brasil, Argentina, Colombia e Peru Participam profissionais da indústria, fornecedores e integradores Realiza reuniões mensais online em Português e Espanhol

Para participar entre em contato com a ISA.

Grupo Técnico ISA sobre Cybersegurança e ISA 99

Objetivos do Grupo: Estudar, promover e criar cultura sobre Cybersegurança

industrial na América do Sul

Dados de Contato:

Carlos Mandolesi

+55 (11) 98609-3771

mandolesic

br.linkedin.com/in/mandolesi

carlos.mandolesi@sigmma.com.br

www.facebook.com/ISAD4SouthAmerica