Evento IEEE 2012 - Palestra sobre segurança de automação industrial

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Introdução à Segurança em Redes Industriais e SCADA

Marcelo BranquinhoAgosto de 2012

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


PalestrantePalestrantePalestrantePalestrante

Marcelo [email protected]

• Engenheiro eletricista, com especialização em sistem as de computação com MBA em gestão de negócios e

membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde também atua

como chefe do departamento de segurança para sistem as de automação industrial.

• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da

Formação de Analistas de Segurança de Automação, pr imeira formação brasileira no segmento e ministrada em

infra-estruturas críticas e organismos governamenta is brasileiros.

• Atualmente é integrante no ANSI/ISA 99 WG5 TG2 Gap Analysis Task Group, grupo de trabalho que está

revisando e atualizando a norma ANSI/ISA-99 contra a s recentes ameaças do Stuxnet e suas variantes.

• Possui certificação internacional CSSA (Certified S CADA Security Architect)


Siga a TI Safe nas Redes Sociais

• Twitter: @tisafe

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe


Não precisa copiar...

http://www.slideshare.net/tisafe


Agenda

• Ameaças às redes industriais e sistemas

SCADA

• Os Atacantes

• Caso reais documentados

• Demonstração de infecção em planta química

• Normas para Segurança em Redes Industriais

• Soluções para segurança de redes industriais

• Treinamento e conscientização


Ameaças às redes industriais e sistemas

SCADA


O que são infraestruturas críticas?

São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda, interrupção significativa ou degradação dos serviços poderia ter graves consequências sociais ou à segurança nacional.

Exemplos:�Geração e distribuição de eletricidade; �Telecomunicações;�Fornecimento de água;�Produção de alimentos e distribuição;�Aquecimento (gas natural, óleo combustível);�Saúde Pública;�Sistemas de Transportes;�Serviços financeiros;�Serviços de Segurança (polícia, exército)


Sistemas SCADA

• Os sistemas SCADA são utilizados em processos industriais, como na produção de aço, produção de energia (convencional e nuclear), distribuição de energia, metalomecânica, indústria química, estações de tratamento de águas, etc.

• Em Indústrias, as soluções baseadas na arquitetura SCADA são as mais usadas (Fix, Factory Link, CIMPLICITY, e outras soluções de mercado).

SCADA = Supervisory Control And Data Acquisition


Sistemas Supervisórios Sistemas Supervisórios Sistemas Supervisórios Sistemas Supervisórios • Sistemas SCADA – No início

• Sistemas proprietários �� Dependente de Fabricantes

• Sistemas isolados

• Arquiteturas fechadas

• “Ilhas de automação”

Arquitetura Básica SCADA


Evolução dos sistemas SCADA Evolução dos sistemas SCADA Evolução dos sistemas SCADA Evolução dos sistemas SCADA

• Sistemas abertos

• Arquitetura centrada em Conectividade

• Integrações cada vez mais freqüentes:

• Sistemas SCADA e Intranet corporativa

• Sistemas SCADA e Internet

• Acesso a Dados Operacionais• Dashboards; Relatórios

• Centro de Controle para múltiplas Redes Operacionais• Diferentes tipos de acesso

• Diretores/Gerentes• Informação em tempo real• Tomada de decisão no processo

Servidores

SCADA

Rede Operacional

Gateway

Servidores

Corporativos

Rede Corporativa

�Produtividade

�Competitividade


Evolução – Sistemas Supervisórios

• No início os sistemas supervisórios eram desenvolvidos em

plataformas operacionais caríssimas, baseadas em sistemas Unix like

e máquinas poderosas como os Digital Vax e Alpha.

• Desenvolver aplicativos para estas plataformas

era algo extremamente caro

• Com isto, supervisórios passaram a ser

desenvolvidos para plataformas Windows, cujo

processo de desenvolvimento era muito mais

rápido e os custos globais do projeto eram

bastante reduzidos


Tipos de Vulnerabilidades

• Vulnerabilidades dos Sistemas Operacionais e Protocolos

• Vulnerabilidades no Projeto dos Produtos

• Vulnerabilidades das Implementações

• Vulnerabilidades de Configurações Inadequadas


Vulnerabilidades no Sistema Operacional Windows

http://www.microsoft.com/brasil/technet/security/bu lletin/ms07-032.mspx


Vulnerabilidades e Exploits para SW SCADA

http://www.frsirt.com/english/advisories/2008/0306


Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervis ório e o PLC através da porta COM e obter as senhas (Principal e Master) do PLC


Injeçaõ de código em PLCs• Ataque de injeção de código: uma bomba relógio com 14 bytes

• Desenvolvido por Ralph Langner, este ataque não necessita de informação interna e nenhuma programação ao nível da controladora para ser executado

• É inspirado no ataque do Stuxnet contra sistemas de controle

• O ataque consiste em injetar o código ao lado no início da varredura principal (OB1), na frente do código legítimo

• Para cada chamada do OB1, o ambiente de execução passa a data/hora atual como um parâmetro para a pilha, então nenhuma chamada de função de sistema é necessária.

http://www.langner.com/en/2011/07/21/a-time-bomb-wi th-fourteen-bytes/

Código do ataque

(Step7 STL)

• No exemplo ao lado, a data/hora programada é o natal de 2011, que é simplemente carregada no acumulador ao lado da data hora atual.

• A partir daí, é feita uma comparação. Assim que o relógio interno do controlador vai para 25 de dezembro, as saídas são congeladas, porque a directiva BEC salta execução da lógica de controle legítimos.


Vulnerabilidades no Protocolo OPC

• Vulnerabilidades de alto risco do sistema operacional� Serviços de sistema desnecessários� Enumeração do sistema e seus perfis

• Escuta de tráfego (sniffing)• Consultas ao DNS• Consultas ao Active Directory/LDAP• Escaneamento de TCP/UDP• Enumeração de NetBIOS – Domínios e grupos de trabalhos• Enumeração de SMB (Server Message Block) usando login anônimo• Descoberta de Enpoints RPC• Aplicativos de gerenciamento de rede

� Senhas fracas e vulneráveis� Segurança inadequada no login� Atualizações e patches inadequados no servidor� Uso de mecanismos fracos para autenticação� Navegação remota no registro (Registry)� Vulnerabilidades locais


Segurança Industrial Segurança Industrial Segurança Industrial Segurança Industrial –––– Vulnerabilidades Vulnerabilidades Vulnerabilidades Vulnerabilidades

• Caminhos Dentro da Rede ....

� Conexões não autorizadas

� Sistemas e Serviços

Vulneráveis

� Suporte Remoto Infectado

� Notebooks Infectados

� Firewalls mal configurados

� Modems sem proteção

�Pontos de rede de

dispositivos remotos com

baixa segurança física

Rede Corporativa

Rede Operacional

Hacker

Hacker

Hacker

Hacker

Vulnerabilidades


Os Atacantes


Primeiros ataques aéreos – 1ª Guerra Mundial

• Aviões foram usados em combate

pela primeira vez na primeira

guerra mundial

• Trunfo: podiam bombardear a

infraestrutura crítica de nações

sem serem atingidos

• Na época, causaram grande terror

à população e aos governos


Cyber War

• Cyber War ou Guerra Cibernética é (conceitualmente) apenas uma nova modalidade da guerra convencional.

• Principais diferenças:

• Silenciosa

• Anônima

• Sem território definido

• Sem reação

• Quem? Como? De onde?


Guerra Convencional X Guerra Cibernética

$1.5 a $2 bilhões

$80 a $120 milhões

Quanto custa um bombardeiro Stealth

Quanto custa um caça Stealth?

$1 a $2 milhõesQuanto custa um míssil de cruzeiro

$300 a $50,000Quanto custa uma ciberarma?


Encontre as armas de destruição em massa:

Fábricas de armas nucleares Fábricas de ciberarmas

Onde estão as fábricasde ciberarmas?


Antigamente...

Chen-Ing Hau, 24(Autor do vírus CIH)

Joseph McElroy, 16(Invadiu o laboratório de pesquisas

nucleares dos EUA)Jeffrey Parson, 18(autor do Blaster.B virus)

Objetivo:Destruir


Os tempos mudaram…

“Script Kiddies”, usando toolkits hackers precisam de m uito poucoconhecimento técnico para lançar um ataque!

PhishingToolkits


Literatura HackerLiteratura HackerLiteratura HackerLiteratura Hacker

• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.


O novo atacante

• Silenciosos� Sem alarmes, sem vestígios

• Precisos� Personalização, códigos

específicos

� Tomam vantagem sobre fraquezas tecnológicas e humanas

• Patrocinados� Por governos

� Por empresas concorrentes

� Por empresas de hacking

� Por grupos terroristas


O que movimenta esse mercado?

SPAM

Phishing

EspionagemIndustrial

Roubo deidentidades

Roubo de dados corporativos

Sequestro debrowser

Pop ups& BOs

Roubo deDadospessoais

É um negócio!


Mercenários

Malware=Dinheiro….


• Operação de bots• Aluguel de redes• Infecção com Trojans• Phishing• Falsidade ideológica• Desvio de dinheiro• Pornografia infantil• Prescrição ilegal de

medicamentos• Pirataria de Software

Fonte: Register Of Known Spam Operations (ROKSO) da tabase + Spamhaus Blocklist (SBL) database.

Cyber-crime Organizado

O spam que você recebe é apenas uma parte disso!


A Ameaça Interna

• Grande parte das invasões realizadas em sistemas de tecnologia corporativos têm participação de funcionários ou ex-funcionários das empresas. A afirmação feita há alguns meses pelo detetive britânico Chris Simpson - da unidade de crimes de computação da polícia metropolitana londrina - é reforçada no Brasil pelo IPDI (Instituto de Peritos em Tecnologias Digitais e Telecomunicações).

• Segundo o IPDI, 80% dos golpes realizados no ambiente corporativo, sejam on-line ou off-line, contam com colaboração interna.

• Esta tendência, aliada à popularização do uso da tecnologia, facilita o roubo de informações, espionagem industrial, sabotagem, entre outros tipos de crime.

Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u19452.shtml


Ameaças ambientais e imprevistos

• Terremotos• Furações• Tornados• Inundação• Incêndios• Contaminação Química• Distúrbios sociais • Problemas no

Transporte Público• Greves• Pandemias• Escândalos• Morte de Pessoa Chave


Casos Reais DocumentadosCasos Reais DocumentadosCasos Reais DocumentadosCasos Reais Documentados


Shodan

• Hackers estão usando o site de busca Shodan para encontrar computadores de sistemas SCADA que utilizam mecanismos potencialmente inseguros para autenticação e autorização.

http://www.shodanhq.com


RISI RISI RISI RISI ---- Repository for Industrial Security IncidentsRepository for Industrial Security IncidentsRepository for Industrial Security IncidentsRepository for Industrial Security Incidents

• http://www.securityincidents.org/

• O Repositório de Incidentes de Segurança Industrial é um banco de dados de incidentes que têm (ou podem ter) afetado controle de processos e sistemas SCADA.

• O objetivo da RISI é coletar, investigar, analisar e compartilhar importantes incidentes de segurança industrial entre as empresas associadas para que elas possam aprender com as experiências dos outros.

• Os dados são recolhidos através da investigação sobre incidentes de conhecimento público e de comunicação privados.


Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede

de automaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede

corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs

Internet Directly17%

VPN Connection7%

Dial-up modem7%

Trusted 3rd Party Connection

10%

Telco Network7%

Wireless System3%

Via Corprate WAN & Business Network

49%


Incidentes reportados até 2/3/2011 - RISI


Tipos de incidentes (Brasil – KB TI Safe)

• Fonte: Knowledge Base TI Safe

• Incidentes computados desde Julho de 2008

• Dados obtidos somente de clientes da TI Safe no Brasil

Incidentes # Casos

Malware 5

Erro Humano 14

Falhas em dispositivos 7

Outros 4


Oleoduto explode em Bellingham (EUA)

01/06/1999

• Falhas no SCADA resultaram na explosão do oleoduto

• Gasolina atingiu dois rios nas cidades de Bellingham e Washington

� Explosão matou 3 pessoas e feriu outras 8

� Aproximadamente 26 hectares de árvores e vegetação foram queimados durante o incidente.

� Liberou aproximadamente 236.000 galões de gasolina, causando danos substanciais ao meio ambiente

É possível quantificar o prejuízo de um incidente como estes?


Bomba lógica destrói oleoduto na Sibéria

• Em 1982, durante a guerra fria, os planos de um sofisticado sistema SCADA para controle de oleoduto foram roubados pela KGB de uma empresa canadense.

• A CIA alega que esta empresa detectou o ataque e inseriu uma bomba lógica no código roubado para sabotar e explodir o oleoduto.

• A explosão foi equivalente a um poder de 3 Quilotons de TNT. A explosão foi tão poderosa que satélites americanos enviaram alertas nucleares aos centros de controle nos EUA.


Ataque à planta de Energia Nuclear de Davis-Besse

• Em 25 de janeiro de 2003, a usina nuclear Davis-Besse usina nuclear em Oak Harbour, Ohio, foi infectada com o worm "Slammer" do MS SQL.

• A infecção causou uma sobrecarga de tráfego na rede local. Como resultado, o Sistema de Segurança de Display de Parâmetros (DOCUP) ficou inacessível por quase cinco horas, e o computador de processos da planta por mais de 6 horas.

• Um firewall estava no local para isolar a rede de c ontrole da rede da empresa, no entanto, havia uma conexão T1 a partir de uma empre sa de consultoria de software, que entrou na rede de controle por trás d o firewall, ignorando todas as políticas de controle de acesso impostas pelo firew all corporativo.

• O worm infectou servidor do consultor e foi capaz d e entrar na rede Davis-Besse através da linha T1.


Ataque ao sistema de Águas de Maroochy Shire

31/10/2001

• Ataque ao sistema de controle de tratamento de resíduos de Maroochy Shire em Queensland, Austrália.

• A Planta passou por uma série de problemas: bombas não acionavam quando comandadas, alarmes não estavam sendo reportados, e havia uma perda de comunicações entre o centro de controle e as estações de bombas.

• Estes problemas causaram o alagamento do terreno de um hotel próximo, um parque, e um rio com mais de 7 milhões de litros de esgoto bruto.


Ataque a centro de comando derruba satélite ROSAT

• Em 2008 investigadores da NASA reportaram que uma falha no ROSAT estava ligada à uma cyber invasão no Goddard Space Flight Center, centro de comando do satélite.

• Segundo o relatório da NASA: “Atividades hostis comprometeram sistemas de computadores que direta ou indiretamente lidam com o controle do ROSAT”

• Após sucessivas falhas nos meses seguintes, em 23/10/11 o satélite alemão ROSAT explodiu ao reentrar na atmosfera terrestre. Seus destroços caíram em áreas inabitadas do planeta não causando vítimas.


Transporte Ferroviário – Ataque à CSX20/08/2003

• Sistema de sinalização ferroviário da CSX

• Virus Sobig causa desligamento dos sistemas de sinalização da costa leste dos EUA

• Virus infectou a base de controle da Flórida, desligando sinalização e outros sistemas de controle ferroviário

• Trens que fazem percursos de longas distâncias foram atrasados entre 4 a 6 horas


Ataque à ETA de South Houston (EUA)• 18/11/2011• Hacker invadiu e

publicou em blog imagens das IHMs do SCADA da ETA de South Houston, provando que poderia ter operado a planta

• http://pastebin.com/Wx90LLum


Fontes da CIA afirmam que ataques de hackers já provocaram dois apagões no Brasil

http://oglobo.globo.com/economia/mat/2009/11/11/fon tes-da-cia-afirmam-que-ataques-de-hackers-ja-provoc aram-ao-menos-dois-apagoes-no-brasil-914703913.asp


Aurora Generator Test (Março/2007)

http://therunagatesclub.blogspot.com/2007/09/aurora-cyber-attack-destroyed-million.html

• Em 2007 o Departamento de assistência social americano simulou um ataque cibernético de codinome “Aurora”, no laboratório nacional de Idaho (EUA).

• Durante o exercício um pesquisador infiltrou-se em uma rede conectada a um gerador de energia de porte médio e enviou uma rápida sucessão de comandos liga/desliga para os circuitos de proteção deste gerador de teste no laboratório.

• Isto fez com que o gerador perdesse o sincronismo c om as oscilações próprias da rede. A rede forçava a corrente num sentido e o gerador no outro.

• Tornou-se público um vídeo que mostra a pesada máqu ina de aço estremecer e segundos depois vapor e fumaça enchem o laboratório .


O Worm Stuxnet - 2010

• Também conhecido como W32.Temphid e Rootkit.TmpHider

• Worm desenvolvido para tirar vantagem de vulnerabilidade existente em todas as versões do sistema Windows.

• O Stuxnet foi desenvolvido para atingir qualquer sistema usando a plataforma Siemens WinCC.

• O Objetivo do Malware parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)

• Existem patches liberados para cada plataforma Windows e também alguns ajustes provisórios (workarounds)


Metasploit e SCADA Exploits: Despertar de uma Nova Era?

• https://www.infosecisland.com/blogview/9340-Metasploit-and-SCADA-Exploits-Dawn-of-a-New-Era-.html


Exploits SCADA Zero Day publicados

http://www.scmagazine.com.au/News/272175,zero-day-industrial-control-system-exploits-published.aspx


O Worm Duqu (2011)

• O Duqu é um Worm descoberto em 1/9/2011

• Seu nome vem do prefixo "~DQ" que ele atribui aos arquivos que ele cria

• A Symantec denominou o Duqu de “quase idêntico ao Stuxnet, mas com propósito totalmente diferente“. Ela acredita que o Duqu tenha sido criado pelos mesmos autores do Stuxnet, ou por pessoas que tiveram acesso ao código fonte do Stuxnet.

• O worm, assim como o Stuxnet, tem um certificado digital válido (roubado da C-Media) e coleta informações para a preparação de futuros ataques.

• Duqu utiliza comunicação peer-to-peer para se alastrar de redes inseguras para redes seguras. De acordo com a McAfee, uma das ações do Duqu é roubar certificados de computadores atacados para ajudar em futuros ataques.

• O Duqu é o primeiro worm a surgir com código fonte derivado do Stuxnet (segunda geração)


O Malware Flame (2012)

• Também conhecido como sKyWiper

• O Flame é um conjunto de ferramentas de ataque para espionagem industrial.

• Ele é um backdoor, um trojan e se espalha como um Worm, se replicando através de mídias externas e contato com outras redes contaminadas.

• Segundo a Kaspersy labs, “ele é muito mais complexo que o Duqu. A geografia dos seus alvos (alguns países do oriente médio) e sua complexidade não deixa dúvidas de que alguma nação está por trás dele.”


Demonstração de infecção por Demonstração de infecção por Demonstração de infecção por Demonstração de infecção por vírus em planta químicavírus em planta químicavírus em planta químicavírus em planta química


Ataques por vírus a uma indústria química

• Tempo Estimado: 20 min.

Utilizando a plataforma TSSS, serão realizados dois ataques em sequência através de infecção por vírus:

1) No primeiro ataque a visibilidade da IHM será cortada e o operador não conseguirá mais receber dados do campo.

2) No segundo ataque a programação dos set points das bombas hidráulicas será alterada pelo vírus provocando o transbordamento do tanque químico.


Diretrizes de segurança Diretrizes de segurança Diretrizes de segurança Diretrizes de segurança InternacionaisInternacionaisInternacionaisInternacionais


Slide Oculto

• Slide oculto


A norma ANSI/ISA 99

• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais

• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques


Relatórios Técnicos da ISA 99

• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and Control Systems”� Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos para mitigação, e

ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.

• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment”� Framework para o desenvolvimento de um programa de segurança para sistemas de controle

� Fornece a organização recomendada e a estrutura para o plano de segurança.

� O Framework está integrado no que é chamado de CSMS (Cyber Security Management System)

� Os elementos e requerimentos estão organizados em 3 categorias principais:

• Análise de Riscos

• Endereçando os riscos com o CSMS

• Monitorando e melhorando o CSMS


ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----TR99.00.02TR99.00.02TR99.00.02TR99.00.02----2004200420042004: Estabelecendo um programa de segurança de sistemas de controle e automação industrial

Categoria 1

Categoria 2

Categoria 3

Elementgroup

Element

Relacionamento de categorias

Análise de RiscosIdentificação, classificação e análise de riscos

Racional do Negócio

Endereçando riscos com o CSMSPolítica de Segurança, organização e treinamento

Escopo do CSMS

Segurança Organizacional Treinamento de segurança da equipe

Plano de continuidade de negócios

Políticas de segurança e procedimentos

Contramedidas de segurança selecionadas

Segurança Pessoal

Segurança física e ambiental

Segmentação da rede

Controle de acesso: gestão de contas

Controle de Acesso: autenticação

Implementação

Gestão do risco e implementaçãoDesenvolvimento de sistemas e manutenção

Informação e gestão de documentos

Planejamento e resposta a incidentes

Monitorando e melhorando o CSMS

ComplianceRevisar, melhorar e manter o CSMS

Elemento

Grupos de elementos

*Cyber SecurityManagement System

Controle de Acesso: autorização


A norma NIST 800-82

• Norma elaborada pelo NIST• O documento é um guia para o

estabelecimento de sistemas de controle de segurança para indústrias (ICS).

• Estes sistemas incluem controle supervisório e aquisição de dados em sistemas SCADA, sistemas de controle distribuídos (DCS), e outras configurações de sistema para PLCs.

http://csrc.nist.gov/publications/drafts/800-82/dra ft_sp800-82-fpd.pdf


Editais com referência à norma ANSI/ISA-99

• O primeiro edital que claramente

apresenta referências à norma

ANSI/ISA-99 no Brasil foi o da

Petrobrás para a licitação do

COMPERJ (Complexo

Petroquímico do Rio de Janeiro)

• Este edital, publicado em Maio

de 2009 possuía um caderno

somente para as especificações

de segurança cibernética


Diretrizes de segurança Diretrizes de segurança Diretrizes de segurança Diretrizes de segurança BrasileirasBrasileirasBrasileirasBrasileiras


GSI – Gabinete de Segurança Institucional

o Gabinete de Segurança Institucional da Presidência da República (GSI/PR) é o órgão responsável pela assistência direta e imediata ao presidente da República no assessoramento pessoal em assuntos militares e de segurança.


Estrutura organizacional do GSI-PR


O DSIC (Subordinado ao GSI)

• DSIC = Departamento de Segurança da Informação e Co municações• Missão:

� Adotar as medidas necessárias e coordenar a implantação e o funcionamento do Sistema de Segurança e Credenciamento - SISEC, de pessoas e empresas, no trato de assuntos, documentos e tecnologia sigilosos;

� Planejar e coordenar a execução das atividades de segurança cibernética e de segurança da informação e comunicações na administração pública federal;

� Definir requisitos metodológicos para implementação da segurança cibernética e da segurança da informação e comunicações pelos órgãos e entidades da administração pública federal;

� Operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da administração pública federal;

� Estudar legislações correlatas e implementar as propostas sobre matérias relacionadas à segurança cibernética e à segurança da informação e comunicações;

� Avaliar tratados, acordos ou atos internacionais relacionados à segurança cibernética e à segurança da informação e comunicações, referentes ao inciso I;

� Coordenar a implementação de laboratório de pesquisa aplicada de desenvolvimento e de inovação metodológica, bem como de produtos, serviços e processos, no âmbito da segurança cibernética e da segurança da informação e comunicações;


Publicações do DSIC

• Livro Verde da Segurança Cibernética no Brasil

• Guia de referência para a segurança das infraestruturas críticas da

informação

• Gestão de segurança da informação e comunicações

Disponíveis para download em http://dsic.planalto.gov.br/


Livro Verde - Segurança Cibernética no Brasil

• Desenvolvido pelo CGSI e publicado em 2010

• O Guia visa expressar potenciais diretrizes

estratégicas para o estabelecimento da Política

Nacional de Segurança Cibernética, articulando

visão de curto (2 - 3 anos), médio (5 – 7 anos),

e longo (10 – 15 anos) prazo no tema,

abrangendo, como ponto de partida, os

seguintes vetores: Político- estratégico,

Econômico, Social e Ambiental, CT&I,

Educação, Legal, Cooperação Internacional, e

Segurança das Infraestruturas Críticas.


Livro Azul - Guia de segurança das infraestruturas críticas

• Desenvolvido pelo CGSI e publicado

em 2010

• O Guia reúne métodos e instrumentos,

visando garantir a Segurança das

Infraestruturas Críticas da Informação,

com relevantes aspectos destacados

dada a complexidade do tema nos dias

atuais.


Gestão de segurança da informação e comunicações

• Desenvolvido pela Faculdade de Ciência

da Informação da Universidade de

Brasília (UNB) em 2010.

• O Livro reúne produções intelectuais, de

alto nível, nos mais variados assuntos

acerca de Gestão de Segurança da

Informação e Comunicações (GSIC),

tema consideravelmente importante ao

Estado brasileiro, em face de sua

complexidade nos panoramas nacional e

internacional.


Soluções para segurança de redes industriais


Análise de Riscos para redes industriaisAnálise de Riscos para redes industriaisAnálise de Riscos para redes industriaisAnálise de Riscos para redes industriais

• Baseado nas normas ANSI/ISA-99, NIST SP 800-30 (Risk Management Guide for Information Technology Systems) e NIST 800-82 (Guide to Industrial Control Systems Security)

• Atividades realizadas

� Inventário da rede de automação

� Entrevistas com os gestores

� Levantamento de vulnerabilidades e ameaças

� Análise qualitativa ou quantitativa

� Estimativa de impacto no negócio

� Definição de contramedidas e resposta a incidentes

� Avaliação do risco residual

� Plano de tratamento de riscos

� Manutenção e gestão continuada

Serviços executados com o auxílio do Módulo Risk Manager, com base de conhecimento para segurança industrial (ANSI/ISA-99)


Gap Assessment Gap Assessment Gap Assessment Gap Assessment para adequação à ANSIpara adequação à ANSIpara adequação à ANSIpara adequação à ANSI----ISA 99ISA 99ISA 99ISA 99

• O Gap Assessment é uma análise realizada na rede de automação da indústria que define as mudanças e implementações necessárias para que o ambiente esteja em conformidade com o que preconiza a norma ANSI/ISA-99

• Fornece uma direção clara sobre o trabalho necessário para cumprir com as diretrizes da norma.

• Atividades realizadas

� Inventário da rede de automação

� Especificação de modelo de Zonas e Conduítes e modelo de defesa em profundidade

� Avaliação de controles e políticas de segurança existentes e níveis de segurança atuais

� Recomendações de segurança para compliance com a ANSI-ISA 99

� Elaboração de relatório de conformidade, documento que descreve os objetivos globais de segurança de cada zona e conduíte visando a compatibilidade com norma ANSI/ISA-99 e indica as principais contramedidadas de segurança a serem aplicadas


Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA PentestPentestPentestPentest

• Análise de vulnerabilidades em servidores SCADA e OPC� Escaneamento seguro de servidores com ferramentas específicas para redes industriais� Geração de relatório com as vulnerabilidades encontradas e contramedidas indicadas � Mentoring para Hardening de servidores SCADA� Mentoring para Hardening de servidores OPC

• SCADA Pentest� Testes de SQL injection em IHMs locais e acessos remotos� Testes de invasão com ataques de Brute Force, XSS e execução de códigos maliciosos contra

aplicativos SCADA� Geração de relatório com os testes efetuados e seus resultados

� Mentoring para hardening de aplicativos e correção de códigos de aplicativos vulneráveis


Domínio de segurança para redes de automaçãoDomínio de segurança para redes de automaçãoDomínio de segurança para redes de automaçãoDomínio de segurança para redes de automação

• Implementação de procedimentos de governança para redes de automação

� Revisão / implementação de Política de Segurança específicas para áreas de automação

� Especificação de política de controle de acesso (grupos, recursos, direitos)

• Implementação de domínio para área de automação

� Baseado em Microsoft Active Directory

� Integração com login de plataformas UNIX like

� Implementação de login transparente

� Relação de confiança com domínio corporativo

� Ativação de GPOs específicas para segurança de redes industriais

� Implementação de ACLs para acesso restrito a CLPs e remotas

� Registros (Logs) de atividades de usuários na rede de automação


TI Safe SRA TI Safe SRA TI Safe SRA TI Safe SRA ---- Acesso Remoto Seguro Acesso Remoto Seguro Acesso Remoto Seguro Acesso Remoto Seguro

• Solução composta por itens de consultoria aliados à solução Check Point GO, que cria

um desktop virtual totalmente seguro e fornece segundo fator de autenticação em

acessos a sistemas SCADA, independente da máquina que o usuário estiver usando.

• Com a solução TI Safe SRA a rede de automação fica totalmente livre do risco de

infecção por malware e do roubo das credenciais durante o acesso remoto,

• Serviços de consultoria incluídos na solução:

� Implementação da solução Check Point GO dentro da rede de automação

� Definição e implantação de políticas de segurança no acesso remoto.

� Especificação de controles de segurança para uso de Modems na rede de automação.

� Revisão de segurança do acesso remoto da rede de automação de acordo com as boas

práticas da norma ANSI/ISA-99.

� Testes integrados e startup da solução.


Suporte de segurança para plantas industriaisSuporte de segurança para plantas industriaisSuporte de segurança para plantas industriaisSuporte de segurança para plantas industriais

• Centro de operações : Rio de Janeiro

• Portal do cliente : sistema web de Service Desk

acessado pelos especialistas da TI Safe e do

cliente

• Suporte remoto com SLA : acesso remoto

seguro à rede do cliente buscando a solução

imediata dos problemas de segurança e a

manutenção preventiva do seu ambiente

operacional.

• Suporte local: Nos casos em que não for

possível resolver o incidente remotamente a TI

Safe deslocará especialistas em segurança para

o atendimento local.

• Relatório mensal de suportes: a equipe da TI

Safe envia para seus clientes um relatório mensal

sobre os atendimentos realizados

• Serviços executados remotamente

� Gestão de IPS para segurança de borda

� Gestão de Firewalls da rede interna

� Gestão de solução de backup

� Gestão de solução de controle de

acesso reforçado

� Gestão de solução DLP

�Gestão de sofware SIEM

�Monitoramento de performance de

servidores e tráfego da rede de automação


Treinamento e Conscientização


Formação em segurança de automação industrial

• Baseada na norma ANSI/ISA-99

• Escopo:

• Introdução às redes Industriais e SCADA

• Infraestruturas Críticas e Cyber-terrorismo

• Normas para segurança em redes industriais

• Introdução à análise de riscos

• Análise de riscos em redes industriais

• Malware em redes industriais e ICS

• Desinfecção de redes industriais contaminadas por Malware

• Uso de firewalls e filtros na segurança de redes industriais

• Uso de Criptografia em redes industriais

• Segurança no acesso remoto à redes industriais

• Implementando o CSMS (ANSI/ISA-99) na prática

• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)

• Alunos recebem material didático em formato digital

• Formação com 20h de duração

• Instrutor membro da ISA Internacional e integrante do comitê da norma ANSI/ISA-99, com anos de experiência em segurança de automação industrial

• Objetiva formar profissionais de TI e TA:

� Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99

� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras

• Calendário com próximas turmas disponível em http://www.tisafe.com/solucoes/treinamentos/

Próxima turma no RJDe 2 a 4 de Outubro


CertificaçãoCertificaçãoCertificaçãoCertificação CASE CASE CASE CASE –––– Certified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security Engineer

A certificação CASE abrange os seguintes domínios de conhecimento:

• Introdução às redes Industriais e sistemas SCADA.• Infraestruturas Críticas e Cyber-terrorismo.• Governança para redes industriais.• Políticas e padrões de segurança industrial.• Introdução à análise de riscos.• Análise de riscos em redes industriais e sistemas SCADA.• Malware em redes industriais e sistemas de controle.• Desinfecção de redes industriais contaminadas por Malware.• Segurança de perímetro em redes de automação.• Criptografia em redes industriais.• Controle de acesso em sistemas SCADA.• Implantando o CSMS (ANSI/ISA-99) na prática.

• Prova presencial composta de 60 perguntas de múltipla escolha que devem ser resolvidas em 90 minutos.

• As questões têm pesos diferentes e o aluno será aprovado caso obtenha quantidade de acerto igual ou superior a 70% do valor total dos pontos atribuídos ao exame.

• Em caso de aprovação o aluno receberá o certificado CASE por e-mail e seu nome poderá ser verificado em listagem no site da TI Safe.

• Os certificados tem 2 anos (24 meses) de validade a partir de sua data de emissão.

• Guia de estudos, simulado e calendário com próximas provas disponível em (aba “Certificação CASE”): http://www.tisafe.com/solucoes/treinamentos/


• Eventos com 8 horas de duração destinados à criação de

consciência de segurança em empresas.

• Realizados dentro da empresa (normalmente em auditório)

e sem limite de número de alunos.

• Utiliza estratégias de divulgação e elaboração em formato

de palestras com apostila personalizada, atingindo a todos

os níveis de colaboradores da organização.

• Palestras técnicas baseadas nas normas ISO/IEC 27001,

ISO/IEC 27002, BS 25999 e ANSI/ISA-99

• Escolha as palestras técnicas para o Security Day em sua

empresa em nossa base de conhecimento disponível em

http://www.slideshare.net/tisafe

Security Day


Contato

Evento IEEE 2012 - Palestra sobre segurança de automação industrial

Technology

Transcript of Evento IEEE 2012 - Palestra sobre segurança de automação industrial