Palestra técnica - Aprendendo segurança em redes industriais e SCADA

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Aprendendo Segurança em Redes Industriais e SCADA

Jarcy AzevedoAgosto de 2012

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


Sobre a TI Safe

• Missão� Fornecer produtos e serviços

de qualidade para a Segurança da Informação

• Visão� Ser referência de excelência

em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado


Siga a TI Safe nas Redes Sociais

• Twitter: @tisafe

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe


Não precisa copiar...

http://www.slideshare.net/tisafe


Agenda

• Introdução às redes industriais e SCADA• Segurança SCADA• Política de segurança• Segurança do perímetro• Segurança física• Patches• Antivírus• Autenticação e Identificação• Autorização• Active Directory• Security Standards• Detecção• Protocolos• Monitoramento em sistemas SCADA• Outros controles de segurança• Treinamento e conscientização


Introdução às redes industriais e SCADA

• Ele é..

� Um sistema que controla e coleta dados de um processo

� Encaminha dados para outros dispositivos

� Usado industrialmente

• Ele não é..

� Um dispositivo

� Encriptado

� Controlador de dispositivos

Sistemas SCADA devem primar pela velocidade da aquisição dos dados. Cada segundo de delay pode ser crítico.

SCADA = Supervisory Control And Data Acquisition



• Autômatos programáveis

� RTU

� PLC

� IED

• Protocolos Fieldbus

� DeviceNet

� Modbus

� DNP3

� Profibus



• Redes SCADA estão em um mundo diferente, quanto a segurança,

do mundo de TI (Mito)

• Sistemas SCADA não possuem vulnerabilidades com as

vulnerabilidades de TI (Mito)

• Hackers não atacam sistemas SCADA (Mito)

• Possuo um sistema e protocolos personalizados, portanto não estou

vulnerável (Mito)


Segurança SCADA

• Segurança CUSTA Dinheiro

• Funcionalidade e facilidade GERAM dinheiro

• Segurança gera perda de funcionalidade e facilidade

Confidencialidade Disponibilidade

Integridade

SCADA


Segurança SCADA

• Segurança deve estar entre os requisitos para aquisição de novos

equipamentos

• Os controles se dividem entre controles Técnicos (Firewall, IDS,

smart card etc) e Administrativos ( Políticas de segurança,

procedimentos etc)

• Quando não é possível estabelecer controles diretos sobre algum

dispositivo, devemos compensar com controles sobre o sistema


Segurança SCADA

• Ameaças a um sistema SCADA

� Hackers (Direta e Indireta)

� Desenvolvedores de Virus (Indireta)

� Insiders (direta)

� Cyber Terroristas (direta)

• Riscos à que o sistema pode estar exposto

� Perda de vidas humanas

� Destruição do ambiente

� Perda das estruturas


Política de segurança

• Cada organização é única

• Políticas não são procedimentos

• Se a politica é bonita, mas não se aplica à sua organização, ela não

serve

• DEVE vs PODE

• Sempre Auditar e Revisar a política


Política de segurança

• Proteção legal para a empresa

• Erros

� Políticas impossíveis de serem seguidas

� Politicas que não podem ser auditadas

� Políticas não seguidas


Segurança do perímetro

• Use Firewall como Firewall e Roteador como Roteador

� Firewalls trabalham com regras

� Roteadores com Access lists

� Firewalls são stateful

� Roteadores são stateless

• ACLs podem ser exploradas



• Outros benefícios dos Firewalls

� Inspeção de camadas

� Assinaturas de IDS integradas

� VPN

� Firewalls podem rodar em computadores e appliances



• Zonas de segurança

� Confiável

• Dispositivos e redes SCADA

� Não Confiável

• Todo o resto (Inclusive pareceiros de negócio e empresas de suporte)

• Regras de Firewall básicas

� Isolar a rede SCADA das demais

� Criar DMZs

� O que não esté autorizado deve ser implicitamente negado

� Seja o mais específico possível



• Regras de Firewall básicas

� Diferenciar as redes

• Um Firewall mal configurado, alem de

ser inútil ainda gera latência na rede.

• Redundância é sempre bem-vinda.

Usando fabricantes diferentes é ainda

melhor.

• DMZs são baratas, use quantas forem

necessárias



• Quando usar uma DMZ?

� Quando os grupos diferirem quanto às permissões ou papéis

� Não deve ser usado quando um dispositivo possui uma vulnerabilidade

conhecida



• Prioridades de segurança nas áreas da planta

1. Prevenir que uma área comprometida afete o sistema SCADA

2. Prevenir que uma área comprometida afete outra área

3. Prevenir um Ciberataque em uma área

• Não se restrinja a firewalls de borda, também use firewalls internos

no limite de cada área

• Crie grupos com permissões semelhantes



• Política de acesso remoto

� Dividido em acesso aos dispositivos na DMZ e ao sistema SCADA

(confiável)

� Acesso ao sistema SCADA

• Deve ser extremamente limitado

• Não deve permitir controle remoto

• Acesso emergencial dos administradores

• Acesso para suporte por parte do vendedor

� Utilizar controles compensatórios

� Exigir segurança nos contratos

� Acesso via VPNs


Segurança física

• Muitos dispositivos podem ser hackeados pelo acesso físico

� Reboot

� Violência

� Desligar da tomada

• Restringir o acesso ao centro de controle e às HMIs

• Observar janelas e portas abertas, etc

• Utilizar biometria, RFID, smart cards, etc

• Colocar servidores e infra em um local diferente


Segurança física

• Restringir o acesso de pessoal desnecessário

• Proteção

� Coloque guardas nos pontos de acesso

� Boas trancas, mantenha portas fechadas

• Detecção

� Câmeras

� Detectores de movimento


Patches

• São softwares com código destinado a resolver problemas, em um

software principal.

• Atualmente basta baixar rodar um scan de vulnerabilidades, exploit e

payload para explorar um sistema com falhas de segurança não

“patcheada”. Tudo isso sem entender nada de programação e

protocolos.

• Você PRECISA instalar os patches no seus sistema para protegê-lo,

mas esse patch pode “quebrar” seus sistema.


Patches

• Precisam ser testados de forma a não afetar a disponibilidade do

sitema

• Não podem ser instalados sem autorização do fabricante

• Como proteger o sistema até que o patch seja autorizado?

• Controles compensatórios!

• Verificar a real necessidade do patch

• Realize testes e homologação do patch


Antivírus

• Deve ser instalado em todos os sistemas, de acordo com as

informações dos fabricantes dos sistemas SCADA

• Deve ser atualizado automaticamente em todos os sistemas não-

críticos a partir de um WSUS na rede de automação não conectado à

Internet

• Atualizado manualmente em sistemas críticos

• Redundância ajudará a evitar reboots

• Uma boa arquitetura da planta isolará o sistema da maior parte dos

malwares

• Verifique atualizações diariamente


Autenticação e Identificação

• Não adianta ter um kerberus bem configurado se os seus funcionários

guardam as senhas atrás do teclado

• Usuário/Senha é o mais fraco meio de autenticação

• Identificação

� Privilégios baseados em quem você é e onde você está logado

� Autenticação por 2 fatores


Autenticação e Identificação

• Problemas de autenticação

� Sistemas logados ao fim do boot

� Sistemas monousuário

� Contas compartilhadas

• Soluções de autenticação

� Contas individuais

� Realizar logoff após o uso

� Trocas de senha periódicas

� Termos de responsabilidade

� Política de segurança


Autorização

• O que um usuário está autorizado a fazer ?

• Identificação, autenticação e autorização provêm acesso

• Manter um registro (log) de todos os acessos, bem como quando eles

ocorreram

• Criar um controle de acesso baseado no papel de cada usuário no

sistema

• Mesmo os sistemas SCADA antigos têm formas sofisticadas de

controle de autorização


Security Standards

• NERC CIP 002 to 009

� Setor de eletrecidade

� Medidas e conformidades para todos os requisitos

� Programa de auditoria

� Penalidades para não-conformidades

• CIDX / ACC

� Setor de química

� Segurança no setor químico

� Avaliação de vulnerabilidades

� Como começar um programa de cyber segurança


Security Standards

• ANSI/ISA SP99

� Padrão de segurança adotado por todas as indústrias que possuem

sistemas de controle

� Um dos grupos mais ativos

� Visão geral das tecnologias de cyber segurança

� Autorização, encriptação, firewall, IDS

� Controles de acesso

• NIST SP 800-82

� Organização do governo americano

� Guideline de segurança para sistemas de controle

� Programa de testes de antivírus


Detecção

• Proteção vs Detecção

• Identifica ataque em tempo real

• Possibilita a tomada imediata de medidas

• Serve como uma camada a mais

• A detecção de ameaças cibernéticas deve fazer parte de todo

sistema crítico

• Detecção é ainda mais crítica quando um sistema de proteção ainda

não foi implementado


Detecção

• Logs do firewall

� Por que olhar os logs do firewall?

• Identificar tentativas de Insiders bloqueados

• Identificar mudanças de configuração

• Identificar atividades suspeitas ou não usuais

• Sistemas de detecção de intrusão (IDS)

� Verifica assinaturas de ataque passivamente

� Dividido em IDS de host e IDS de rede

� Ajuda na detecção de anomalias

� IDS de host pode gerar problemas de performance, sendo assim, veja

qual IDS seu fornecedor de equipamentos recomenda


Detecção

• Sistemas de prevenção de intrusão

� Pode bloquear tráfego suspeito

� Efetivo contra exploits conhecidos

� Não avalia o tráfego interno

• Monitoramento

� Sistemas operacionais e aplicações

� Ajudam em uma possível forense

� MSSP


Protocolos

• A comunicação PLC/RTU e o centro de controle era originariamente

serial, mas mudou praticamente toda para IP

• A comunicação entre o PLC/RTU e os sensores e atuadores ainda é

serial

• Porque mudar para IP?

� Maior taxa de transferência

� LAN/WAN pode ser compartilhada

� Roteamento para requisitos de disponibilidade

� Preço


Protocolos

• Modbus

� Protocolo Serial

� Checagem de erro

� Largamente usado

� Não prevê segurança!

• DNP3

� Industria elétrica

� Originalmente serial

� Similar ao modbus

� Cliente-Servidor

� Não prevê segurança!


Protocolos

• Um protocolo ideal teria:

� Autenticação da origem

� Conteúdo autenticado

� Encriptação ótima

� Boa performance

� Não existe nada nem próximo disso

• A solução atual se baseia em roteadores e firewalls de comunicação

de campo

• Encriptadores de campo estão sendo desenvolvidos


Monitoramento de sistemas SCADA

• Controle compensatório

• As medidas de detecção atuais detectam:

� Protocolos comuns de ataque

� Aplicações comuns de ataque

� Sistemas operacionais comuns de ataque

• Elas não detectam:

� Ataques ou mal uso de protocolos SCADA

• Assinaturas de IDS:

� Os protocolos SCADA não fornecem a origem nem autenticação dos

dados neles contidos


Monitoramento de sistemas SCADA

• Logs dos sistemas SCADA

� Podem conter informações valiosas

� Cada fabricante possui um padrão diferente de logs

� A solução é criar um dicionário de dados SCADA e normalizar os logs


Outros controles de segurança

• Programa de conscientização

� Usuários acabam não lendo ou esquecendo a política

� Pôster, e-mails vídeos, palestras, auditorias

• Campanhas de conscientização

� Já fez seu backup hoje ?

� Você deixou seu pc ligado ontem

• Análise de vulnerabilidades

� Identifica patches não aplicados

� Erros de configuração

� Senhas fracas ou default


Outros controles de segurança

• Análise de vulnerabilidades

� Faça scans regularmente

� Cuidado! Scans podem tirar o sistema SCADA do ar

� Faça scans em pequenos grupos de hosts, para diminuir o impacto

� Prepare-se para possíveis efeitos colaterais

• Siga as boas práticas SEMPRE!

� ANSI/ISA 99

� NIST SP 800-82


Formação em segurança de automação industrial

• Baseada na norma ANSI/ISA-99

• Escopo:

• Introdução às redes Industriais e SCADA

• Infraestruturas Críticas e Cyber-terrorismo

• Normas para segurança em redes industriais

• Introdução à análise de riscos

• Análise de riscos em redes industriais

• Malware em redes industriais e ICS

• Desinfecção de redes industriais contaminadas por Malware

• Uso de firewalls e filtros na segurança de redes industriais

• Uso de Criptografia em redes industriais

• Segurança no acesso remoto à redes industriais

• Implementando o CSMS (ANSI/ISA-99) na prática

• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)

• Alunos recebem material didático em formato digital

• Formação com 20h de duração

• Instrutor membro da ISA Internacional e integrante do comitê da norma ANSI/ISA-99, com anos de experiência em segurança de automação industrial

• Objetiva formar profissionais de TI e TA:

� Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99

� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras

• Calendário com próximas turmas disponível em http://www.tisafe.com/solucoes/treinamentos/


CertificaçãoCertificaçãoCertificaçãoCertificação CASE CASE CASE CASE –––– Certified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security Engineer

A certificação CASE abrange os seguintes domínios de conhecimento:

• Introdução às redes Industriais e sistemas SCADA.• Infraestruturas Críticas e Cyber-terrorismo.• Governança para redes industriais.• Políticas e padrões de segurança industrial.• Introdução à análise de riscos.• Análise de riscos em redes industriais e sistemas SCADA.• Malware em redes industriais e sistemas de controle.• Desinfecção de redes industriais contaminadas por Malware.• Segurança de perímetro em redes de automação.• Criptografia em redes industriais.• Controle de acesso em sistemas SCADA.• Implantando o CSMS (ANSI/ISA-99) na prática.

• Prova presencial composta de 60 perguntas de múltipla escolha que devem ser resolvidas em 90 minutos.

• As questões têm pesos diferentes e o aluno será aprovado caso obtenha quantidade de acerto igual ou superior a 70% do valor total dos pontos atribuídos ao exame.

• Em caso de aprovação o aluno receberá o certificado CASE por e-mail e seu nome poderá ser verificado em listagem no site da TI Safe.

• Os certificados tem 2 anos (24 meses) de validade a partir de sua data de emissão.

• Guia de estudos, simulado e calendário com próximas provas disponível em (aba “Certificação CASE”): http://www.tisafe.com/solucoes/treinamentos/


• Eventos com 8 horas de duração destinados à criação de

consciência de segurança em empresas.

• Realizados dentro da empresa (normalmente em auditório)

e sem limite de número de alunos.

• Utiliza estratégias de divulgação e elaboração em formato

de palestras com apostila personalizada, atingindo a todos

os níveis de colaboradores da organização.

• Palestras técnicas baseadas nas normas ISO/IEC 27001,

ISO/IEC 27002, BS 25999 e ANSI/ISA-99

• Escolha as palestras técnicas para o Security Day em sua

empresa em nossa base de conhecimento disponível em

http://www.slideshare.net/tisafe

Security Day


Contato

Palestra técnica - Aprendendo segurança em redes industriais e SCADA

Technology

Transcript of Palestra técnica - Aprendendo segurança em redes industriais e SCADA