White Paper - TI Safe ICSSF

Página - 1 - de 60

Confidencial - TI Safe Segurança da Informação

Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será

de sua inteira responsabilidade e apurada segundo lei vigente.

SOLUÇÃO INTEGRADA DE SEGURANÇA DA INFORMAÇÃO PARA

PLANTAS INDUSTRIAIS E INFRAESTRUTURAS CRÍTICAS

TI SAFE INDUSTRIAL CONTROL SYSTEMS SECURITY FRAMEWORK

WHITE PAPER TISAFE_WHITEPAPER_ICSSF_V1

DATA:21 DE OUTUBRO DE 2014

VERSÃO: 5

Autores: Marcelo Branquinho

Renato Mendes Marcio Santos

Josué José Souza Junior Franzvitor Fiorim Alexandre Freire

Página - 2 - de 60




RESUMO

Nos últimos anos temos assistido o crescimento exponencial de riscos e ameaças cibernéticas

a sistemas de automação e de informação que operam plantas industriais. Dentre estas, as

mais preocupantes são as chamadas “infraestruturas críticas”, que são instalações, serviços

e/ou bens que, se forem interrompidos ou destruídos, provocarão sério impacto social,

econômico e/ou político. Exemplos de infraestruturas críticas são plantas de geração e

distribuição de eletricidade, fábricas de alimentos, bebidas e farmacêuticas, empresas de

telecomunicações, de fornecimento de água, gás natural e combustível, empresas de saúde

pública, transportes, serviços financeiros e serviços nacionais, tais como polícia, defesa civil,

corpo de bombeiros, forças armadas, etc.

Em contraponto aos riscos e ameaças apresentadas, empresas do mundo todo investem

tempo e dinheiro em pesquisa e desenvolvimento de serviços e soluções para a proteção

dessas infraestruturas, buscando reduzir ou eliminar os impactos de eventuais interrupções

de operação, quebras de produção, perdas materiais, incidentes ambientais ou acidentes de

trabalho causados por incidentes de segurança da informação, tais como ataques maliciosos,

vírus, hacking ou até mesmo o chamado terrorismo eletrônico (“cyber terrorismo”).

Neste trabalho a equipe da TI Safe juntamente com seus parceiros - Siemens, IBM, Trend

Micro e Palo Alto Networks - apresenta uma solução integrada para monitoramento e

proteção de plantas industriais denominada TI Safe Industrial Control Systems Security

Framework – ICSSF. A solução ICSSF é uma arquitetura de segurança que cobre diversos

requisitos de segurança das normas ANSI/ISA-99 e NIST 800-82 e fornece o que há de mais

moderno e adequado em termos de segurança de informação para sistemas industriais.

Página - 3 - de 60




SOBRE OS AUTORES

Marcelo Branquinho é diretor-executivo da TI Safe Segurança da Informação.

Renato Mendes é executivo de projetos especiais de segurança ICS na TI Safe

Segurança da Informação.

Marcio Santos é consultor técnico da Siemens.

Josué José Souza Junior é consultor técnico da IBM.

Franzvitor Fiorim é consultor técnico da Trend Micro.

Alexandre Freire é consultor técnico da Palo Alto Networks.

Página - 4 - de 60




HISTÓRICO DE VERSÕES

Versão Data Autor Descrição

1 21/10/2014 Marcelo Branquinho, Renato

Mendes, Marcio Santos, Josué

José Souza Junior, Franzvitor

Fiorim, Alexandre Freire

Geração do primeiro documento.

2 23/10/2014 Renato Mendes Correções pontuais.

3 28/10/2014 Renato Mendes Alterações pontuais no texto. Inclusão da

certificação Achilles.

4 10/11/2014 Renato Mendes Revisões no texto.

5 18/11/2014 Renato Mendes Revisões nas figuras e no texto.

Página - 5 - de 60




PROPRIEDADE INTELECTUAL E RESPONSABILIDADES

Este documento e seus anexos, incluindo, sem limitações, informações técnicas, diagramas,

projetos, informações comerciais, especificações, desenhos, diagramas, etc., podem constituir

propriedade intelectual e/ou proprietária de seus respectivos titulares.

O conteúdo aqui descrito é de propriedade exclusiva dos autores. A cópia, utilização,

distribuição e/ou reprodução não autorizada do total ou trechos deste documento será

considerada violação de direitos e estarão passíveis de medidas nos termos da legislação civil

e criminal vigente.

TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como

podem ser outras empresas, produtos e métodos citados neste documento. Em todos os

casos de uso estes itens são reconhecidos como marca registrada de seus detentores.

As informações constantes neste documento refletem a realidade

TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como

podem ser outras empresas, produtos e métodos citados neste documento. Em todos os

casos de uso estes itens são reconhecidos como marca registrada de seus detentores.

As aplicações e os exemplos neste documento visam ser meramente informativos e

ilustrativos, não representando soluções definitivas ou soluções personalizadas.

Reservamos o direito de alteração deste documento a qualquer momento sem prévia

notificação.

Os autores deste documento não se responsabilizam pelo uso inadequado das informações

deste documento, assim como por qualquer consequência de uso do mesmo.

Página - 6 - de 60




ÍNDICE

1. FUNDAMENTOS DA ARQUITETURA ................................................................. - 8 -

2. O CONCEITO DE DEFESA EM PROFUNDIDADE ................................................ - 9 -

3. AMBIENTE DE FUNCIONAMENTO ................................................................. - 11 -

3.1 A PLANTA SIMULADA DE AUTOMAÇÃO ..................................................... - 11 -

4. SOLUÇÕES DE SEGURANÇA .......................................................................... - 15 -

4.1 PROTEÇÃO DOS SISTEMAS DE AUTOMAÇÃO DO CHÃO DE FÁBRICA ......... - 15 -

4.1.1 FIREWALL INDUSTRIAL SCALANCE S .................................................... - 16 -

4.1.2 CONTROLE DE ACESSO – SIMATIC LOGON E PROTEÇÃO DE KNOW HOW - 20 -

4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS - 27 -

4.1.4 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 31 -

4.1.5 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 34 -

4.2 CONTROLE DE MALWARE .......................................................................... - 35 -

4.2.1 SEGURANÇA LOCAL PARA SERVIDORES CRÍTICOS DA REDE DE AUTOMAÇÃO

- TREND MICRO OFFICE SCAN ............................................................................ - 36 -

4.2.2 MONITORAMENTO DE MALWARE E APT NA REDE DE AUTOMAÇÃO - TREND

MICRO DEEP DISCOVERY ................................................................................... - 37 -

4.3 SEGURANÇA DE PERÍMETRO E CONTROLE DE ACESSO EXTERNO .............. - 39 -

4.4 INTELIGÊNCIA DE SEGURANÇA ................................................................ - 46 -

4.4.1 CENÁRIO DE USO DO IPS XGS5100 ....................................................... - 46 -

4.5 INFORMAÇÃO DE SEGURANÇA E DE INCIDENTES ..................................... - 48 -

4.6 SEGUNÇA DE DADOS ................................................................................ - 50 -

4.6.1 PROTEÇÃO DAS BASES DE DADOS ......................................................... - 50 -

4.6.2 DATABASE ACTIVITY MONITORING (DAM) ........................................... - 51 -

4.6.3 PRINCIPAIS FUNÇÕES DO IBM GUARDIUM ........................................... - 54 -

4.6.3.1 DATABASE AUTODISCOVERY (DBAD) ................................................ - 54 -

4.6.3.2 CLASSIFIER ....................................................................................... - 55 -

4.6.3.3 RELATÓRIO DE PRIVILÉGIOS ............................................................ - 55 -

Página - 7 - de 60




4.6.3.4 APPLICATION END USER IDENTIFICATION ....................................... - 55 -

4.6.3.5. VULNERABILITY ASSESSMENT ........................................................... - 55 -

4.6.3.6. ACELERADORES DE COMPLIANCE ...................................................... - 56 -

4.6.3.7. WORKFLOW ....................................................................................... - 57 -

4.6.4 DESEMPENHO E OUTROS ....................................................................... - 57 -

5. CONCLUSÃO ................................................................................................. - 58 -

6. ICS.SECURITYFRAMEWORK EM AÇÃO .......................................................... - 59 -

Página - 8 - de 60




1. FUNDAMENTOS DA ARQUITETURA

A arquitetura ICSSF parte do princípio da segmentação dos sistemas industriais no formato de

uma pirâmide, conforme padrão ANSI/ISA de segmentação e classificação dos sistemas de

informação e de automação utilizados na indústria:

Figura 1 - Arquitetura de segmentação de sistemas industriais

Dentro da segmentação ilustrada, temos que enquanto os equipamentos, sistemas e redes

dos níveis zero e um são essencialmente derivados de tecnologia de automação

(controladores, redes proprietárias e/ou padrões de automação), os níveis três e quatro são

essencialmente soluções de tecnologia de informação (equipamentos e banco de dados

padrão de mercado, rede Ethernet TCP/IP padrão). Na interface destes mundos encontra-se o

nível dois, que muitas vezes possui elementos de tecnologia de automação e tecnologia da

informação.

Esta análise é fundamental uma vez que ameaças e riscos de segurança divergem

dependendo da tecnologia que está sendo utilizada, assim como as contramedidas e soluções

a serem adotadas na proteção.

Desta lógica entendemos então que uma solução para segurança de plantas industriais

precisa necessariamente possuir tecnologia e ferramentas tanto de tecnologia da informação

quanto da tecnologia de automação, aplicadas em uma arquitetura própria e pensada

segundo ambos os pontos de vista.

Página - 9 - de 60




2. O CONCEITO DE DEFESA EM PROFUNDIDADE

Uma solução comum para a segurança industrial é instalar um firewall entre as redes de

negócios e de controle. No entanto, proteger apenas o perímetro da rede de automação não é

suficiente. Não se pode somente instalar um firewall para controle de sistemas e esquecer-se

do resto da segurança, pois os invasores normalmente conseguem penetrar na rede de outras

formas. É necessário proteger o chão de fábrica com uma estratégia de defesa em

profundidade.

Em alguns exemplos de ataques documentados reais contra plantas industriais temos casos

documentados de infecções por worm em uma planta nuclear através de uma conexão

remota T1, em um sistema SCADA de energia através de uma VPN e em um sistema de

controle de óleo e gás através do sistema operacional do laptop de um funcionário

terceirizado de manutenção. Em todos estes casos existia um firewall segregando as redes de

negócio e de controle, mas ele foi inútil para a proteção contra as ameaças internas, pois elas

entraram direto nos segmentos inferiores da pirâmide ANSI/ISA, direto na rede de controle

sem passar pela rede corporativa.

Figura 2 - Ameaças internas à rede de automação

Além do exposto temos que firewalls tradicionais são muito complexos para que a maioria dos

profissionais de segurança possa configurar corretamente de modo a evitar uma ameaça.

Além disto, sem o conhecimento mais aprofundado de rede, como é o caso da maioria dos

profissionais do chão de fábrica, não se consegue fazer com que ele exerça sua função

adequadamente. Uma vez que um vírus ou um hacker burle o firewall de controle do sistema,

os controladores lógicos programáveis (PLCs), estações SCADA ou outros dispositivos de

automação serão alvos fáceis de ataque. Equipamentos e protocolos de controle normalmente

não oferecem mecanismos de autenticação, integridade ou confidencialidade e podem ser

completamente controlados por qualquer indivíduo que seja capaz de realizar um simples ping

nestes equipamentos.

Página - 10 - de 60




As indústrias precisam de uma solução de segurança que tenha sido projetada

especificamente para fornecer uma solução de defesa em profundidade tanto para os

sistemas de controle novos quanto para o restante do legado. Esta solução tem que ser

simples a ponto das equipes de campo entender seu funcionamento e realizar sua instalação

e manutenção, ao mesmo tempo em que proteja adequadamente os ativos controlados. É

necessário pensar em um framework que inclua soluções tecnológicas aderentes e políticas

adequadas para executar, manter e monitorar a segurança de forma consistente, alinhada

com a cultura organizacional da empresa e que forneça visibilidade das ameaças,

contramedidas necessárias e ocorrência de incidentes.

Dentro deste contexto foi pensado e desenvolvido o ICSSF. Trata-se de um framework

contendo a melhor tecnologia de mercado adequada ao cenário de plantas industriais,

aderentes às normas vigentes (ANSI/ISA-99 e NIST 800-82), com um mapa de rotas claro de

implementação, de manutenção e de monitoração da qualidade do ambiente e processos de

segurança.





3. AMBIENTE DE FUNCIONAMENTO

O ICSSF foi pensado com uma solução totalmente aderente as necessidades das plantas

industriais e aos níveis hierárquicos da pirâmide ANSI/ISA. É composto por vários

componentes individuais – um ou mais para cada camada – que estão aplicados conforme as

recomendações das normas de mercado e profundamente integrados entre si.

Apesar de o ICSSF sofrer variações de capacidade e configuração em função da tecnologia

utilizada nos sistemas de automação e de informação da planta a ser protegida, seus

princípios de funcionamento e arquitetura básica se mantém inalterados independentemente

do negócio a ser protegido.

A fim de ilustrar o funcionamento do ICSSF e realizar testes, demonstração e exercícios de

ataque e proteção montamos nas instalações da TI Safe e posteriormente apresentamos no

1º Congresso Latino Americano de Segurança SCADA (CLASS 2014 – www.class2014.com.br)

um ambiente industrial simulado contemplando sistemas comuns em aplicações SCADA e em

todos os níveis da pirâmide ISA, e neste ambiente aplicamos o ICSSF.

Neste ambiente temos o que chamamos “Planta Base de Automação”, que é a representação

simulada dos sistemas industriais, e sobre esta planta base aplicamos os componentes de

segurança do ICSSF.

3.1 A PLANTA SIMULADA DE AUTOMAÇÃO

Utilizamos como simulação uma planta cervejeira Siemens em escala reduzida e simplificada,

onde a produção será simulada desde o chão de fábrica até o nível corporativo. A planta deste

segmento de Alimentos e Bebidas é um bom exemplo, uma vez que ela inclui áreas de

automação de processos para a área de produção da cerveja, automação discreta para a linha

de envase e embalagem e sistemas de utilidades.





Figura 3 - Ilustração de planta cervejeira simulada

A arquitetura dos sistemas desta planta simulada segue nas figuras abaixo:

Figura 4 - Arquitetura de proteção de célula da planta de demonstração ICSSF





Figura 5 - Arquitetura supervisório da planta de demonstração ICSSF

Figura 6 - Arquitetura de componentes de segurança da planta de demonstração ICSSF





Cada um dos grupos de sistemas desta planta está dividido em módulos, sendo que cada

módulo representa um conjunto de sistemas associado a ou um nível da pirâmide de

automação ou um grupo de aplicações de segurança do ICSSF.

A tabela abaixo lista os módulos utilizados neste ambiente simulado e seu respectivo nível na

pirâmide ANSI/ISA:

DESCRIÇÃO DO MÓDULO NÍVEL

ANSI/ISA

Sistemas de produção de cerveja (PLCs, Inversor, Motor,

IHM, etc.)*

0 e 1

Sistema de envase e embalagem (PLCs, Inversor, Motor,

IHM, etc.)*

0 e 1

Sistema SCADA (Servidor OPC, Servidor SCADA,

Supervisório, Servidor SCADA Web)

2

Sistema de Controle de Produção (MES – Manufacturing

Execution System)

3

Sistema de Gerenciamento Corporativo (ERP – Enterprise

Resource Management)

4

Tabela 1 - Descrição dos módulos e respectivos níveis ISA

É importante observar que os módulos de segurança protegem várias camadas ISA/ANSI

simultaneamente. A proteção da rede de automação é feita pelos equipamentos utilizados nos

níveis zero e um e interligados na arquitetura ICSSF, conforme será detalhado mais à frente.





4. SOLUÇÕES DE SEGURANÇA

Conforme já ilustrado, aplicamos na planta simulada uma série de soluções de segurança

cibernética visando à proteção dos vetores de vulnerabilidade conhecidos. Para cada solução

utilizamos diversas técnicas e tecnologias conhecidas e consolidadas e de real efeito

preventivo/corretivo, levando em consideração as particularidades de cada um dos sistemas

simulados e as características intrínsecas dos sistemas de tecnologia da informação (T.I.) e

tecnologia da automação (T.A.).

Ao final consolidamos um framework definitivo para proteção completa e integrada de uma

planta industrial. Este framework é a base do conceito de infraestrutura crítica segura e

compõe a essência da estratégia de proteção de sistemas que contemplem um ou vários

níveis da pirâmide ISA de automação.

A seguir detalhamos cada um dos vetores de proteção e a solução adotada pelo framework

apresentado.

4.1 PROTEÇÃO DOS SISTEMAS DE AUTOMAÇÃO DO CHÃO DE FÁBRICA

Um dos maiores dilemas ao se proteger sistemas de automação contra ameaças cibernéticas

é romper o paradigma de que sistemas de automação são sistemas isolados e, portanto,

naturalmente protegidos contra todo e qualquer tipo de risco. O histórico recente de

incidentes de segurança em plantas industriais demonstra que tais sistemas deixaram de ser

sistemas isolados há muito tempo. Nos dias de hoje a necessidade de integração entre os

níveis corporativos e de produção para fins de controle de produção e rastreabilidade tornam

impossível à visão de sistemas de automação como sistemas estanques.

Outro fator que corrobora para a dificuldade de executar políticas e soluções de segurança em

sistemas de automação origina-se no fato de que sistemas de automação quase sempre são

implementados e mantidos por equipes técnicas que possuem baixa ou nenhuma experiência

com sistemas de segurança oriundos do mundo de TI. Sendo o foco de tais equipes a

operação continua dos processos de produção e automação, é facilmente compreensível

concluir que todo e qualquer sistema que vise dificultar o acesso não autorizado à

infraestrutura de automação torna-se um complicador nas tarefas do dia a dia destas equipes.

No ICSSF demonstramos como realizar a integração entre os níveis corporativos e de

produção de forma eficaz, utilizando técnicas não intrusivas nos sistemas do chão de fábrica.

O uso de tais técnicas torna possível uma rápida curva de aprendizado por parte das equipes

de automação e manutenção, utilizando procedimentos e ferramentas mais adequadas as

suas necessidades.

Estas técnicas podem ser utilizadas em novos projetos e equipamentos, assim como em

equipamentos existentes – ou os chamados sistemas legados. Sistemas legados exigem mais

esforços ao serem protegidos, dada a sua obsolescência e, por consequência, a

impossibilidade de alterar-se o modo de funcionamento destes equipamentos sem

comprometer a sua disponibilidade no processo produtivo no qual eles estão operando.





A seguir detalhamos os componentes utilizados nos níveis de controle responsáveis pela

proteção dos sistemas de automação do chão de fábrica.

4.1.1 FIREWALL INDUSTRIAL SCALANCE S

Figura 7 - Firewall SCALANCE S623

O firewall industrial SCALANCE S permite desde a configuração de simples regras de acesso,

tal como permitir ou não o acesso HTTP do servidor WEB de um PLC, até mesmo a

configuração de uma rede VPN (Virtual Private Network) entre um PLC e um servidor SCADA.

Figura 8 - Diferentes modos de utilização do SCALANCE S

O mais interessante neste caso, é que funções de firewall e VPN podem ser encontradas em

diversos sistemas e appliances de T.I., porém tais appliances não são facilmente integrados

ao sistema de automação, seja por questões técnicas (necessidade de comunicações em

tempo real, por exemplo), seja por suporte a ambientes hostis (faixa de temperatura entre -

40 a +70°C, por exemplo).

Já o firewall SCALANCE S integra-se perfeitamente as condições de uso severas típicas de

ambientes industriais bem como ao ambiente de configuração do sistema de automação,

podendo, por exemplo, configurar automaticamente uma regra de acesso a partir das tabelas





de conexões dos PLCs. Neste caso, toda e qualquer comunicação não autorizada é bloqueada

automaticamente e as conexões declaradas no PLC pela equipe de automação tornam-se

automaticamente autorizadas, garantindo dessa forma o correto funcionamento do sistema de

automação com o mínimo esforço da equipe de automação.

Se necessário for o SCALANCE S pode ser configurado para funções de rede mais avançadas,

como roteador IP (L3), NAT (Network Address Translation), NAPT (Network Address and Port

Translation) e servidor DHCP (Dynamic Host Configuration Protocol), 802.1x RADIUS, cliente

DynDNS (resolução dinâmica de nomes para endereços IPs dinâmicos) e Ghost Mode (no qual

o endereço IP do firewall será atribuído dinamicamente em função do endereço IP do

equipamento conectado na porta interna do firewall. Essa função é interessante na proteção

de sistemas legados em algumas indústrias específicas.

A equipe de automação pode, se necessário for, criar com poucos cliques uma VPN entre um

PLC e um servidor SCADA, sem que para isso necessite entender de temas específicos como

protocolo IPSec, criptografia simétrica e assimétrica ou gerenciamento de certificados de

segurança. Uma VPN pode ser configurada caso seja utilizada uma infraestrutura de rede

naturalmente sujeita a ataques, seja por espionagem, seja por perda de autenticidade dos

dados. Esse cenário é particularmente interessante quando redes WiFi são utilizadas na troca

de dados, ou em último caso quando a Internet é utilizada (acesso remoto ou monitoramento

de fábricas geograficamente separadas).

Na nossa planta simulada, o intuito principal é garantir o correto funcionamento do sistema

de produção e automação. Dessa forma, seguindo-se as orientações da norma ISA-99, células

de produção/automação foram criadas, de forma que a comunicação dentro da célula é 100%

garantida, porém todo e qualquer acesso de dentro da célula para a rede externa e vice-versa

só será concretizado caso seja devidamente autorizado a partir das regras declaradas no

SCALANCE S.

As seguintes regras foram configuradas no SCALANCE S que faz o controle perimetral da

célula de produção/automação:

• Acesso aos PLCs de processo através do protocolo S7 Communication (TCP 102) a

partir da estação de engenharia e servidores SCADAs;

• Acesso aos servidores WEB dos PLCs de processo (TCP 80 e 443 – HTTP e HTTPS) a

partir de um smartphone, da estação de engenharia e da estação de monitoramento

de rede (SINEMA);

• Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que

compõem a célula (switches, IHMs, PLCs) a partir da estação de monitoramento de

rede (SINEMA);

• Acesso ao servidor NTP (Network Time Protocol) disponível no sistema SCADA (UDP

123)





Figura 9 - Proteção de célula da planta simulada

De acordo com o princípio de menor privilégio, toda e qualquer comunicação que não esteja

oficialmente declarada nas tabelas de regras do SCALANCE S serão automaticamente

bloqueadas.

Sendo o SCALANCE S um firewall statefull, não é necessário declarar nas tabelas de regras as

condições para os telegramas de resposta das comunicações internas/externas. O próprio

SCALANCE S consegue identificar que um telegrama de resposta está sendo enviado a partir

de um telegrama recebido e validado pelas regras previamente configuradas, tornando a

configuração do firewall ainda mais flexível e isenta de erros.

Já no nível do sistema SCADA torna-se necessária a separação das redes de comunicação

conforme as funcionalidades requeridas. Neste caso foi utilizado outro firewall SCALANCE S

com suporte a funções DMZ.

O conceito de uma rede DMZ é baseado na separação física entre redes, de forma que uma

rede intermediária seja criada. Com isso equipamentos da rede não confiável jamais poderão

comunicar com equipamentos da rede confiável de forma direta. Caso algum equipamento da

rede não confiável necessite trocar dados com equipamentos da rede confiável e vice-versa,

tal troca de dados deverá ser realizada através de equipamentos alocados na rede

intermediária (rede DMZ). Dessa forma jamais a rede confiável estará exposta à rede não

confiável. O conceito de redes DMZ é fundamentado no controle de fronteiras entre países,

onde se origina o nome DMZ (Demilitarized Zone). Nestas fronteiras é necessário passar por

duas estações de controle alfandegárias/militares antes de adentrar num outro país.





Figura 10 - Princípio de funcionamento da DMZ

No sistema SCADA encontramos facilmente aplicações para o uso de DMZ. Basta pensarmos

que toda e qualquer troca de dados do sistema SCADA com o mundo corporativo só deveria

ser realizada a partir de computadores que estejam instalados na DMZ, evitando que um

computador corporativo com acesso a Internet (e a todo tipo de vulnerabilidade) tenha

acesso direto ao servidor SCADA.

Na nossa planta simulada foi instalado um servidor SCADA na rede confiável deste sistema e

a troca de dados com os níveis corporativos é executada através de um servidor OPC UA

(Unified Architecture - ver detalhes mais adiante) instalado na DMZ do sistema SCADA. Além

disso, nessa mesma DMZ temos um servidor WEB para o sistema SCADA, o qual é

responsável por publicar algumas telas do sistema SCADA via WEB para clientes corporativos.

Através da DMZ garante-se que os computadores da rede confiável do sistema SCADA não

estarão diretamente expostos na rede corporativa da nossa planta simulada. A saber, as

seguintes regras foram configuradas no SCALANCE S que faz o controle perimetral no sistema

SCADA:

• Acesso ao Controlador de Domínio a partir das estações que estão na DMZ (somente

estações previamente configuradas terão esse acesso, novas estações são bloqueadas

automaticamente);

• Acesso ao Servidor SCADA a partir das estações que estão na DMZ (somente estações

previamente configuradas terão esse acesso, novas estações são bloqueadas

automaticamente). A troca de dados nesse caso ocorre somente através da porta TCP

8910 (configurável). Através dessa porta a troca de dados entre os computadores do

sistema SCADA ocorre de forma criptografada (ver funcionalidade SIMATIC SHELL

mais adiante), o que limita a quantidade de portas necessárias na comunicação entre

esses computadores e garante a confidencialidade dos dados;





• Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que

estão na DMZ (switches e computadores) a partir da estação de monitoramento de

rede (SINEMA);

• Acesso ao Servidor SCADA OPC UA (TCP 4862) da DMZ a partir da rede corporativa

(somente estações previamente configuradas terão esse acesso, novas estações são

bloqueadas automaticamente). Através dessa porta a troca de dados entre o nível

corporativo e o servidor OPC UA ocorre de forma criptografada e assinada digitalmente

(certificado X.509) garantindo a confidencialidade e autenticidade dos dados.

• Acesso ao Servidor SCADA WEB da DMZ a partir da rede corporativa (TCP 80 e 443 –

HTTP e HTTPS). Inicialmente todos os computadores da rede corporativa podem

acessar este servidor WEB, porém é plenamente possível configurar um conjunto de

computadores os quais podem acessar o servidor WEB.

Mais uma vez, de acordo com o princípio de menor privilégio, toda e qualquer comunicação

que não esteja oficialmente declarada nas tabelas de regras do SCALANCE S serão

automaticamente bloqueadas.

Figura 11 - Arquitetura SCADA - separação das redes

4.1.2 CONTROLE DE ACESSO – SIMATIC LOGON e PROTEÇÃO DE KNOW HOW

Se no ambiente de TI é praticamente inviável se pensar numa rede de comunicação

corporativa sem um controlador de domínio, no ambiente de automação esta configuração é





praticamente inexistente. Raros são os projetos onde foram utilizados controladores de

domínio.

As explicações para tal restrição nos ambientes de automação são várias, mas as mais

comuns são:

• Falta de conhecimento para empregar e administrar um controlador de domínio por

parte da equipe de automação;

• Impossibilidade de utilizar um controlador de domínio comum ao ambiente corporativo

e ao ambiente de automação;

• E a mais comum, dificuldade em observar os ganhos reais a partir da utilização de um

controlador de domínio no ambiente de automação.

No passado, quando as barreiras técnicas e culturais entre as equipes de TI e TA eram muito

mais expressivas, tentou-se utilizar (em vão) os controladores de domínio oferecidos pelas

equipes de TI, porém as configurações de segurança aplicadas na TI normalmente são muito

restritivas para serem utilizadas no ambiente de automação. Só para citar, o uso de algumas

GPOs (Group Policy Objects) pode fazer com que algumas funções dos sistemas SCADAs

simplesmente deixem de funcionar.

Atualmente existe uma forte tendência de sinergia e trocas de experiências entre as equipes

de TI e TA. Em grandes empresas já é possível encontrar profissionais que circulam

livremente entre as equipes ou então encontrar situações onde essas empresas estimulam

um job rotation entre as equipes, de forma que elas possam entender e vivenciar as

necessidades do dia a dia de cada uma delas.

Na prática essa sinergia resultou no seguinte cenário atual:

• Maior disseminação dos conceitos referentes aos controladores de domínio;

• Reconhecimento por parte das equipes de automação quanto às necessidades de

aplicar controladores de domínio nas redes de automação;

• Reconhecimento por parte das equipes de TI quanto às necessidades de se ter um

controlador de domínio dedicado às redes de automação e, quando necessário, incluir

tais controladores na floresta de domínio da empresa ou então criar um vínculo de

confiança entre o controlador de domínio da TI e da TA.

A grande pergunta que ainda persiste nas equipes de automação é: “Como posso obter

ganhos com o meu sistema de automação a partir do uso de controladores de domínio?”.

Essa pergunta é muito prática, visto que muitos fornecedores de sistemas de automação

também não enxergavam necessidade de integrar seus produtos aos controladores de

domínio, uma vez que seus clientes não iriam utilizar tal funcionalidade na prática.

Esse cenário poderia ser uma realidade até alguns anos atrás, porém atualmente já é possível

valer-se da integração entre controlador de domínio e sistemas de automação.

Na nossa planta simulada, utilizamos o SIMATIC LOGON, que de forma resumida é um

software que possibilita a integração de usuários do Active Directory do Windows às tarefas

de automação. Com o SIMATIC LOGON é possível utilizar o conceito de Single Sign On na





automação, onde através de um único usuário (autenticado e validado através do Active

Directory) é possível determinar quais tarefas o usuário pode executar no processo produtivo.

Em função do perfil do usuário os sistemas de automação podem permitir ou não a execução

de algumas tarefas previamente cadastradas. Exemplos:

• Definição de quais usuários/grupos de usuários podem alterar parâmetros do

processo;

• Definição de quais usuários/grupos de usuários podem parar ou partir o processo;

• Definição de quais usuários/grupos de usuários podem iniciar, parar ou alterar uma

batelada;

• Definição de quais usuários/grupos de usuários podem desligar o sistema de

automação.

• Definição de quais usuários/grupos de usuários podem ter acesso as ferramentas de

engenharia do sistema de automação.

Em alguns casos é possível liberar certas ações sobre o processo somente após ação ser

validada por duplo fator de autenticação e receber uma assinatura digital (requerimento

comum nas indústrias alimentícias e farmacêuticas, conforme prevê a norma americana FDA

CFR 21 PART 11).

Além do controle sobre certas funções operativas, na nossa planta simulada a engenharia do

sistema de automação e por consequência a alteração dos programas de automação dos PLCs

só podem ser executadas por usuários devidamente cadastrados no Active Directory e com

perfil de acesso para tal função.

Tal controle garante que somente usuários com perfil de acesso irão operar ou alterar o

sistema de automação de nossa planta simulada.

Algumas das ações executadas pelos usuários podem ser gravadas numa trilha de auditoria

para análises futuras, caso seja necessário. No caso especifico de projetos que necessitam

atender a norma americana FDA CFR 21 PART 11 é necessário utilizar um software adicional

chamado SIMATIC WINCC Audit, o qual possibilita gravar trilhas de auditoria de todas as

ações dos usuários, bem como o controle de mudanças do projeto.





Figura 12 - Autenticação de usuário na engenharia do SIMATIC Manager

Figura 13 - Projeto SIMATIC Manager com controle de acesso





Figura 14 - Autenticação de usuário no SCADA WinCC

Diferentemente de ataques genéricos e com fins destrutivos, como infecção por malware ou

ataques de DOS/DDOS (Denial and Distributed Denial of Service) onde o foco principal é a

indisponibilidade de um serviço/sistema ou a simples proliferação de um vírus, atualmente o

termo APT (Advanced Persistent Threat) é o que realmente preocupa os administradores de

rede e os engenheiros de automação.

Neste tipo de ataque são utilizadas diversas e sofisticadas técnicas de invasão, sendo que

esse tipo de ataque é desenvolvido com propósitos muito específicos e com alvos bem

definidos. Em plantas industriais um ataque como esse pode, por exemplo, buscar segredos

industriais do processo produtivo (espionagem), sequestrar o controle da planta (extorsão) ou

em casos mais extremos ser utilizado para impedir o avanço da produção industrial de

equipamentos bélicos (cyberwar). De qualquer forma um APT é subdivido em fases, sendo

que quase sempre a fase inicial envolve um planejamento onde a coleta de informações

referente ao alvo a ser invadido torna-se vital. Neste momento, quanto mais protegermos o

sistema alvo, melhor. E neste sentido o controle de acesso à engenharia e configurações do

sistema de automação é praticamente obrigatório, pois se o atacante não tem acesso ao

projeto do sistema SCADA e dos PLCs, estaremos dificultando e muito, o desenvolvimento de

um APT específico à nossa planta.

Caso o atacante consiga burlar a infraestrutura de segurança existente e ganhar acesso ao

projeto do sistema SCADA e dos PLCs, ainda assim é possível utilizar contramedidas de

segurança no sentido de prevenir e em alguns casos detectar a alteração nos projetos destes

sistemas.

Além das proteções de acesso baseadas nos perfis de usuários é possível ainda:

• Proteger scripts e telas do SCADA através de senhas específicas e individuais;

• Proteger os PLCs contra acesso de leitura e escrita através de senhas específicas e

individuais;

• Criptografar os programas dos PLCs;





• Impedir que os programas dos PLCs sejam executados em CPUs diferentes das CPUs

utilizadas no projeto (proteção de know how a partir dos números seriais das CPUs e

dos cartões de memória);

Se mesmo assim todas as proteções acima forem burladas é possível detectar

automaticamente a alteração do programa do PLC a partir da mudança do checksum do

programa original. Dessa forma, se um atacante conseguir infiltrar um código malicioso nas

CPUs um alarme é enviado para o SCADA, de forma que a equipe de automação possa reagir

adequadamente a este incidente de segurança.

Figura 15 - Controle de mudanças do programa do PLC

Figura 16 - Controle de acesso do programa do PLC





Figura 17 - Criptografia do programa do PLC

Figura 18 - Controle de acesso das telas do SCADA

Todas as técnicas e tecnologias aqui apresentadas foram aplicadas com sucesso na planta

simulada do ICSSF.





4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS

A troca de dados entre os sistemas SCADAs e os sistemas corporativos evoluiu da troca de

dados através de interfaces e protocolos proprietários para interfaces e protocolos abertos e

mais próximos dos padrões estabelecidos no ambiente de TI.

Inicialmente, nas primeiras integrações realizadas, eram utilizados os seguintes padrões:

• ODBC (Open Database Connectivity)

• DDE (Dynamic Data Exchange).

Anos depois o padrão OPC (OLE for Process Control e mais tarde Open Platform

Communications) passou a ser utilizado com maior frequência, principalmente devido a forte

pressão dos usuários e das variantes do padrão OPC:

• OPC DA (Data Access – para comunicação em tempo real);

• OPC HDA (Historical Data Access – para troca de dados históricos);

• OPC A&E (Alarm and Events – para troca de dados de alarmes e eventos).

Outras variantes foram desenvolvidas, porém sem grande aceitação nos fornecedores e

projetos com OPC.

Uma peculiaridade comum a todas essas variantes do OPC é o fato de todas elas utilizarem o

padrão COM/DCOM (Component Object Model/Distributed Component Object Model) da

Microsoft. Essa dependência do COM/DCOM trazia alguns pontos negativos à utilização do

OPC, sendo as principais:

• Dependência de sistemas operacionais Microsoft Windows;

• Baixa ou nenhuma possibilidade de alteração do COM/DCOM por parte dos

desenvolvedores de sistemas OPC. O controle de novas funcionalidades e/ou correções

dos atuais padrões do COM/DCOM dependem totalmente dos interesses da Microsoft.

• Dificuldades de executar o OPC em ambientes heterogêneos, como computadores em

domínios ou workgroups diferentes;

• Vulnerabilidades de segurança associadas ao COM/DCOM expunham severamente os

sistemas de automação de tal forma que produtos de segurança foram desenvolvidos

com a finalidade de proteger sistemas que utilizavam o OPC com solução de

integração.

• Apesar de existir uma especificação técnica de segurança por parte da OPC Foundation

(órgão que regulamenta o padrão OPC), na prática poucos fornecedores

implementaram essa especificação em seus produtos.

Só para citar um pequeno exemplo, o uso do DCOM requer uma quantidade de portas

TCP/UDP muito grande nos computadores, de forma que configurar regras para proteger tais

portas nos firewalls não é uma tarefa muito simples.





Considerando-se as diferentes especificações do OPC e suas restrições no que tange a

segurança industrial, em 2006 a OPC Foundation liberou uma nova especificação do OPC, o

OPC UA (OPC Unified Architecture), a qual mais tarde tornou-se uma norma IEC – IEC 62541.

O OPC UA definitivamente tenta solucionar os problemas das versões anteriores do OPC,

concentrando num único padrão todas as funcionalidades dos seus antecessores, mas

principalmente eliminando a necessidade de uso do COM/DCOM. Com isso a dependência de

sistemas Microsoft é abolida com o OPC UA, e dessa forma, o OPC UA pode ser executado até

mesmo em sistemas embarcados com pouquíssima capacidade computacional.

Um fator de grande destaque no OPC UA é o enfoque dado à parte de segurança. Apesar de

também existir um capítulo específico no OPC UA referente à segurança, na prática a

implementação dos sistemas de segurança recomendados pelo OPC UA é obrigatório. Com

isso, hoje é plenamente possível estabelecer a troca de dados entre sistemas através de OPC

UA utilizando firewalls configurados com pouquíssimo esforço (apenas uma porta de

comunicação é necessária para se estabelecer a comunicação via OPC UA). Adicionalmente as

seguintes medidas de segurança podem ser utilizadas com OPC UA:

• Uso de certificados X.509, garantindo que somente computadores autorizados irão

trocar dados entre si;

• Envio de dados criptografados entre sistemas, garantindo a confidencialidade dos

dados;

• Envio de dados assinados digitalmente entre sistemas, garantindo a autenticidade dos

dados;

• Autenticação de usuários, garantindo que somente usuários autorizados terão acesso à

troca de dados entre os sistemas.

Figura 19 - Controle manual da troca de certificados entre sistemas





Figura 20 - Controle automático da troca de certificados entre sistemas (via Autoridade Certificadora)

Na nossa planta simulada a troca de dados entre o sistema de automação e os níveis

corporativos é feita através de OPC UA. O SERVIDOR SCADA OPC UA está instalado na DMZ,

de forma que ele busca os dados do SERVIDOR SCADA (utilizando canal de comunicação

seguro – SIMATIC SHELL) e envia os dados para os níveis corporativos via OPC UA. No

firewall S623 foram configuradas as regras de segurança que controlam o acesso entre a rede

Terminal BUS <-> DMZ e DMZ <-> OEE BUS. O acesso do OEE BUS para o Terminal BUS de

forma direta é expressamente bloqueado.

Baseado no controle através de certificados, mesmo que um atacante consiga sobrepor as

regras de segurança do firewall S623, ele não teria um certificado X.509 válido e reconhecido

pelo SERVIDOR SCADA OPC UA, dessa forma ele não teria acesso aos dados OPC UA deste

servidor enquanto o servidor não valide o certificado do atacante.





Figura 21 - SIMATIC Performance Monitor - ferramenta consumindo dados do SCADA via OPC UA

É importante ressaltar que através da arquitetura da nossa planta simulada é possível

executar a comunicação segura bidirecional entre os níveis corporativos e de automação. Em

um sentindo os dados de produção gerados pelos PLCs de processo são consumidos no nível

corporativo, gerando dados de eficiência da planta – OEE (Overall Equipament Effectivences).

No outro sentindo, os valores de OEE (calculados no nível corporativo) dos últimos 60

segundos são transferidos para os PLCs de processo utilizando os mesmos canais de

comunicação seguros descritos acima. Em projetos de maior sofisticação ordens de produção

considerando quantidades a serem produzidas, dados dos clientes e dos fornecedores de

matéria prima poderiam ser enviados aos PLCs de processo utilizando os mesmos canais

seguros.

De forma a estabelecer uma comunicação confiável e segura entre os computadores do

sistema SCADA foi configurado um novo canal de comunicação nos produtos SIMATIC. O

canal de comunicação SIMATIC SHELL, a partir da versão 7.3 do WinCC SCADA, possibilita a

definição de uma PSK (Pre-Shared Key) e uma porta de comunicação única (a qual poderá ser

devidamente habilitada nos firewalls de proteção). Com isso os seguintes ganhos de

segurança são obtidos:

• A comunicação entre estações SCADA (servidores, clientes e estações de engenharia)

passa a ser criptografadas, garantindo a confidencialidade dos dados;

• Somente estações que foram devidamente configuradas para utilizar a PSK e porta de

comunicação correta tem acesso umas às outras;

• Somente uma porta de comunicação necessita ser configurada nos firewalls de

fronteira de forma a permitir a troca de dados do sistema SCADA.

• Na nossa planta simulada todos os computadores que estão instalados nas redes

Terminal Bus e DMZ Bus foram devidamente configurados para utilizar o canal de

comunicação SIMATIC SHELL em modo seguro.





•

Figura 22 - Canal de comunicação SIMATIC Shell configurado para comunicação criptografada

4.1.4 MONITORAMENTO DE REDE – SINEMA SERVER

Um atacante, sempre que possível não vai querer se expor, dessa forma tentará executar a

invasão utilizando técnicas de ataque remotamente. Pode ser que o sistema de segurança

dificulte a vida do atacante de tal forma que ele não tenha alternativa a não ser enfrentar o

risco da invasão. Em algumas situações pode ser que ele necessite um acesso físico a rede do

sistema a ser atacado, de forma a encontrar alguma vulnerabilidade interna e, a partir de

então continuar o processo de invasão remotamente.

O conceito de defesa em profundidade rege que o sistema a ser protegido deve ter diversas

camadas de proteção, de forma que se uma camada não for capaz de proteger o sistema

outras camadas subjacentes o protegerão. Um bom exemplo disto é o controle físico de

acesso. Neste caso, a portaria da fábrica deveria impedir que um atacante adentrasse na

nossa planta. Mas e se a portaria for comprometida? Seja por técnicas de invasão (roubo de

identidades, crachás ou engenharia social), seja por simples descuido (portas e trancas de

acesso do patch panel ou trancas dos painéis de automação sem as devidas proteções). Neste

caso a camada de segurança adjacente deveria proteger o sistema de um invasor. No

exemplo dado, é necessário monitorar continuamente o acesso físico da portaria, destas

portas e trancas para garantia de segurança das camadas.

Em se tratando de sistemas de informação, no nível corporativo os IPS (Intrusion Prevention

System) são facilmente encontrados. Estes appliances podem detectar diversas formas de

invasões/ataques e tomar ações de contorno (enviar alarmes para estações de

monitoramento, bloquear o acesso à rede, etc). Contudo, para aplicação em redes de

automação, o custo e os requisitos técnicos de um IPS podem tornar proibitivo seu uso nas

diversas redes de automação de uma planta. Isso não significa que as redes de automação

não podem ser monitoradas, muito pelo contrário. Com o uso de ferramentas adequadas é

possível detectar o correto funcionamento da rede bem como tentativas de acesso não

autorizado sobre as mesmas. Essa é a função principal do software SINEMA SERVER.





O software SINEMA SERVER foi desenvolvido para monitorar de forma contínua dispositivos

de automação com portas Ethernet. Frequentemente estes dispositivos executam protocolos

que permitem o monitoramento continuo dos mesmos, sendo os mais frequentes:

• DCP: Discovery and Basic Configuration Protocol;

• LLDP: Link Layer Discovery Protocol;

• SNMP: Simple Network Management Protocol.

Através destes protocolos o SINEMA SERVER pode identificar os equipamentos de uma ou

mais redes, assim como descobrir sua topologia de interligação e monitorar continuamente

eventos associados a tais equipamentos, sejam eles eventos operacionais ou eventos

associados a acessos não autorizados.

Na nossa planta virtual o SINEMA SERVER foi configurado de forma a monitorar de forma

continua os equipamentos instalados nas redes PROCESS BUS, TERMINAL BUS e DMZ BUS.

Assim, ele em intervalos regulares monitora as faixas de IPs de cada uma dessas redes. Caso

um novo equipamento responda as leituras executadas pelo SINEMA SERVER, este

equipamento é adicionado automaticamente à lista de equipamentos a serem monitorados.

Na nossa planta simulada existem dois tipos de acessos físicos, via cabo ethernet e via rede

WiFi. Tanto os switches como os APs (Access Points) foram configurados de tal forma a enviar

um diagnostico SNMP (envio via função TRAP) caso um novo dispositivo seja conectado nas

portas disponíveis nos switches ou caso algum novo cliente WiFi seja associado. Mudanças na

topologia de rede também são monitoradas. Com isso, qualquer tentativa de acesso à rede

será automaticamente monitorada e sinalizada no console de operação do SINEMA SERVER

(console WEB). O máximo possível de informações será anexado ao evento em si, tais como

MAC Address do novo dispositivo, porta ethernet utilizada, etc.

Muitos outros diagnósticos estão disponíveis via SNMP. A quantidade de diagnósticos depende

basicamente da tabela MIB (Management Information Base) dos dispositivos. Tentativas de

acesso não autorizados nos servidores WEB dos dispositivos também serão monitorados via

SNMP, sendo que eventos dessa natureza pode significar que um ataque de força bruta pode

estar sendo executado no sentido de ganhar privilégios administrativos nos mesmos.

Quaisquer conflitos ou enfraquecimento do sinal de rádio dos APs também são notificados,

cenário esse comum no caso de tentativas de sequestro da rede Wifi.





Figura 23 - SINEMA Server gerando estatísticas de eventos de rede

Figura 24 - SINEMA Server monitorando a topologia de rede

Ressalta-se que o SINEMA SERVER também é um SERVIDOR OPC UA e pode enviar o status

dos dispositivos de rede para o sistema SCADA, alertando os operadores e as equipes de

automação sobre comportamentos adversos na rede de automação.





O uso do protocolo SNMP nos dispositivos de automação requer o uso de switches no mínimo

gerenciáveis. Se nos ambientes de TI é praticamente inaceitável o uso de switches não

gerenciáveis, nos ambientes de automação o uso de tais switches pode inviabilizar a execução

de um projeto, visto que o custo de aquisição é relativamente superior.

Um fato interessante é que normalmente a densidade de portas por switch nos ambientes de

automação é muito inferior aqueles requeridos na TI. Esse fato origina-se na necessidade de

distribuir geograficamente os pontos de acesso ao longo do processo produtivo ou ao longo

das máquinas, tornado muito complexa a concentração de muitos pontos de acesso num

único switch. Esse requisito de distribuição geográfica cria uma situação particularmente

contraditória na automação, uma vez que são necessários muitos pontos distribuídos

geograficamente e tais pontos são providos por switches com nenhuma ou pouca função de

monitoramento (protocolo SNMP, por exemplo). Essa cultura necessita ser rapidamente

revista pelas equipes de automação sob pena de comprometer totalmente a segurança de um

sistema de automação.

Figura 25 - Switches SCALANCE X-200, X-300, X-400 e X-500

Atualmente existe uma gama muito extensa de switches industriais com funções de

gerenciamento, sendo que quanto mais funções são necessárias, maior é custo inicial de

aquisição. Switches um pouco mais elaborados, como o SCALANCE X-300 possuem funções

simples de gerenciamento, como a possibilidade de desabilitar portas não utilizadas

(hardening) e recursos avançados de gerenciamento, como o suporte ao protocolo 802.1X

que, em conjunto com um servidor RADIUS (Windows 2008 Server – NPS Network Policy

Server, por exemplo), pode habilitar ou não o acesso de um dispositivo terminal baseado

numa série de fatores (configurações de segurança, perfil de usuário, sanidade do dispositivo,

etc.). Infelizmente o uso de switches do porte do X-300 e superiores ainda não é uma

realidade na maioria dos projetos de automação, razão pela qual utilizamos na nossa planta

simulada switches SCALANCES X-200, que já permitem o monitoramento via protocolo SNMP.

Com a tendência de integração entre as equipes de TI e TA, assim como o uso de funções de

TI no ambiente de TA o uso de switches do porte do X-300 e superiores (X-400 e X-500)

serão mais comuns, trazendo reais benefícios de desempenho e segurança aos projetos de

automação.

4.1.5 MONITORAMENTO DE REDE – SINEMA SERVER





Figura 26 - Logotipo da certificação Achilles

De forma que os clientes possam comparar e ter uma base sólida em relação aos produtos

que possuem bom funcionamento e robustez no tocante a segurança industrial, muitos

fornecedores submetem seus produtos aos testes de certificação conhecido como Achilles.

É possível obter dois níveis de certificação. A certificação nível 1 compreende funções básicas

de segurança que um equipamento industrial necessita possuir e a certificação nível 2

expande o conjunto de funções que o equipamento necessita possuir. No nível 2 da

certificação os testes executados no nível 1 costumam ser aplicados sob taxas de utilização

ainda maiores, como por exemplo testes de Denial Of Service.

A SIEMENS com sua linha de automação SIMATIC obtém atualmente cerca de 70

equipamentos certificados em nível 2, tornando-se benchmark entre os fornecedores de

automação sob no que tange produtos com funções de segurança industrial.

Maiores informações podem ser obtidas através do link

http://www.wurldtech.com/product_services/certifications/certified_products/.

4.2 CONTROLE DE MALWARE

Não é possível garantir segurança em sistemas de automação ou sistemas de TI com uma

única solução ou medida. As ameaças cibernéticas são muito variadas e dinâmicas. As

organizações precisam de "defesa customizada", e uma estratégia de segurança cibernética

com várias camadas de controles de segurança para todos os seus sistemas. Essa abordagem

garante que intrusos tenham que superar vários obstáculos independentes antes que possam

causar danos reais. Isso desestimula os atacantes e dá às organizações mais tempo para

reconhecer e bloquear as ameaças graves. O objetivo das estratégias de defesa customizada

é impedir o mais cedo possível que os intrusos deem sequência ao ataque.

Com mais de 25 anos de experiência, a Trend Micro é líder reconhecida em tecnologia em

segurança cibernética. Com este expertise compreende completamente os pré-requisitos

exclusivos de segurança para redes de automação e desenvolveram uma solução completa de

defesa customizada contra Malware e APTs.

Especificamente na planta base do ICSSF, incluiu-se a proteção contra malware e proteção

contra Ameaças Persistentes e avançadas (APTs). Conforme figura a abaixo, pode-se

visualizar um exemplo da topologia aplicada.

http://www.wurldtech.com/product_services/certifications/certified_products/





Figura 27 - Topologia genérica de aplicação da proteção contra malware e ataques avançados e dirigidos

4.2.1 SEGURANÇA LOCAL PARA SERVIDORES CRÍTICOS DA REDE DE

AUTOMAÇÃO - TREND MICRO OFFICE SCAN

Solução de segurança abrangente para servidores, desktop e laptops, o Office Scan fornece

solução de firewall, sistema de detecção e prevenção de intrusão (IPS/IDS), e proteção contra

malware para os servidores críticos da rede de automação. Foi instalado nas máquinas

servidoras Windows da rede do ICSSF conforme versão certificada pelo fabricante da planta

base de automação, a Siemens.





Figura 28 - Servidor SCADA protegido com Trend Micro OfficeScan

4.2.2 MONITORAMENTO DE MALWARE E APT NA REDE DE AUTOMAÇÃO - TREND

MICRO DEEP DISCOVERY

Um dispositivo para monitoramento de rede, o Deep Discovery Inspector é uma solução para

detecção de APT e ataques direcionados ou avançados, detecção de conteúdo malicioso,

comunicação e comportamento que possa indicar uma ameaça avançada ou atividade do

atacante através de estágios do ataque.

Figura 29 - Tela Principal do Deep Discovery operando no ICS.SecurityFramework





Para exemplificar a atuação do Deep Discovery Inspector na planta do ICSSF, foram feitos

diversos testes para validar sua eficiência. Dentre os testes, foi simulado o comportamento de

um malware ao se propagar pela rede e ao fazer comunicação com seu C&C (Command

Controler).

Na Figura 26 são notados 2 (dois) alertas de nível alto correlacionado a comportamento

malicioso. Dentre os eventos, foram identificadas requisições de DNS a domínios de C&C

conhecidos, ou seja, oferece grande risco à planta e consequentemente à organização.

Figura 30 - Alertas do Deep Discovery Inspector referente a comportamento malicioso na rede

Já a Figura 27 demonstra quais máquinas foram responsáveis pelos alertas críticos. Conforme

a figura note que os alertas foram gerados simulando um operador com uma máquina

infectada durante uma manutenção no sistema de automação e demonstrando os riscos de

infecção por terceiros por não existir um sistema de detecção de máquinas infectadas no

ambiente de automação.

Figura 31 - Alerta do Deep Discovery Inspector referente às máquinas pertencentes à planta de automação que

possuem comportamento malicioso

A Figura 28 exibe o relatório completo da ameaça coletada que tentava se propagar pela rede

de automação. Note que para a geração desta análise, o Deep Discovery Inspector executou a

amostra desta ameaça em um ambiente virtual controlado (este conceito é descrito também

como sandbox), para medir o impacto desta às maquinas pertencentes à planta. Com essa

estratégia, mesmo se a ameaça for avançada ou direcionada ao cliente e até mesmo

desconhecida até o momento da infecção, o Deep Discovery Inspector gerará alerta sobre o

impacto da ameaça ao ambiente de automação.





Figura 32 - Resultado da análise virtual de uma amostra de malware que estava tentando se propagar pela rede de automação

4.3 SEGURANÇA DE PERÍMETRO E CONTROLE DE ACESSO EXTERNO

Independentemente do tipo de tecnologia adotada para proteção SCADA e dos sistemas de

automação, ainda temos em operação, em qualquer SCADA conectado a rede corporativa,

uma rede tradicional de TI, com todas as suas características, funcionalidade,

vulnerabilidades e riscos. Nesta rede de TI encontramos além dos sistemas SCADA

interconectados, componentes tais como bases de dados diversas, aplicativos, sistemas de

Intranet, E-mail, Internet e centenas de outros protocolos e aplicações que podem estar

instalados na empresa.

Esta configuração exige a incorporação de novos paradigmas de proteção que atendam todos

os desafios de proteção atualmente existentes nas redes de TI e as necessidades do mundo

de automação, seja nos quesitos tecnológicos - suporte a protocolos específicos de

automação – seja a necessidade de facilidade da operação do sistema de segurança requerida

pela área de automação.

Na pirâmide ANSI/ISA o encontro da rede de automação com a rede corporativa se dá

normalmente em algum ponto entre os níveis dois e três. A este ponto estamos chamando o

centro da arquitetura e no ICSSF temos o que chamamos do “firewall de próxima geração” da

Palo Alto Networks.

Chamamos de próxima geração em função das diferenças significativas de funcionamento

destes equipamentos com relação aos firewalls tradicionais, uma vez que possuem tecnologia

que permite a inspeção de todo o tráfego, de todos os usuários, de todas as aplicações em

todas as plataformas.





Figura 33 - Firewall PaloAlto operando no ICS.SecurityFramework

A Palo Alto Networks possui uma tecnologia conhecida como App-ID que permite identificação

de aplicações através dos mecanismos de checagem de assinaturas, decodificação de

protocolos, decriptografia de tráfego e análise comportamental, permitindo controlar

aplicações de trafego aberto, evasivas e criptografadas. A Palo Alto foi o primeiro fabricante

de Firewall a trazer essa inovação para o mercado. As demais tecnologias criaram uma

camada de software para executar o controle fazendo uso da mesma arquitetura de hardware

limitada já existente. Este é um dos principais fatos utilizados pelo Gartner para justificar a

posição da Palo Alto de líder e tecnologia mais avançada do Quadrante Mágico. Outro fator de

muita importância é que a Palo Alto possui uma engine primária de identificação de aplicações

permitindo que as empresas permitam o tráfego específico de uma única aplicação sem a

necessidade de abrir portas no firewall.

No coração desta plataforma existe um algoritmo sofisticado de classificação e filtragem de

dados que trabalha com atributos únicos tais como App-Id, User-Id e Content-Id. Estas

funcionalidades permitem ao sistema Palo Alto classificar o tráfego, independente de porta e

protocolo através de uma inspeção em camada sete levando-se em consideração a aplicação,

o usuário e o tipo de conteúdo:

• App-Id: Identifica todas as aplicações em todas as portas o tempo todo (ao contrário

do comum em firewalls porta/protocolo)

• User-Id: Identifica usuários ou grupos de usuários (ao contrário do comum endereço

IP)

• Content-Id: Escaneia o conteúdo do tráfego buscando dados estruturados, arquivos,

vírus, spywares, ataques conhecidos, incidência de tráfego malicioso desconhecido e

malware avançado.





Figura 34 - Atributos únicos dos firewalls de próxima geração

Utilizando-se destas funcionalidades, a plataforma oferece visibilidade do que esta sendo

trafegado permitindo o controle e bloqueio de qualquer tráfego de dado, de qualquer

aplicação, de qualquer usuário, de qualquer conteúdo, conhecido ou desconhecido,

suportando de forma nativa o controle de ameaças, funções que equipamentos tradicionais de

firewall não possuem.

Como já dito em seções anteriores, ataques cibernéticos modernos e APTs se baseiam em

discrição, persistência e falhas qualificadas em sistemas tradicionais de segurança de

informação, utilizados durante todo o ciclo de vida do ataque.

Na arquitetura apresentada, uma proteção fim a fim é realizada no sistema, que combina as

assinaturas conhecidas com uma base única na nuvem para análise de ameaças não

conhecidas. Esta infraestrutura na nuvem é chamada WildFire e trabalha integrada ao

firewall, permitindo a análise de códigos binários simultaneamente nos sistemas operacionais

Windows XP, Windows 7 e Android para inspeção de arquivos EXE, DLLs, ZIPs, DOCs, XLSs,

PPTs, PDFs, JAVA, APKs e etc., além de permitir a inspeção em tráfegos de internet (HTTP,

FTP e SMTP) e em tráfego de compartilhamento de arquivos na rede (SMB). Esta inspeção de

tráfego (SMB) visa conter vírus espalhando-se horizontalmente pela rede.

Desta forma o dispositivo possui a habilidade de manter-se atualizado em tempo real sobre as

mais recentes ameaças e/ou bloquear e reportar ameaças não conhecidas. Desta forma,

ameaças 0-day podem ser evitadas, tais como recentes variações do Stuxnet, entre outros. O

WildFire pode ser adquirido direto pela Palo Alto, como em nosso piloto, ou implementado

direto no formato de nuvem privada (private cloud), instalado no cliente para ambientes

controlados.

Adicional a assinaturas tradicionais de antivírus e antispyware de T.I., a inteligência de

Prevenção de Ameaças da Palo Alto Networks possuí assinaturas para exploits específicos

para aplicações de T.A. tais como IHMs, SCADAs, supervisórios, historians, PIMS e outras

aplicações industriais, ou de protocolos específicos tais como Modbus, DNP3 e ICCP.





Figura 35 - Console do firewall operando no ICS.SecurityFramework

Apesar de no projeto ICSSF termos um firewall no centro, a solução pode ser replicada e sua

arquitetura pode envolver todos os locais e segmentos envolvidos em uma ou várias plantas,

estendendo a proteção para pontos remotos (estações remotas, plantas remotas, UTRs, redes

de terceiros, etc.), passando pela rede de campo (com ou sem fio), centros de controle,

escritórios de engenharia, escritórios remotos em obras e projetos e outras redes de

dispersas, em uma configuração distribuída com gerenciamento central. Nesta situação todos

os firewalls estarão ligados na nuvem e uma nova assinatura criada em um ponto será

replicada para toda a rede de proteção em tempo real.

Figura 36 - Arquitetura distribuída de segurança

Em sistemas SCADA, as políticas de segurança da informação são normalmente bastante

distintas das políticas utilizadas na área de TI corporativa. Soma-se a isto o fato de que em

instalações distribuídas, cada local normalmente tem políticas também distintas, tais como

em um centro de controle e uma instalação remota de coleta de dados.

Para solucionar esta questão a solução adotada traz uma plataforma de gerenciamento

central chamada Panorama, onde é possível resolver estas questões através de:

• Configuração e ativação centralizada de políticas e configurações de T.I./T.A. distintas

em equipamentos dispersos geograficamente.





• Apoio à administração baseada em categorias para maior segurança do sistema

• Fornecimento de poderosos relatórios personalizados que facilitam o trabalho forense e

a certificação de conformidade com normas tais como NERC, CIP e CFATS.

• Integração com os principais SIEMs do mercado para gerar novos níveis de visibilidade

dos eventos.

Vale lembrar que a integração dos firewalls com o sistema Panorama é nativa, não

necessitando qualquer trabalho extra de personalização.

Apesar do sistema Palo Alto aceitar assinaturas personalizadas, o que ajuda muito no caso de

equipamentos específicos para alguns setores de mercado, o sistema já possui

reconhecimento de assinaturas para os principais protocolos e aplicações industriais tais como

Modbus, OPC e diversas variações de IEC, entre outras.

Adicionalmente a plataforma apresenta capacidade de controle de funções que permitem o

monitoramento e o controle de subfunções (tais como leitura e escrita) em protocolos

industriais específicos tais como o Modbus e o IEC 60870-5-104.

Figura 37 - Assinatura de subfunções reconhecidas

Assim como na rede de automação, é possível com a arquitetura modular apresentada aplicar

as melhores práticas de segmentação descritas nos padrões ANSI/ISA-99 e IEC 62443

através da definição de zonas de segurança. Em seguida, é possível configurar um modelo de

controle de rede granular, de ajuste fino, baseado no princípio do menor privilégio. Alguns

exemplos de uso são os seguintes:

• Permitir o uso de aplicações aprovadas no centro de controle

• Decriptografar tráfego SSL, TLS e SSH permitindo a inspeção dos mesmos para

identificação de aplicações e combate as ameaças.





• Controlar usuários, conteúdo e aplicar QoS para aplicações específicas.

• Restringir o uso de aplicações e ferramentas administrativas somente para

administradores autorizados (SSH, Telnet, SNMP, FTP, etc.).

• Controlar o acesso a URLs e aplicações no modelo SaaS

• Limitar o tráfego da rede para protocolos de controle industriais a um número limitado

de aplicações/protocolos para administração e alarmes.

• Rastrear todos os pacotes relacionados a comandos por usuário para ajudar no

processo de correlação de eventos.

• Permitir acesso à rede corporativa para usuários e aplicações selecionadas, como por

exemplo, dados do PIMS para um analista de processos.

• Monitorar e controlar o uso por terceiros de VPN e acesso por servidor de terminais.

• Programar políticas de horário para acesso a aplicações e/ou usuários para limitar

exposição.

• Integrar a segurança de dispositivos e aplicações móveis ao sistema.

Em caso de necessidade de hardware com proteção específica, é possível configurar o sistema

com todas as suas funcionalidades na forma de máquina virtual instalada em hardwares

específicos (embarcado, classificado, a prova de explosão, choque, água, etc.)

Finalmente, com relação a desempenho, fator crítico em redes de TA, os seguintes cuidados

estão integrados na arquitetura da plataforma Palo Alto:

• Tecnologia Single pass e arquitetura de processamento paralelo (SP3), que realiza as

funções de análise de pacotes em camada sete e análise de ameaças em única

passagem para cada pacote.

• Processamento distribuído: Processadores independentes para cada função (controle

de aplicação e filtro de pacotes em processadores dedicados, chips de HW FPGA para

as funções de IPS, Antivírus e Antispyware, chips dedicados para as funções de QoS,

NAT e roteamento) permitem um processamento paralelo de tráfego. Quando é

habilitada uma função no equipamento, o mesmo não degrada as demais.

• Plano de controle e plano de dados separados, o que garante que os processos de

controle não irão afetar o fluxo de dados.

• Appliances com hardware e software específico para processamento paralelo de alto

desempenho.

• Suporte para alta disponibilidade e redundância garantido QoS adequado.





Figura 38 - Arquitetura de alto desempenho

No projeto ICSSF utilizamos a série PA-3050 que possui capacidade média de tráfego

(4Gbps), lembrando que a Palo Alto oferece dispositivos para instalação em pequenos locais

(PA-200) com 100Mbps de capacidade até equipamentos para centros de dados (PA-7050)

com capacidade de 100Gbps.

Figura 39 - Linha de produtos da Palo Alto Networks





4.4 INTELIGÊNCIA DE SEGURANÇA

Um bom plano de proteção da rede de automação envolve a criação de um perímetro de

segurança ao redor de toda rede SCADA, de forma a isolá-la do mundo externo e a aplicar

diversos controles e proteções sobre as rotas de acesso à rede, como sistemas de detecção e

prevenção de intrusão, Firewall e DMZ.

Quando tratamos de infraestruturas críticas, devemos usar equipamentos bem específicos que

sejam capazes de combater as ameaças em protocolos industriais e que tenham o

desempenho e a confiabilidade necessários em uma rede com esta criticidade.

Adicional ao controle do firewall, as principais normas exigem a instalação de um

equipamento avançado de proteção de intrusão chamado de IPS (Intrusion Prevention

System). O IPS adotado na arquitetura ICSSF é da linha XGS 5100 da IBM e é um

equipamento projetado para bloquear avançados ataques maliciosos automaticamente,

preservando a largura de banda da rede e sua disponibilidade.

O IPS da IBM foi projetado com a capacidade de proteger contra milhares de ameaças ou

ataques críticos ou de alto risco contra redes SCADA. Ele também é capaz de fazer bloqueios

dinâmicos, quarentena de tráfego e o virtual patch, funcionalidade que elimina a necessidade

de implantação imediata de patches críticos em servidores, tarefa bastante complexa e

muitas vezes proibitiva para muitos dos servidores e estações da rede de automação.

Figura 40 - IBM Security Network Protection XGS 5100 operando no ICS.SecurityFramework

4.4.1 CENÁRIO DE USO DO IPS XGS5100

O NIPS (Network IPS) de próxima geração XGS5100 é utilizado no ICSSF para garantir a

segurança na comunicação entre a rede corporativa e a rede de automação, críticas para a

operação dos sistemas de automação das infraestruturas críticas. Nesta comunicação

transitam dados de processo, produção e qualidade que precisam ter sua segurança

garantida.

O NIPS utilizado na segurança de perímetro de rede do ICSSF provê as seguintes

funcionalidades fundamentais para a segurança SCADA:





• Detecção de ameaças em ambos os sentidos de interesse de tráfego entre as redes

(tanto da rede corporativa para a rede de automação quanto no sentido inverso);

• Bloqueio de ataques e malware provenientes de redes externas, garantindo o

throughput e a disponibilidade da rede de automação.

• Bloqueio de acesso não autorizado à rede de automação.

• Conformidade com normas de segurança internacionais como a ANSI/ISA-99.

• Detecção e prevenção contra ataques por armas cibernéticas como o Stuxnet, Duqu,

Shamoon, dentre outras que aparecem a cada dia.

• Detecção e prevenção contra ataques de negação de serviço (DOS e DDOS) contra

servidores da rede industrial.

• Alto desempenho em segurança com bloqueio em tempo real de códigos maliciosos e

ameaças híbridas.

• Recurso de Virtual Patch, muito importante para que redes não conectadas à internet

tenham nível de segurança equivalente as que possuem todas as atualizações e

patches em dia. Através desta tecnologia a IBM protege as organizações de ataques

online, antes mesmo que, os sistemas afetados consigam obter e aplicar correções.

Lembramos que em redes de automação a aplicação de patches e outras atualizações

do sistema operacional e aplicativos não podem ser feitas e/ou muitas vezes

dependem da homologação do sistema SCADA, deixando a rede vulnerável a riscos de

público conhecimento da comunidade hacker.

• Disponibilidade de mecanismos heurísticos de detecção para proteção contra

vulnerabilidades de dia zero, mitigando ataques tais como shellcode malicioso, injeções

web ou aqueles que utilizam tunelamento em outros protocolos como técnica de

ofuscação.

• Disponibilidade de mecanismo de quarentena integrado nativamente com O SIEM da

IBM (solução IBM QRadar) para contenção de malware e expansão do intruso no

ambiente industrial a partir do ponto de intrusão.

• Geração de informações de flow (IPFIX) com informações de camada de aplicação

(layer 7), integrado nativamente à análise comportamental de tráfego provida pela

solução de SIEM (IBM QRadar), visando detectar anomalias de tráfego indicativas de

incidentes de segurança em curso.





Figura 41 - Console do IPS operando no ICS.SecurityFramework

4.5 INFORMAÇÃO DE SEGURANÇA E DE INCIDENTES Com tantos equipamentos e logs a serem gerados e acompanhados, faz-se necessária a

consolidação dos dados para análise e verificação de trilhas de ataques, ameaças e

incidentes. Na arquitetura ICSSF utilizamos a solução IBM Q-Radar para esta tarefa.

A solução IBM Q-Radar permite maior visibilidade sobre o comportamento normal de rede e

sobre atividades anormais que podem sugerir ameaças à segurança. As informações dos

alertas de segurança dos equipamentos da rede do ICSSF tais como o Firewall Palo Alto, o

NIPS XGS5100, equipamento de controle de Malware Trend Micro Deep Discovery,

informações de trafego de rede, informações de vulnerabilidades, informações de acesso a

bancos de dados (IBM Guardium), logs do sistema operacional (SysLog) e informações de

atividades de usuários são correlacionadas com informações de inteligência de ameaças para

uma capacidade única de prevenção. Isto simplifica a investigação de um incidente com

melhoria significativa na eficiência para identificação e resolução de incidentes.

A solução é capaz de identificar múltiplos eventos como um único ataque a partir de regras de

correlação de eventos e tráfego de rede.





Figura 42 - Arquitetura de Funcionamento do QRadar

Figura 43 - QRadar operando no ICS.SecurityFramework

As principais funcionalidades de inteligência de segurança fornecidas aos gestores do ICSSF

pela plataforma QRadar são as seguintes:

• Monitoramento de ameaças e resposta aos incidentes de segurança alertados pelas

soluções de segurança da planta segura.

• Segurança interna e monitoramento de ameaças internas.

• Agregação de logs e análises de diferentes padrões tecnológicos e fabricantes com a

geração de relatórios executivos que permitem visibilidade total do cenário de

segurança da planta segura.

• Auditoria, relatórios e conformidade com as medidas de segurança detalhadas pela

política de segurança de automação (PSA) da empresa.

• Detecção e priorização de incidentes de segurança com base nas características do

ambiente da planta tais como risco e criticidade dos diversos sistemas, reduzindo

falsos positivos e otimizando o trabalho das equipes de monitoração de segurança e

resposta a incidentes, garantindo foco nos incidentes mais críticos para o negócio.





Figura 44 - Console do sistema QRadar operando no ICS.SecurityFramework

Além dos sistemas de segurança que tem integração nativa com o SIEM, todos os

equipamentos de rede, inclusive os switches e firewalls da rede de controle de automação

podem ser integrados com o Q-RADAR, pois eles implementam o protocolo SysLog que

permite a visualização e correlação de eventos de segurança com os dados de tráfego de

rede.

4.6 SEGUNÇA DE DADOS

4.6.1 PROTEÇÃO DAS BASES DE DADOS

Considerando todas as ameaças de segurança enfrentadas por sistemas em todos os setores

do mercado, os dados são o principal alvo de violações de segurança, e os bancos de dados

são as principais fontes de dados violados. Segundo recentes estudos conduzidos sobre

ataques realizados, entre 90% e 98% dos ataques acontecem tendo como foco as bases de

dados empresariais.

Esta estatística tem grande sentido uma vez que os servidores de bancos de dados são a

principal fonte das informações mais valiosas do negócio, sejam elas registros operacionais,

informações de clientes e fornecedores, informações de engenharia, dados de processo ou

registros financeiros, comumente armazenados de forma estruturada e de fácil acesso a seus

usuários – objetivo principal da utilização destes servidores.

Muitos dos ataques realizados na atualidade têm a missão de extrair informações destas

bases, mas alguns deles têm como foco a alteração ou exclusão destes dados, prejudicando

ou sabotando as operações. Em ambos os casos o impacto ao negócio pode ser grande.

No primeiro caso, não há como reverter o processo após uma extração de dados. Por mais

que um trabalho forense descubra o responsável, não há como rastrear o destino e o uso das

informações adquiridas de forma ilegal, que podem ter sido copiadas para outras pessoas não

autorizadas ou até mesmo disponibilizadas na Internet.





No caso da alteração dos dados, imaginemos a dificuldade de restabelecimento de operações

se uma base de dados de usuários, senhas, set points ou fluxo de processos sofrer um

processo de embaralhamento (scrambling). Mesmo com os backups mais rápidos e ambientes

de alta disponibilidade a operação irá sofrer para restabelecer o fluxo normal do trabalho,

muitas vezes parando a produção de serviços essenciais para o negócio. Através de alteração

de set points pode-se causar destruição de ativos, acidentes ambientais ou até mesmo

mortes.

Por mais que se façam investimentos em todas as soluções de segurança anteriormente

descritas neste documento a base de dados pode ser o elo e o ativo mais fraco de segurança

se não for devidamente cuidada e protegida.

O processo de proteção das bases de dados tem início na identificação de onde estão os

dados sensíveis e de quem estará acessando estes dados. Segue garantindo o controle deste

acesso e monitorando seu uso, encerrando-se com processos de auditoria e compliance

seguros e bem executados.

Tradicionalmente realizam-se estas atividades utilizando-se de ferramentas do próprio banco

de dados ou associados a este, tais como controle de logs, rastros de auditoria e políticas de

senha. Por mais consolidadas que sejam estas técnicas, elas não garantem a total proteção

do ambiente, seja pelo fato dos usuários privilegiados poderem revogar estes controles, pela

possibilidade de se excluir os logs e trilhas de auditoria ou pela incapacidade desta de alertar

em tempo real, muitas vezes revelando o incidente somente depois de sua ocorrência.

4.6.2 DATABASE ACTIVITY MONITORING (DAM)

O monitoramento ativo de base de dados (ou DAM – Database Activity Monitoring) é uma

tecnologia de monitoramento e análise das operações do banco de dados que funciona

independente do sistema de gerenciamento de banco de dados (DBMS), além de não

depender de traces e logs nativos gerados por este. É uma tecnologia que permite o

monitoramento dos acessos em tempo real e pode evitar os incidentes antes que os mesmos

ocorram.

O DAM funciona na camada de rede associado a shared memory do banco de dados. As

transações são monitoradas, registradas em um ambiente externo ao banco de dados e

validadas antes de sua execução. O DAM tem a capacidade de realizar um reset nas conexões

não autorizadas ou a dados não permitidos, ou até mesmo alterar a forma dos dados

sensíveis para não permitir vazamento das informações.

Em nosso framework ICSSF utilizamos a tecnologia IBM Guardium como sistema DAM.

O IBM Guardium é um appliance (rodando em máquina virtual em nossa planta base) com

base de dados inviolável embutida. Nesta base de dados são armazenadas todas as políticas

de monitoramento e controle das bases de dados e todas as ocorrências monitoradas. Não há

como apagar os dados deste appliance a não ser pelo reset de todo o sistema, sendo que o

mesmo pode ser replicado e/ou sofrer backup, sempre com os dados criptografados, lidos

somente por outro Guardium com senha comum.

Adicional ao appliance o sistema possui um agente de software denominado S-TAP. Este

agente é instalado no servidor de banco de dados e é o responsável por monitorar o tráfego

de banco, validar o mesmo no appliance e/ou gerar um reset em acessos não autorizados.





O IBM Guardium pode funcionar em três modos: somente monitoramento, bloqueio de

transações sensíveis e mascaramento de dados. A seguir ilustramos estes três modos de

funcionamento.

Figura 45 - Operação do IBM Guardium monitorando e registrando acesso

Neste primeiro caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O

S-TAP identifica que aquele usuário, tabela ou banco deve ser monitorado e envia para o

appliance a transação para registro (com ou sem dados retornados – configurado no

sistema). Os dados são então retornados para o cliente normalmente.

Figura 46 - Operação do IBM Guardium monitorando e bloqueando acesso

Neste segundo caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O


appliance a transação para registro. O Appliance indica que aquela transação não pode

ocorrer e envia um comando de bloqueio para o S-TAP, que realiza um reset na conexão do

cliente. O cliente recebe então uma mensagem de timeout de rede.





Figura 47 - Operação do IBM Guardium mascarando dados

Neste terceiro caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O


appliance a transação para registro. O appliance indica que aqueles dados devem ser

mascarados, pois são dados sensíveis, e comanda o S-TAP para realizar tal mascaramento. O

cliente recebe então os dados da consulta com os campos sensíveis mascarados.

Figura 48 - Monitoramento de bases de dados SQLServer, Oracle e MySql operando no ICS.SecurityFramework

Um dos principais benefícios da arquitetura de funcionamento do DAM é a capacidade de

monitorar todos os usuários do banco de dados, independentemente de seu grau de

privilégio. Mesmo os usuários administradores no console são captados pelo S-TAP por esta





estar na shared memory do banco de dados, e até mesmo se o S-TAP for desligado o sistema

irá perceber e gerar um alarme no console do IBM Guardium.

O Guardium suporta os principais bancos de dados do mercado, incluindo sistemas BigData,

assim como é capaz de entender tráfego cifrado tais como SSH/IPSEC, Oracle ASO e SQL

Server SSL.

Figura 49 - Bases de dados e ambientes suportados pelo IBM Guardium

4.6.3 PRINCIPAIS FUNÇÕES DO IBM GUARDIUM

O IBM Guardium utilizado no ICSSF apresenta as seguintes funções nativas em sua

plataforma:

4.6.3.1 DATABASE AUTODISCOVERY (DBAD)

É comum em ambientes computacionais criarmos cópias ou clones de partes ou do todo do

banco de dados para backup, desenvolvimento, estudos, BI, etc. Estas replicações levam

também os dados sigilosos, que muitas vezes ficam esquecidos na rede da empresa.

A função Database Auto Discovery (DBAD) vasculha a rede por portas e serviços de bancos

de dados, gerando um relatório de todos os bancos de dados encontrados, permitindo assim a

empresa tomar ciência da distribuição das informações e o estabelecimento de ações sobre

estas bases.

O DBAD pode ser executado por comando do usuário ou automaticamente em intervalos de

tempo programados, garantindo a auditoria permanente do ambiente.





4.6.3.2 CLASSIFIER

O Classifier é uma função que busca nos bancos de dados disponíveis, conteúdos ou colunas

com informações sensíveis. Se operada em conjunto com o DBAD permite varrer a rede por

bancos de dados e informações sensíveis.

As informações sensíveis podem ser encontradas por formato, por padrão de repetição ou por

palavra específica. Todos os dados encontrados são consolidados em um relatório do sistema.

4.6.3.3 RELATÓRIO DE PRIVILÉGIOS

O sistema tem a capacidade de verificar as bases de dados, encontrar usuários privilegiados e

detalhes dos grupos de acesso. Usuários privilegiados são normalmente difíceis de ser

monitorador e gerenciados. Com esta função o sistema identifica rapidamente estes usuários

e grupos, que podem ser facilmente associados e grupos de monitoramento e controle de

ações.

4.6.3.4 APPLICATION END USER IDENTIFICATION

Em sistemas como o ERP, a transação no banco de dados não é realizada diretamente pelo

usuário final. Os comandos do usuário são enviados para o servidor de aplicações ERP e este

se utiliza de um usuário específico no banco de dados para acesso às informações. Então não

se consegue identificar diretamente o usuário a partir do acesso no banco de dados. Esta á

uma vulnerabilidade caso o invasor decida por utilizar o ERP para realizar o vazamento e

alteração de dados.

O Application End User Identification permite o rastreamento da transação no banco de dados

e sua associação ao usuário do aplicativo que está sendo utilizando, gerando um registro

completo da transação.

Desta forma esta funcionalidade permite a detecção de fraudes e atividades não autorizadas

no aplicativo. Suportada para PeopleSoft, Oracle EBS, Siebel, Cognos, Business Objects e

outras aplicações customizadas sem alteração na base de dados ou na aplicação.

4.6.3.5. VULNERABILITY ASSESSMENT

Esta é, em conjunto com a capacidade de monitoramento e bloqueio de transações, a

principal funcionalidade do IBM Guardium. Através desta função o sistema realiza testes

predefinidos e personalizados nas bases de dados para identificação de vulnerabilidades. As

medições recebem uma nota (score) indicando o grau de vulnerabilidade do sistema, podem

ser agendadas para realização seguindo um calendário e são registradas no tempo, gerando

uma curva de evolução de vulnerabilidades do sistema.





Figura 50- Relatório de vulnerabilidades gerado pelo IBM Guardium

Os testes realizados seguem as melhores práticas de mercado, tais como os benchmarks do

US DOD Security Technical Implementation Guides (STIG) e Center of Internet Security

(CIS). O conjunto de testes é atualizado trimestralmente no dispositivo de uma base de

dados IBM XForce na nuvem, permitindo a conformidade automática dos testes com as

melhores e mais atuais metodologias do mercado.

Para cada vulnerabilidade o dispositivo indica não só o resultado, mas a causa e

recomendação de correção, facilitando bastante o trabalho das equipes de segurança e DBAs.

4.6.3.6. ACELERADORES DE COMPLIANCE

A base de dados de testes de vulnerabilidade do IBM Guardium é também organizada em

aceleradores de acordo com as regras de conformidade com os principais grupos de

compliance do mercado, tais como SOX, PCI-DSS, Basiléia II, HIPAA e GLBA. Ao executar um

acelerador, todos os testes referentes àquela norma serão realizados e um relatório de

conformidade será gerado automaticamente.

Esta função permite a automatização do processo de auditoria do ambiente, realizando testes

de acordo com uma agenda programada e gerando os relatórios de conformidade

automaticamente, garantindo a segurança e os requerimentos da norma.





4.6.3.7. WORKFLOW

Através do workflow o sistema pode realizar análises automáticas, distribuir relatórios de

ocorrências e escalar alçadas e aprovações.

A automação do processo de workflow é feita através da definição do processo, dos papéis e

níveis de alçada, das tarefas e do agendamento. Com estes elementos é possível manter toda

a estrutura de segurança e conformidade informada de todos os eventos de segurança em

bases de dados de forma automática, além de gerar registros de ocorrências, de mitigação e

resolução de problemas.

4.6.4 DESEMPENHO E OUTROS

Um sistema de DAM como o IBM Guardium é projetado para gerar o mínimo de impacto no

desempenho do sistema. O appliance funciona independentemente do processamento na base

de dados, gerando zero impacto nas aplicações. O S-TAP possui um código mínimo

totalmente otimizado, requerendo muito pouca memória e CPU para processamento no

servidor do banco de dados.

Toda a instalação é feita sem alterar qualquer aplicação existente e sem precisar de qualquer

alteração nas bases de dados.

No âmbito do ICSSF a solução DAM utilizada garante todos os requisitos de segurança

necessários. Na planta base utilizamos o sistema para monitorar a base de dados do sistema

ERP, mas ela pode ser estendida para todas as bases de dados tanto da área de T.I. quanto

para a área de T.A.





5. CONCLUSÃO É notório que nos dias atuais que grande atenção que deve ser data a segurança da

informação em plantas industriais e infraestruturas críticas. Naturalmente que esta demanda

encontra grande dificuldade de ser atendida, tanto pela novidade do tema quanto pela

indisponibilidade de soluções únicas para todos os aspectos regulados pelas normas em vigor

e pela diversidade de arquiteturas e tecnologias utilizadas na área.

Com este trabalho, a TI Safe e seus parceiros tecnológicos procuram apresentar uma

abordagem prática de como tratar os desafios de segurança utilizando-se de uma visão

fundamentada na arquitetura ISA/ANSI de sistemas industriais, no atendimento das normas

ANSI/ISA-99 e NIST 800-82, na aplicabilidade segundo o desafio de segurança apresentado

para cada componente e na praticidade de aplicação.

Todos os componentes utilizados no framework ICSSF são produtos de mercado, de marcas

consagradas e líderes em seus segmentos, além de recomendados pelas melhores análises de

mercado.

Pretendemos com isto subsidiar as equipes responsáveis por este tema com um caminho

consistente e maduro de solução de seus problemas, baseados em experiências práticas e

fundamentados em uma plataforma real de ampla aplicabilidade.

Esperamos que com este trabalho possamos contribuir ativamente para a mitigação de riscos

hoje existente em milhares de plantas e infraestruturas, subsidiando decisões estratégicas e

táticas de executivos, gestores e operadores destes locais ao redor do mundo.





6. ICS.SECURITYFRAMEWORK EM AÇÃO Abaixo algumas fotos do ambiente ICS.SecurityFramrwork montado para o evento CLASS

2014 - 1o Congresso Latino Americano de Segurança SCADA, realizado em novembro de

2014 no Rio de Janeiro (www.class2014.com.br)

Figura 51 - ICS.SecurityFramework em Ação

http://www.class2014.com.br/





Figura 52 - ICS.SecurityFrawork em Ação

Figura 53 - Alguns autores do projeto (da esq. p/ dir.: Renato Mendes, Alexandre Freire, Marcelo Branquinho e Marcio Santos)

White Paper - TI Safe ICSSF

Technology

Transcript of White Paper - TI Safe ICSSF