Palestra técnica - Aprendendo segurança em redes industriais e SCADA

Aprendendo Segurança em Redes
Industriais e SCADA

Jarcy Azevedo
Agosto de 2012

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam
pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em
Segurança da Informação. Use com responsabilidade.

www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Sobre a TI Safe
• Missão
Fornecer produtos e serviços
de qualidade para a
Segurança da Informação

• Visão
Ser referência de excelência
em serviços de Segurança da
Informação

• Equipe técnica altamente
qualificada
• Apoio de grandes marcas
do mercado


Siga a TI Safe nas Redes Sociais
• Twitter: @tisafe
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe


Não precisa copiar...

http://www.slideshare.net/tisafe


Agenda
• Introdução às redes industriais e SCADA
• Segurança SCADA
• Política de segurança
• Segurança do perímetro
• Segurança física
• Patches
• Antivírus
• Autenticação e Identificação
• Autorização
• Active Directory
• Security Standards
• Detecção
• Protocolos
• Monitoramento em sistemas SCADA
• Outros controles de segurança
• Treinamento e conscientização


Introdução às redes industriais e SCADA
SCADA = Supervisory Control And Data Acquisition
• Ele é..
Um sistema que controla e coleta
dados de um processo
Encaminha dados para outros
dispositivos
Usado industrialmente
• Ele não é..
Um dispositivo
Encriptado
Controlador de dispositivos

Sistemas SCADA devem primar pela
velocidade da aquisição dos dados.
Cada segundo de delay pode ser
crítico.

• Autômatos programáveis
RTU

PLC

IED

• Protocolos Fieldbus
DeviceNet

Modbus

DNP3

Profibus


• Redes SCADA estão em um mundo diferente, quanto a segurança,
do mundo de TI (Mito)

• Sistemas SCADA não possuem vulnerabilidades com as
vulnerabilidades de TI (Mito)

• Hackers não atacam sistemas SCADA (Mito)

• Possuo um sistema e protocolos personalizados, portanto não estou
vulnerável (Mito)


Segurança SCADA
Integridade

SCADA

Confidencialidade Disponibilidade

• Segurança CUSTA Dinheiro

• Funcionalidade e facilidade GERAM dinheiro

• Segurança gera perda de funcionalidade e facilidade


Segurança SCADA
• Segurança deve estar entre os requisitos para aquisição de novos
equipamentos

• Os controles se dividem entre controles Técnicos (Firewall, IDS,
smart card etc) e Administrativos ( Políticas de segurança,
procedimentos etc)

• Quando não é possível estabelecer controles diretos sobre algum
dispositivo, devemos compensar com controles sobre o sistema


Segurança SCADA
• Ameaças a um sistema SCADA
Hackers (Direta e Indireta)

Desenvolvedores de Virus (Indireta)

Insiders (direta)

Cyber Terroristas (direta)

• Riscos à que o sistema pode estar exposto
Perda de vidas humanas

Destruição do ambiente

Perda das estruturas


Política de segurança

• Cada organização é única

• Políticas não são procedimentos

• Se a politica é bonita, mas não se aplica à sua organização, ela não
serve

• DEVE vs PODE

• Sempre Auditar e Revisar a política



• Proteção legal para a empresa

• Erros
Políticas impossíveis de serem seguidas

Politicas que não podem ser auditadas

Políticas não seguidas


Segurança do perímetro

• Use Firewall como Firewall e Roteador como Roteador
Firewalls trabalham com regras

Roteadores com Access lists

Firewalls são stateful

Roteadores são stateless

• ACLs podem ser exploradas



• Outros benefícios dos Firewalls
Inspeção de camadas

Assinaturas de IDS integradas

VPN

Firewalls podem rodar em computadores e appliances



• Zonas de segurança
Confiável
• Dispositivos e redes SCADA

Não Confiável
• Todo o resto (Inclusive pareceiros de negócio e empresas de suporte)

• Regras de Firewall básicas
Isolar a rede SCADA das demais

Criar DMZs

O que não esté autorizado deve ser implicitamente negado

Seja o mais específico possível



• Regras de Firewall básicas
Diferenciar as redes

• Um Firewall mal configurado, alem de
ser inútil ainda gera latência na rede.

• Redundância é sempre bem-vinda.
Usando fabricantes diferentes é ainda
melhor.

• DMZs são baratas, use quantas forem
necessárias


• Quando usar uma DMZ?
Quando os grupos diferirem quanto às permissões ou papéis

Não deve ser usado quando um dispositivo possui uma vulnerabilidade
conhecida



• Prioridades de segurança nas áreas da planta
1. Prevenir que uma área comprometida afete o sistema SCADA

2. Prevenir que uma área comprometida afete outra área

3. Prevenir um Ciberataque em uma área

• Não se restrinja a firewalls de borda, também use firewalls internos
no limite de cada área

• Crie grupos com permissões semelhantes



• Política de acesso remoto
Dividido em acesso aos dispositivos na DMZ e ao sistema SCADA
(confiável)

Acesso ao sistema SCADA
• Deve ser extremamente limitado

• Não deve permitir controle remoto

• Acesso emergencial dos administradores

• Acesso para suporte por parte do vendedor

Utilizar controles compensatórios

Exigir segurança nos contratos

Acesso via VPNs


Segurança física

• Muitos dispositivos podem ser hackeados pelo acesso físico
Reboot

Violência

Desligar da tomada

• Restringir o acesso ao centro de controle e às HMIs

• Observar janelas e portas abertas, etc

• Utilizar biometria, RFID, smart cards, etc
• Colocar servidores e infra em um local diferente


Segurança física

• Restringir o acesso de pessoal desnecessário

• Proteção
Coloque guardas nos pontos de acesso

Boas trancas, mantenha portas fechadas

• Detecção
Câmeras

Detectores de movimento


Patches

• São softwares com código destinado a resolver problemas, em um
software principal.

• Atualmente basta baixar rodar um scan de vulnerabilidades, exploit e
payload para explorar um sistema com falhas de segurança não
“patcheada”. Tudo isso sem entender nada de programação e
protocolos.

• Você PRECISA instalar os patches no seus sistema para protegê-lo,
mas esse patch pode “quebrar” seus sistema.


Patches

• Precisam ser testados de forma a não afetar a disponibilidade do
sitema

• Não podem ser instalados sem autorização do fabricante

• Como proteger o sistema até que o patch seja autorizado?

• Controles compensatórios!

• Verificar a real necessidade do patch

• Realize testes e homologação do patch


Antivírus

• Deve ser instalado em todos os sistemas, de acordo com as
informações dos fabricantes dos sistemas SCADA

• Deve ser atualizado automaticamente em todos os sistemas não-
críticos a partir de um WSUS na rede de automação não conectado à
Internet

• Atualizado manualmente em sistemas críticos

• Redundância ajudará a evitar reboots

• Uma boa arquitetura da planta isolará o sistema da maior parte dos
malwares

• Verifique atualizações diariamente


Autenticação e Identificação

• Não adianta ter um kerberus bem configurado se os seus funcionários
guardam as senhas atrás do teclado

• Usuário/Senha é o mais fraco meio de autenticação

• Identificação
Privilégios baseados em quem você é e onde você está logado

Autenticação por 2 fatores


Autenticação e Identificação

• Problemas de autenticação
Sistemas logados ao fim do boot

Sistemas monousuário

Contas compartilhadas

• Soluções de autenticação
Contas individuais

Realizar logoff após o uso

Trocas de senha periódicas

Termos de responsabilidade



Autorização

• O que um usuário está autorizado a fazer ?

• Identificação, autenticação e autorização provêm acesso

• Manter um registro (log) de todos os acessos, bem como quando eles
ocorreram

• Criar um controle de acesso baseado no papel de cada usuário no
sistema

• Mesmo os sistemas SCADA antigos têm formas sofisticadas de
controle de autorização


Security Standards

• NERC CIP 002 to 009
Setor de eletrecidade

Medidas e conformidades para todos os requisitos

Programa de auditoria

Penalidades para não-conformidades

• CIDX / ACC
Setor de química

Segurança no setor químico

Avaliação de vulnerabilidades

Como começar um programa de cyber segurança


Security Standards

• ANSI/ISA SP99
Padrão de segurança adotado por todas as indústrias que possuem
sistemas de controle

Um dos grupos mais ativos

Visão geral das tecnologias de cyber segurança

Autorização, encriptação, firewall, IDS

Controles de acesso

• NIST SP 800-82
Organização do governo americano

Guideline de segurança para sistemas de controle

Programa de testes de antivírus

Detecção

• Proteção vs Detecção

• Identifica ataque em tempo real

• Possibilita a tomada imediata de medidas

• Serve como uma camada a mais

• A detecção de ameaças cibernéticas deve fazer parte de todo
sistema crítico

• Detecção é ainda mais crítica quando um sistema de proteção ainda
não foi implementado


Detecção
• Logs do firewall
Por que olhar os logs do firewall?
• Identificar tentativas de Insiders bloqueados

• Identificar mudanças de configuração

• Identificar atividades suspeitas ou não usuais

• Sistemas de detecção de intrusão (IDS)
Verifica assinaturas de ataque passivamente

Dividido em IDS de host e IDS de rede

Ajuda na detecção de anomalias

IDS de host pode gerar problemas de performance, sendo assim, veja
qual IDS seu fornecedor de equipamentos recomenda


Detecção
• Sistemas de prevenção de intrusão
Pode bloquear tráfego suspeito

Efetivo contra exploits conhecidos

Não avalia o tráfego interno

• Monitoramento
Sistemas operacionais e aplicações

Ajudam em uma possível forense

MSSP


Protocolos

• A comunicação PLC/RTU e o centro de controle era originariamente
serial, mas mudou praticamente toda para IP

• A comunicação entre o PLC/RTU e os sensores e atuadores ainda é
serial

• Porque mudar para IP?
Maior taxa de transferência

LAN/WAN pode ser compartilhada

Roteamento para requisitos de disponibilidade

Preço


Protocolos
• Modbus
Protocolo Serial

Checagem de erro

Largamente usado

Não prevê segurança!

• DNP3
Industria elétrica

Originalmente serial

Similar ao modbus

Cliente-Servidor

Não prevê segurança!


Protocolos
• Um protocolo ideal teria:
Autenticação da origem

Conteúdo autenticado

Encriptação ótima

Boa performance

Não existe nada nem próximo disso

• A solução atual se baseia em roteadores e firewalls de comunicação
de campo

• Encriptadores de campo estão sendo desenvolvidos


Monitoramento de sistemas SCADA
• Controle compensatório

• As medidas de detecção atuais detectam:
Protocolos comuns de ataque

Aplicações comuns de ataque

Sistemas operacionais comuns de ataque

• Elas não detectam:
Ataques ou mal uso de protocolos SCADA

• Assinaturas de IDS:
Os protocolos SCADA não fornecem a origem nem autenticação dos
dados neles contidos


Monitoramento de sistemas SCADA
• Logs dos sistemas SCADA
Podem conter informações valiosas

Cada fabricante possui um padrão diferente de logs

A solução é criar um dicionário de dados SCADA e normalizar os logs


Outros controles de segurança
• Programa de conscientização
Usuários acabam não lendo ou esquecendo a política

Pôster, e-mails vídeos, palestras, auditorias

• Campanhas de conscientização
Já fez seu backup hoje ?

Você deixou seu pc ligado ontem

• Análise de vulnerabilidades
Identifica patches não aplicados

Erros de configuração

Senhas fracas ou default


Outros controles de segurança
• Análise de vulnerabilidades
Faça scans regularmente

Cuidado! Scans podem tirar o sistema SCADA do ar

Faça scans em pequenos grupos de hosts, para diminuir o impacto

Prepare-se para possíveis efeitos colaterais

• Siga as boas práticas SEMPRE!
ANSI/ISA 99

NIST SP 800-82


Formação em segurança de automação industrial

• Aulas ministradas nas instalações da TI Safe ou na
empresa (mínimo de 10 alunos)
• Baseada na norma ANSI/ISA-99
• Alunos recebem material didático em formato digital
• Escopo:
• Formação com 20h de duração
• Introdução às redes Industriais e SCADA
• Instrutor membro da ISA Internacional e integrante do
• Infraestruturas Críticas e Cyber-terrorismo comitê da norma ANSI/ISA-99, com anos de
• Normas para segurança em redes industriais experiência em segurança de automação industrial
• Introdução à análise de riscos • Objetiva formar profissionais de TI e TA:
• Análise de riscos em redes industriais Apresenta, de forma teórica e prática,
• Malware em redes industriais e ICS aplicações reais da segurança de acordo com o
• Desinfecção de redes industriais contaminadas CSMS (Cyber Security Management System)
por Malware preconizado pela norma ANSI/ISA-99

• Uso de firewalls e filtros na segurança de Totalmente em português, adequada ao perfil do
redes industriais profissional de segurança requerido pelas
empresas brasileiras
• Uso de Criptografia em redes industriais
• Calendário com próximas turmas disponível em
• Segurança no acesso remoto à redes
http://www.tisafe.com/solucoes/treinamentos/
industriais
• Implementando o CSMS (ANSI/ISA-99) na
prática


Certificação CASE – Certified Automation Security Engineer

• Prova presencial composta de 60 perguntas de
múltipla escolha que devem ser resolvidas em 90
A certificação CASE abrange os seguintes domínios de minutos.
conhecimento:
• As questões têm pesos diferentes e o aluno será
• Introdução às redes Industriais e sistemas SCADA.
aprovado caso obtenha quantidade de acerto igual ou
• Infraestruturas Críticas e Cyber-terrorismo.
superior a 70% do valor total dos pontos atribuídos ao
• Governança para redes industriais.
exame.
• Políticas e padrões de segurança industrial.
• Em caso de aprovação o aluno receberá o certificado
• Introdução à análise de riscos.
CASE por e-mail e seu nome poderá ser verificado em
• Análise de riscos em redes industriais e sistemas
listagem no site da TI Safe.
SCADA.
• Malware em redes industriais e sistemas de controle. • Os certificados tem 2 anos (24 meses) de validade a
• Desinfecção de redes industriais contaminadas por partir de sua data de emissão.
Malware. • Guia de estudos, simulado e calendário com próximas
• Segurança de perímetro em redes de automação. provas disponível em (aba “Certificação CASE”):
• Criptografia em redes industriais. http://www.tisafe.com/solucoes/treinamentos/
• Controle de acesso em sistemas SCADA.
• Implantando o CSMS (ANSI/ISA-99) na prática.


Security Day

• Eventos com 8 horas de duração destinados à criação de
consciência de segurança em empresas.

• Realizados dentro da empresa (normalmente em auditório)
e sem limite de número de alunos.

• Utiliza estratégias de divulgação e elaboração em formato
de palestras com apostila personalizada, atingindo a todos
os níveis de colaboradores da organização.

• Palestras técnicas baseadas nas normas ISO/IEC 27001,
ISO/IEC 27002, BS 25999 e ANSI/ISA-99

• Escolha as palestras técnicas para o Security Day em sua
empresa em nossa base de conhecimento disponível em
http://www.slideshare.net/tisafe


Contato


Palestra técnica - Aprendendo segurança em redes industriais e SCADA

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Palestra técnica - Aprendendo segurança em redes industriais e SCADA

Similar a Palestra técnica - Aprendendo segurança em redes industriais e SCADA (20)

Más de TI Safe

Más de TI Safe (20)

Último

Último (6)

Palestra técnica - Aprendendo segurança em redes industriais e SCADA