O documento apresenta informações sobre segurança em redes industriais e SCADA, incluindo a introdução às redes industriais e SCADA, os principais conceitos de segurança SCADA, e diversos controles de segurança como política de segurança, segurança do perímetro, detecção de intrusões e monitoramento.
Palestra técnica - Aprendendo segurança em redes industriais e SCADA
1. Aprendendo Segurança em Redes
Industriais e SCADA
Jarcy Azevedo
Agosto de 2012
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
2. Termo de Isenção de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam
pelo mal uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em
Segurança da Informação. Use com responsabilidade.
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
3. Sobre a TI Safe
• Missão
Fornecer produtos e serviços
de qualidade para a
Segurança da Informação
• Visão
Ser referência de excelência
em serviços de Segurança da
Informação
• Equipe técnica altamente
qualificada
• Apoio de grandes marcas
do mercado
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
4. Siga a TI Safe nas Redes Sociais
• Twitter: @tisafe
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
5. Não precisa copiar...
http://www.slideshare.net/tisafe
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
6. Agenda
• Introdução às redes industriais e SCADA
• Segurança SCADA
• Política de segurança
• Segurança do perímetro
• Segurança física
• Patches
• Antivírus
• Autenticação e Identificação
• Autorização
• Active Directory
• Security Standards
• Detecção
• Protocolos
• Monitoramento em sistemas SCADA
• Outros controles de segurança
• Treinamento e conscientização
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
7. Introdução às redes industriais e SCADA
SCADA = Supervisory Control And Data Acquisition
• Ele é..
Um sistema que controla e coleta
dados de um processo
Encaminha dados para outros
dispositivos
Usado industrialmente
• Ele não é..
Um dispositivo
Encriptado
Controlador de dispositivos
Sistemas SCADA devem primar pela
velocidade da aquisição dos dados.
Cada segundo de delay pode ser
crítico.
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
8. Introdução às redes industriais e SCADA
• Autômatos programáveis
RTU
PLC
IED
• Protocolos Fieldbus
DeviceNet
Modbus
DNP3
Profibus
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
9. Introdução às redes industriais e SCADA
• Redes SCADA estão em um mundo diferente, quanto a segurança,
do mundo de TI (Mito)
• Sistemas SCADA não possuem vulnerabilidades com as
vulnerabilidades de TI (Mito)
• Hackers não atacam sistemas SCADA (Mito)
• Possuo um sistema e protocolos personalizados, portanto não estou
vulnerável (Mito)
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
10. Segurança SCADA
Integridade
SCADA
Confidencialidade Disponibilidade
• Segurança CUSTA Dinheiro
• Funcionalidade e facilidade GERAM dinheiro
• Segurança gera perda de funcionalidade e facilidade
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
11. Segurança SCADA
• Segurança deve estar entre os requisitos para aquisição de novos
equipamentos
• Os controles se dividem entre controles Técnicos (Firewall, IDS,
smart card etc) e Administrativos ( Políticas de segurança,
procedimentos etc)
• Quando não é possível estabelecer controles diretos sobre algum
dispositivo, devemos compensar com controles sobre o sistema
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
12. Segurança SCADA
• Ameaças a um sistema SCADA
Hackers (Direta e Indireta)
Desenvolvedores de Virus (Indireta)
Insiders (direta)
Cyber Terroristas (direta)
• Riscos à que o sistema pode estar exposto
Perda de vidas humanas
Destruição do ambiente
Perda das estruturas
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
13. Política de segurança
• Cada organização é única
• Políticas não são procedimentos
• Se a politica é bonita, mas não se aplica à sua organização, ela não
serve
• DEVE vs PODE
• Sempre Auditar e Revisar a política
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
14. Política de segurança
• Proteção legal para a empresa
• Erros
Políticas impossíveis de serem seguidas
Politicas que não podem ser auditadas
Políticas não seguidas
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
15. Segurança do perímetro
• Use Firewall como Firewall e Roteador como Roteador
Firewalls trabalham com regras
Roteadores com Access lists
Firewalls são stateful
Roteadores são stateless
• ACLs podem ser exploradas
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
16. Segurança do perímetro
• Outros benefícios dos Firewalls
Inspeção de camadas
Assinaturas de IDS integradas
VPN
Firewalls podem rodar em computadores e appliances
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
17. Segurança do perímetro
• Zonas de segurança
Confiável
• Dispositivos e redes SCADA
Não Confiável
• Todo o resto (Inclusive pareceiros de negócio e empresas de suporte)
• Regras de Firewall básicas
Isolar a rede SCADA das demais
Criar DMZs
O que não esté autorizado deve ser implicitamente negado
Seja o mais específico possível
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
18. Segurança do perímetro
• Regras de Firewall básicas
Diferenciar as redes
• Um Firewall mal configurado, alem de
ser inútil ainda gera latência na rede.
• Redundância é sempre bem-vinda.
Usando fabricantes diferentes é ainda
melhor.
• DMZs são baratas, use quantas forem
necessárias
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
19. Segurança do perímetro
• Quando usar uma DMZ?
Quando os grupos diferirem quanto às permissões ou papéis
Não deve ser usado quando um dispositivo possui uma vulnerabilidade
conhecida
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
20. Segurança do perímetro
• Prioridades de segurança nas áreas da planta
1. Prevenir que uma área comprometida afete o sistema SCADA
2. Prevenir que uma área comprometida afete outra área
3. Prevenir um Ciberataque em uma área
• Não se restrinja a firewalls de borda, também use firewalls internos
no limite de cada área
• Crie grupos com permissões semelhantes
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
21. Segurança do perímetro
• Política de acesso remoto
Dividido em acesso aos dispositivos na DMZ e ao sistema SCADA
(confiável)
Acesso ao sistema SCADA
• Deve ser extremamente limitado
• Não deve permitir controle remoto
• Acesso emergencial dos administradores
• Acesso para suporte por parte do vendedor
Utilizar controles compensatórios
Exigir segurança nos contratos
Acesso via VPNs
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
22. Segurança física
• Muitos dispositivos podem ser hackeados pelo acesso físico
Reboot
Violência
Desligar da tomada
• Restringir o acesso ao centro de controle e às HMIs
• Observar janelas e portas abertas, etc
• Utilizar biometria, RFID, smart cards, etc
• Colocar servidores e infra em um local diferente
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
23. Segurança física
• Restringir o acesso de pessoal desnecessário
• Proteção
Coloque guardas nos pontos de acesso
Boas trancas, mantenha portas fechadas
• Detecção
Câmeras
Detectores de movimento
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
24. Patches
• São softwares com código destinado a resolver problemas, em um
software principal.
• Atualmente basta baixar rodar um scan de vulnerabilidades, exploit e
payload para explorar um sistema com falhas de segurança não
“patcheada”. Tudo isso sem entender nada de programação e
protocolos.
• Você PRECISA instalar os patches no seus sistema para protegê-lo,
mas esse patch pode “quebrar” seus sistema.
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
25. Patches
• Precisam ser testados de forma a não afetar a disponibilidade do
sitema
• Não podem ser instalados sem autorização do fabricante
• Como proteger o sistema até que o patch seja autorizado?
• Controles compensatórios!
• Verificar a real necessidade do patch
• Realize testes e homologação do patch
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
26. Antivírus
• Deve ser instalado em todos os sistemas, de acordo com as
informações dos fabricantes dos sistemas SCADA
• Deve ser atualizado automaticamente em todos os sistemas não-
críticos a partir de um WSUS na rede de automação não conectado à
Internet
• Atualizado manualmente em sistemas críticos
• Redundância ajudará a evitar reboots
• Uma boa arquitetura da planta isolará o sistema da maior parte dos
malwares
• Verifique atualizações diariamente
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
27. Autenticação e Identificação
• Não adianta ter um kerberus bem configurado se os seus funcionários
guardam as senhas atrás do teclado
• Usuário/Senha é o mais fraco meio de autenticação
• Identificação
Privilégios baseados em quem você é e onde você está logado
Autenticação por 2 fatores
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
28. Autenticação e Identificação
• Problemas de autenticação
Sistemas logados ao fim do boot
Sistemas monousuário
Contas compartilhadas
• Soluções de autenticação
Contas individuais
Realizar logoff após o uso
Trocas de senha periódicas
Termos de responsabilidade
Política de segurança
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
29. Autorização
• O que um usuário está autorizado a fazer ?
• Identificação, autenticação e autorização provêm acesso
• Manter um registro (log) de todos os acessos, bem como quando eles
ocorreram
• Criar um controle de acesso baseado no papel de cada usuário no
sistema
• Mesmo os sistemas SCADA antigos têm formas sofisticadas de
controle de autorização
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
30. Security Standards
• NERC CIP 002 to 009
Setor de eletrecidade
Medidas e conformidades para todos os requisitos
Programa de auditoria
Penalidades para não-conformidades
• CIDX / ACC
Setor de química
Segurança no setor químico
Avaliação de vulnerabilidades
Como começar um programa de cyber segurança
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
31. Security Standards
• ANSI/ISA SP99
Padrão de segurança adotado por todas as indústrias que possuem
sistemas de controle
Um dos grupos mais ativos
Visão geral das tecnologias de cyber segurança
Autorização, encriptação, firewall, IDS
Controles de acesso
• NIST SP 800-82
Organização do governo americano
Guideline de segurança para sistemas de controle
Programa de testes de antivírus
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
32. Detecção
• Proteção vs Detecção
• Identifica ataque em tempo real
• Possibilita a tomada imediata de medidas
• Serve como uma camada a mais
• A detecção de ameaças cibernéticas deve fazer parte de todo
sistema crítico
• Detecção é ainda mais crítica quando um sistema de proteção ainda
não foi implementado
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
33. Detecção
• Logs do firewall
Por que olhar os logs do firewall?
• Identificar tentativas de Insiders bloqueados
• Identificar mudanças de configuração
• Identificar atividades suspeitas ou não usuais
• Sistemas de detecção de intrusão (IDS)
Verifica assinaturas de ataque passivamente
Dividido em IDS de host e IDS de rede
Ajuda na detecção de anomalias
IDS de host pode gerar problemas de performance, sendo assim, veja
qual IDS seu fornecedor de equipamentos recomenda
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
34. Detecção
• Sistemas de prevenção de intrusão
Pode bloquear tráfego suspeito
Efetivo contra exploits conhecidos
Não avalia o tráfego interno
• Monitoramento
Sistemas operacionais e aplicações
Ajudam em uma possível forense
MSSP
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
35. Protocolos
• A comunicação PLC/RTU e o centro de controle era originariamente
serial, mas mudou praticamente toda para IP
• A comunicação entre o PLC/RTU e os sensores e atuadores ainda é
serial
• Porque mudar para IP?
Maior taxa de transferência
LAN/WAN pode ser compartilhada
Roteamento para requisitos de disponibilidade
Preço
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
36. Protocolos
• Modbus
Protocolo Serial
Checagem de erro
Largamente usado
Não prevê segurança!
• DNP3
Industria elétrica
Originalmente serial
Similar ao modbus
Cliente-Servidor
Não prevê segurança!
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
37. Protocolos
• Um protocolo ideal teria:
Autenticação da origem
Conteúdo autenticado
Encriptação ótima
Boa performance
Não existe nada nem próximo disso
• A solução atual se baseia em roteadores e firewalls de comunicação
de campo
• Encriptadores de campo estão sendo desenvolvidos
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
38. Monitoramento de sistemas SCADA
• Controle compensatório
• As medidas de detecção atuais detectam:
Protocolos comuns de ataque
Aplicações comuns de ataque
Sistemas operacionais comuns de ataque
• Elas não detectam:
Ataques ou mal uso de protocolos SCADA
• Assinaturas de IDS:
Os protocolos SCADA não fornecem a origem nem autenticação dos
dados neles contidos
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
39. Monitoramento de sistemas SCADA
• Logs dos sistemas SCADA
Podem conter informações valiosas
Cada fabricante possui um padrão diferente de logs
A solução é criar um dicionário de dados SCADA e normalizar os logs
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
40. Outros controles de segurança
• Programa de conscientização
Usuários acabam não lendo ou esquecendo a política
Pôster, e-mails vídeos, palestras, auditorias
• Campanhas de conscientização
Já fez seu backup hoje ?
Você deixou seu pc ligado ontem
• Análise de vulnerabilidades
Identifica patches não aplicados
Erros de configuração
Senhas fracas ou default
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
41. Outros controles de segurança
• Análise de vulnerabilidades
Faça scans regularmente
Cuidado! Scans podem tirar o sistema SCADA do ar
Faça scans em pequenos grupos de hosts, para diminuir o impacto
Prepare-se para possíveis efeitos colaterais
• Siga as boas práticas SEMPRE!
ANSI/ISA 99
NIST SP 800-82
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
42. Formação em segurança de automação industrial
• Aulas ministradas nas instalações da TI Safe ou na
empresa (mínimo de 10 alunos)
• Baseada na norma ANSI/ISA-99
• Alunos recebem material didático em formato digital
• Escopo:
• Formação com 20h de duração
• Introdução às redes Industriais e SCADA
• Instrutor membro da ISA Internacional e integrante do
• Infraestruturas Críticas e Cyber-terrorismo comitê da norma ANSI/ISA-99, com anos de
• Normas para segurança em redes industriais experiência em segurança de automação industrial
• Introdução à análise de riscos • Objetiva formar profissionais de TI e TA:
• Análise de riscos em redes industriais Apresenta, de forma teórica e prática,
• Malware em redes industriais e ICS aplicações reais da segurança de acordo com o
• Desinfecção de redes industriais contaminadas CSMS (Cyber Security Management System)
por Malware preconizado pela norma ANSI/ISA-99
• Uso de firewalls e filtros na segurança de Totalmente em português, adequada ao perfil do
redes industriais profissional de segurança requerido pelas
empresas brasileiras
• Uso de Criptografia em redes industriais
• Calendário com próximas turmas disponível em
• Segurança no acesso remoto à redes
http://www.tisafe.com/solucoes/treinamentos/
industriais
• Implementando o CSMS (ANSI/ISA-99) na
prática
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
43. Certificação CASE – Certified Automation Security Engineer
• Prova presencial composta de 60 perguntas de
múltipla escolha que devem ser resolvidas em 90
A certificação CASE abrange os seguintes domínios de minutos.
conhecimento:
• As questões têm pesos diferentes e o aluno será
• Introdução às redes Industriais e sistemas SCADA.
aprovado caso obtenha quantidade de acerto igual ou
• Infraestruturas Críticas e Cyber-terrorismo.
superior a 70% do valor total dos pontos atribuídos ao
• Governança para redes industriais.
exame.
• Políticas e padrões de segurança industrial.
• Em caso de aprovação o aluno receberá o certificado
• Introdução à análise de riscos.
CASE por e-mail e seu nome poderá ser verificado em
• Análise de riscos em redes industriais e sistemas
listagem no site da TI Safe.
SCADA.
• Malware em redes industriais e sistemas de controle. • Os certificados tem 2 anos (24 meses) de validade a
• Desinfecção de redes industriais contaminadas por partir de sua data de emissão.
Malware. • Guia de estudos, simulado e calendário com próximas
• Segurança de perímetro em redes de automação. provas disponível em (aba “Certificação CASE”):
• Criptografia em redes industriais. http://www.tisafe.com/solucoes/treinamentos/
• Controle de acesso em sistemas SCADA.
• Implantando o CSMS (ANSI/ISA-99) na prática.
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
44. Security Day
• Eventos com 8 horas de duração destinados à criação de
consciência de segurança em empresas.
• Realizados dentro da empresa (normalmente em auditório)
e sem limite de número de alunos.
• Utiliza estratégias de divulgação e elaboração em formato
de palestras com apostila personalizada, atingindo a todos
os níveis de colaboradores da organização.
• Palestras técnicas baseadas nas normas ISO/IEC 27001,
ISO/IEC 27002, BS 25999 e ANSI/ISA-99
• Escolha as palestras técnicas para o Security Day em sua
empresa em nossa base de conhecimento disponível em
http://www.slideshare.net/tisafe
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
45. Contato
www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.