Introdução A Segurança e Perimetro SCADA

www.tisafe.
com
TI Safe Segurana da Informao LTDA, 2007-2008.Todos os direitos reservados.
Salvador, 7 de agosto de 2014
Segurana do permetro de redes de
automao segundo a norma
ANSI/ISA-99
www.tisafe.com
Apresentao Apresentao Apresentao Apresentao
Marcelo Branquinho
Marcelo.branquinho@tisafe.com
CEO da TI Safe Segurana da Informao onde tambm atua como chefe do
departamento de segurana para sistemas de automao industrial.
Engenheiro eletricista, com especializao em sistemas de computao e larga
experincia adquirida ao longo de mais de 15 anos de atuao na rea, coordenou o
desenvolvimento da Formao de Analistas de Segurana de Automao, sendo autor
do livro Segurana em Automao Industrial e SCADA, lanado em 2014.
Membro Snior da ISA, e integrante do comit internacional que mantm a norma
ANSI/ISA-99.
Coordenador do CCI (Centro de Ciberseguridad Industrial) para o Brasil.
www.tisafe.com
Siga a TI Safe nas Redes Sociais Siga a TI Safe nas Redes Sociais Siga a TI Safe nas Redes Sociais Siga a TI Safe nas Redes Sociais
Twitter: @tisafe
Youtube: www.youtube.com/tisafevideos
SlideShare: www.slideshare.net/tisafe
Facebook: www.facebook.com/tisafe
Flickr: http://www.flickr.com/photos/tisafe
www.tisafe.com
No precisa copiar
http://www.slideshare.net/tisafe
www.tisafe.com
Agenda
Infraestruturas crticas e Ciberterrorismo
Principais ataques documentados contra redes de automao
Segurana do permetro de redes de automao
Arquiteturas de Firewall segundo a norma ANSI/ISA-99
Treinamento e conscientizao no Brasil
Dvidas?
www.tisafe.com
Infraestruturas Crticas e
Ciberterrorismo
www.tisafe.com
O !e so infraestr!t!ras cr"ticas#
So sistemas de infraestrutura para os quais a continuidade to importante que a perda,
interrupo significativa ou degradao dos servios poderia ter graves conseqncias
sociais ou segurana nacional.
Exemplos:
Gerao e distribuio de eletricidade;
Telecomunicaes;
Fornecimento de gua;
Produo de alimentos e distribuio;
Aquecimento (gas natural, leo combustvel);
Sade Pblica;
Sistemas de Transportes;
Servios financeiros;
Servios de Segurana (polcia, exrcito)
www.tisafe.com
$ri%eiros ata!es a&reos ' 1( )!erra *!ndial
Avies foram usados em combate pela
primeira vez na primeira guerra mundial
Trunfo: podiam bombardear a
infraestrutura crtica de naes sem serem
atingidos
Na poca, causaram grande terror
populao e aos governos
www.tisafe.com
+,-er .ar
Cyber War ou Guerra Ciberntica (conceitualmente) apenas uma nova modalidade
da guerra convencional.
Principais diferenas:
Silenciosa
Annima
Sem territrio definido
Sem reao
Quem? Como? De onde?
www.tisafe.com
)!erra +onvencional / )!erra +i-ern&tica
$1.5 a $2 bilhes
$80 a $120 milhes
Quanto custa um bombardeiro Stealth
Quanto custa um caa Stealth
$1 a $2 milhes Quanto custa um mssil de cru!eiro
$300 a $50,000
Quanto custa uma c"ber arma
www.tisafe.com
0ncontre as ar%as de destr!io e% %assa1
Fbricas de armas nucleares Fbricas de cyber-armas
Onde esto as fbricas de
cyber armas?
www.tisafe.com
Antiga%ente222
Chen-Ing Hau, 24
(Autor do vrus CIH)
Joseph McElroy, 16
(Invadiu o laboratrio de pesquisas
nucleares dos EUA)
Jeffrey Parson, 18
(autor do Blaster.B virus)
Objetivo:
Destruir
www.tisafe.com
Os te%pos %!dara%3
Script Kiddies, usando toolkits baixados da internet precisam de muito pouco
conhecimento tcnico para lanar um ataque!
Phishing
Toolkits
www.tisafe.com
4iterat!ra 5ac6er
A criticidade do uso e o impacto provocado por ataques a redes de automao
aumentou o interesse de hackers em realizar ataques. J existem livros ensinando
como atacar uma rede industrial.
www.tisafe.com
O !e %ovi%enta esse %ercado#
SPAM
Phishing
Espionagem
Industrial
Roubo de
identidades
Roubo de
dados
corporativos
Sequestro de
browser
Pop ups
& BOs
Roubo de
Dados
pessoais
um negcio!
www.tisafe.com
O *ercado do +i-ercri%e ' 7ar6 .e-
Durao: 4:18
Este vdeo apresenta o mercado do crime
ciberntico movimentado na dark web (ou
deep web).
udio: Ingls (legendado em portugus)
www.tisafe.com
Fornecedores de armas
Venda de malware somente
para pesquisa
Traduo de manuais
Suporte / Fruns para usurios
Linguagem especfica,
Referncias para as empresas
de hospedagem
Geralmente no ilegal
Operam em pases que os
protegem de aes civis
Torna mais fcil para entrar no
mercado de cibercrime
8enda de 6its para *al9are:$;is;ing
www.tisafe.com
#rincipais ata$ues documentados
contra redes de automao
www.tisafe.com
S;odan
Hackers esto usando o site de busca Shodan para encontrar computadores
de sistemas SCADA que utilizam mecanismos potencialmente inseguros para
autenticao e autorizao.
http://www.shodanhq.com
www.tisafe.com
Repositor, for Ind!strial Sec!rit, Incidents
http://www.securityincidents.org/
O Repositrio de Incidentes de Segurana Industrial um banco de dados de
incidentes que tm (ou podem ter) afetado controle de processos e sistemas SCADA.
O objetivo da RISI coletar, investigar, analisar e compartilhar importantes incidentes de
segurana industrial entre as empresas associadas para que elas possam aprender com
as experincias dos outros.
Os dados so recolhidos atravs da investigao sobre incidentes de conhecimento
pblico e de comunicao privados.
www.tisafe.com
+o%o os atacantes entra%3
Laptops de terceiros infectados com Malware e conectados diretamente rede de
automao
Conexes 3G no autorizadas e redes sem sem fio, ou atravs da rede corporativa
Atos intencionais de funcionrios insatisfeitos
Conexes via modem
VPNs
Internet Directly
17%
VPN Connection
7%
Dial-up modem
7%
Trusted 3rd Party
Connection
10%
Telco Network
7%
Wireless System
3%
Via Corprate WAN &
Business Network
49%
www.tisafe.com
<o%-a l=gica destr=i oleod!to na Si-&ria
Em 1982, durante a guerra fria, os planos de um
sofisticado sistema SCADA para controle de
oleoduto foram roubados pela KGB de uma
empresa canadense.
A CIA alega que esta empresa detectou o ataque
e inseriu uma bomba lgica no cdigo roubado
para sabotar e explodir o oleoduto.
A exploso foi equivalente a um poder de 3
Quilotons de TNT. A exploso foi to poderosa
que satlites americanos enviaram alertas
nucleares aos centros de controle nos EUA.
www.tisafe.com
Oleod!to e>plode e% <elling;a% ?0@AA
01/06/1999
Falhas no SCADA resultaram na exploso
do oleoduto.
Gasolina atingiu dois rios nas cidades de
Bellingham e Washington.
Exploso matou 3 pessoas e feriu 8.
Aproximadamente 26 hectares de
rvores e vegetao foram
queimados durante o incidente.
Liberou aproximadamente 236.000
gales de gasolina, causando danos
substanciais ao meio ambiente.
possvel quantificar o prejuzo de um incidente como estes?
www.tisafe.com
Ata!e B 0TR de *arooc;, S;ire
31/10/2001
Ataque ao sistema de controle de
tratamento de resduos de
Maroochy Shire em Queensland,
Austrlia.
A Planta passou por uma srie de
problemas: bombas no acionavam
quando comandadas, alarmes no
estavam sendo reportados, e havia
uma perda de comunicaes entre
o centro de controle e as estaes
de bombas.
Estes problemas causaram o
alagamento do terreno de um hotel
prximo, um parque, e um rio com
mais de 7 milhes de litros de
esgoto bruto.
www.tisafe.com
Ata!e B @sina N!clear de 7avisC<esse
Em 25/01/2003, a usina nuclear Davis-Besse
usina nuclear em Oak Harbour, Ohio, foi
infectada com o worm "Slammer" do MS SQL.
A infeco causou sobrecarga de trfego na
rede local. Como resultado, o Sistema de
Segurana de Display de Parmetros (DOCUP)
ficou inacessvel por quase 5h, e o computador
de processos da planta por mais de 6h.
Um firewall estava no local para isolar a rede de controle da rede da empresa, no
entanto, havia uma conexo T1 a partir de uma empresa de consultoria de software,
que entrou na rede de controle por trs do firewall, ignorando todas as polticas de
controle de acesso impostas pelo firewall corporativo.
O worm infectou servidor do consultor e foi capaz de entrar na rede Davis-Besse
atravs da linha T1.
www.tisafe.com
Transporte DerroviErio ' Ata!e B +S/
20/08/2003
Sistema de sinalizao ferrovirio
da CSX
Virus Sobig causa desligamento
dos sistemas de sinalizao da
costa leste dos EUA
Virus infectou a base de controle
da Flrida, desligando sinalizao
e outros sistemas de controle
ferrovirio
Trens que fazem percursos de
longas distncias foram atrasados
entre 4 a 6 horas
www.tisafe.com
Ata!e a centro de co%ando derr!-a sat&lite
Em 2008 investigadores da NASA reportaram que
uma falha no ROSAT estava ligada uma cyber
invaso no Goddard Space Flight Center, centro de
comando do satlite.
Segundo o relatrio da NASA: Atividades hostis
comprometeram sistemas de computadores que
direta ou indiretamente lidam com o controle do
ROSAT
Aps sucessivas falhas nos meses seguintes, em
23/10/11 o satlite alemo ROSAT explodiu ao
reentrar na atmosfera terrestre. Seus destroos
caram em reas inabitadas do planeta no
causando vtimas.
www.tisafe.com
0 no <rasil# Ocorre% incidentes#
Cada vez mais sofisticados, os ataques
cibernticos so hoje capazes de paralisar
setores inteiros da infraestrutura critica de
um pas.
Os eventos internacionais de grande porte
atraem a ateno do mundo e trazem riscos
de invases virtuais em infraestruturas
crticas brasileiras.
E o Brasil, estaria blindado contra
ataques virtuais como estes? J houve
incidentes de segurana ciberntica no
Brasil?
www.tisafe.com
7eclarao pF-lica de incidentes de Seg!rana
Uma pesquisa recentemente publicada pela TI Safe mostrou que nenhuma das
empresas entrevistadas tem a filosofia de compartilhar publicamente os incidentes de
segurana.
55% das empresas tratam internamente os incidentes de segurana e apenas 12%
das empresas declaram seus incidentes sigilosamente aos fabricantes e
consultorias especializadas de segurana.
www.tisafe.com
Incidentes de seg!rana e% ind!strias no <rasil
Fonte: 1
o
Relatrio Anual TI Safe sobre incidentes de segurana em redes de
automao brasileiras (ainda no divulgado)
Incidentes computados de Setembro de 2008 a Abril de 2014
Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes # Casos
Malware 27
Erro Humano 24
Falhas em dispositivos 15
Sabotagem 2
Outros - No identificados 9
www.tisafe.com
Fonte: 1
o
Relatrio Anual TI Safe sobre incidentes de segurana em redes de
automao brasileiras
Incidentes computados de Setembro de 2008 a Abril de 2014
Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes de seg!rana e% ind!strias no <rasil
www.tisafe.com
*al9are ' O principal vilo
O DOWNAD, mais conhecido como
Conficker, dominou a contagem de
malware em plantas industriais no
Brasil.
Dos 27 casos documentados em
nosso estudo, 14 foram derivados de
infeces do Conficker.
Isso acontece porque plantas de
automao no so atualizadas com os
ltimos patches, deixando-as expostos
a malwares como o Conficker.
Alm disso, boa parte das plantas
industriais brasileiras no possui poltica
de segurana adequada, medidas para
controle de acesso rede de
automao e proteo de portas USB.
www.tisafe.com
)esto de Incidentes de seg!rana
Nenhuma das organizaes pesquisadas afirmou ter um processo de gesto de
incidentes de segurana ciberntica industrial desenvolvido e em produo.
Em 24% das empresas este processo no existe, e 27% atuam de forma reativa
quando ocorrem incidentes de segurana.
No entanto, 45% das empresas pesquisadas afirmaram estar definindo este processo.
www.tisafe.com
0st!do de +aso ' )rande SiderFrgica Nacional
Malware e sua variante: Conficker Win32
Nmero de mquinas infectadas: toda a rede, mais de 30 computadores entre eles
servidores, estaes de engenharia, estaes de operao e gateway. No estou
mencionando os problemas do complexo siderrgico. Apenas relatei a Termeltrica.
Houveram outras infeces nas demais unidades como Alto Forno, Sinter, Coqueria e
Distribuio de Energia.
Existia anti-virus na planta, porm estava com as assinaturas desatualizadas.
Principais consequncias da infeco: operao as cegas at o isolamento total do
problema. Entre 2 e 4 horas correndo risco.
Houve prejuzos financeiros quantificveis? No, mas tivemos que explicar o
ocorrido para o O.N.S.
Como foi o processo de desinfeco e quanto tempo levou? A desinfeco para
retornar a operao segura 4 horas, mas no total levaram mais de 30 dias at
podermos estabelecer todas as interfaces. A ltima interface estabelecida foi com a
rede corporativa at obtermos total segurana da rede.
Foi descoberta a origem da infeco? No. Na poca era difcil porque a planta
estava em comissionamento e havia muitas interfaces trabalhando nessas redes.
www.tisafe.com
5ac6ers GE ca!sara% -leca!tes no <rasil#
Durao: 3:58
Este vdeo mostra reportagem da CBS onde o
presidente norte-americano, Barack Obama, afirma
saber de blecautes em outros pases devido a ataques
A CBS atribui os ataques aos blecautes Brasileiros
ocorridos no Rio de Janeiro (Jan/05) e no Esprito
Santo (Set/07)
udio: Ingls (legendado em portugus)
www.tisafe.com
Segurana do permetro de redes
de automao
www.tisafe.com
A nor%a ANSI:ISA HH
Norma elaborada pela ISA (The
Instrumentation Systems and Automation
Society) para estabelecer segurana da
informao em redes industriais.
um conjunto de boas prticas para
minimizar o risco de redes de sistemas
de controle sofrerem ataques
cibernticos.
A norma aborda o conceito de defesa em
profundidade, que consiste em utilizar
diversos controles de segurana
dispostos em camadas, de forma de que
o sistema de controle no fique
totalmente desprotegido caso alguma
camada seja comprometida.
www.tisafe.com
7efesa e% +a%adas
Para a implementao do modelo de defesa em camadas so necessrios
mecanismos de proteo e sistemas de deteco prprios para redes
industriais, alm de um sistema de inteligncia de segurana que seja capaz
de alertar e bloquear as ameaas em tempo real.
www.tisafe.com
T"pico ata!e a siste%as S+A7A
www.tisafe.com
Ar$uiteturas de %ire&all segundo
a norma ANSI/ISA-99
www.tisafe.com
Ionas de seg!rana e% redes ind!striais
Confiveis
Dispositivos SCADA dedicados e rede de automao.
Dispositivos de campo.
No Confiveis
Internet.
Rede Corporativa.
Redes de Parceiros e Fabricantes.
www.tisafe.com
aA Dire9all separando as redes
recomendado o uso de um
Firewall entre a rede de
automao e a rede corporativa
da empresa.
Arquitetura mais bsica e
frequentemente encontrada em
indstrias brasileiras.
Regras diretas de comunicao
entre rede SCADA e corporativa:
Baixo nvel de segurana.
Susceptvel a ataques de
baixa complexidade.
www.tisafe.com
-A Dire9all e roteador separando redes
Arquitetura um pouco mais
sofisticada.
Roteador mais rpido e filtra
pacotes indesejveis antes que
eles cheguem ao firewall.
A reduo do nmero de
pacotes melhora o desempenho
da rede.
Maior segurana pois um
atacante ter que desabilitar dois
equipamentos.
www.tisafe.com
cA Dire9all co% 7*I entre as redes
Arquitetura que cria uma zona semi-
confivel (DMZ) para a colocao de
equipamentos que tenham que ser
acessados pela rede corporativa e de
controle.
Nenhuma comunicao direta entre a
rede corporativa e de automao passa
a ser necessria.
Cada caminho de comunicao
terminar sempre na DMZ.
Risco: um computador comprometido
na DMZ poder atacar a rede de
controle usando trfego de rede vlido
de aplicativos.
www.tisafe.com
7e*ilitariJed Ione ' 7*I
Segmento onde h acesso tanto interno quanto externo, a DMZ considerada uma rede semi-confivel.
www.tisafe.com
dA $ar de fire9alls co% 7*I entre as redes
O uso de 2 firewalls para a criao da
DMZ permite que cada rede controle
sua segurana.
Melhor configurao para evitar
conflitos polticos entre TI e TA sobre
quem o administrador do firewall.
Cada gestor de rede cria e administra
suas prprias regras.
Ter firewalls de diferentes fabricantes
aumenta a segurana.
www.tisafe.com
Ne>t )eneration Dire9all Ne>t )eneration Dire9all Ne>t )eneration Dire9all Ne>t )eneration Dire9all
$alo Alto Net9or6s $alo Alto Net9or6s $alo Alto Net9or6s $alo Alto Net9or6s
www.tisafe.com
'reinamento e Conscienti!ao
no (rasil
www.tisafe.com
Dor%ao e% seg!rana de a!to%ao ind!strial Dor%ao e% seg!rana de a!to%ao ind!strial Dor%ao e% seg!rana de a!to%ao ind!strial Dor%ao e% seg!rana de a!to%ao ind!strial
Baseada na norma ANSI/ISA-99
Escopo:
Introduo s redes Industriais e SCADA
Infraestruturas Crticas e Cyber-terrorismo
Normas para segurana em redes industriais
Introduo anlise de riscos
Anlise de riscos em redes industriais
Malware em redes industriais e ICS
Desinfeco de redes industriais contaminadas
por Malware
Uso de firewalls e filtros na segurana de redes
industriais
Uso de Criptografia em redes industriais
Segurana no acesso remoto redes industriais
Implementando o CSMS (ANSI/ISA-99) na prtica
Aulas ministradas nas instalaes da TI Safe ou na
empresa (mnimo de 10 alunos)
Alunos recebem material didtico em formato digital
Formao com 20h de durao
Instrutor membro da ISA Internacional e integrante do
comit da norma ANSI/ISA-99, com anos de
experincia em segurana de automao industrial
Objetiva formar profissionais de TI e TA:
Apresenta, de forma terica e prtica,
aplicaes reais da segurana de acordo com o
CSMS (Cyber Security Management System)
preconizado pela norma ANSI/ISA-99
Totalmente em portugus, adequada ao perfil do
profissional de segurana requerido pelas
empresas brasileiras
Prximas turmas presenciais:
So Paulo: de 26 a 28 de Agosto
Salvador: de 16 a 18 de Setembro
Rio de Janeiro: de 23 a 25 de Setembro
www.tisafe.com
Dor%ao via ensino a distKncia ?0A7A Dor%ao via ensino a distKncia ?0A7A Dor%ao via ensino a distKncia ?0A7A Dor%ao via ensino a distKncia ?0A7A
Matricule-se em www.tisafe.com/ead_fsai
www.tisafe.com
4ivro LSeg!rana de A!to%ao Ind!strial e S+A7AM, 2014 4ivro LSeg!rana de A!to%ao Ind!strial e S+A7AM, 2014 4ivro LSeg!rana de A!to%ao Ind!strial e S+A7AM, 2014 4ivro LSeg!rana de A!to%ao Ind!strial e S+A7AM, 2014
nico livro sobre segurana SCADA escrito em portugus no mundo
www.tisafe.com
+ertificao +AS0 +ertificao +AS0 +ertificao +AS0 +ertificao +AS0
Prova presencial com 60 perguntas de
mltipla escolha em portugus.
Tempo de prova: 90 minutos.
As questes com pesos diferentes.
Aluno ser aprovado se acertar 70% do
valor total dos pontos.
Se aprovado o aluno receber o
certificado por e-mail e seu nome ser
includo em listagem no site da TI Safe.
Os certificados tem 2 anos (24 meses)
de validade a partir da emisso.
Guia de estudos, simulado e calendrio
disponveis no website.
Matricule-se em www.tisafe.com/ead_case
www.tisafe.com
+4ASS 2014 ' Nove%-ro no RN
www.tisafe.com
+4ASS 2014 e% nF%eros
450 participantes
30 palestrantes, sendo 15
internacionais
23 palestras, 5 cursos (4hs)
3 dias de evento
Demonstrao de solues em
stands
Projeto ICSSF ICS Security
Framework
Visite www.class2014.com.br
www.tisafe.com
7Fvidas#
www.tisafe.com
+ontato

Introdução A Segurança e Perimetro SCADA

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Introdução A Segurança e Perimetro SCADA

Enviado por

Direitos autorais:

Formatos disponíveis

www.tisafe.

Você também pode gostar