Escolar Documentos
Profissional Documentos
Cultura Documentos
VERSÃO: 5
Autores:
Marcelo Branquinho
Renato Mendes
Marcio Santos
Josué José Souza Junior
Franzvitor Fiorim
Alexandre Freire
Página - 1 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
RESUMO
Nos últimos anos temos assistido o crescimento exponencial de riscos e ameaças cibernéticas
a sistemas de automação e de informação que operam plantas industriais. Dentre estas, as
mais preocupantes são as chamadas “infraestruturas críticas”, que são instalações, serviços
e/ou bens que, se forem interrompidos ou destruídos, provocarão sério impacto social,
econômico e/ou político. Exemplos de infraestruturas críticas são plantas de geração e
distribuição de eletricidade, fábricas de alimentos, bebidas e farmacêuticas, empresas de
telecomunicações, de fornecimento de água, gás natural e combustível, empresas de saúde
pública, transportes, serviços financeiros e serviços nacionais, tais como polícia, defesa civil,
corpo de bombeiros, forças armadas, etc.
Neste trabalho a equipe da TI Safe juntamente com seus parceiros - Siemens, IBM, Trend
Micro e Palo Alto Networks - apresenta uma solução integrada para monitoramento e
proteção de plantas industriais denominada TI Safe Industrial Control Systems Security
Framework – ICSSF. A solução ICSSF é uma arquitetura de segurança que cobre diversos
requisitos de segurança das normas ANSI/ISA-99 e NIST 800-82 e fornece o que há de mais
moderno e adequado em termos de segurança de informação para sistemas industriais.
Página - 2 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
SOBRE OS AUTORES
Página - 3 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
HISTÓRICO DE VERSÕES
Página - 4 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
PROPRIEDADE INTELECTUAL E RESPONSABILIDADES
Este documento e seus anexos, incluindo, sem limitações, informações técnicas, diagramas,
projetos, informações comerciais, especificações, desenhos, diagramas, etc., podem constituir
propriedade intelectual e/ou proprietária de seus respectivos titulares.
TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como
podem ser outras empresas, produtos e métodos citados neste documento. Em todos os
casos de uso estes itens são reconhecidos como marca registrada de seus detentores.
TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como
podem ser outras empresas, produtos e métodos citados neste documento. Em todos os
casos de uso estes itens são reconhecidos como marca registrada de seus detentores.
Os autores deste documento não se responsabilizam pelo uso inadequado das informações
deste documento, assim como por qualquer consequência de uso do mesmo.
Página - 5 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
ÍNDICE
Página - 6 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
4.6.3.4 APPLICATION END USER IDENTIFICATION ....................................... - 55 -
5. CONCLUSÃO ................................................................................................. - 58 -
Página - 7 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
1. FUNDAMENTOS DA ARQUITETURA
Esta análise é fundamental uma vez que ameaças e riscos de segurança divergem
dependendo da tecnologia que está sendo utilizada, assim como as contramedidas e soluções
a serem adotadas na proteção.
Desta lógica entendemos então que uma solução para segurança de plantas industriais
precisa necessariamente possuir tecnologia e ferramentas tanto de tecnologia da informação
quanto da tecnologia de automação, aplicadas em uma arquitetura própria e pensada
segundo ambos os pontos de vista.
Página - 8 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
2. O CONCEITO DE DEFESA EM PROFUNDIDADE
Uma solução comum para a segurança industrial é instalar um firewall entre as redes de
negócios e de controle. No entanto, proteger apenas o perímetro da rede de automação não é
suficiente. Não se pode somente instalar um firewall para controle de sistemas e esquecer-se
do resto da segurança, pois os invasores normalmente conseguem penetrar na rede de outras
formas. É necessário proteger o chão de fábrica com uma estratégia de defesa em
profundidade.
Em alguns exemplos de ataques documentados reais contra plantas industriais temos casos
documentados de infecções por worm em uma planta nuclear através de uma conexão
remota T1, em um sistema SCADA de energia através de uma VPN e em um sistema de
controle de óleo e gás através do sistema operacional do laptop de um funcionário
terceirizado de manutenção. Em todos estes casos existia um firewall segregando as redes de
negócio e de controle, mas ele foi inútil para a proteção contra as ameaças internas, pois elas
entraram direto nos segmentos inferiores da pirâmide ANSI/ISA, direto na rede de controle
sem passar pela rede corporativa.
Além do exposto temos que firewalls tradicionais são muito complexos para que a maioria dos
profissionais de segurança possa configurar corretamente de modo a evitar uma ameaça.
Além disto, sem o conhecimento mais aprofundado de rede, como é o caso da maioria dos
profissionais do chão de fábrica, não se consegue fazer com que ele exerça sua função
adequadamente. Uma vez que um vírus ou um hacker burle o firewall de controle do sistema,
os controladores lógicos programáveis (PLCs), estações SCADA ou outros dispositivos de
automação serão alvos fáceis de ataque. Equipamentos e protocolos de controle normalmente
não oferecem mecanismos de autenticação, integridade ou confidencialidade e podem ser
completamente controlados por qualquer indivíduo que seja capaz de realizar um simples ping
nestes equipamentos.
Página - 9 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
As indústrias precisam de uma solução de segurança que tenha sido projetada
especificamente para fornecer uma solução de defesa em profundidade tanto para os
sistemas de controle novos quanto para o restante do legado. Esta solução tem que ser
simples a ponto das equipes de campo entender seu funcionamento e realizar sua instalação
e manutenção, ao mesmo tempo em que proteja adequadamente os ativos controlados. É
necessário pensar em um framework que inclua soluções tecnológicas aderentes e políticas
adequadas para executar, manter e monitorar a segurança de forma consistente, alinhada
com a cultura organizacional da empresa e que forneça visibilidade das ameaças,
contramedidas necessárias e ocorrência de incidentes.
Página - 10 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
3. AMBIENTE DE FUNCIONAMENTO
O ICSSF foi pensado com uma solução totalmente aderente as necessidades das plantas
industriais e aos níveis hierárquicos da pirâmide ANSI/ISA. É composto por vários
componentes individuais – um ou mais para cada camada – que estão aplicados conforme as
recomendações das normas de mercado e profundamente integrados entre si.
Neste ambiente temos o que chamamos “Planta Base de Automação”, que é a representação
simulada dos sistemas industriais, e sobre esta planta base aplicamos os componentes de
segurança do ICSSF.
Utilizamos como simulação uma planta cervejeira Siemens em escala reduzida e simplificada,
onde a produção será simulada desde o chão de fábrica até o nível corporativo. A planta deste
segmento de Alimentos e Bebidas é um bom exemplo, uma vez que ela inclui áreas de
automação de processos para a área de produção da cerveja, automação discreta para a linha
de envase e embalagem e sistemas de utilidades.
Página - 11 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 3 - Ilustração de planta cervejeira simulada
A arquitetura dos sistemas desta planta simulada segue nas figuras abaixo:
Página - 12 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 5 - Arquitetura supervisório da planta de demonstração ICSSF
Página - 13 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Cada um dos grupos de sistemas desta planta está dividido em módulos, sendo que cada
módulo representa um conjunto de sistemas associado a ou um nível da pirâmide de
automação ou um grupo de aplicações de segurança do ICSSF.
A tabela abaixo lista os módulos utilizados neste ambiente simulado e seu respectivo nível na
pirâmide ANSI/ISA:
Página - 14 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
4. SOLUÇÕES DE SEGURANÇA
A seguir detalhamos cada um dos vetores de proteção e a solução adotada pelo framework
apresentado.
Outro fator que corrobora para a dificuldade de executar políticas e soluções de segurança em
sistemas de automação origina-se no fato de que sistemas de automação quase sempre são
implementados e mantidos por equipes técnicas que possuem baixa ou nenhuma experiência
com sistemas de segurança oriundos do mundo de TI. Sendo o foco de tais equipes a
operação continua dos processos de produção e automação, é facilmente compreensível
concluir que todo e qualquer sistema que vise dificultar o acesso não autorizado à
infraestrutura de automação torna-se um complicador nas tarefas do dia a dia destas equipes.
Estas técnicas podem ser utilizadas em novos projetos e equipamentos, assim como em
equipamentos existentes – ou os chamados sistemas legados. Sistemas legados exigem mais
esforços ao serem protegidos, dada a sua obsolescência e, por consequência, a
impossibilidade de alterar-se o modo de funcionamento destes equipamentos sem
comprometer a sua disponibilidade no processo produtivo no qual eles estão operando.
Página - 15 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
A seguir detalhamos os componentes utilizados nos níveis de controle responsáveis pela
proteção dos sistemas de automação do chão de fábrica.
O mais interessante neste caso, é que funções de firewall e VPN podem ser encontradas em
diversos sistemas e appliances de T.I., porém tais appliances não são facilmente integrados
ao sistema de automação, seja por questões técnicas (necessidade de comunicações em
tempo real, por exemplo), seja por suporte a ambientes hostis (faixa de temperatura entre -
40 a +70°C, por exemplo).
Página - 16 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
de conexões dos PLCs. Neste caso, toda e qualquer comunicação não autorizada é bloqueada
automaticamente e as conexões declaradas no PLC pela equipe de automação tornam-se
automaticamente autorizadas, garantindo dessa forma o correto funcionamento do sistema de
automação com o mínimo esforço da equipe de automação.
Se necessário for o SCALANCE S pode ser configurado para funções de rede mais avançadas,
como roteador IP (L3), NAT (Network Address Translation), NAPT (Network Address and Port
Translation) e servidor DHCP (Dynamic Host Configuration Protocol), 802.1x RADIUS, cliente
DynDNS (resolução dinâmica de nomes para endereços IPs dinâmicos) e Ghost Mode (no qual
o endereço IP do firewall será atribuído dinamicamente em função do endereço IP do
equipamento conectado na porta interna do firewall. Essa função é interessante na proteção
de sistemas legados em algumas indústrias específicas.
A equipe de automação pode, se necessário for, criar com poucos cliques uma VPN entre um
PLC e um servidor SCADA, sem que para isso necessite entender de temas específicos como
protocolo IPSec, criptografia simétrica e assimétrica ou gerenciamento de certificados de
segurança. Uma VPN pode ser configurada caso seja utilizada uma infraestrutura de rede
naturalmente sujeita a ataques, seja por espionagem, seja por perda de autenticidade dos
dados. Esse cenário é particularmente interessante quando redes WiFi são utilizadas na troca
de dados, ou em último caso quando a Internet é utilizada (acesso remoto ou monitoramento
de fábricas geograficamente separadas).
• Acesso aos servidores WEB dos PLCs de processo (TCP 80 e 443 – HTTP e HTTPS) a
partir de um smartphone, da estação de engenharia e da estação de monitoramento
de rede (SINEMA);
• Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que
compõem a célula (switches, IHMs, PLCs) a partir da estação de monitoramento de
rede (SINEMA);
• Acesso ao servidor NTP (Network Time Protocol) disponível no sistema SCADA (UDP
123)
Página - 17 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 9 - Proteção de célula da planta simulada
De acordo com o princípio de menor privilégio, toda e qualquer comunicação que não esteja
oficialmente declarada nas tabelas de regras do SCALANCE S serão automaticamente
bloqueadas.
Sendo o SCALANCE S um firewall statefull, não é necessário declarar nas tabelas de regras as
condições para os telegramas de resposta das comunicações internas/externas. O próprio
SCALANCE S consegue identificar que um telegrama de resposta está sendo enviado a partir
de um telegrama recebido e validado pelas regras previamente configuradas, tornando a
configuração do firewall ainda mais flexível e isenta de erros.
O conceito de uma rede DMZ é baseado na separação física entre redes, de forma que uma
rede intermediária seja criada. Com isso equipamentos da rede não confiável jamais poderão
comunicar com equipamentos da rede confiável de forma direta. Caso algum equipamento da
rede não confiável necessite trocar dados com equipamentos da rede confiável e vice-versa,
tal troca de dados deverá ser realizada através de equipamentos alocados na rede
intermediária (rede DMZ). Dessa forma jamais a rede confiável estará exposta à rede não
confiável. O conceito de redes DMZ é fundamentado no controle de fronteiras entre países,
onde se origina o nome DMZ (Demilitarized Zone). Nestas fronteiras é necessário passar por
duas estações de controle alfandegárias/militares antes de adentrar num outro país.
Página - 18 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 10 - Princípio de funcionamento da DMZ
No sistema SCADA encontramos facilmente aplicações para o uso de DMZ. Basta pensarmos
que toda e qualquer troca de dados do sistema SCADA com o mundo corporativo só deveria
ser realizada a partir de computadores que estejam instalados na DMZ, evitando que um
computador corporativo com acesso a Internet (e a todo tipo de vulnerabilidade) tenha
acesso direto ao servidor SCADA.
Na nossa planta simulada foi instalado um servidor SCADA na rede confiável deste sistema e
a troca de dados com os níveis corporativos é executada através de um servidor OPC UA
(Unified Architecture - ver detalhes mais adiante) instalado na DMZ do sistema SCADA. Além
disso, nessa mesma DMZ temos um servidor WEB para o sistema SCADA, o qual é
responsável por publicar algumas telas do sistema SCADA via WEB para clientes corporativos.
Através da DMZ garante-se que os computadores da rede confiável do sistema SCADA não
estarão diretamente expostos na rede corporativa da nossa planta simulada. A saber, as
seguintes regras foram configuradas no SCALANCE S que faz o controle perimetral no sistema
SCADA:
• Acesso ao Controlador de Domínio a partir das estações que estão na DMZ (somente
estações previamente configuradas terão esse acesso, novas estações são bloqueadas
automaticamente);
• Acesso ao Servidor SCADA a partir das estações que estão na DMZ (somente estações
previamente configuradas terão esse acesso, novas estações são bloqueadas
automaticamente). A troca de dados nesse caso ocorre somente através da porta TCP
8910 (configurável). Através dessa porta a troca de dados entre os computadores do
sistema SCADA ocorre de forma criptografada (ver funcionalidade SIMATIC SHELL
mais adiante), o que limita a quantidade de portas necessárias na comunicação entre
esses computadores e garante a confidencialidade dos dados;
Página - 19 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
• Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que
estão na DMZ (switches e computadores) a partir da estação de monitoramento de
rede (SINEMA);
• Acesso ao Servidor SCADA OPC UA (TCP 4862) da DMZ a partir da rede corporativa
(somente estações previamente configuradas terão esse acesso, novas estações são
bloqueadas automaticamente). Através dessa porta a troca de dados entre o nível
corporativo e o servidor OPC UA ocorre de forma criptografada e assinada digitalmente
(certificado X.509) garantindo a confidencialidade e autenticidade dos dados.
• Acesso ao Servidor SCADA WEB da DMZ a partir da rede corporativa (TCP 80 e 443 –
HTTP e HTTPS). Inicialmente todos os computadores da rede corporativa podem
acessar este servidor WEB, porém é plenamente possível configurar um conjunto de
computadores os quais podem acessar o servidor WEB.
Mais uma vez, de acordo com o princípio de menor privilégio, toda e qualquer comunicação
que não esteja oficialmente declarada nas tabelas de regras do SCALANCE S serão
automaticamente bloqueadas.
Página - 20 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
praticamente inexistente. Raros são os projetos onde foram utilizados controladores de
domínio.
As explicações para tal restrição nos ambientes de automação são várias, mas as mais
comuns são:
Atualmente existe uma forte tendência de sinergia e trocas de experiências entre as equipes
de TI e TA. Em grandes empresas já é possível encontrar profissionais que circulam
livremente entre as equipes ou então encontrar situações onde essas empresas estimulam
um job rotation entre as equipes, de forma que elas possam entender e vivenciar as
necessidades do dia a dia de cada uma delas.
A grande pergunta que ainda persiste nas equipes de automação é: “Como posso obter
ganhos com o meu sistema de automação a partir do uso de controladores de domínio?”.
Essa pergunta é muito prática, visto que muitos fornecedores de sistemas de automação
também não enxergavam necessidade de integrar seus produtos aos controladores de
domínio, uma vez que seus clientes não iriam utilizar tal funcionalidade na prática.
Esse cenário poderia ser uma realidade até alguns anos atrás, porém atualmente já é possível
valer-se da integração entre controlador de domínio e sistemas de automação.
Página - 21 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
automação, onde através de um único usuário (autenticado e validado através do Active
Directory) é possível determinar quais tarefas o usuário pode executar no processo produtivo.
Em função do perfil do usuário os sistemas de automação podem permitir ou não a execução
de algumas tarefas previamente cadastradas. Exemplos:
Em alguns casos é possível liberar certas ações sobre o processo somente após ação ser
validada por duplo fator de autenticação e receber uma assinatura digital (requerimento
comum nas indústrias alimentícias e farmacêuticas, conforme prevê a norma americana FDA
CFR 21 PART 11).
Além do controle sobre certas funções operativas, na nossa planta simulada a engenharia do
sistema de automação e por consequência a alteração dos programas de automação dos PLCs
só podem ser executadas por usuários devidamente cadastrados no Active Directory e com
perfil de acesso para tal função.
Tal controle garante que somente usuários com perfil de acesso irão operar ou alterar o
sistema de automação de nossa planta simulada.
Algumas das ações executadas pelos usuários podem ser gravadas numa trilha de auditoria
para análises futuras, caso seja necessário. No caso especifico de projetos que necessitam
atender a norma americana FDA CFR 21 PART 11 é necessário utilizar um software adicional
chamado SIMATIC WINCC Audit, o qual possibilita gravar trilhas de auditoria de todas as
ações dos usuários, bem como o controle de mudanças do projeto.
Página - 22 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 12 - Autenticação de usuário na engenharia do SIMATIC Manager
Página - 23 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 14 - Autenticação de usuário no SCADA WinCC
Diferentemente de ataques genéricos e com fins destrutivos, como infecção por malware ou
ataques de DOS/DDOS (Denial and Distributed Denial of Service) onde o foco principal é a
indisponibilidade de um serviço/sistema ou a simples proliferação de um vírus, atualmente o
termo APT (Advanced Persistent Threat) é o que realmente preocupa os administradores de
rede e os engenheiros de automação.
Neste tipo de ataque são utilizadas diversas e sofisticadas técnicas de invasão, sendo que
esse tipo de ataque é desenvolvido com propósitos muito específicos e com alvos bem
definidos. Em plantas industriais um ataque como esse pode, por exemplo, buscar segredos
industriais do processo produtivo (espionagem), sequestrar o controle da planta (extorsão) ou
em casos mais extremos ser utilizado para impedir o avanço da produção industrial de
equipamentos bélicos (cyberwar). De qualquer forma um APT é subdivido em fases, sendo
que quase sempre a fase inicial envolve um planejamento onde a coleta de informações
referente ao alvo a ser invadido torna-se vital. Neste momento, quanto mais protegermos o
sistema alvo, melhor. E neste sentido o controle de acesso à engenharia e configurações do
sistema de automação é praticamente obrigatório, pois se o atacante não tem acesso ao
projeto do sistema SCADA e dos PLCs, estaremos dificultando e muito, o desenvolvimento de
um APT específico à nossa planta.
Além das proteções de acesso baseadas nos perfis de usuários é possível ainda:
Página - 24 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
• Impedir que os programas dos PLCs sejam executados em CPUs diferentes das CPUs
utilizadas no projeto (proteção de know how a partir dos números seriais das CPUs e
dos cartões de memória);
Página - 25 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 17 - Criptografia do programa do PLC
Todas as técnicas e tecnologias aqui apresentadas foram aplicadas com sucesso na planta
simulada do ICSSF.
Página - 26 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS
Anos depois o padrão OPC (OLE for Process Control e mais tarde Open Platform
Communications) passou a ser utilizado com maior frequência, principalmente devido a forte
pressão dos usuários e das variantes do padrão OPC:
• OPC A&E (Alarm and Events – para troca de dados de alarmes e eventos).
Outras variantes foram desenvolvidas, porém sem grande aceitação nos fornecedores e
projetos com OPC.
Uma peculiaridade comum a todas essas variantes do OPC é o fato de todas elas utilizarem o
padrão COM/DCOM (Component Object Model/Distributed Component Object Model) da
Microsoft. Essa dependência do COM/DCOM trazia alguns pontos negativos à utilização do
OPC, sendo as principais:
• Apesar de existir uma especificação técnica de segurança por parte da OPC Foundation
(órgão que regulamenta o padrão OPC), na prática poucos fornecedores
implementaram essa especificação em seus produtos.
Só para citar um pequeno exemplo, o uso do DCOM requer uma quantidade de portas
TCP/UDP muito grande nos computadores, de forma que configurar regras para proteger tais
portas nos firewalls não é uma tarefa muito simples.
Página - 27 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Considerando-se as diferentes especificações do OPC e suas restrições no que tange a
segurança industrial, em 2006 a OPC Foundation liberou uma nova especificação do OPC, o
OPC UA (OPC Unified Architecture), a qual mais tarde tornou-se uma norma IEC – IEC 62541.
O OPC UA definitivamente tenta solucionar os problemas das versões anteriores do OPC,
concentrando num único padrão todas as funcionalidades dos seus antecessores, mas
principalmente eliminando a necessidade de uso do COM/DCOM. Com isso a dependência de
sistemas Microsoft é abolida com o OPC UA, e dessa forma, o OPC UA pode ser executado até
mesmo em sistemas embarcados com pouquíssima capacidade computacional.
Página - 28 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 20 - Controle automático da troca de certificados entre sistemas (via Autoridade Certificadora)
Página - 29 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 21 - SIMATIC Performance Monitor - ferramenta consumindo dados do SCADA via OPC UA
• Somente estações que foram devidamente configuradas para utilizar a PSK e porta de
comunicação correta tem acesso umas às outras;
• Na nossa planta simulada todos os computadores que estão instalados nas redes
Terminal Bus e DMZ Bus foram devidamente configurados para utilizar o canal de
comunicação SIMATIC SHELL em modo seguro.
Página - 30 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
•
Figura 22 - Canal de comunicação SIMATIC Shell configurado para comunicação criptografada
Um atacante, sempre que possível não vai querer se expor, dessa forma tentará executar a
invasão utilizando técnicas de ataque remotamente. Pode ser que o sistema de segurança
dificulte a vida do atacante de tal forma que ele não tenha alternativa a não ser enfrentar o
risco da invasão. Em algumas situações pode ser que ele necessite um acesso físico a rede do
sistema a ser atacado, de forma a encontrar alguma vulnerabilidade interna e, a partir de
então continuar o processo de invasão remotamente.
O conceito de defesa em profundidade rege que o sistema a ser protegido deve ter diversas
camadas de proteção, de forma que se uma camada não for capaz de proteger o sistema
outras camadas subjacentes o protegerão. Um bom exemplo disto é o controle físico de
acesso. Neste caso, a portaria da fábrica deveria impedir que um atacante adentrasse na
nossa planta. Mas e se a portaria for comprometida? Seja por técnicas de invasão (roubo de
identidades, crachás ou engenharia social), seja por simples descuido (portas e trancas de
acesso do patch panel ou trancas dos painéis de automação sem as devidas proteções). Neste
caso a camada de segurança adjacente deveria proteger o sistema de um invasor. No
exemplo dado, é necessário monitorar continuamente o acesso físico da portaria, destas
portas e trancas para garantia de segurança das camadas.
Página - 31 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
O software SINEMA SERVER foi desenvolvido para monitorar de forma contínua dispositivos
de automação com portas Ethernet. Frequentemente estes dispositivos executam protocolos
que permitem o monitoramento continuo dos mesmos, sendo os mais frequentes:
Na nossa planta virtual o SINEMA SERVER foi configurado de forma a monitorar de forma
continua os equipamentos instalados nas redes PROCESS BUS, TERMINAL BUS e DMZ BUS.
Assim, ele em intervalos regulares monitora as faixas de IPs de cada uma dessas redes. Caso
um novo equipamento responda as leituras executadas pelo SINEMA SERVER, este
equipamento é adicionado automaticamente à lista de equipamentos a serem monitorados.
Na nossa planta simulada existem dois tipos de acessos físicos, via cabo ethernet e via rede
WiFi. Tanto os switches como os APs (Access Points) foram configurados de tal forma a enviar
um diagnostico SNMP (envio via função TRAP) caso um novo dispositivo seja conectado nas
portas disponíveis nos switches ou caso algum novo cliente WiFi seja associado. Mudanças na
topologia de rede também são monitoradas. Com isso, qualquer tentativa de acesso à rede
será automaticamente monitorada e sinalizada no console de operação do SINEMA SERVER
(console WEB). O máximo possível de informações será anexado ao evento em si, tais como
MAC Address do novo dispositivo, porta ethernet utilizada, etc.
Muitos outros diagnósticos estão disponíveis via SNMP. A quantidade de diagnósticos depende
basicamente da tabela MIB (Management Information Base) dos dispositivos. Tentativas de
acesso não autorizados nos servidores WEB dos dispositivos também serão monitorados via
SNMP, sendo que eventos dessa natureza pode significar que um ataque de força bruta pode
estar sendo executado no sentido de ganhar privilégios administrativos nos mesmos.
Quaisquer conflitos ou enfraquecimento do sinal de rádio dos APs também são notificados,
cenário esse comum no caso de tentativas de sequestro da rede Wifi.
Página - 32 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 23 - SINEMA Server gerando estatísticas de eventos de rede
Ressalta-se que o SINEMA SERVER também é um SERVIDOR OPC UA e pode enviar o status
dos dispositivos de rede para o sistema SCADA, alertando os operadores e as equipes de
automação sobre comportamentos adversos na rede de automação.
Página - 33 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
O uso do protocolo SNMP nos dispositivos de automação requer o uso de switches no mínimo
gerenciáveis. Se nos ambientes de TI é praticamente inaceitável o uso de switches não
gerenciáveis, nos ambientes de automação o uso de tais switches pode inviabilizar a execução
de um projeto, visto que o custo de aquisição é relativamente superior.
Um fato interessante é que normalmente a densidade de portas por switch nos ambientes de
automação é muito inferior aqueles requeridos na TI. Esse fato origina-se na necessidade de
distribuir geograficamente os pontos de acesso ao longo do processo produtivo ou ao longo
das máquinas, tornado muito complexa a concentração de muitos pontos de acesso num
único switch. Esse requisito de distribuição geográfica cria uma situação particularmente
contraditória na automação, uma vez que são necessários muitos pontos distribuídos
geograficamente e tais pontos são providos por switches com nenhuma ou pouca função de
monitoramento (protocolo SNMP, por exemplo). Essa cultura necessita ser rapidamente
revista pelas equipes de automação sob pena de comprometer totalmente a segurança de um
sistema de automação.
Atualmente existe uma gama muito extensa de switches industriais com funções de
gerenciamento, sendo que quanto mais funções são necessárias, maior é custo inicial de
aquisição. Switches um pouco mais elaborados, como o SCALANCE X-300 possuem funções
simples de gerenciamento, como a possibilidade de desabilitar portas não utilizadas
(hardening) e recursos avançados de gerenciamento, como o suporte ao protocolo 802.1X
que, em conjunto com um servidor RADIUS (Windows 2008 Server – NPS Network Policy
Server, por exemplo), pode habilitar ou não o acesso de um dispositivo terminal baseado
numa série de fatores (configurações de segurança, perfil de usuário, sanidade do dispositivo,
etc.). Infelizmente o uso de switches do porte do X-300 e superiores ainda não é uma
realidade na maioria dos projetos de automação, razão pela qual utilizamos na nossa planta
simulada switches SCALANCES X-200, que já permitem o monitoramento via protocolo SNMP.
Com a tendência de integração entre as equipes de TI e TA, assim como o uso de funções de
TI no ambiente de TA o uso de switches do porte do X-300 e superiores (X-400 e X-500)
serão mais comuns, trazendo reais benefícios de desempenho e segurança aos projetos de
automação.
Página - 34 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 26 - Logotipo da certificação Achilles
De forma que os clientes possam comparar e ter uma base sólida em relação aos produtos
que possuem bom funcionamento e robustez no tocante a segurança industrial, muitos
fornecedores submetem seus produtos aos testes de certificação conhecido como Achilles.
É possível obter dois níveis de certificação. A certificação nível 1 compreende funções básicas
de segurança que um equipamento industrial necessita possuir e a certificação nível 2
expande o conjunto de funções que o equipamento necessita possuir. No nível 2 da
certificação os testes executados no nível 1 costumam ser aplicados sob taxas de utilização
ainda maiores, como por exemplo testes de Denial Of Service.
Página - 35 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 27 - Topologia genérica de aplicação da proteção contra malware e ataques avançados e dirigidos
Solução de segurança abrangente para servidores, desktop e laptops, o Office Scan fornece
solução de firewall, sistema de detecção e prevenção de intrusão (IPS/IDS), e proteção contra
malware para os servidores críticos da rede de automação. Foi instalado nas máquinas
servidoras Windows da rede do ICSSF conforme versão certificada pelo fabricante da planta
base de automação, a Siemens.
Página - 36 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 28 - Servidor SCADA protegido com Trend Micro OfficeScan
Um dispositivo para monitoramento de rede, o Deep Discovery Inspector é uma solução para
detecção de APT e ataques direcionados ou avançados, detecção de conteúdo malicioso,
comunicação e comportamento que possa indicar uma ameaça avançada ou atividade do
atacante através de estágios do ataque.
Página - 37 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Para exemplificar a atuação do Deep Discovery Inspector na planta do ICSSF, foram feitos
diversos testes para validar sua eficiência. Dentre os testes, foi simulado o comportamento de
um malware ao se propagar pela rede e ao fazer comunicação com seu C&C (Command
Controler).
Já a Figura 27 demonstra quais máquinas foram responsáveis pelos alertas críticos. Conforme
a figura note que os alertas foram gerados simulando um operador com uma máquina
infectada durante uma manutenção no sistema de automação e demonstrando os riscos de
infecção por terceiros por não existir um sistema de detecção de máquinas infectadas no
ambiente de automação.
Figura 31 - Alerta do Deep Discovery Inspector referente às máquinas pertencentes à planta de automação que
possuem comportamento malicioso
A Figura 28 exibe o relatório completo da ameaça coletada que tentava se propagar pela rede
de automação. Note que para a geração desta análise, o Deep Discovery Inspector executou a
amostra desta ameaça em um ambiente virtual controlado (este conceito é descrito também
como sandbox), para medir o impacto desta às maquinas pertencentes à planta. Com essa
estratégia, mesmo se a ameaça for avançada ou direcionada ao cliente e até mesmo
desconhecida até o momento da infecção, o Deep Discovery Inspector gerará alerta sobre o
impacto da ameaça ao ambiente de automação.
Página - 38 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 32 - Resultado da análise virtual de uma amostra de malware que estava tentando se propagar pela rede de
automação
Esta configuração exige a incorporação de novos paradigmas de proteção que atendam todos
os desafios de proteção atualmente existentes nas redes de TI e as necessidades do mundo
de automação, seja nos quesitos tecnológicos - suporte a protocolos específicos de
automação – seja a necessidade de facilidade da operação do sistema de segurança requerida
pela área de automação.
Página - 39 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 33 - Firewall PaloAlto operando no ICS.SecurityFramework
A Palo Alto Networks possui uma tecnologia conhecida como App-ID que permite identificação
de aplicações através dos mecanismos de checagem de assinaturas, decodificação de
protocolos, decriptografia de tráfego e análise comportamental, permitindo controlar
aplicações de trafego aberto, evasivas e criptografadas. A Palo Alto foi o primeiro fabricante
de Firewall a trazer essa inovação para o mercado. As demais tecnologias criaram uma
camada de software para executar o controle fazendo uso da mesma arquitetura de hardware
limitada já existente. Este é um dos principais fatos utilizados pelo Gartner para justificar a
posição da Palo Alto de líder e tecnologia mais avançada do Quadrante Mágico. Outro fator de
muita importância é que a Palo Alto possui uma engine primária de identificação de aplicações
permitindo que as empresas permitam o tráfego específico de uma única aplicação sem a
necessidade de abrir portas no firewall.
• App-Id: Identifica todas as aplicações em todas as portas o tempo todo (ao contrário
do comum em firewalls porta/protocolo)
Página - 40 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 34 - Atributos únicos dos firewalls de próxima geração
Na arquitetura apresentada, uma proteção fim a fim é realizada no sistema, que combina as
assinaturas conhecidas com uma base única na nuvem para análise de ameaças não
conhecidas. Esta infraestrutura na nuvem é chamada WildFire e trabalha integrada ao
firewall, permitindo a análise de códigos binários simultaneamente nos sistemas operacionais
Windows XP, Windows 7 e Android para inspeção de arquivos EXE, DLLs, ZIPs, DOCs, XLSs,
PPTs, PDFs, JAVA, APKs e etc., além de permitir a inspeção em tráfegos de internet (HTTP,
FTP e SMTP) e em tráfego de compartilhamento de arquivos na rede (SMB). Esta inspeção de
tráfego (SMB) visa conter vírus espalhando-se horizontalmente pela rede.
Desta forma o dispositivo possui a habilidade de manter-se atualizado em tempo real sobre as
mais recentes ameaças e/ou bloquear e reportar ameaças não conhecidas. Desta forma,
ameaças 0-day podem ser evitadas, tais como recentes variações do Stuxnet, entre outros. O
WildFire pode ser adquirido direto pela Palo Alto, como em nosso piloto, ou implementado
direto no formato de nuvem privada (private cloud), instalado no cliente para ambientes
controlados.
Página - 41 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 35 - Console do firewall operando no ICS.SecurityFramework
Apesar de no projeto ICSSF termos um firewall no centro, a solução pode ser replicada e sua
arquitetura pode envolver todos os locais e segmentos envolvidos em uma ou várias plantas,
estendendo a proteção para pontos remotos (estações remotas, plantas remotas, UTRs, redes
de terceiros, etc.), passando pela rede de campo (com ou sem fio), centros de controle,
escritórios de engenharia, escritórios remotos em obras e projetos e outras redes de
dispersas, em uma configuração distribuída com gerenciamento central. Nesta situação todos
os firewalls estarão ligados na nuvem e uma nova assinatura criada em um ponto será
replicada para toda a rede de proteção em tempo real.
Para solucionar esta questão a solução adotada traz uma plataforma de gerenciamento
central chamada Panorama, onde é possível resolver estas questões através de:
Página - 42 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
• Apoio à administração baseada em categorias para maior segurança do sistema
• Integração com os principais SIEMs do mercado para gerar novos níveis de visibilidade
dos eventos.
Vale lembrar que a integração dos firewalls com o sistema Panorama é nativa, não
necessitando qualquer trabalho extra de personalização.
Apesar do sistema Palo Alto aceitar assinaturas personalizadas, o que ajuda muito no caso de
equipamentos específicos para alguns setores de mercado, o sistema já possui
reconhecimento de assinaturas para os principais protocolos e aplicações industriais tais como
Modbus, OPC e diversas variações de IEC, entre outras.
Assim como na rede de automação, é possível com a arquitetura modular apresentada aplicar
as melhores práticas de segmentação descritas nos padrões ANSI/ISA-99 e IEC 62443
através da definição de zonas de segurança. Em seguida, é possível configurar um modelo de
controle de rede granular, de ajuste fino, baseado no princípio do menor privilégio. Alguns
exemplos de uso são os seguintes:
• Decriptografar tráfego SSL, TLS e SSH permitindo a inspeção dos mesmos para
identificação de aplicações e combate as ameaças.
Página - 43 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
• Controlar usuários, conteúdo e aplicar QoS para aplicações específicas.
• Permitir acesso à rede corporativa para usuários e aplicações selecionadas, como por
exemplo, dados do PIMS para um analista de processos.
• Monitorar e controlar o uso por terceiros de VPN e acesso por servidor de terminais.
• Programar políticas de horário para acesso a aplicações e/ou usuários para limitar
exposição.
Finalmente, com relação a desempenho, fator crítico em redes de TA, os seguintes cuidados
estão integrados na arquitetura da plataforma Palo Alto:
Página - 44 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 38 - Arquitetura de alto desempenho
No projeto ICSSF utilizamos a série PA-3050 que possui capacidade média de tráfego
(4Gbps), lembrando que a Palo Alto oferece dispositivos para instalação em pequenos locais
(PA-200) com 100Mbps de capacidade até equipamentos para centros de dados (PA-7050)
com capacidade de 100Gbps.
Página - 45 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
4.4 INTELIGÊNCIA DE SEGURANÇA
Quando tratamos de infraestruturas críticas, devemos usar equipamentos bem específicos que
sejam capazes de combater as ameaças em protocolos industriais e que tenham o
desempenho e a confiabilidade necessários em uma rede com esta criticidade.
O IPS da IBM foi projetado com a capacidade de proteger contra milhares de ameaças ou
ataques críticos ou de alto risco contra redes SCADA. Ele também é capaz de fazer bloqueios
dinâmicos, quarentena de tráfego e o virtual patch, funcionalidade que elimina a necessidade
de implantação imediata de patches críticos em servidores, tarefa bastante complexa e
muitas vezes proibitiva para muitos dos servidores e estações da rede de automação.
O NIPS (Network IPS) de próxima geração XGS5100 é utilizado no ICSSF para garantir a
segurança na comunicação entre a rede corporativa e a rede de automação, críticas para a
operação dos sistemas de automação das infraestruturas críticas. Nesta comunicação
transitam dados de processo, produção e qualidade que precisam ter sua segurança
garantida.
Página - 46 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
• Detecção de ameaças em ambos os sentidos de interesse de tráfego entre as redes
(tanto da rede corporativa para a rede de automação quanto no sentido inverso);
• Detecção e prevenção contra ataques por armas cibernéticas como o Stuxnet, Duqu,
Shamoon, dentre outras que aparecem a cada dia.
• Recurso de Virtual Patch, muito importante para que redes não conectadas à internet
tenham nível de segurança equivalente as que possuem todas as atualizações e
patches em dia. Através desta tecnologia a IBM protege as organizações de ataques
online, antes mesmo que, os sistemas afetados consigam obter e aplicar correções.
Lembramos que em redes de automação a aplicação de patches e outras atualizações
do sistema operacional e aplicativos não podem ser feitas e/ou muitas vezes
dependem da homologação do sistema SCADA, deixando a rede vulnerável a riscos de
público conhecimento da comunidade hacker.
Página - 47 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 41 - Console do IPS operando no ICS.SecurityFramework
A solução IBM Q-Radar permite maior visibilidade sobre o comportamento normal de rede e
sobre atividades anormais que podem sugerir ameaças à segurança. As informações dos
alertas de segurança dos equipamentos da rede do ICSSF tais como o Firewall Palo Alto, o
NIPS XGS5100, equipamento de controle de Malware Trend Micro Deep Discovery,
informações de trafego de rede, informações de vulnerabilidades, informações de acesso a
bancos de dados (IBM Guardium), logs do sistema operacional (SysLog) e informações de
atividades de usuários são correlacionadas com informações de inteligência de ameaças para
uma capacidade única de prevenção. Isto simplifica a investigação de um incidente com
melhoria significativa na eficiência para identificação e resolução de incidentes.
A solução é capaz de identificar múltiplos eventos como um único ataque a partir de regras de
correlação de eventos e tráfego de rede.
Página - 48 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 42 - Arquitetura de Funcionamento do QRadar
Página - 49 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 44 - Console do sistema QRadar operando no ICS.SecurityFramework
Além dos sistemas de segurança que tem integração nativa com o SIEM, todos os
equipamentos de rede, inclusive os switches e firewalls da rede de controle de automação
podem ser integrados com o Q-RADAR, pois eles implementam o protocolo SysLog que
permite a visualização e correlação de eventos de segurança com os dados de tráfego de
rede.
Esta estatística tem grande sentido uma vez que os servidores de bancos de dados são a
principal fonte das informações mais valiosas do negócio, sejam elas registros operacionais,
informações de clientes e fornecedores, informações de engenharia, dados de processo ou
registros financeiros, comumente armazenados de forma estruturada e de fácil acesso a seus
usuários – objetivo principal da utilização destes servidores.
Muitos dos ataques realizados na atualidade têm a missão de extrair informações destas
bases, mas alguns deles têm como foco a alteração ou exclusão destes dados, prejudicando
ou sabotando as operações. Em ambos os casos o impacto ao negócio pode ser grande.
No primeiro caso, não há como reverter o processo após uma extração de dados. Por mais
que um trabalho forense descubra o responsável, não há como rastrear o destino e o uso das
informações adquiridas de forma ilegal, que podem ter sido copiadas para outras pessoas não
autorizadas ou até mesmo disponibilizadas na Internet.
Página - 50 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
No caso da alteração dos dados, imaginemos a dificuldade de restabelecimento de operações
se uma base de dados de usuários, senhas, set points ou fluxo de processos sofrer um
processo de embaralhamento (scrambling). Mesmo com os backups mais rápidos e ambientes
de alta disponibilidade a operação irá sofrer para restabelecer o fluxo normal do trabalho,
muitas vezes parando a produção de serviços essenciais para o negócio. Através de alteração
de set points pode-se causar destruição de ativos, acidentes ambientais ou até mesmo
mortes.
O processo de proteção das bases de dados tem início na identificação de onde estão os
dados sensíveis e de quem estará acessando estes dados. Segue garantindo o controle deste
acesso e monitorando seu uso, encerrando-se com processos de auditoria e compliance
seguros e bem executados.
O monitoramento ativo de base de dados (ou DAM – Database Activity Monitoring) é uma
tecnologia de monitoramento e análise das operações do banco de dados que funciona
independente do sistema de gerenciamento de banco de dados (DBMS), além de não
depender de traces e logs nativos gerados por este. É uma tecnologia que permite o
monitoramento dos acessos em tempo real e pode evitar os incidentes antes que os mesmos
ocorram.
Em nosso framework ICSSF utilizamos a tecnologia IBM Guardium como sistema DAM.
O IBM Guardium é um appliance (rodando em máquina virtual em nossa planta base) com
base de dados inviolável embutida. Nesta base de dados são armazenadas todas as políticas
de monitoramento e controle das bases de dados e todas as ocorrências monitoradas. Não há
como apagar os dados deste appliance a não ser pelo reset de todo o sistema, sendo que o
mesmo pode ser replicado e/ou sofrer backup, sempre com os dados criptografados, lidos
somente por outro Guardium com senha comum.
Página - 51 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
O IBM Guardium pode funcionar em três modos: somente monitoramento, bloqueio de
transações sensíveis e mascaramento de dados. A seguir ilustramos estes três modos de
funcionamento.
Neste primeiro caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O
S-TAP identifica que aquele usuário, tabela ou banco deve ser monitorado e envia para o
appliance a transação para registro (com ou sem dados retornados – configurado no
sistema). Os dados são então retornados para o cliente normalmente.
Neste segundo caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O
S-TAP identifica que aquele usuário, tabela ou banco deve ser monitorado e envia para o
appliance a transação para registro. O Appliance indica que aquela transação não pode
ocorrer e envia um comando de bloqueio para o S-TAP, que realiza um reset na conexão do
cliente. O cliente recebe então uma mensagem de timeout de rede.
Página - 52 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 47 - Operação do IBM Guardium mascarando dados
Neste terceiro caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O
S-TAP identifica que aquele usuário, tabela ou banco deve ser monitorado e envia para o
appliance a transação para registro. O appliance indica que aqueles dados devem ser
mascarados, pois são dados sensíveis, e comanda o S-TAP para realizar tal mascaramento. O
cliente recebe então os dados da consulta com os campos sensíveis mascarados.
Página - 53 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
estar na shared memory do banco de dados, e até mesmo se o S-TAP for desligado o sistema
irá perceber e gerar um alarme no console do IBM Guardium.
A função Database Auto Discovery (DBAD) vasculha a rede por portas e serviços de bancos
de dados, gerando um relatório de todos os bancos de dados encontrados, permitindo assim a
empresa tomar ciência da distribuição das informações e o estabelecimento de ações sobre
estas bases.
Página - 54 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
4.6.3.2 CLASSIFIER
O Classifier é uma função que busca nos bancos de dados disponíveis, conteúdos ou colunas
com informações sensíveis. Se operada em conjunto com o DBAD permite varrer a rede por
bancos de dados e informações sensíveis.
As informações sensíveis podem ser encontradas por formato, por padrão de repetição ou por
palavra específica. Todos os dados encontrados são consolidados em um relatório do sistema.
Em sistemas como o ERP, a transação no banco de dados não é realizada diretamente pelo
usuário final. Os comandos do usuário são enviados para o servidor de aplicações ERP e este
se utiliza de um usuário específico no banco de dados para acesso às informações. Então não
se consegue identificar diretamente o usuário a partir do acesso no banco de dados. Esta á
uma vulnerabilidade caso o invasor decida por utilizar o ERP para realizar o vazamento e
alteração de dados.
Desta forma esta funcionalidade permite a detecção de fraudes e atividades não autorizadas
no aplicativo. Suportada para PeopleSoft, Oracle EBS, Siebel, Cognos, Business Objects e
outras aplicações customizadas sem alteração na base de dados ou na aplicação.
Página - 55 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 50- Relatório de vulnerabilidades gerado pelo IBM Guardium
Página - 56 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
4.6.3.7. WORKFLOW
Um sistema de DAM como o IBM Guardium é projetado para gerar o mínimo de impacto no
desempenho do sistema. O appliance funciona independentemente do processamento na base
de dados, gerando zero impacto nas aplicações. O S-TAP possui um código mínimo
totalmente otimizado, requerendo muito pouca memória e CPU para processamento no
servidor do banco de dados.
Toda a instalação é feita sem alterar qualquer aplicação existente e sem precisar de qualquer
alteração nas bases de dados.
Página - 57 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
5. CONCLUSÃO
É notório que nos dias atuais que grande atenção que deve ser data a segurança da
informação em plantas industriais e infraestruturas críticas. Naturalmente que esta demanda
encontra grande dificuldade de ser atendida, tanto pela novidade do tema quanto pela
indisponibilidade de soluções únicas para todos os aspectos regulados pelas normas em vigor
e pela diversidade de arquiteturas e tecnologias utilizadas na área.
Com este trabalho, a TI Safe e seus parceiros tecnológicos procuram apresentar uma
abordagem prática de como tratar os desafios de segurança utilizando-se de uma visão
fundamentada na arquitetura ISA/ANSI de sistemas industriais, no atendimento das normas
ANSI/ISA-99 e NIST 800-82, na aplicabilidade segundo o desafio de segurança apresentado
para cada componente e na praticidade de aplicação.
Pretendemos com isto subsidiar as equipes responsáveis por este tema com um caminho
consistente e maduro de solução de seus problemas, baseados em experiências práticas e
fundamentados em uma plataforma real de ampla aplicabilidade.
Esperamos que com este trabalho possamos contribuir ativamente para a mitigação de riscos
hoje existente em milhares de plantas e infraestruturas, subsidiando decisões estratégicas e
táticas de executivos, gestores e operadores destes locais ao redor do mundo.
Página - 58 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
6. ICS.SECURITYFRAMEWORK EM AÇÃO
Página - 59 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
Figura 52 - ICS.SecurityFrawork em Ação
Figura 53 - Alguns autores do projeto (da esq. p/ dir.: Renato Mendes, Alexandre Freire, Marcelo Branquinho e
Marcio Santos)
Página - 60 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.