Solução Integrada de Segurança Da Informação para Plantas Industriais e Infraestruturas Críticas

SOLUÇÃO INTEGRADA DE SEGURANÇA DA INFORMAÇÃO PARA
PLANTAS INDUSTRIAIS E INFRAESTRUTURAS CRÍTICAS
TI SAFE INDUSTRIAL CONTROL SYSTEMS SECURITY FRAMEWORK
WHITE PAPER TISAFE_WHITEPAPER_ICSSF_V1
DATA:21 DE OUTUBRO DE 2014
VERSÃO: 5
Autores:
Marcelo Branquinho
Renato Mendes
Marcio Santos
Josué José Souza Junior
Franzvitor Fiorim
Alexandre Freire
Página - 1 - de 60
Confidencial - TI Safe Segurança da Informação
Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o
destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será
de sua inteira responsabilidade e apurada segundo lei vigente.
RESUMO
Nos últimos anos temos assistido o crescimento exponencial de riscos e ameaças cibernéticas
a sistemas de automação e de informação que operam plantas industriais. Dentre estas, as
mais preocupantes são as chamadas “infraestruturas críticas”, que são instalações, serviços
e/ou bens que, se forem interrompidos ou destruídos, provocarão sério impacto social,
econômico e/ou político. Exemplos de infraestruturas críticas são plantas de geração e
distribuição de eletricidade, fábricas de alimentos, bebidas e farmacêuticas, empresas de
telecomunicações, de fornecimento de água, gás natural e combustível, empresas de saúde
pública, transportes, serviços financeiros e serviços nacionais, tais como polícia, defesa civil,
corpo de bombeiros, forças armadas, etc.
Em contraponto aos riscos e ameaças apresentadas, empresas do mundo todo investem

tempo e dinheiro em pesquisa e desenvolvimento de serviços e soluções para a proteção
dessas infraestruturas, buscando reduzir ou eliminar os impactos de eventuais interrupções
de operação, quebras de produção, perdas materiais, incidentes ambientais ou acidentes de
trabalho causados por incidentes de segurança da informação, tais como ataques maliciosos,
vírus, hacking ou até mesmo o chamado terrorismo eletrônico (“cyber terrorismo”).
Neste trabalho a equipe da TI Safe juntamente com seus parceiros - Siemens, IBM, Trend
Micro e Palo Alto Networks - apresenta uma solução integrada para monitoramento e
proteção de plantas industriais denominada TI Safe Industrial Control Systems Security
Framework – ICSSF. A solução ICSSF é uma arquitetura de segurança que cobre diversos
requisitos de segurança das normas ANSI/ISA-99 e NIST 800-82 e fornece o que há de mais
moderno e adequado em termos de segurança de informação para sistemas industriais.
Página - 2 - de 60
SOBRE OS AUTORES
 Marcelo Branquinho é diretor-executivo da TI Safe Segurança da Informação.
 Renato Mendes é executivo de projetos especiais de segurança ICS na TI Safe

Segurança da Informação.
 Marcio Santos é consultor técnico da Siemens.
 Josué José Souza Junior é consultor técnico da IBM.
 Franzvitor Fiorim é consultor técnico da Trend Micro.
 Alexandre Freire é consultor técnico da Palo Alto Networks.
Página - 3 - de 60
HISTÓRICO DE VERSÕES
Versão Data Autor Descrição
1 21/10/2014 Marcelo Branquinho, Renato Geração do primeiro documento.

Mendes, Marcio Santos, Josué
José Souza Junior, Franzvitor
Fiorim, Alexandre Freire
2 23/10/2014 Renato Mendes Correções pontuais.
3 28/10/2014 Renato Mendes Alterações pontuais no texto. Inclusão da

certificação Achilles.
4 10/11/2014 Renato Mendes Revisões no texto.
5 18/11/2014 Renato Mendes Revisões nas figuras e no texto.
Página - 4 - de 60
PROPRIEDADE INTELECTUAL E RESPONSABILIDADES
Este documento e seus anexos, incluindo, sem limitações, informações técnicas, diagramas,
projetos, informações comerciais, especificações, desenhos, diagramas, etc., podem constituir
propriedade intelectual e/ou proprietária de seus respectivos titulares.
O conteúdo aqui descrito é de propriedade exclusiva dos autores. A cópia, utilização,

distribuição e/ou reprodução não autorizada do total ou trechos deste documento será
considerada violação de direitos e estarão passíveis de medidas nos termos da legislação civil
e criminal vigente.
TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como
podem ser outras empresas, produtos e métodos citados neste documento. Em todos os
casos de uso estes itens são reconhecidos como marca registrada de seus detentores.
As informações constantes neste documento refletem a realidade
TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como
podem ser outras empresas, produtos e métodos citados neste documento. Em todos os
casos de uso estes itens são reconhecidos como marca registrada de seus detentores.
As aplicações e os exemplos neste documento visam ser meramente informativos e

ilustrativos, não representando soluções definitivas ou soluções personalizadas.
Reservamos o direito de alteração deste documento a qualquer momento sem prévia

notificação.
Os autores deste documento não se responsabilizam pelo uso inadequado das informações
deste documento, assim como por qualquer consequência de uso do mesmo.
Página - 5 - de 60
ÍNDICE
1. FUNDAMENTOS DA ARQUITETURA ................................................................. - 8 -
2. O CONCEITO DE DEFESA EM PROFUNDIDADE ................................................ - 9 -
3. AMBIENTE DE FUNCIONAMENTO ................................................................. - 11 -
3.1 A PLANTA SIMULADA DE AUTOMAÇÃO ..................................................... - 11 -
4. SOLUÇÕES DE SEGURANÇA .......................................................................... - 15 -
4.1 PROTEÇÃO DOS SISTEMAS DE AUTOMAÇÃO DO CHÃO DE FÁBRICA ......... - 15 -
4.1.1 FIREWALL INDUSTRIAL SCALANCE S .................................................... - 16 -
4.1.2 CONTROLE DE ACESSO – SIMATIC LOGON E PROTEÇÃO DE KNOW HOW - 20 -
4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS - 27 -
4.1.4 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 31 -
4.1.5 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 34 -
4.2 CONTROLE DE MALWARE .......................................................................... - 35 -
4.2.1 SEGURANÇA LOCAL PARA SERVIDORES CRÍTICOS DA REDE DE AUTOMAÇÃO

- TREND MICRO OFFICE SCAN ............................................................................ - 36 -
4.2.2 MONITORAMENTO DE MALWARE E APT NA REDE DE AUTOMAÇÃO - TREND

MICRO DEEP DISCOVERY ................................................................................... - 37 -
4.3 SEGURANÇA DE PERÍMETRO E CONTROLE DE ACESSO EXTERNO .............. - 39 -
4.4 INTELIGÊNCIA DE SEGURANÇA ................................................................ - 46 -
4.4.1 CENÁRIO DE USO DO IPS XGS5100 ....................................................... - 46 -
4.5 INFORMAÇÃO DE SEGURANÇA E DE INCIDENTES ..................................... - 48 -
4.6 SEGUNÇA DE DADOS ................................................................................ - 50 -
4.6.1 PROTEÇÃO DAS BASES DE DADOS ......................................................... - 50 -
4.6.2 DATABASE ACTIVITY MONITORING (DAM) ........................................... - 51 -
4.6.3 PRINCIPAIS FUNÇÕES DO IBM GUARDIUM ........................................... - 54 -
4.6.3.1 DATABASE AUTODISCOVERY (DBAD) ................................................ - 54 -
4.6.3.2 CLASSIFIER ....................................................................................... - 55 -
4.6.3.3 RELATÓRIO DE PRIVILÉGIOS ............................................................ - 55 -
Página - 6 - de 60
4.6.3.4 APPLICATION END USER IDENTIFICATION ....................................... - 55 -
4.6.3.5. VULNERABILITY ASSESSMENT ........................................................... - 55 -
4.6.3.6. ACELERADORES DE COMPLIANCE ...................................................... - 56 -
4.6.3.7. WORKFLOW ....................................................................................... - 57 -
4.6.4 DESEMPENHO E OUTROS ....................................................................... - 57 -
5. CONCLUSÃO ................................................................................................. - 58 -
6. ICS.SECURITYFRAMEWORK EM AÇÃO .......................................................... - 59 -
Página - 7 - de 60
1. FUNDAMENTOS DA ARQUITETURA
A arquitetura ICSSF parte do princípio da segmentação dos sistemas industriais no formato de

uma pirâmide, conforme padrão ANSI/ISA de segmentação e classificação dos sistemas de
informação e de automação utilizados na indústria:
Figura 1 - Arquitetura de segmentação de sistemas industriais
Dentro da segmentação ilustrada, temos que enquanto os equipamentos, sistemas e redes

dos níveis zero e um são essencialmente derivados de tecnologia de automação
(controladores, redes proprietárias e/ou padrões de automação), os níveis três e quatro são
essencialmente soluções de tecnologia de informação (equipamentos e banco de dados
padrão de mercado, rede Ethernet TCP/IP padrão). Na interface destes mundos encontra-se o
nível dois, que muitas vezes possui elementos de tecnologia de automação e tecnologia da
informação.
Esta análise é fundamental uma vez que ameaças e riscos de segurança divergem
dependendo da tecnologia que está sendo utilizada, assim como as contramedidas e soluções
a serem adotadas na proteção.
Desta lógica entendemos então que uma solução para segurança de plantas industriais
precisa necessariamente possuir tecnologia e ferramentas tanto de tecnologia da informação
quanto da tecnologia de automação, aplicadas em uma arquitetura própria e pensada
segundo ambos os pontos de vista.
Página - 8 - de 60
2. O CONCEITO DE DEFESA EM PROFUNDIDADE
Uma solução comum para a segurança industrial é instalar um firewall entre as redes de
negócios e de controle. No entanto, proteger apenas o perímetro da rede de automação não é
suficiente. Não se pode somente instalar um firewall para controle de sistemas e esquecer-se
do resto da segurança, pois os invasores normalmente conseguem penetrar na rede de outras
formas. É necessário proteger o chão de fábrica com uma estratégia de defesa em
profundidade.
Em alguns exemplos de ataques documentados reais contra plantas industriais temos casos
documentados de infecções por worm em uma planta nuclear através de uma conexão
remota T1, em um sistema SCADA de energia através de uma VPN e em um sistema de
controle de óleo e gás através do sistema operacional do laptop de um funcionário
terceirizado de manutenção. Em todos estes casos existia um firewall segregando as redes de
negócio e de controle, mas ele foi inútil para a proteção contra as ameaças internas, pois elas
entraram direto nos segmentos inferiores da pirâmide ANSI/ISA, direto na rede de controle
sem passar pela rede corporativa.
Figura 2 - Ameaças internas à rede de automação
Além do exposto temos que firewalls tradicionais são muito complexos para que a maioria dos
profissionais de segurança possa configurar corretamente de modo a evitar uma ameaça.
Além disto, sem o conhecimento mais aprofundado de rede, como é o caso da maioria dos
profissionais do chão de fábrica, não se consegue fazer com que ele exerça sua função
adequadamente. Uma vez que um vírus ou um hacker burle o firewall de controle do sistema,
os controladores lógicos programáveis (PLCs), estações SCADA ou outros dispositivos de
automação serão alvos fáceis de ataque. Equipamentos e protocolos de controle normalmente
não oferecem mecanismos de autenticação, integridade ou confidencialidade e podem ser
completamente controlados por qualquer indivíduo que seja capaz de realizar um simples ping
nestes equipamentos.
Página - 9 - de 60
As indústrias precisam de uma solução de segurança que tenha sido projetada
especificamente para fornecer uma solução de defesa em profundidade tanto para os
sistemas de controle novos quanto para o restante do legado. Esta solução tem que ser
simples a ponto das equipes de campo entender seu funcionamento e realizar sua instalação
e manutenção, ao mesmo tempo em que proteja adequadamente os ativos controlados. É
necessário pensar em um framework que inclua soluções tecnológicas aderentes e políticas
adequadas para executar, manter e monitorar a segurança de forma consistente, alinhada
com a cultura organizacional da empresa e que forneça visibilidade das ameaças,
contramedidas necessárias e ocorrência de incidentes.
Dentro deste contexto foi pensado e desenvolvido o ICSSF. Trata-se de um framework

contendo a melhor tecnologia de mercado adequada ao cenário de plantas industriais,
aderentes às normas vigentes (ANSI/ISA-99 e NIST 800-82), com um mapa de rotas claro de
implementação, de manutenção e de monitoração da qualidade do ambiente e processos de
segurança.
Página - 10 - de 60
3. AMBIENTE DE FUNCIONAMENTO
O ICSSF foi pensado com uma solução totalmente aderente as necessidades das plantas
industriais e aos níveis hierárquicos da pirâmide ANSI/ISA. É composto por vários
componentes individuais – um ou mais para cada camada – que estão aplicados conforme as
recomendações das normas de mercado e profundamente integrados entre si.
Apesar de o ICSSF sofrer variações de capacidade e configuração em função da tecnologia

utilizada nos sistemas de automação e de informação da planta a ser protegida, seus
princípios de funcionamento e arquitetura básica se mantém inalterados independentemente
do negócio a ser protegido.
A fim de ilustrar o funcionamento do ICSSF e realizar testes, demonstração e exercícios de

ataque e proteção montamos nas instalações da TI Safe e posteriormente apresentamos no
1º Congresso Latino Americano de Segurança SCADA (CLASS 2014 – www.class2014.com.br)
um ambiente industrial simulado contemplando sistemas comuns em aplicações SCADA e em
todos os níveis da pirâmide ISA, e neste ambiente aplicamos o ICSSF.
Neste ambiente temos o que chamamos “Planta Base de Automação”, que é a representação
simulada dos sistemas industriais, e sobre esta planta base aplicamos os componentes de
segurança do ICSSF.
3.1 A PLANTA SIMULADA DE AUTOMAÇÃO
Utilizamos como simulação uma planta cervejeira Siemens em escala reduzida e simplificada,
onde a produção será simulada desde o chão de fábrica até o nível corporativo. A planta deste
segmento de Alimentos e Bebidas é um bom exemplo, uma vez que ela inclui áreas de
automação de processos para a área de produção da cerveja, automação discreta para a linha
de envase e embalagem e sistemas de utilidades.
Figura 3 - Ilustração de planta cervejeira simulada
A arquitetura dos sistemas desta planta simulada segue nas figuras abaixo:
Figura 4 - Arquitetura de proteção de célula da planta de demonstração ICSSF
Figura 5 - Arquitetura supervisório da planta de demonstração ICSSF
Figura 6 - Arquitetura de componentes de segurança da planta de demonstração ICSSF
Cada um dos grupos de sistemas desta planta está dividido em módulos, sendo que cada
módulo representa um conjunto de sistemas associado a ou um nível da pirâmide de
automação ou um grupo de aplicações de segurança do ICSSF.
A tabela abaixo lista os módulos utilizados neste ambiente simulado e seu respectivo nível na
pirâmide ANSI/ISA:
DESCRIÇÃO DO MÓDULO NÍVEL

ANSI/ISA
Sistemas de produção de cerveja (PLCs, Inversor, Motor, 0e1
IHM, etc.)*
Sistema de envase e embalagem (PLCs, Inversor, Motor, 0e1
IHM, etc.)*
Sistema SCADA (Servidor OPC, Servidor SCADA, 2
Supervisório, Servidor SCADA Web)
Sistema de Controle de Produção (MES – Manufacturing 3
Execution System)
Sistema de Gerenciamento Corporativo (ERP – Enterprise 4
Resource Management)
Tabela 1 - Descrição dos módulos e respectivos níveis ISA
É importante observar que os módulos de segurança protegem várias camadas ISA/ANSI

simultaneamente. A proteção da rede de automação é feita pelos equipamentos utilizados nos
níveis zero e um e interligados na arquitetura ICSSF, conforme será detalhado mais à frente.
4. SOLUÇÕES DE SEGURANÇA
Conforme já ilustrado, aplicamos na planta simulada uma série de soluções de segurança

cibernética visando à proteção dos vetores de vulnerabilidade conhecidos. Para cada solução
utilizamos diversas técnicas e tecnologias conhecidas e consolidadas e de real efeito
preventivo/corretivo, levando em consideração as particularidades de cada um dos sistemas
simulados e as características intrínsecas dos sistemas de tecnologia da informação (T.I.) e
tecnologia da automação (T.A.).
Ao final consolidamos um framework definitivo para proteção completa e integrada de uma

planta industrial. Este framework é a base do conceito de infraestrutura crítica segura e
compõe a essência da estratégia de proteção de sistemas que contemplem um ou vários
níveis da pirâmide ISA de automação.
A seguir detalhamos cada um dos vetores de proteção e a solução adotada pelo framework
apresentado.
4.1 PROTEÇÃO DOS SISTEMAS DE AUTOMAÇÃO DO CHÃO DE

FÁBRICA
Um dos maiores dilemas ao se proteger sistemas de automação contra ameaças cibernéticas

é romper o paradigma de que sistemas de automação são sistemas isolados e, portanto,
naturalmente protegidos contra todo e qualquer tipo de risco. O histórico recente de
incidentes de segurança em plantas industriais demonstra que tais sistemas deixaram de ser
sistemas isolados há muito tempo. Nos dias de hoje a necessidade de integração entre os
níveis corporativos e de produção para fins de controle de produção e rastreabilidade tornam
impossível à visão de sistemas de automação como sistemas estanques.
Outro fator que corrobora para a dificuldade de executar políticas e soluções de segurança em
sistemas de automação origina-se no fato de que sistemas de automação quase sempre são
implementados e mantidos por equipes técnicas que possuem baixa ou nenhuma experiência
com sistemas de segurança oriundos do mundo de TI. Sendo o foco de tais equipes a
operação continua dos processos de produção e automação, é facilmente compreensível
concluir que todo e qualquer sistema que vise dificultar o acesso não autorizado à
infraestrutura de automação torna-se um complicador nas tarefas do dia a dia destas equipes.
No ICSSF demonstramos como realizar a integração entre os níveis corporativos e de

produção de forma eficaz, utilizando técnicas não intrusivas nos sistemas do chão de fábrica.
O uso de tais técnicas torna possível uma rápida curva de aprendizado por parte das equipes
de automação e manutenção, utilizando procedimentos e ferramentas mais adequadas as
suas necessidades.
Estas técnicas podem ser utilizadas em novos projetos e equipamentos, assim como em
equipamentos existentes – ou os chamados sistemas legados. Sistemas legados exigem mais
esforços ao serem protegidos, dada a sua obsolescência e, por consequência, a
impossibilidade de alterar-se o modo de funcionamento destes equipamentos sem
comprometer a sua disponibilidade no processo produtivo no qual eles estão operando.
A seguir detalhamos os componentes utilizados nos níveis de controle responsáveis pela
proteção dos sistemas de automação do chão de fábrica.
4.1.1 FIREWALL INDUSTRIAL SCALANCE S
Figura 7 - Firewall SCALANCE S623
O firewall industrial SCALANCE S permite desde a configuração de simples regras de acesso,

tal como permitir ou não o acesso HTTP do servidor WEB de um PLC, até mesmo a
configuração de uma rede VPN (Virtual Private Network) entre um PLC e um servidor SCADA.
Figura 8 - Diferentes modos de utilização do SCALANCE S
O mais interessante neste caso, é que funções de firewall e VPN podem ser encontradas em
diversos sistemas e appliances de T.I., porém tais appliances não são facilmente integrados
ao sistema de automação, seja por questões técnicas (necessidade de comunicações em
tempo real, por exemplo), seja por suporte a ambientes hostis (faixa de temperatura entre -
40 a +70°C, por exemplo).
Já o firewall SCALANCE S integra-se perfeitamente as condições de uso severas típicas de

ambientes industriais bem como ao ambiente de configuração do sistema de automação,
podendo, por exemplo, configurar automaticamente uma regra de acesso a partir das tabelas
de conexões dos PLCs. Neste caso, toda e qualquer comunicação não autorizada é bloqueada
automaticamente e as conexões declaradas no PLC pela equipe de automação tornam-se
automaticamente autorizadas, garantindo dessa forma o correto funcionamento do sistema de
automação com o mínimo esforço da equipe de automação.
Se necessário for o SCALANCE S pode ser configurado para funções de rede mais avançadas,
como roteador IP (L3), NAT (Network Address Translation), NAPT (Network Address and Port
Translation) e servidor DHCP (Dynamic Host Configuration Protocol), 802.1x RADIUS, cliente
DynDNS (resolução dinâmica de nomes para endereços IPs dinâmicos) e Ghost Mode (no qual
o endereço IP do firewall será atribuído dinamicamente em função do endereço IP do
equipamento conectado na porta interna do firewall. Essa função é interessante na proteção
de sistemas legados em algumas indústrias específicas.
A equipe de automação pode, se necessário for, criar com poucos cliques uma VPN entre um
PLC e um servidor SCADA, sem que para isso necessite entender de temas específicos como
protocolo IPSec, criptografia simétrica e assimétrica ou gerenciamento de certificados de
segurança. Uma VPN pode ser configurada caso seja utilizada uma infraestrutura de rede
naturalmente sujeita a ataques, seja por espionagem, seja por perda de autenticidade dos
dados. Esse cenário é particularmente interessante quando redes WiFi são utilizadas na troca
de dados, ou em último caso quando a Internet é utilizada (acesso remoto ou monitoramento
de fábricas geograficamente separadas).
Na nossa planta simulada, o intuito principal é garantir o correto funcionamento do sistema

de produção e automação. Dessa forma, seguindo-se as orientações da norma ISA-99, células
de produção/automação foram criadas, de forma que a comunicação dentro da célula é 100%
garantida, porém todo e qualquer acesso de dentro da célula para a rede externa e vice-versa
só será concretizado caso seja devidamente autorizado a partir das regras declaradas no
SCALANCE S.
As seguintes regras foram configuradas no SCALANCE S que faz o controle perimetral da

célula de produção/automação:
• Acesso aos PLCs de processo através do protocolo S7 Communication (TCP 102) a

partir da estação de engenharia e servidores SCADAs;
• Acesso aos servidores WEB dos PLCs de processo (TCP 80 e 443 – HTTP e HTTPS) a
partir de um smartphone, da estação de engenharia e da estação de monitoramento
de rede (SINEMA);
• Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que
compõem a célula (switches, IHMs, PLCs) a partir da estação de monitoramento de
rede (SINEMA);
• Acesso ao servidor NTP (Network Time Protocol) disponível no sistema SCADA (UDP
123)
Figura 9 - Proteção de célula da planta simulada
De acordo com o princípio de menor privilégio, toda e qualquer comunicação que não esteja
oficialmente declarada nas tabelas de regras do SCALANCE S serão automaticamente
bloqueadas.
Sendo o SCALANCE S um firewall statefull, não é necessário declarar nas tabelas de regras as
condições para os telegramas de resposta das comunicações internas/externas. O próprio
SCALANCE S consegue identificar que um telegrama de resposta está sendo enviado a partir
de um telegrama recebido e validado pelas regras previamente configuradas, tornando a
configuração do firewall ainda mais flexível e isenta de erros.
Já no nível do sistema SCADA torna-se necessária a separação das redes de comunicação

conforme as funcionalidades requeridas. Neste caso foi utilizado outro firewall SCALANCE S
com suporte a funções DMZ.
O conceito de uma rede DMZ é baseado na separação física entre redes, de forma que uma
rede intermediária seja criada. Com isso equipamentos da rede não confiável jamais poderão
comunicar com equipamentos da rede confiável de forma direta. Caso algum equipamento da
rede não confiável necessite trocar dados com equipamentos da rede confiável e vice-versa,
tal troca de dados deverá ser realizada através de equipamentos alocados na rede
intermediária (rede DMZ). Dessa forma jamais a rede confiável estará exposta à rede não
confiável. O conceito de redes DMZ é fundamentado no controle de fronteiras entre países,
onde se origina o nome DMZ (Demilitarized Zone). Nestas fronteiras é necessário passar por
duas estações de controle alfandegárias/militares antes de adentrar num outro país.
Figura 10 - Princípio de funcionamento da DMZ
No sistema SCADA encontramos facilmente aplicações para o uso de DMZ. Basta pensarmos
que toda e qualquer troca de dados do sistema SCADA com o mundo corporativo só deveria
ser realizada a partir de computadores que estejam instalados na DMZ, evitando que um
computador corporativo com acesso a Internet (e a todo tipo de vulnerabilidade) tenha
acesso direto ao servidor SCADA.
Na nossa planta simulada foi instalado um servidor SCADA na rede confiável deste sistema e
a troca de dados com os níveis corporativos é executada através de um servidor OPC UA
(Unified Architecture - ver detalhes mais adiante) instalado na DMZ do sistema SCADA. Além
disso, nessa mesma DMZ temos um servidor WEB para o sistema SCADA, o qual é
responsável por publicar algumas telas do sistema SCADA via WEB para clientes corporativos.
Através da DMZ garante-se que os computadores da rede confiável do sistema SCADA não
estarão diretamente expostos na rede corporativa da nossa planta simulada. A saber, as
seguintes regras foram configuradas no SCALANCE S que faz o controle perimetral no sistema
SCADA:
• Acesso ao Controlador de Domínio a partir das estações que estão na DMZ (somente
estações previamente configuradas terão esse acesso, novas estações são bloqueadas
automaticamente);
• Acesso ao Servidor SCADA a partir das estações que estão na DMZ (somente estações
previamente configuradas terão esse acesso, novas estações são bloqueadas
automaticamente). A troca de dados nesse caso ocorre somente através da porta TCP
8910 (configurável). Através dessa porta a troca de dados entre os computadores do
sistema SCADA ocorre de forma criptografada (ver funcionalidade SIMATIC SHELL
mais adiante), o que limita a quantidade de portas necessárias na comunicação entre
esses computadores e garante a confidencialidade dos dados;
• Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que
estão na DMZ (switches e computadores) a partir da estação de monitoramento de
rede (SINEMA);
• Acesso ao Servidor SCADA OPC UA (TCP 4862) da DMZ a partir da rede corporativa
(somente estações previamente configuradas terão esse acesso, novas estações são
bloqueadas automaticamente). Através dessa porta a troca de dados entre o nível
corporativo e o servidor OPC UA ocorre de forma criptografada e assinada digitalmente
(certificado X.509) garantindo a confidencialidade e autenticidade dos dados.
• Acesso ao Servidor SCADA WEB da DMZ a partir da rede corporativa (TCP 80 e 443 –
HTTP e HTTPS). Inicialmente todos os computadores da rede corporativa podem
acessar este servidor WEB, porém é plenamente possível configurar um conjunto de
computadores os quais podem acessar o servidor WEB.
Mais uma vez, de acordo com o princípio de menor privilégio, toda e qualquer comunicação
que não esteja oficialmente declarada nas tabelas de regras do SCALANCE S serão
automaticamente bloqueadas.
Figura 11 - Arquitetura SCADA - separação das redes
4.1.2 CONTROLE DE ACESSO – SIMATIC LOGON e PROTEÇÃO DE KNOW HOW
Se no ambiente de TI é praticamente inviável se pensar numa rede de comunicação

corporativa sem um controlador de domínio, no ambiente de automação esta configuração é
praticamente inexistente. Raros são os projetos onde foram utilizados controladores de
domínio.
As explicações para tal restrição nos ambientes de automação são várias, mas as mais
comuns são:
• Falta de conhecimento para empregar e administrar um controlador de domínio por

parte da equipe de automação;
• Impossibilidade de utilizar um controlador de domínio comum ao ambiente corporativo

e ao ambiente de automação;
• E a mais comum, dificuldade em observar os ganhos reais a partir da utilização de um

controlador de domínio no ambiente de automação.
No passado, quando as barreiras técnicas e culturais entre as equipes de TI e TA eram muito

mais expressivas, tentou-se utilizar (em vão) os controladores de domínio oferecidos pelas
equipes de TI, porém as configurações de segurança aplicadas na TI normalmente são muito
restritivas para serem utilizadas no ambiente de automação. Só para citar, o uso de algumas
GPOs (Group Policy Objects) pode fazer com que algumas funções dos sistemas SCADAs
simplesmente deixem de funcionar.
Atualmente existe uma forte tendência de sinergia e trocas de experiências entre as equipes
de TI e TA. Em grandes empresas já é possível encontrar profissionais que circulam
livremente entre as equipes ou então encontrar situações onde essas empresas estimulam
um job rotation entre as equipes, de forma que elas possam entender e vivenciar as
necessidades do dia a dia de cada uma delas.
Na prática essa sinergia resultou no seguinte cenário atual:
• Maior disseminação dos conceitos referentes aos controladores de domínio;
• Reconhecimento por parte das equipes de automação quanto às necessidades de

aplicar controladores de domínio nas redes de automação;
• Reconhecimento por parte das equipes de TI quanto às necessidades de se ter um

controlador de domínio dedicado às redes de automação e, quando necessário, incluir
tais controladores na floresta de domínio da empresa ou então criar um vínculo de
confiança entre o controlador de domínio da TI e da TA.
A grande pergunta que ainda persiste nas equipes de automação é: “Como posso obter
ganhos com o meu sistema de automação a partir do uso de controladores de domínio?”.
Essa pergunta é muito prática, visto que muitos fornecedores de sistemas de automação
também não enxergavam necessidade de integrar seus produtos aos controladores de
domínio, uma vez que seus clientes não iriam utilizar tal funcionalidade na prática.
Esse cenário poderia ser uma realidade até alguns anos atrás, porém atualmente já é possível
valer-se da integração entre controlador de domínio e sistemas de automação.
Na nossa planta simulada, utilizamos o SIMATIC LOGON, que de forma resumida é um

software que possibilita a integração de usuários do Active Directory do Windows às tarefas
de automação. Com o SIMATIC LOGON é possível utilizar o conceito de Single Sign On na
automação, onde através de um único usuário (autenticado e validado através do Active
Directory) é possível determinar quais tarefas o usuário pode executar no processo produtivo.
Em função do perfil do usuário os sistemas de automação podem permitir ou não a execução
de algumas tarefas previamente cadastradas. Exemplos:
• Definição de quais usuários/grupos de usuários podem alterar parâmetros do

processo;
• Definição de quais usuários/grupos de usuários podem parar ou partir o processo;
• Definição de quais usuários/grupos de usuários podem iniciar, parar ou alterar uma

batelada;
• Definição de quais usuários/grupos de usuários podem desligar o sistema de

automação.
• Definição de quais usuários/grupos de usuários podem ter acesso as ferramentas de

engenharia do sistema de automação.
Em alguns casos é possível liberar certas ações sobre o processo somente após ação ser
validada por duplo fator de autenticação e receber uma assinatura digital (requerimento
comum nas indústrias alimentícias e farmacêuticas, conforme prevê a norma americana FDA
CFR 21 PART 11).
Além do controle sobre certas funções operativas, na nossa planta simulada a engenharia do
sistema de automação e por consequência a alteração dos programas de automação dos PLCs
só podem ser executadas por usuários devidamente cadastrados no Active Directory e com
perfil de acesso para tal função.
Tal controle garante que somente usuários com perfil de acesso irão operar ou alterar o
sistema de automação de nossa planta simulada.
Algumas das ações executadas pelos usuários podem ser gravadas numa trilha de auditoria
para análises futuras, caso seja necessário. No caso especifico de projetos que necessitam
atender a norma americana FDA CFR 21 PART 11 é necessário utilizar um software adicional
chamado SIMATIC WINCC Audit, o qual possibilita gravar trilhas de auditoria de todas as
ações dos usuários, bem como o controle de mudanças do projeto.
Figura 12 - Autenticação de usuário na engenharia do SIMATIC Manager
Figura 13 - Projeto SIMATIC Manager com controle de acesso
Figura 14 - Autenticação de usuário no SCADA WinCC
Diferentemente de ataques genéricos e com fins destrutivos, como infecção por malware ou
ataques de DOS/DDOS (Denial and Distributed Denial of Service) onde o foco principal é a
indisponibilidade de um serviço/sistema ou a simples proliferação de um vírus, atualmente o
termo APT (Advanced Persistent Threat) é o que realmente preocupa os administradores de
rede e os engenheiros de automação.
Neste tipo de ataque são utilizadas diversas e sofisticadas técnicas de invasão, sendo que
esse tipo de ataque é desenvolvido com propósitos muito específicos e com alvos bem
definidos. Em plantas industriais um ataque como esse pode, por exemplo, buscar segredos
industriais do processo produtivo (espionagem), sequestrar o controle da planta (extorsão) ou
em casos mais extremos ser utilizado para impedir o avanço da produção industrial de
equipamentos bélicos (cyberwar). De qualquer forma um APT é subdivido em fases, sendo
que quase sempre a fase inicial envolve um planejamento onde a coleta de informações
referente ao alvo a ser invadido torna-se vital. Neste momento, quanto mais protegermos o
sistema alvo, melhor. E neste sentido o controle de acesso à engenharia e configurações do
sistema de automação é praticamente obrigatório, pois se o atacante não tem acesso ao
projeto do sistema SCADA e dos PLCs, estaremos dificultando e muito, o desenvolvimento de
um APT específico à nossa planta.
Caso o atacante consiga burlar a infraestrutura de segurança existente e ganhar acesso ao

projeto do sistema SCADA e dos PLCs, ainda assim é possível utilizar contramedidas de
segurança no sentido de prevenir e em alguns casos detectar a alteração nos projetos destes
sistemas.
Além das proteções de acesso baseadas nos perfis de usuários é possível ainda:
• Proteger scripts e telas do SCADA através de senhas específicas e individuais;
• Proteger os PLCs contra acesso de leitura e escrita através de senhas específicas e

individuais;
• Criptografar os programas dos PLCs;
• Impedir que os programas dos PLCs sejam executados em CPUs diferentes das CPUs
utilizadas no projeto (proteção de know how a partir dos números seriais das CPUs e
dos cartões de memória);
Se mesmo assim todas as proteções acima forem burladas é possível detectar

automaticamente a alteração do programa do PLC a partir da mudança do checksum do
programa original. Dessa forma, se um atacante conseguir infiltrar um código malicioso nas
CPUs um alarme é enviado para o SCADA, de forma que a equipe de automação possa reagir
adequadamente a este incidente de segurança.
Figura 15 - Controle de mudanças do programa do PLC
Figura 16 - Controle de acesso do programa do PLC
Figura 17 - Criptografia do programa do PLC
Figura 18 - Controle de acesso das telas do SCADA
Todas as técnicas e tecnologias aqui apresentadas foram aplicadas com sucesso na planta
simulada do ICSSF.
4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS
A troca de dados entre os sistemas SCADAs e os sistemas corporativos evoluiu da troca de

dados através de interfaces e protocolos proprietários para interfaces e protocolos abertos e
mais próximos dos padrões estabelecidos no ambiente de TI.
Inicialmente, nas primeiras integrações realizadas, eram utilizados os seguintes padrões:
• ODBC (Open Database Connectivity)
• DDE (Dynamic Data Exchange).
Anos depois o padrão OPC (OLE for Process Control e mais tarde Open Platform
Communications) passou a ser utilizado com maior frequência, principalmente devido a forte
pressão dos usuários e das variantes do padrão OPC:
• OPC DA (Data Access – para comunicação em tempo real);
• OPC HDA (Historical Data Access – para troca de dados históricos);
• OPC A&E (Alarm and Events – para troca de dados de alarmes e eventos).
Outras variantes foram desenvolvidas, porém sem grande aceitação nos fornecedores e
projetos com OPC.
Uma peculiaridade comum a todas essas variantes do OPC é o fato de todas elas utilizarem o
padrão COM/DCOM (Component Object Model/Distributed Component Object Model) da
Microsoft. Essa dependência do COM/DCOM trazia alguns pontos negativos à utilização do
OPC, sendo as principais:
• Dependência de sistemas operacionais Microsoft Windows;
• Baixa ou nenhuma possibilidade de alteração do COM/DCOM por parte dos

desenvolvedores de sistemas OPC. O controle de novas funcionalidades e/ou correções
dos atuais padrões do COM/DCOM dependem totalmente dos interesses da Microsoft.
• Dificuldades de executar o OPC em ambientes heterogêneos, como computadores em

domínios ou workgroups diferentes;
• Vulnerabilidades de segurança associadas ao COM/DCOM expunham severamente os

sistemas de automação de tal forma que produtos de segurança foram desenvolvidos
com a finalidade de proteger sistemas que utilizavam o OPC com solução de
integração.
• Apesar de existir uma especificação técnica de segurança por parte da OPC Foundation
(órgão que regulamenta o padrão OPC), na prática poucos fornecedores
implementaram essa especificação em seus produtos.
Só para citar um pequeno exemplo, o uso do DCOM requer uma quantidade de portas
TCP/UDP muito grande nos computadores, de forma que configurar regras para proteger tais
portas nos firewalls não é uma tarefa muito simples.
Considerando-se as diferentes especificações do OPC e suas restrições no que tange a
segurança industrial, em 2006 a OPC Foundation liberou uma nova especificação do OPC, o
OPC UA (OPC Unified Architecture), a qual mais tarde tornou-se uma norma IEC – IEC 62541.
O OPC UA definitivamente tenta solucionar os problemas das versões anteriores do OPC,
concentrando num único padrão todas as funcionalidades dos seus antecessores, mas
principalmente eliminando a necessidade de uso do COM/DCOM. Com isso a dependência de
sistemas Microsoft é abolida com o OPC UA, e dessa forma, o OPC UA pode ser executado até
mesmo em sistemas embarcados com pouquíssima capacidade computacional.
Um fator de grande destaque no OPC UA é o enfoque dado à parte de segurança. Apesar de

também existir um capítulo específico no OPC UA referente à segurança, na prática a
implementação dos sistemas de segurança recomendados pelo OPC UA é obrigatório. Com
isso, hoje é plenamente possível estabelecer a troca de dados entre sistemas através de OPC
UA utilizando firewalls configurados com pouquíssimo esforço (apenas uma porta de
comunicação é necessária para se estabelecer a comunicação via OPC UA). Adicionalmente as
seguintes medidas de segurança podem ser utilizadas com OPC UA:
• Uso de certificados X.509, garantindo que somente computadores autorizados irão

trocar dados entre si;
• Envio de dados criptografados entre sistemas, garantindo a confidencialidade dos

dados;
• Envio de dados assinados digitalmente entre sistemas, garantindo a autenticidade dos

dados;
• Autenticação de usuários, garantindo que somente usuários autorizados terão acesso à

troca de dados entre os sistemas.
Figura 19 - Controle manual da troca de certificados entre sistemas
Figura 20 - Controle automático da troca de certificados entre sistemas (via Autoridade Certificadora)
Na nossa planta simulada a troca de dados entre o sistema de automação e os níveis

corporativos é feita através de OPC UA. O SERVIDOR SCADA OPC UA está instalado na DMZ,
de forma que ele busca os dados do SERVIDOR SCADA (utilizando canal de comunicação
seguro – SIMATIC SHELL) e envia os dados para os níveis corporativos via OPC UA. No
firewall S623 foram configuradas as regras de segurança que controlam o acesso entre a rede
Terminal BUS <-> DMZ e DMZ <-> OEE BUS. O acesso do OEE BUS para o Terminal BUS de
forma direta é expressamente bloqueado.
Baseado no controle através de certificados, mesmo que um atacante consiga sobrepor as

regras de segurança do firewall S623, ele não teria um certificado X.509 válido e reconhecido
pelo SERVIDOR SCADA OPC UA, dessa forma ele não teria acesso aos dados OPC UA deste
servidor enquanto o servidor não valide o certificado do atacante.
Figura 21 - SIMATIC Performance Monitor - ferramenta consumindo dados do SCADA via OPC UA
É importante ressaltar que através da arquitetura da nossa planta simulada é possível

executar a comunicação segura bidirecional entre os níveis corporativos e de automação. Em
um sentindo os dados de produção gerados pelos PLCs de processo são consumidos no nível
corporativo, gerando dados de eficiência da planta – OEE (Overall Equipament Effectivences).
No outro sentindo, os valores de OEE (calculados no nível corporativo) dos últimos 60

segundos são transferidos para os PLCs de processo utilizando os mesmos canais de
comunicação seguros descritos acima. Em projetos de maior sofisticação ordens de produção
considerando quantidades a serem produzidas, dados dos clientes e dos fornecedores de
matéria prima poderiam ser enviados aos PLCs de processo utilizando os mesmos canais
seguros.
De forma a estabelecer uma comunicação confiável e segura entre os computadores do

sistema SCADA foi configurado um novo canal de comunicação nos produtos SIMATIC. O
canal de comunicação SIMATIC SHELL, a partir da versão 7.3 do WinCC SCADA, possibilita a
definição de uma PSK (Pre-Shared Key) e uma porta de comunicação única (a qual poderá ser
devidamente habilitada nos firewalls de proteção). Com isso os seguintes ganhos de
segurança são obtidos:
• A comunicação entre estações SCADA (servidores, clientes e estações de engenharia)

passa a ser criptografadas, garantindo a confidencialidade dos dados;
• Somente estações que foram devidamente configuradas para utilizar a PSK e porta de
comunicação correta tem acesso umas às outras;
• Somente uma porta de comunicação necessita ser configurada nos firewalls de

fronteira de forma a permitir a troca de dados do sistema SCADA.
• Na nossa planta simulada todos os computadores que estão instalados nas redes
Terminal Bus e DMZ Bus foram devidamente configurados para utilizar o canal de
comunicação SIMATIC SHELL em modo seguro.
•
Figura 22 - Canal de comunicação SIMATIC Shell configurado para comunicação criptografada
4.1.4 MONITORAMENTO DE REDE – SINEMA SERVER
Um atacante, sempre que possível não vai querer se expor, dessa forma tentará executar a
invasão utilizando técnicas de ataque remotamente. Pode ser que o sistema de segurança
dificulte a vida do atacante de tal forma que ele não tenha alternativa a não ser enfrentar o
risco da invasão. Em algumas situações pode ser que ele necessite um acesso físico a rede do
sistema a ser atacado, de forma a encontrar alguma vulnerabilidade interna e, a partir de
então continuar o processo de invasão remotamente.
O conceito de defesa em profundidade rege que o sistema a ser protegido deve ter diversas
camadas de proteção, de forma que se uma camada não for capaz de proteger o sistema
outras camadas subjacentes o protegerão. Um bom exemplo disto é o controle físico de
acesso. Neste caso, a portaria da fábrica deveria impedir que um atacante adentrasse na
nossa planta. Mas e se a portaria for comprometida? Seja por técnicas de invasão (roubo de
identidades, crachás ou engenharia social), seja por simples descuido (portas e trancas de
acesso do patch panel ou trancas dos painéis de automação sem as devidas proteções). Neste
caso a camada de segurança adjacente deveria proteger o sistema de um invasor. No
exemplo dado, é necessário monitorar continuamente o acesso físico da portaria, destas
portas e trancas para garantia de segurança das camadas.
Em se tratando de sistemas de informação, no nível corporativo os IPS (Intrusion Prevention

System) são facilmente encontrados. Estes appliances podem detectar diversas formas de
invasões/ataques e tomar ações de contorno (enviar alarmes para estações de
monitoramento, bloquear o acesso à rede, etc). Contudo, para aplicação em redes de
automação, o custo e os requisitos técnicos de um IPS podem tornar proibitivo seu uso nas
diversas redes de automação de uma planta. Isso não significa que as redes de automação
não podem ser monitoradas, muito pelo contrário. Com o uso de ferramentas adequadas é
possível detectar o correto funcionamento da rede bem como tentativas de acesso não
autorizado sobre as mesmas. Essa é a função principal do software SINEMA SERVER.
O software SINEMA SERVER foi desenvolvido para monitorar de forma contínua dispositivos
de automação com portas Ethernet. Frequentemente estes dispositivos executam protocolos
que permitem o monitoramento continuo dos mesmos, sendo os mais frequentes:
• DCP: Discovery and Basic Configuration Protocol;
• LLDP: Link Layer Discovery Protocol;
• SNMP: Simple Network Management Protocol.
Através destes protocolos o SINEMA SERVER pode identificar os equipamentos de uma ou

mais redes, assim como descobrir sua topologia de interligação e monitorar continuamente
eventos associados a tais equipamentos, sejam eles eventos operacionais ou eventos
associados a acessos não autorizados.
Na nossa planta virtual o SINEMA SERVER foi configurado de forma a monitorar de forma
continua os equipamentos instalados nas redes PROCESS BUS, TERMINAL BUS e DMZ BUS.
Assim, ele em intervalos regulares monitora as faixas de IPs de cada uma dessas redes. Caso
um novo equipamento responda as leituras executadas pelo SINEMA SERVER, este
equipamento é adicionado automaticamente à lista de equipamentos a serem monitorados.
Na nossa planta simulada existem dois tipos de acessos físicos, via cabo ethernet e via rede
WiFi. Tanto os switches como os APs (Access Points) foram configurados de tal forma a enviar
um diagnostico SNMP (envio via função TRAP) caso um novo dispositivo seja conectado nas
portas disponíveis nos switches ou caso algum novo cliente WiFi seja associado. Mudanças na
topologia de rede também são monitoradas. Com isso, qualquer tentativa de acesso à rede
será automaticamente monitorada e sinalizada no console de operação do SINEMA SERVER
(console WEB). O máximo possível de informações será anexado ao evento em si, tais como
MAC Address do novo dispositivo, porta ethernet utilizada, etc.
Muitos outros diagnósticos estão disponíveis via SNMP. A quantidade de diagnósticos depende
basicamente da tabela MIB (Management Information Base) dos dispositivos. Tentativas de
acesso não autorizados nos servidores WEB dos dispositivos também serão monitorados via
SNMP, sendo que eventos dessa natureza pode significar que um ataque de força bruta pode
estar sendo executado no sentido de ganhar privilégios administrativos nos mesmos.
Quaisquer conflitos ou enfraquecimento do sinal de rádio dos APs também são notificados,
cenário esse comum no caso de tentativas de sequestro da rede Wifi.
Figura 23 - SINEMA Server gerando estatísticas de eventos de rede
Figura 24 - SINEMA Server monitorando a topologia de rede
Ressalta-se que o SINEMA SERVER também é um SERVIDOR OPC UA e pode enviar o status
dos dispositivos de rede para o sistema SCADA, alertando os operadores e as equipes de
automação sobre comportamentos adversos na rede de automação.
O uso do protocolo SNMP nos dispositivos de automação requer o uso de switches no mínimo
gerenciáveis. Se nos ambientes de TI é praticamente inaceitável o uso de switches não
gerenciáveis, nos ambientes de automação o uso de tais switches pode inviabilizar a execução
de um projeto, visto que o custo de aquisição é relativamente superior.
Um fato interessante é que normalmente a densidade de portas por switch nos ambientes de
automação é muito inferior aqueles requeridos na TI. Esse fato origina-se na necessidade de
distribuir geograficamente os pontos de acesso ao longo do processo produtivo ou ao longo
das máquinas, tornado muito complexa a concentração de muitos pontos de acesso num
único switch. Esse requisito de distribuição geográfica cria uma situação particularmente
contraditória na automação, uma vez que são necessários muitos pontos distribuídos
geograficamente e tais pontos são providos por switches com nenhuma ou pouca função de
monitoramento (protocolo SNMP, por exemplo). Essa cultura necessita ser rapidamente
revista pelas equipes de automação sob pena de comprometer totalmente a segurança de um
sistema de automação.
Figura 25 - Switches SCALANCE X-200, X-300, X-400 e X-500
Atualmente existe uma gama muito extensa de switches industriais com funções de
gerenciamento, sendo que quanto mais funções são necessárias, maior é custo inicial de
aquisição. Switches um pouco mais elaborados, como o SCALANCE X-300 possuem funções
simples de gerenciamento, como a possibilidade de desabilitar portas não utilizadas
(hardening) e recursos avançados de gerenciamento, como o suporte ao protocolo 802.1X
que, em conjunto com um servidor RADIUS (Windows 2008 Server – NPS Network Policy
Server, por exemplo), pode habilitar ou não o acesso de um dispositivo terminal baseado
numa série de fatores (configurações de segurança, perfil de usuário, sanidade do dispositivo,
etc.). Infelizmente o uso de switches do porte do X-300 e superiores ainda não é uma
realidade na maioria dos projetos de automação, razão pela qual utilizamos na nossa planta
simulada switches SCALANCES X-200, que já permitem o monitoramento via protocolo SNMP.
Com a tendência de integração entre as equipes de TI e TA, assim como o uso de funções de
TI no ambiente de TA o uso de switches do porte do X-300 e superiores (X-400 e X-500)
serão mais comuns, trazendo reais benefícios de desempenho e segurança aos projetos de
automação.
4.1.5 MONITORAMENTO DE REDE – SINEMA SERVER
Figura 26 - Logotipo da certificação Achilles
De forma que os clientes possam comparar e ter uma base sólida em relação aos produtos
que possuem bom funcionamento e robustez no tocante a segurança industrial, muitos
fornecedores submetem seus produtos aos testes de certificação conhecido como Achilles.
É possível obter dois níveis de certificação. A certificação nível 1 compreende funções básicas
de segurança que um equipamento industrial necessita possuir e a certificação nível 2
expande o conjunto de funções que o equipamento necessita possuir. No nível 2 da
certificação os testes executados no nível 1 costumam ser aplicados sob taxas de utilização
ainda maiores, como por exemplo testes de Denial Of Service.
A SIEMENS com sua linha de automação SIMATIC obtém atualmente cerca de 70

equipamentos certificados em nível 2, tornando-se benchmark entre os fornecedores de
automação sob no que tange produtos com funções de segurança industrial.
Maiores informações podem ser obtidas através do link

http://www.wurldtech.com/product_services/certifications/certified_products/.
4.2 CONTROLE DE MALWARE
Não é possível garantir segurança em sistemas de automação ou sistemas de TI com uma

única solução ou medida. As ameaças cibernéticas são muito variadas e dinâmicas. As
organizações precisam de "defesa customizada", e uma estratégia de segurança cibernética
com várias camadas de controles de segurança para todos os seus sistemas. Essa abordagem
garante que intrusos tenham que superar vários obstáculos independentes antes que possam
causar danos reais. Isso desestimula os atacantes e dá às organizações mais tempo para
reconhecer e bloquear as ameaças graves. O objetivo das estratégias de defesa customizada
é impedir o mais cedo possível que os intrusos deem sequência ao ataque.
Com mais de 25 anos de experiência, a Trend Micro é líder reconhecida em tecnologia em

segurança cibernética. Com este expertise compreende completamente os pré-requisitos
exclusivos de segurança para redes de automação e desenvolveram uma solução completa de
defesa customizada contra Malware e APTs.
Especificamente na planta base do ICSSF, incluiu-se a proteção contra malware e proteção

contra Ameaças Persistentes e avançadas (APTs). Conforme figura a abaixo, pode-se
visualizar um exemplo da topologia aplicada.
Figura 27 - Topologia genérica de aplicação da proteção contra malware e ataques avançados e dirigidos
4.2.1 SEGURANÇA LOCAL PARA SERVIDORES CRÍTICOS DA REDE DE

AUTOMAÇÃO - TREND MICRO OFFICE SCAN
Solução de segurança abrangente para servidores, desktop e laptops, o Office Scan fornece
solução de firewall, sistema de detecção e prevenção de intrusão (IPS/IDS), e proteção contra
malware para os servidores críticos da rede de automação. Foi instalado nas máquinas
servidoras Windows da rede do ICSSF conforme versão certificada pelo fabricante da planta
base de automação, a Siemens.
Figura 28 - Servidor SCADA protegido com Trend Micro OfficeScan
4.2.2 MONITORAMENTO DE MALWARE E APT NA REDE DE AUTOMAÇÃO - TREND

MICRO DEEP DISCOVERY
Um dispositivo para monitoramento de rede, o Deep Discovery Inspector é uma solução para
detecção de APT e ataques direcionados ou avançados, detecção de conteúdo malicioso,
comunicação e comportamento que possa indicar uma ameaça avançada ou atividade do
atacante através de estágios do ataque.
Figura 29 - Tela Principal do Deep Discovery operando no ICS.SecurityFramework
Para exemplificar a atuação do Deep Discovery Inspector na planta do ICSSF, foram feitos
diversos testes para validar sua eficiência. Dentre os testes, foi simulado o comportamento de
um malware ao se propagar pela rede e ao fazer comunicação com seu C&C (Command
Controler).
Na Figura 26 são notados 2 (dois) alertas de nível alto correlacionado a comportamento

malicioso. Dentre os eventos, foram identificadas requisições de DNS a domínios de C&C
conhecidos, ou seja, oferece grande risco à planta e consequentemente à organização.
Figura 30 - Alertas do Deep Discovery Inspector referente a comportamento malicioso na rede
Já a Figura 27 demonstra quais máquinas foram responsáveis pelos alertas críticos. Conforme
a figura note que os alertas foram gerados simulando um operador com uma máquina
infectada durante uma manutenção no sistema de automação e demonstrando os riscos de
infecção por terceiros por não existir um sistema de detecção de máquinas infectadas no
ambiente de automação.
Figura 31 - Alerta do Deep Discovery Inspector referente às máquinas pertencentes à planta de automação que
possuem comportamento malicioso
A Figura 28 exibe o relatório completo da ameaça coletada que tentava se propagar pela rede
de automação. Note que para a geração desta análise, o Deep Discovery Inspector executou a
amostra desta ameaça em um ambiente virtual controlado (este conceito é descrito também
como sandbox), para medir o impacto desta às maquinas pertencentes à planta. Com essa
estratégia, mesmo se a ameaça for avançada ou direcionada ao cliente e até mesmo
desconhecida até o momento da infecção, o Deep Discovery Inspector gerará alerta sobre o
impacto da ameaça ao ambiente de automação.
Figura 32 - Resultado da análise virtual de uma amostra de malware que estava tentando se propagar pela rede de
automação
4.3 SEGURANÇA DE PERÍMETRO E CONTROLE DE ACESSO EXTERNO
Independentemente do tipo de tecnologia adotada para proteção SCADA e dos sistemas de

automação, ainda temos em operação, em qualquer SCADA conectado a rede corporativa,
uma rede tradicional de TI, com todas as suas características, funcionalidade,
vulnerabilidades e riscos. Nesta rede de TI encontramos além dos sistemas SCADA
interconectados, componentes tais como bases de dados diversas, aplicativos, sistemas de
Intranet, E-mail, Internet e centenas de outros protocolos e aplicações que podem estar
instalados na empresa.
Esta configuração exige a incorporação de novos paradigmas de proteção que atendam todos
os desafios de proteção atualmente existentes nas redes de TI e as necessidades do mundo
de automação, seja nos quesitos tecnológicos - suporte a protocolos específicos de
automação – seja a necessidade de facilidade da operação do sistema de segurança requerida
pela área de automação.
Na pirâmide ANSI/ISA o encontro da rede de automação com a rede corporativa se dá

normalmente em algum ponto entre os níveis dois e três. A este ponto estamos chamando o
centro da arquitetura e no ICSSF temos o que chamamos do “firewall de próxima geração” da
Palo Alto Networks.
Chamamos de próxima geração em função das diferenças significativas de funcionamento

destes equipamentos com relação aos firewalls tradicionais, uma vez que possuem tecnologia
que permite a inspeção de todo o tráfego, de todos os usuários, de todas as aplicações em
todas as plataformas.
Figura 33 - Firewall PaloAlto operando no ICS.SecurityFramework
A Palo Alto Networks possui uma tecnologia conhecida como App-ID que permite identificação
de aplicações através dos mecanismos de checagem de assinaturas, decodificação de
protocolos, decriptografia de tráfego e análise comportamental, permitindo controlar
aplicações de trafego aberto, evasivas e criptografadas. A Palo Alto foi o primeiro fabricante
de Firewall a trazer essa inovação para o mercado. As demais tecnologias criaram uma
camada de software para executar o controle fazendo uso da mesma arquitetura de hardware
limitada já existente. Este é um dos principais fatos utilizados pelo Gartner para justificar a
posição da Palo Alto de líder e tecnologia mais avançada do Quadrante Mágico. Outro fator de
muita importância é que a Palo Alto possui uma engine primária de identificação de aplicações
permitindo que as empresas permitam o tráfego específico de uma única aplicação sem a
necessidade de abrir portas no firewall.
No coração desta plataforma existe um algoritmo sofisticado de classificação e filtragem de

dados que trabalha com atributos únicos tais como App-Id, User-Id e Content-Id. Estas
funcionalidades permitem ao sistema Palo Alto classificar o tráfego, independente de porta e
protocolo através de uma inspeção em camada sete levando-se em consideração a aplicação,
o usuário e o tipo de conteúdo:
• App-Id: Identifica todas as aplicações em todas as portas o tempo todo (ao contrário
do comum em firewalls porta/protocolo)
• User-Id: Identifica usuários ou grupos de usuários (ao contrário do comum endereço

IP)
• Content-Id: Escaneia o conteúdo do tráfego buscando dados estruturados, arquivos,

vírus, spywares, ataques conhecidos, incidência de tráfego malicioso desconhecido e
malware avançado.
Figura 34 - Atributos únicos dos firewalls de próxima geração
Utilizando-se destas funcionalidades, a plataforma oferece visibilidade do que esta sendo

trafegado permitindo o controle e bloqueio de qualquer tráfego de dado, de qualquer
aplicação, de qualquer usuário, de qualquer conteúdo, conhecido ou desconhecido,
suportando de forma nativa o controle de ameaças, funções que equipamentos tradicionais de
firewall não possuem.
Como já dito em seções anteriores, ataques cibernéticos modernos e APTs se baseiam em

discrição, persistência e falhas qualificadas em sistemas tradicionais de segurança de
informação, utilizados durante todo o ciclo de vida do ataque.
Na arquitetura apresentada, uma proteção fim a fim é realizada no sistema, que combina as
assinaturas conhecidas com uma base única na nuvem para análise de ameaças não
conhecidas. Esta infraestrutura na nuvem é chamada WildFire e trabalha integrada ao
firewall, permitindo a análise de códigos binários simultaneamente nos sistemas operacionais
Windows XP, Windows 7 e Android para inspeção de arquivos EXE, DLLs, ZIPs, DOCs, XLSs,
PPTs, PDFs, JAVA, APKs e etc., além de permitir a inspeção em tráfegos de internet (HTTP,
FTP e SMTP) e em tráfego de compartilhamento de arquivos na rede (SMB). Esta inspeção de
tráfego (SMB) visa conter vírus espalhando-se horizontalmente pela rede.
Desta forma o dispositivo possui a habilidade de manter-se atualizado em tempo real sobre as
mais recentes ameaças e/ou bloquear e reportar ameaças não conhecidas. Desta forma,
ameaças 0-day podem ser evitadas, tais como recentes variações do Stuxnet, entre outros. O
WildFire pode ser adquirido direto pela Palo Alto, como em nosso piloto, ou implementado
direto no formato de nuvem privada (private cloud), instalado no cliente para ambientes
controlados.
Adicional a assinaturas tradicionais de antivírus e antispyware de T.I., a inteligência de

Prevenção de Ameaças da Palo Alto Networks possuí assinaturas para exploits específicos
para aplicações de T.A. tais como IHMs, SCADAs, supervisórios, historians, PIMS e outras
aplicações industriais, ou de protocolos específicos tais como Modbus, DNP3 e ICCP.
Figura 35 - Console do firewall operando no ICS.SecurityFramework
Apesar de no projeto ICSSF termos um firewall no centro, a solução pode ser replicada e sua
arquitetura pode envolver todos os locais e segmentos envolvidos em uma ou várias plantas,
estendendo a proteção para pontos remotos (estações remotas, plantas remotas, UTRs, redes
de terceiros, etc.), passando pela rede de campo (com ou sem fio), centros de controle,
escritórios de engenharia, escritórios remotos em obras e projetos e outras redes de
dispersas, em uma configuração distribuída com gerenciamento central. Nesta situação todos
os firewalls estarão ligados na nuvem e uma nova assinatura criada em um ponto será
replicada para toda a rede de proteção em tempo real.
Figura 36 - Arquitetura distribuída de segurança
Em sistemas SCADA, as políticas de segurança da informação são normalmente bastante

distintas das políticas utilizadas na área de TI corporativa. Soma-se a isto o fato de que em
instalações distribuídas, cada local normalmente tem políticas também distintas, tais como
em um centro de controle e uma instalação remota de coleta de dados.
Para solucionar esta questão a solução adotada traz uma plataforma de gerenciamento
central chamada Panorama, onde é possível resolver estas questões através de:
• Configuração e ativação centralizada de políticas e configurações de T.I./T.A. distintas

em equipamentos dispersos geograficamente.
• Apoio à administração baseada em categorias para maior segurança do sistema
• Fornecimento de poderosos relatórios personalizados que facilitam o trabalho forense e

a certificação de conformidade com normas tais como NERC, CIP e CFATS.
• Integração com os principais SIEMs do mercado para gerar novos níveis de visibilidade
dos eventos.
Vale lembrar que a integração dos firewalls com o sistema Panorama é nativa, não
necessitando qualquer trabalho extra de personalização.
Apesar do sistema Palo Alto aceitar assinaturas personalizadas, o que ajuda muito no caso de
equipamentos específicos para alguns setores de mercado, o sistema já possui
reconhecimento de assinaturas para os principais protocolos e aplicações industriais tais como
Modbus, OPC e diversas variações de IEC, entre outras.
Adicionalmente a plataforma apresenta capacidade de controle de funções que permitem o

monitoramento e o controle de subfunções (tais como leitura e escrita) em protocolos
industriais específicos tais como o Modbus e o IEC 60870-5-104.
Figura 37 - Assinatura de subfunções reconhecidas
Assim como na rede de automação, é possível com a arquitetura modular apresentada aplicar
as melhores práticas de segmentação descritas nos padrões ANSI/ISA-99 e IEC 62443
através da definição de zonas de segurança. Em seguida, é possível configurar um modelo de
controle de rede granular, de ajuste fino, baseado no princípio do menor privilégio. Alguns
exemplos de uso são os seguintes:
• Permitir o uso de aplicações aprovadas no centro de controle
• Decriptografar tráfego SSL, TLS e SSH permitindo a inspeção dos mesmos para
identificação de aplicações e combate as ameaças.
• Controlar usuários, conteúdo e aplicar QoS para aplicações específicas.
• Restringir o uso de aplicações e ferramentas administrativas somente para

administradores autorizados (SSH, Telnet, SNMP, FTP, etc.).
• Controlar o acesso a URLs e aplicações no modelo SaaS
• Limitar o tráfego da rede para protocolos de controle industriais a um número limitado

de aplicações/protocolos para administração e alarmes.
• Rastrear todos os pacotes relacionados a comandos por usuário para ajudar no

processo de correlação de eventos.
• Permitir acesso à rede corporativa para usuários e aplicações selecionadas, como por
exemplo, dados do PIMS para um analista de processos.
• Monitorar e controlar o uso por terceiros de VPN e acesso por servidor de terminais.
• Programar políticas de horário para acesso a aplicações e/ou usuários para limitar
exposição.
• Integrar a segurança de dispositivos e aplicações móveis ao sistema.
Em caso de necessidade de hardware com proteção específica, é possível configurar o sistema

com todas as suas funcionalidades na forma de máquina virtual instalada em hardwares
específicos (embarcado, classificado, a prova de explosão, choque, água, etc.)
Finalmente, com relação a desempenho, fator crítico em redes de TA, os seguintes cuidados
estão integrados na arquitetura da plataforma Palo Alto:
• Tecnologia Single pass e arquitetura de processamento paralelo (SP3), que realiza as

funções de análise de pacotes em camada sete e análise de ameaças em única
passagem para cada pacote.
• Processamento distribuído: Processadores independentes para cada função (controle

de aplicação e filtro de pacotes em processadores dedicados, chips de HW FPGA para
as funções de IPS, Antivírus e Antispyware, chips dedicados para as funções de QoS,
NAT e roteamento) permitem um processamento paralelo de tráfego. Quando é
habilitada uma função no equipamento, o mesmo não degrada as demais.
• Plano de controle e plano de dados separados, o que garante que os processos de

controle não irão afetar o fluxo de dados.
• Appliances com hardware e software específico para processamento paralelo de alto

desempenho.
• Suporte para alta disponibilidade e redundância garantido QoS adequado.
Figura 38 - Arquitetura de alto desempenho
No projeto ICSSF utilizamos a série PA-3050 que possui capacidade média de tráfego
(4Gbps), lembrando que a Palo Alto oferece dispositivos para instalação em pequenos locais
(PA-200) com 100Mbps de capacidade até equipamentos para centros de dados (PA-7050)
com capacidade de 100Gbps.
Figura 39 - Linha de produtos da Palo Alto Networks
4.4 INTELIGÊNCIA DE SEGURANÇA
Um bom plano de proteção da rede de automação envolve a criação de um perímetro de

segurança ao redor de toda rede SCADA, de forma a isolá-la do mundo externo e a aplicar
diversos controles e proteções sobre as rotas de acesso à rede, como sistemas de detecção e
prevenção de intrusão, Firewall e DMZ.
Quando tratamos de infraestruturas críticas, devemos usar equipamentos bem específicos que
sejam capazes de combater as ameaças em protocolos industriais e que tenham o
desempenho e a confiabilidade necessários em uma rede com esta criticidade.
Adicional ao controle do firewall, as principais normas exigem a instalação de um

equipamento avançado de proteção de intrusão chamado de IPS (Intrusion Prevention
System). O IPS adotado na arquitetura ICSSF é da linha XGS 5100 da IBM e é um
equipamento projetado para bloquear avançados ataques maliciosos automaticamente,
preservando a largura de banda da rede e sua disponibilidade.
O IPS da IBM foi projetado com a capacidade de proteger contra milhares de ameaças ou
ataques críticos ou de alto risco contra redes SCADA. Ele também é capaz de fazer bloqueios
dinâmicos, quarentena de tráfego e o virtual patch, funcionalidade que elimina a necessidade
de implantação imediata de patches críticos em servidores, tarefa bastante complexa e
muitas vezes proibitiva para muitos dos servidores e estações da rede de automação.
Figura 40 - IBM Security Network Protection XGS 5100 operando no ICS.SecurityFramework
4.4.1 CENÁRIO DE USO DO IPS XGS5100
O NIPS (Network IPS) de próxima geração XGS5100 é utilizado no ICSSF para garantir a
segurança na comunicação entre a rede corporativa e a rede de automação, críticas para a
operação dos sistemas de automação das infraestruturas críticas. Nesta comunicação
transitam dados de processo, produção e qualidade que precisam ter sua segurança
garantida.
O NIPS utilizado na segurança de perímetro de rede do ICSSF provê as seguintes

funcionalidades fundamentais para a segurança SCADA:
• Detecção de ameaças em ambos os sentidos de interesse de tráfego entre as redes
(tanto da rede corporativa para a rede de automação quanto no sentido inverso);
• Bloqueio de ataques e malware provenientes de redes externas, garantindo o

throughput e a disponibilidade da rede de automação.
• Bloqueio de acesso não autorizado à rede de automação.
• Conformidade com normas de segurança internacionais como a ANSI/ISA-99.
• Detecção e prevenção contra ataques por armas cibernéticas como o Stuxnet, Duqu,
Shamoon, dentre outras que aparecem a cada dia.
• Detecção e prevenção contra ataques de negação de serviço (DOS e DDOS) contra

servidores da rede industrial.
• Alto desempenho em segurança com bloqueio em tempo real de códigos maliciosos e

ameaças híbridas.
• Recurso de Virtual Patch, muito importante para que redes não conectadas à internet
tenham nível de segurança equivalente as que possuem todas as atualizações e
patches em dia. Através desta tecnologia a IBM protege as organizações de ataques
online, antes mesmo que, os sistemas afetados consigam obter e aplicar correções.
Lembramos que em redes de automação a aplicação de patches e outras atualizações
do sistema operacional e aplicativos não podem ser feitas e/ou muitas vezes
dependem da homologação do sistema SCADA, deixando a rede vulnerável a riscos de
público conhecimento da comunidade hacker.
• Disponibilidade de mecanismos heurísticos de detecção para proteção contra

vulnerabilidades de dia zero, mitigando ataques tais como shellcode malicioso, injeções
web ou aqueles que utilizam tunelamento em outros protocolos como técnica de
ofuscação.
• Disponibilidade de mecanismo de quarentena integrado nativamente com O SIEM da

IBM (solução IBM QRadar) para contenção de malware e expansão do intruso no
ambiente industrial a partir do ponto de intrusão.
• Geração de informações de flow (IPFIX) com informações de camada de aplicação

(layer 7), integrado nativamente à análise comportamental de tráfego provida pela
solução de SIEM (IBM QRadar), visando detectar anomalias de tráfego indicativas de
incidentes de segurança em curso.
Figura 41 - Console do IPS operando no ICS.SecurityFramework
4.5 INFORMAÇÃO DE SEGURANÇA E DE INCIDENTES
Com tantos equipamentos e logs a serem gerados e acompanhados, faz-se necessária a

consolidação dos dados para análise e verificação de trilhas de ataques, ameaças e
incidentes. Na arquitetura ICSSF utilizamos a solução IBM Q-Radar para esta tarefa.
A solução IBM Q-Radar permite maior visibilidade sobre o comportamento normal de rede e
sobre atividades anormais que podem sugerir ameaças à segurança. As informações dos
alertas de segurança dos equipamentos da rede do ICSSF tais como o Firewall Palo Alto, o
NIPS XGS5100, equipamento de controle de Malware Trend Micro Deep Discovery,
informações de trafego de rede, informações de vulnerabilidades, informações de acesso a
bancos de dados (IBM Guardium), logs do sistema operacional (SysLog) e informações de
atividades de usuários são correlacionadas com informações de inteligência de ameaças para
uma capacidade única de prevenção. Isto simplifica a investigação de um incidente com
melhoria significativa na eficiência para identificação e resolução de incidentes.
A solução é capaz de identificar múltiplos eventos como um único ataque a partir de regras de
correlação de eventos e tráfego de rede.
Figura 42 - Arquitetura de Funcionamento do QRadar
Figura 43 - QRadar operando no ICS.SecurityFramework
As principais funcionalidades de inteligência de segurança fornecidas aos gestores do ICSSF

pela plataforma QRadar são as seguintes:
• Monitoramento de ameaças e resposta aos incidentes de segurança alertados pelas

soluções de segurança da planta segura.
• Segurança interna e monitoramento de ameaças internas.
• Agregação de logs e análises de diferentes padrões tecnológicos e fabricantes com a

geração de relatórios executivos que permitem visibilidade total do cenário de
segurança da planta segura.
• Auditoria, relatórios e conformidade com as medidas de segurança detalhadas pela

política de segurança de automação (PSA) da empresa.
• Detecção e priorização de incidentes de segurança com base nas características do

ambiente da planta tais como risco e criticidade dos diversos sistemas, reduzindo
falsos positivos e otimizando o trabalho das equipes de monitoração de segurança e
resposta a incidentes, garantindo foco nos incidentes mais críticos para o negócio.
Figura 44 - Console do sistema QRadar operando no ICS.SecurityFramework
Além dos sistemas de segurança que tem integração nativa com o SIEM, todos os
equipamentos de rede, inclusive os switches e firewalls da rede de controle de automação
podem ser integrados com o Q-RADAR, pois eles implementam o protocolo SysLog que
permite a visualização e correlação de eventos de segurança com os dados de tráfego de
rede.
4.6 SEGUNÇA DE DADOS
4.6.1 PROTEÇÃO DAS BASES DE DADOS
Considerando todas as ameaças de segurança enfrentadas por sistemas em todos os setores

do mercado, os dados são o principal alvo de violações de segurança, e os bancos de dados
são as principais fontes de dados violados. Segundo recentes estudos conduzidos sobre
ataques realizados, entre 90% e 98% dos ataques acontecem tendo como foco as bases de
dados empresariais.
Esta estatística tem grande sentido uma vez que os servidores de bancos de dados são a
principal fonte das informações mais valiosas do negócio, sejam elas registros operacionais,
informações de clientes e fornecedores, informações de engenharia, dados de processo ou
registros financeiros, comumente armazenados de forma estruturada e de fácil acesso a seus
usuários – objetivo principal da utilização destes servidores.
Muitos dos ataques realizados na atualidade têm a missão de extrair informações destas
bases, mas alguns deles têm como foco a alteração ou exclusão destes dados, prejudicando
ou sabotando as operações. Em ambos os casos o impacto ao negócio pode ser grande.
No primeiro caso, não há como reverter o processo após uma extração de dados. Por mais
que um trabalho forense descubra o responsável, não há como rastrear o destino e o uso das
informações adquiridas de forma ilegal, que podem ter sido copiadas para outras pessoas não
autorizadas ou até mesmo disponibilizadas na Internet.
No caso da alteração dos dados, imaginemos a dificuldade de restabelecimento de operações
se uma base de dados de usuários, senhas, set points ou fluxo de processos sofrer um
processo de embaralhamento (scrambling). Mesmo com os backups mais rápidos e ambientes
de alta disponibilidade a operação irá sofrer para restabelecer o fluxo normal do trabalho,
muitas vezes parando a produção de serviços essenciais para o negócio. Através de alteração
de set points pode-se causar destruição de ativos, acidentes ambientais ou até mesmo
mortes.
Por mais que se façam investimentos em todas as soluções de segurança anteriormente

descritas neste documento a base de dados pode ser o elo e o ativo mais fraco de segurança
se não for devidamente cuidada e protegida.
O processo de proteção das bases de dados tem início na identificação de onde estão os
dados sensíveis e de quem estará acessando estes dados. Segue garantindo o controle deste
acesso e monitorando seu uso, encerrando-se com processos de auditoria e compliance
seguros e bem executados.
Tradicionalmente realizam-se estas atividades utilizando-se de ferramentas do próprio banco

de dados ou associados a este, tais como controle de logs, rastros de auditoria e políticas de
senha. Por mais consolidadas que sejam estas técnicas, elas não garantem a total proteção
do ambiente, seja pelo fato dos usuários privilegiados poderem revogar estes controles, pela
possibilidade de se excluir os logs e trilhas de auditoria ou pela incapacidade desta de alertar
em tempo real, muitas vezes revelando o incidente somente depois de sua ocorrência.
4.6.2 DATABASE ACTIVITY MONITORING (DAM)
O monitoramento ativo de base de dados (ou DAM – Database Activity Monitoring) é uma
tecnologia de monitoramento e análise das operações do banco de dados que funciona
independente do sistema de gerenciamento de banco de dados (DBMS), além de não
depender de traces e logs nativos gerados por este. É uma tecnologia que permite o
monitoramento dos acessos em tempo real e pode evitar os incidentes antes que os mesmos
ocorram.
O DAM funciona na camada de rede associado a shared memory do banco de dados. As

transações são monitoradas, registradas em um ambiente externo ao banco de dados e
validadas antes de sua execução. O DAM tem a capacidade de realizar um reset nas conexões
não autorizadas ou a dados não permitidos, ou até mesmo alterar a forma dos dados
sensíveis para não permitir vazamento das informações.
Em nosso framework ICSSF utilizamos a tecnologia IBM Guardium como sistema DAM.
O IBM Guardium é um appliance (rodando em máquina virtual em nossa planta base) com
base de dados inviolável embutida. Nesta base de dados são armazenadas todas as políticas
de monitoramento e controle das bases de dados e todas as ocorrências monitoradas. Não há
como apagar os dados deste appliance a não ser pelo reset de todo o sistema, sendo que o
mesmo pode ser replicado e/ou sofrer backup, sempre com os dados criptografados, lidos
somente por outro Guardium com senha comum.
Adicional ao appliance o sistema possui um agente de software denominado S-TAP. Este

agente é instalado no servidor de banco de dados e é o responsável por monitorar o tráfego
de banco, validar o mesmo no appliance e/ou gerar um reset em acessos não autorizados.
O IBM Guardium pode funcionar em três modos: somente monitoramento, bloqueio de
transações sensíveis e mascaramento de dados. A seguir ilustramos estes três modos de
funcionamento.
Figura 45 - Operação do IBM Guardium monitorando e registrando acesso
Neste primeiro caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O
S-TAP identifica que aquele usuário, tabela ou banco deve ser monitorado e envia para o
appliance a transação para registro (com ou sem dados retornados – configurado no
sistema). Os dados são então retornados para o cliente normalmente.
Figura 46 - Operação do IBM Guardium monitorando e bloqueando acesso
Neste segundo caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O
appliance a transação para registro. O Appliance indica que aquela transação não pode
ocorrer e envia um comando de bloqueio para o S-TAP, que realiza um reset na conexão do
cliente. O cliente recebe então uma mensagem de timeout de rede.
Figura 47 - Operação do IBM Guardium mascarando dados
Neste terceiro caso um cliente SQL faz acesso ao banco de dados com um SELECT simples. O
appliance a transação para registro. O appliance indica que aqueles dados devem ser
mascarados, pois são dados sensíveis, e comanda o S-TAP para realizar tal mascaramento. O
cliente recebe então os dados da consulta com os campos sensíveis mascarados.
Figura 48 - Monitoramento de bases de dados SQLServer, Oracle e MySql operando no ICS.SecurityFramework
Um dos principais benefícios da arquitetura de funcionamento do DAM é a capacidade de

monitorar todos os usuários do banco de dados, independentemente de seu grau de
privilégio. Mesmo os usuários administradores no console são captados pelo S-TAP por esta
estar na shared memory do banco de dados, e até mesmo se o S-TAP for desligado o sistema
irá perceber e gerar um alarme no console do IBM Guardium.
O Guardium suporta os principais bancos de dados do mercado, incluindo sistemas BigData,

assim como é capaz de entender tráfego cifrado tais como SSH/IPSEC, Oracle ASO e SQL
Server SSL.
Figura 49 - Bases de dados e ambientes suportados pelo IBM Guardium
4.6.3 PRINCIPAIS FUNÇÕES DO IBM GUARDIUM
O IBM Guardium utilizado no ICSSF apresenta as seguintes funções nativas em sua

plataforma:
4.6.3.1 DATABASE AUTODISCOVERY (DBAD)
É comum em ambientes computacionais criarmos cópias ou clones de partes ou do todo do

banco de dados para backup, desenvolvimento, estudos, BI, etc. Estas replicações levam
também os dados sigilosos, que muitas vezes ficam esquecidos na rede da empresa.
A função Database Auto Discovery (DBAD) vasculha a rede por portas e serviços de bancos
de dados, gerando um relatório de todos os bancos de dados encontrados, permitindo assim a
empresa tomar ciência da distribuição das informações e o estabelecimento de ações sobre
estas bases.
O DBAD pode ser executado por comando do usuário ou automaticamente em intervalos de

tempo programados, garantindo a auditoria permanente do ambiente.
4.6.3.2 CLASSIFIER
O Classifier é uma função que busca nos bancos de dados disponíveis, conteúdos ou colunas
com informações sensíveis. Se operada em conjunto com o DBAD permite varrer a rede por
bancos de dados e informações sensíveis.
As informações sensíveis podem ser encontradas por formato, por padrão de repetição ou por
palavra específica. Todos os dados encontrados são consolidados em um relatório do sistema.
4.6.3.3 RELATÓRIO DE PRIVILÉGIOS
O sistema tem a capacidade de verificar as bases de dados, encontrar usuários privilegiados e

detalhes dos grupos de acesso. Usuários privilegiados são normalmente difíceis de ser
monitorador e gerenciados. Com esta função o sistema identifica rapidamente estes usuários
e grupos, que podem ser facilmente associados e grupos de monitoramento e controle de
ações.
4.6.3.4 APPLICATION END USER IDENTIFICATION
Em sistemas como o ERP, a transação no banco de dados não é realizada diretamente pelo
usuário final. Os comandos do usuário são enviados para o servidor de aplicações ERP e este
se utiliza de um usuário específico no banco de dados para acesso às informações. Então não
se consegue identificar diretamente o usuário a partir do acesso no banco de dados. Esta á
uma vulnerabilidade caso o invasor decida por utilizar o ERP para realizar o vazamento e
alteração de dados.
O Application End User Identification permite o rastreamento da transação no banco de dados

e sua associação ao usuário do aplicativo que está sendo utilizando, gerando um registro
completo da transação.
Desta forma esta funcionalidade permite a detecção de fraudes e atividades não autorizadas
no aplicativo. Suportada para PeopleSoft, Oracle EBS, Siebel, Cognos, Business Objects e
outras aplicações customizadas sem alteração na base de dados ou na aplicação.
4.6.3.5. VULNERABILITY ASSESSMENT
Esta é, em conjunto com a capacidade de monitoramento e bloqueio de transações, a

principal funcionalidade do IBM Guardium. Através desta função o sistema realiza testes
predefinidos e personalizados nas bases de dados para identificação de vulnerabilidades. As
medições recebem uma nota (score) indicando o grau de vulnerabilidade do sistema, podem
ser agendadas para realização seguindo um calendário e são registradas no tempo, gerando
uma curva de evolução de vulnerabilidades do sistema.
Figura 50- Relatório de vulnerabilidades gerado pelo IBM Guardium
Os testes realizados seguem as melhores práticas de mercado, tais como os benchmarks do

US DOD Security Technical Implementation Guides (STIG) e Center of Internet Security
(CIS). O conjunto de testes é atualizado trimestralmente no dispositivo de uma base de
dados IBM XForce na nuvem, permitindo a conformidade automática dos testes com as
melhores e mais atuais metodologias do mercado.
Para cada vulnerabilidade o dispositivo indica não só o resultado, mas a causa e

recomendação de correção, facilitando bastante o trabalho das equipes de segurança e DBAs.
4.6.3.6. ACELERADORES DE COMPLIANCE
A base de dados de testes de vulnerabilidade do IBM Guardium é também organizada em

aceleradores de acordo com as regras de conformidade com os principais grupos de
compliance do mercado, tais como SOX, PCI-DSS, Basiléia II, HIPAA e GLBA. Ao executar um
acelerador, todos os testes referentes àquela norma serão realizados e um relatório de
conformidade será gerado automaticamente.
Esta função permite a automatização do processo de auditoria do ambiente, realizando testes

de acordo com uma agenda programada e gerando os relatórios de conformidade
automaticamente, garantindo a segurança e os requerimentos da norma.
4.6.3.7. WORKFLOW
Através do workflow o sistema pode realizar análises automáticas, distribuir relatórios de

ocorrências e escalar alçadas e aprovações.
A automação do processo de workflow é feita através da definição do processo, dos papéis e

níveis de alçada, das tarefas e do agendamento. Com estes elementos é possível manter toda
a estrutura de segurança e conformidade informada de todos os eventos de segurança em
bases de dados de forma automática, além de gerar registros de ocorrências, de mitigação e
resolução de problemas.
4.6.4 DESEMPENHO E OUTROS
Um sistema de DAM como o IBM Guardium é projetado para gerar o mínimo de impacto no
desempenho do sistema. O appliance funciona independentemente do processamento na base
de dados, gerando zero impacto nas aplicações. O S-TAP possui um código mínimo
totalmente otimizado, requerendo muito pouca memória e CPU para processamento no
servidor do banco de dados.
Toda a instalação é feita sem alterar qualquer aplicação existente e sem precisar de qualquer
alteração nas bases de dados.
No âmbito do ICSSF a solução DAM utilizada garante todos os requisitos de segurança

necessários. Na planta base utilizamos o sistema para monitorar a base de dados do sistema
ERP, mas ela pode ser estendida para todas as bases de dados tanto da área de T.I. quanto
para a área de T.A.
5. CONCLUSÃO
É notório que nos dias atuais que grande atenção que deve ser data a segurança da
informação em plantas industriais e infraestruturas críticas. Naturalmente que esta demanda
encontra grande dificuldade de ser atendida, tanto pela novidade do tema quanto pela
indisponibilidade de soluções únicas para todos os aspectos regulados pelas normas em vigor
e pela diversidade de arquiteturas e tecnologias utilizadas na área.
Com este trabalho, a TI Safe e seus parceiros tecnológicos procuram apresentar uma
abordagem prática de como tratar os desafios de segurança utilizando-se de uma visão
fundamentada na arquitetura ISA/ANSI de sistemas industriais, no atendimento das normas
ANSI/ISA-99 e NIST 800-82, na aplicabilidade segundo o desafio de segurança apresentado
para cada componente e na praticidade de aplicação.
Todos os componentes utilizados no framework ICSSF são produtos de mercado, de marcas

consagradas e líderes em seus segmentos, além de recomendados pelas melhores análises de
mercado.
Pretendemos com isto subsidiar as equipes responsáveis por este tema com um caminho
consistente e maduro de solução de seus problemas, baseados em experiências práticas e
fundamentados em uma plataforma real de ampla aplicabilidade.
Esperamos que com este trabalho possamos contribuir ativamente para a mitigação de riscos
hoje existente em milhares de plantas e infraestruturas, subsidiando decisões estratégicas e
táticas de executivos, gestores e operadores destes locais ao redor do mundo.
6. ICS.SECURITYFRAMEWORK EM AÇÃO
Abaixo algumas fotos do ambiente ICS.SecurityFramrwork montado para o evento CLASS

2014 - 1o Congresso Latino Americano de Segurança SCADA, realizado em novembro de
2014 no Rio de Janeiro (www.class2014.com.br)
Figura 51 - ICS.SecurityFramework em Ação
Figura 52 - ICS.SecurityFrawork em Ação
Figura 53 - Alguns autores do projeto (da esq. p/ dir.: Renato Mendes, Alexandre Freire, Marcelo Branquinho e
Marcio Santos)

Solução Integrada de Segurança Da Informação para Plantas Industriais e Infraestruturas Críticas

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Solução Integrada de Segurança Da Informação para Plantas Industriais e Infraestruturas Críticas

Enviado por

Direitos autorais:

Formatos disponíveis

SOLUÇÃO INTEGRADA DE SEGURANÇA DA INFORMAÇÃO PARA

PLANTAS INDUSTRIAIS E INFRAESTRUTURAS CRÍTICAS

TI SAFE INDUSTRIAL CONTROL SYSTEMS SECURITY FRAMEWORK

WHITE PAPER TISAFE_WHITEPAPER_ICSSF_V1

DATA:21 DE OUTUBRO DE 2014

Em contraponto aos riscos e ameaças apresentadas, empresas do mundo todo investem

 Marcelo Branquinho é diretor-executivo da TI Safe Segurança da Informação.

 Renato Mendes é executivo de projetos especiais de segurança ICS na TI Safe

 Marcio Santos é consultor técnico da Siemens.

 Josué José Souza Junior é consultor técnico da IBM.

 Franzvitor Fiorim é consultor técnico da Trend Micro.

 Alexandre Freire é consultor técnico da Palo Alto Networks.

Versão Data Autor Descrição

1 21/10/2014 Marcelo Branquinho, Renato Geração do primeiro documento.

2 23/10/2014 Renato Mendes Correções pontuais.

3 28/10/2014 Renato Mendes Alterações pontuais no texto. Inclusão da

4 10/11/2014 Renato Mendes Revisões no texto.

5 18/11/2014 Renato Mendes Revisões nas figuras e no texto.

O conteúdo aqui descrito é de propriedade exclusiva dos autores. A cópia, utilização,

As informações constantes neste documento refletem a realidade

As aplicações e os exemplos neste documento visam ser meramente informativos e

Reservamos o direito de alteração deste documento a qualquer momento sem prévia

1. FUNDAMENTOS DA ARQUITETURA ................................................................. - 8 -

2. O CONCEITO DE DEFESA EM PROFUNDIDADE ................................................ - 9 -

3. AMBIENTE DE FUNCIONAMENTO ................................................................. - 11 -

3.1 A PLANTA SIMULADA DE AUTOMAÇÃO ..................................................... - 11 -

4. SOLUÇÕES DE SEGURANÇA .......................................................................... - 15 -

4.1 PROTEÇÃO DOS SISTEMAS DE AUTOMAÇÃO DO CHÃO DE FÁBRICA ......... - 15 -

4.1.1 FIREWALL INDUSTRIAL SCALANCE S .................................................... - 16 -

4.1.2 CONTROLE DE ACESSO – SIMATIC LOGON E PROTEÇÃO DE KNOW HOW - 20 -

4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS - 27 -

4.1.4 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 31 -

4.1.5 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 34 -

4.2 CONTROLE DE MALWARE .......................................................................... - 35 -

4.2.1 SEGURANÇA LOCAL PARA SERVIDORES CRÍTICOS DA REDE DE AUTOMAÇÃO

4.2.2 MONITORAMENTO DE MALWARE E APT NA REDE DE AUTOMAÇÃO - TREND

4.3 SEGURANÇA DE PERÍMETRO E CONTROLE DE ACESSO EXTERNO .............. - 39 -

4.4 INTELIGÊNCIA DE SEGURANÇA ................................................................ - 46 -

4.4.1 CENÁRIO DE USO DO IPS XGS5100 ....................................................... - 46 -

4.5 INFORMAÇÃO DE SEGURANÇA E DE INCIDENTES ..................................... - 48 -

4.6 SEGUNÇA DE DADOS ................................................................................ - 50 -

4.6.1 PROTEÇÃO DAS BASES DE DADOS ......................................................... - 50 -

4.6.2 DATABASE ACTIVITY MONITORING (DAM) ........................................... - 51 -

4.6.3 PRINCIPAIS FUNÇÕES DO IBM GUARDIUM ........................................... - 54 -

4.6.3.1 DATABASE AUTODISCOVERY (DBAD) ................................................ - 54 -

4.6.3.2 CLASSIFIER ....................................................................................... - 55 -

4.6.3.3 RELATÓRIO DE PRIVILÉGIOS ............................................................ - 55 -

4.6.3.5. VULNERABILITY ASSESSMENT ........................................................... - 55 -

4.6.3.6. ACELERADORES DE COMPLIANCE ...................................................... - 56 -

4.6.3.7. WORKFLOW ....................................................................................... - 57 -

4.6.4 DESEMPENHO E OUTROS ....................................................................... - 57 -

6. ICS.SECURITYFRAMEWORK EM AÇÃO .......................................................... - 59 -

A arquitetura ICSSF parte do princípio da segmentação dos sistemas industriais no formato de

Figura 1 - Arquitetura de segmentação de sistemas industriais

Dentro da segmentação ilustrada, temos que enquanto os equipamentos, sistemas e redes

Figura 2 - Ameaças internas à rede de automação

Dentro deste contexto foi pensado e desenvolvido o ICSSF. Trata-se de um framework

Apesar de o ICSSF sofrer variações de capacidade e configuração em função da tecnologia

A fim de ilustrar o funcionamento do ICSSF e realizar testes, demonstração e exercícios de

3.1 A PLANTA SIMULADA DE AUTOMAÇÃO

Figura 4 - Arquitetura de proteção de célula da planta de demonstração ICSSF

Figura 6 - Arquitetura de componentes de segurança da planta de demonstração ICSSF

DESCRIÇÃO DO MÓDULO NÍVEL