• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
RSTechED Brasil 2012: Solucoes praticas de seguranca para sistemas de controle industrial
 

RSTechED Brasil 2012: Solucoes praticas de seguranca para sistemas de controle industrial

on

  • 1,244 views

 

Statistics

Views

Total Views
1,244
Views on SlideShare
1,244
Embed Views
0

Actions

Likes
0
Downloads
19
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    RSTechED Brasil 2012: Solucoes praticas de seguranca para sistemas de controle industrial RSTechED Brasil 2012: Solucoes praticas de seguranca para sistemas de controle industrial Presentation Transcript

    • NIS04 - Soluções Práticas de Segurançapara o Sistema de Controle Industrial Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • Como chegamos à isso? Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 2
    • Como chegamos à isso? “Eu nem chamaria isso de um hack. Não precisa de nenhuma habilidade e poderia ser feito por uma criança de dois anos com algum conhecimento de Simatic”, escreveu o hacker. “Nenhum dano foi causado nas máquinas, eu não gosto de vandalismo sem sentido, porque é bobo e estúpido. Mas também é bobo e estúpido deixar a interface de controle SCADA conectada à internet”, sentenciou. Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 3
    • Como nós podemos proteger ossistemas industriais? Implementando um bom projeto de rede Usando ferramentas oferecidas pela Rockwell e seus parceiros Mantendo-se Informado/Atualizado Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 5
    • Projeto de Rede Segura Modelo de segurança de rede com garantia de defesa (Defense-in- Depth) Políticas de Segurança Nível Industrial Implementar um DMZhttp://www.ab.com/networks/architectures.html 6 Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • Serviços de Segurança e Redes AVALIAÇÃO • Avaliação do estado atual do programa de segurança e políticas de acesso • Avaliação do estado atual da arquitetura de rede e sua implementação ARQUITETURA/PROJETO • Desenho e planejamento da infraestrutura de rede • Desenho e planejamento da política de segurança, infraestrutura, sem interferência no plano de negócios IMPLEMENTAÇÃO • Instalação e configuração de uma rede • Implementação do programa de segurança, infraestrutura e treinamento das políticas de segurança VALIDAÇÃO • Auditoria da arquitetura atual, comparado aos órgão competentes (ODVA, CNI, IEEE, TIA/EIA) • Auditoria do programa de segurança comparado aos órgãos competentes (NERC CIP, ISA SP-99, NIST 800-53, NIST 800-82 GERENCIAMENTO/MONITORAÇÃO • Gerenciar, manter e monitorar a rede (operação e problemas) • Gerenciar Serviços de Segurança (resposta à incidentes, recuperação e monitoração)Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 7 Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • Produtos de parceiros - EncompassPartners Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 8
    • Produtos de Parceiros Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 9
    • Ferramentas de Segurança doControlador Passe a chave para modo RUN Proteja o programa (serial / senha) Proteja o código fonte Registro interno de alterações/mudanças FactoryTalk Security Controle de acesso aos tags/dados Copyright © 2011 Rockwell Automation, Inc. All rights reserved. Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 10
    • Controle de Acesso aos dados Usuários podem definir o acesso externo de Leitura/Escrita, somente leitura ou sem acesso para as tags.  Utilizado para o controle onde as tags podem ser modificadas de uma IHM ou aplicação externa (Scada) Uma conexão segura e confiável estabelecida entre o RSLogix 5000 e o controlador  Garante que o atributo de “Acesso Externo” pode ser apenas alterado pelo RSLogix 5000  O FactoryTalk Security define “Quem” pode usar o RSLogix 5000 para mudar este atributo Usuário pode também definir as tags com valores constantes  Valores constantes não podem ser modificados pela lógica do controlador Melhora da segurança de acesso aos tags Especialmente quando utilizado junto com o FactoryTalk® Security ou o aplicativo CPU Lock tool Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 11
    • Detecção de mudanças no controlador• Todos controladores Logix expõem um valor de auditoria de detecção de mudanças• Quando algo acontece que possa impactar no comportamento do controlador; este valor se altera.• O valor de auditoria está disponível no RSLogix 5000, em outros software aplicativos e também via instrução Message.• Pode-se configurar os eventos que registram as Modificações no controlador. Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 13
    • Detecção de mudanças no controlador O valor de auditoria é armazenado em cada entrada de registro do controlador FactoryTalk® AssetCentre (na v.4.1), poderá monitorar o valor de auditoria e ler o registro do controlador Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 14
    • FactoryTalk Security Security AuthorityUse FactoryTalk Security para… (FactoryTalk Directory)Gerenciar as ameaças internas,autenticar o usuário e autorizar o uso deaplicativos de software para acessar os (Passo 1) Solicitação (Passo 2) Acessodispositivos de automação de Acesso Permitido ou Negado (Passo 3 - opcional) Autoriza O acesso para um dispositivo específicoComo isto funciona?O software possui um gerenciamento (Todos os softwares possuem o FactoryTalk Security habilitado)centralizado para verificar as permissõesde cada usuário e conceder ou não assolicitações do usuário para executar uma  Regras de Usuários (Grupos FT Windows)ação sobre o recurso dentro do sistema.   Contas de Usuários (Usuários FT ou Windows) Computadores e Grupos de Computadores  Politicas de Segurança de Sistema  Politicas de Segurança de Produtos  Controladores devem ser seguros  Segurança dos Controladores por área Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 15
    • FactoryTalk Security Configuration O FactoryTalk Directory pode ser configurado para o acesso seguro ao sistema baseado em:  Segurança de Controladores por Area  Politica de segurança de Produtos  Politica de segurança do Sistema (Segurança da Planta)  Computadores e Grupo de Computadores  Controladores (A serem contolados)  Usuários (Usuários do Windows ou FactoryTalk)  Políticas de Segurança ( Grupos Windows or FactoryTalk) Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • FactoryTalk SecurityOperação Stand Alone – Cache de Segurança – FactoryTalk® Directory possui um armazenamento central como “paginas amarelas” para a configuração das informações de segurança (Usuários, regras, controladores, permissões, etc) • Cada vez que um cliente é conectado ao Directory, é feito o update com as últimas versões de segurança. Client • E toda a informação é armazenada localmente quando desconectado do Directory Client Client FactoryTalk Directory Security Authority Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 17
    • RSLogix v20 – Novidade!!!!FactoryTalk Security - Cache Expiration A operação desconectado do FT é possível através do cache das políticas de segurança no computador client.  Esta nova característica define quanto tempo esta política é valida. Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 18
    • RSLogix v20 – Novidade!!!!Identificador de Segurança e Autoridade Com o FactoryTalk Services Platform SR5 e o RSLogix V20  É possível configurar os controladores Logix para que todos os usuários sejam autenticados em uma determinada instância do FactoryTalk Directory antes de acessar o controlador. (Security Authority Identifier) Qualquer um que esta trabalhando em um projeto (on-line ou off-line) com a caixa “Security Authority ID required” marcada… O primeiro requisito é o “Log On” ….. … utilizando o FactoryTalk Directory nesta máquina Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 19
    • RSLogix v20 – Novidade!!!!Identificador de Segurança e Autoridade Usando o FactoryTalk Administration Console, o Identificador de Segurança e Autoridade (Security Authority Identifier) pode executar as seguintes ações:  Visualizar ou modificar configurações e fazer backup do diretório para segurança.  Restaura um backup, com opção de sobre escrever o conteúdo do diretório.  O Identificador (ID) do Directory está no nome do arquivo (para fácil utilização) The Security Authority Identifier looks like this Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • RSLogix v20 – Novidade!!!!A segurança é fácil de ser configurada… O FactoryTalk Security é instalado pelo RSLogix 5000 (automaticamente) Por padrão, a segurança é “desabilitada”;  Você faz parte do grupo local de Administradores do Windows  Você será logado automaticamente toda a vez que abrir o RSLogix 5000 Para habilitar a segurança: Abra o FactoryTalk Administration Console  Vá em : System/Policies/Product Policies/Logix5000/Feature - Security  Selecione “Controller: Secure” para “allow” então você poderá usar esta característica  Adicione Admin & User Accounts  Apague o “Windows Admin” A segurança pode ser habilitada no RSLogix 5000 ! Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 21
    • Identificador de Segurança e AutoridadeBest Practices Faça um backup do Directory e defina uma senha  Não existe nenhum tipo de “backdoor”, portanto mantenha em um local seguro. Faça backup dos seus projetos  Projetos offline também podem ser protegidos  Opção para salvar projetos em offline seguros ou não Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 22
    • O que há de novo na versão v21Autorização de Aplicação Atua como uma lista em branco de aplicações para "aceitar" ou "negar" o acesso ao Directory a partir de aplicações FactoryTalk criadas.  Gerenciamento do acesso por: App, Versão, Computador e Fabricante (RA).  A coluna do fabricante mostra a assinatura digital que verifica a autenticidade do software. Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 24
    • Informação adicional FactoryTalk Security FactoryTalk Security Help Publication FTSEC – QS001D-EN-E – Nov 2011http://literature.rockwellautomation.com/idc/groups/literature/documents/qs/ftsec-qs001_-en-e.pdf 25 Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • 1756-EN2TSCMódulo de Comunicação Segura Módulos com capacidade de comunicação VPN  IPSec VPN  Segurança Classe 3, suporta E/S  Client / Server  USB e switch de config. de end. IP podem ser desabilitados  Mesmo número de conexões do EN2T Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • Designação de permissão de ranhura Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
    • Mantenha-se Atualizado – ICS CERT http://www.us-cert.gov/control_systems/ics-cert/ Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 28
    • Mantenha-se Atualizado http://rockwellautomation.com/securityAssessment Security Services Resources Knowledgebase Security w/ SecurityTechnology Technotes Security MS Patch FAQ Qualification Security Reference Services ArchitecturesLeadership & Assessment Standards Services secure@ra.rockwell.com Pretty Good Privacy (PGP) Public Key Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 29
    • Qualificação de Patch da Microsoft Whitepaper Computer System Security Updates: Why patch your computers? Knowledgebase Article #: 35530* Microsoft Patch Qualification for Rockwell Automation software products *TechConnectSM support contract required http://rockwellautomation.custhelp.com/app/answers/detail/a_id/35530 Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 30
    • Qualificação de Patch da Microsoft Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 31
    • Mantenha-se Atualizado –Security Advisory Index AID#54102Rockwell Automation Knowledgebase Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 32
    • Como isso funciona… RSLogix 5000 ▼ FactoryTalk Service RNAutility.dll Sept 13 Sept 16 Sept 27 Oct 5 Individual FTSP Patches released Click me! Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 33
    • Para ter certeza que você está atualizado,acesse… http://rockwellautomation.com/security Copyright © 2012 Rockwell Automation, Inc. All rights reserved. 34
    • Perguntas? Copyright © 2012 Rockwell Automation, Inc. All rights reserved.