1o relatório anual ti safe sobre incidentes de segurança em redes  de automação brasileiras
 

1o relatório anual ti safe sobre incidentes de segurança em redes de automação brasileiras

on

  • 668 views

Este relatório é uma análise detalhada dos incidentes de segurança em redes de automação brasileiras que busca apresentar a situação das ameaças contra a infraestrutura crítica nacional.

Este relatório é uma análise detalhada dos incidentes de segurança em redes de automação brasileiras que busca apresentar a situação das ameaças contra a infraestrutura crítica nacional.
O levantamento conta com dados coletados em clientes da TI Safe de 2008 a 2014.

Statistics

Views

Total Views
668
Views on SlideShare
668
Embed Views
0

Actions

Likes
0
Downloads
56
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

1o relatório anual ti safe sobre incidentes de segurança em redes  de automação brasileiras 1o relatório anual ti safe sobre incidentes de segurança em redes de automação brasileiras Document Transcript

  • 1 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de automação brasileiras Maio de 2014
  • 2 Índice Índice .......................................................................................2 Introdução ao relatório................................................................4 Dados quantitativos de incidentes de segurança em redes de automação Brasileiras .................................................................5 Redes de automação vulneráveis de norte a sul do país ..................7 Malware: o principal vilão das redes de automação.........................8 Falta de Treinamento e conscientização em Segurança SCADA.........9 Conclusão................................................................................ 11 Referências.............................................................................. 13
  • 3 Sobre a TI Safe Segurança da Informação A TI Safe é uma empresa brasileira fornecedora de produtos e serviços de qualidade para segurança da informação e redes industriais. Presente em grandes cidades do país oferece ampla gama de soluções para empresas e infraestruturas críticas. O portfólio da empresa conta com oferta de soluções para governança industrial, segurança de borda de redes de automação, proteção da rede interna, acesso remoto seguro, segurança de dados contra espionagem industrial, combate a cyber ameaças e treinamento (presencial e on-line). Fundada em março de 2007 e atuando com pioneirismo, a TI Safe criou no ano de 2008 sua divisão para segurança SCADA e foi a primeira empresa brasileira a fornecer soluções para a segurança de redes industriais baseadas nas normas ANSI/ISA-99 e NIST SP 800- 82 através de profissionais provenientes da área de automação, com reconhecimento técnico e certificações internacionais voltadas para arquitetura de segurança de sistemas SCADA. Atualmente a empresa é integrante do comitê internacional da norma ANSI/ISA-99 que estabelece boas práticas para a segurança de redes industriais e desenvolve pesquisas nesta área, tendo diversos trabalhos técnicos publicados e apresentados em eventos nacionais e internacionais. Conheça um pouco mais do que a TI Safe pode fazer para garantir a segurança das redes industriais de sua empresa. Visite o nosso website em www.tisafe.com e nossas redes sociais: • Twitter: @tisafe • Youtube: www.youtube.com/tisafevideos • SlideShare: www.slideshare.net/tisafe • Facebook: www.facebook.com/tisafe • Flickr: http://www.flickr.com/photos/tisafe
  • 4 IntroduçãoIntroduçãoIntroduçãoIntrodução ao relatórioao relatórioao relatórioao relatório A falta de fontes oficiais de informações sobre incidentes de segurança em redes industriais e SCADA no Brasil gera uma lacuna importante no ciclo de proteção destas infraestruturas críticas. Sem dados estatísticos sobre incidentes, investimentos necessários na segurança de infraestruturas críticas não são realizados mantendo-as vulneráveis. Este relatório é uma análise detalhada dos incidentes de segurança em redes de automação brasileiras como parte de nossa pesquisa contínua para compreender a situação das ameaças contra a infraestrutura crítica nacional. Tem como principal objetivo ser uma fonte de referência e pesquisa para interessados no tema e orientar gestores quanto às principais fontes de ameaças e as vulnerabilidades por elas exploradas. Todos os dados utilizados para a elaboração relatório foram obtidos a partir de conteúdos de projetos executados pela TI Safe Segurança da Informação em seus clientes no Brasil. A esta coletânea quantitativa de dados sobre incidentes de segurança em plantas industriais batizamos “TI Safe Security Incident Knowledge Base (SIKB)”. É importante frisar que estes dados possuem caráter extremamente sigiloso e estão protegidos por acordos de confidencialidade que a TI Safe mantém com seus clientes. Nenhum nome de cliente, projeto, informação técnica ou financeira está disponível na TI Safe SIKB, que contém apenas dados quantitativos consolidados, o que não representa de nenhuma forma uma ameaça à confidencialidade dos dados de nossos clientes.
  • 5 É relevante ponderar que os dados integrantes da TI Safe SIKB não correspondem à totalidade dos incidentes de segurança de automação em plantas industriais brasileiras. Eles representam única e exclusivamente uma fotografia dos incidentes ocorridos em clientes da TI Safe no Brasil. Como a grande maioria dos clientes da TI Safe está localizado nas regiões geográficas sudeste, sul e nordeste, os dados de incidentes estão mais concentrados nestas regiões. Os dados apresentados neste relatório foram coletados no período de Setembro de 2008 a Abril de 2014. Dados quantitativos de iDados quantitativos de iDados quantitativos de iDados quantitativos de incidentes de sncidentes de sncidentes de sncidentes de segurança em redes deegurança em redes deegurança em redes deegurança em redes de automação bautomação bautomação bautomação brasileirasrasileirasrasileirasrasileiras Com mais de 201 milhões de habitantes, o Brasil se classifica como o país mais populoso da América Latina e o quinto do mundo. A enorme população do Brasil contribui para sua grande participação de usuários de Internet, de quase 88,5 milhões1 . Segundo relatório publicado pela OEA (Organização dos Estados Americanos)2 , desde 2011, quase duas em cada cinco famílias brasileiras (38%)2 já têm acesso à Internet. Devido ao tamanho da população, o Brasil se tornou um imã para os criminosos cibernéticos que veem os usuários online como um mercado lucrativo para atividades ilegais. A velocidade média de conexão de banda larga no Brasil continua a crescer. Mais de um décimo (13%) dos usuários de Internet no país agora contam com velocidades acima de 4Mbps3 . A evolução do Brasil para uma sociedade mais conectada também serve como um catalisador para atividades de criminosos cibernéticos sofisticados. Quanto mais usuários conectados à Internet, e quanto melhor a velocidade de conexão, maior o número de atacantes interessados em praticar atividades ilegais na rede mundial de computadores.
  • 6 Gradativamente os grupos hackers que antes somente se interessavam em atacar bancos e instituições financeiras estão descobrindo novos alvos em infraestruturas críticas, o que tem aumentado ano a ano a quantidade de incidentes de segurança nestes ativos, como mostra a tabela e gráficos a seguir. Incidentes de segurança por ano 2008 2009 2010 2011 2012 2013 2014 Total Malware 1 1 2 2 3 7 11 27 Erro Humano 2 2 3 4 3 3 7 24 Falhas em dispositivos 0 0 1 2 4 4 4 15 Sabotagem 0 0 1 0 0 0 1 2 Tipode Ameaça Não identificados 0 1 1 0 1 2 4 9 Tabela 1: Quantidades anuais de incidentes de segurança em redes de automação Brasileiras (dados de 2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base) Figura 1: Números consolidados dos Incidentes de Segurança em redes de automação Brasileiras (Dados de 2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base)
  • 7 Figura 2: Evolução dos Incidentes de Segurança em redes de automação Brasileiras (Dados de 2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base) RedRedRedRedes de automação vulneráveis de Nes de automação vulneráveis de Nes de automação vulneráveis de Nes de automação vulneráveis de Norte aorte aorte aorte a SSSSul do paísul do paísul do paísul do país O uso de sistemas de controle de processos industriais (SCADA) conectados à redes corporativas e, em alguns casos conectados à Internet, expõe estes sistemas à ataques, já que a maioria não possui recursos mínimos de segurança. Ataques a SCADA não devem ser vistos como tentativas únicas de roubar dados confidenciais de indústrias e organismos governamentais. O maior risco nestes sistemas está ligado à possibilidade da interrupção ou alteração do comportamento das redes de automação, que pode levar a consequências catastróficas. O crescimento dos incidentes de segurança é um fenômeno nacional percebido em todas as regiões geográficas do país, como mostram a tabela e o gráfico a seguir: Incidentes de segurança por ano 2008 2009 2010 2011 2012 2013 2014 Total Norte 0 0 0 0 1 1 1 3 Centro-Oeste 0 0 0 1 0 1 2 4 Sudeste 3 2 4 5 5 9 11 39 Sul 0 1 2 1 3 3 7 17 Regiões Geográficas Brasileiras Nordeste 0 1 2 1 2 2 6 14 Tabela 2: Incidentes de Segurança em redes de automação por região demográfica Brasileira (dados de 2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base)
  • 8 Figura 3: Incidentes de Segurança em redes de automação por região demográfica Brasileira (dados de 2008 a 2014 – Fonte: TI Safe Security Incident Knowledge Base) Malware: o principal vilão das redes de automaçãoMalware: o principal vilão das redes de automaçãoMalware: o principal vilão das redes de automaçãoMalware: o principal vilão das redes de automação Comumente conhecido e generalizado como Vírus, malware agrupa todo software ou programa criado com a intenção de abrigar funções para penetrar em sistemas, quebrar regras de segurança, roubar informações e servir de base para demais operações ilegais e/ou prejudiciais.4 Worm é um tipo de Malware capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Um worm pode ser projetado para tomar ações maliciosas após infectar um sistema, além de se replicar automaticamente, pode
  • 9 deletar arquivos em um sistema ou ser usado para instalação e propagação de outros softwares maliciosos. Alguns worms são inteligentes e não possuem toda sua carga maliciosa no momento da infecção. Estes primeiro verificam o host, suas contramedidas e as desligam ou desativam antes de baixar o restante de sua carga maliciosa. A partir disso, um worm pode tornar o computador infectado vulnerável a outros ataques mudando diversas configurações do sistema, removendo patches ou aplicando novos patches que desfaçam patches passados. Worms podem provocar danos às redes de controle apenas com o tráfego gerado pela sua reprodução (conhecido como ruído). Em nosso levantamento, o Worm "Conficker Win 32"5 , dominou a contagem de malware em plantas de automação no Brasil de 2008 a 2014, tendo sido o responsável por 14 das 27 infecções computadas. Esta alta incidência mostra que a maioria das redes de automação no país não possui recursos mínimos de segurança contra malware, contendo máquinas sem antivírus e com patches na maioria das vezes desatualizados, quando existem. Este frágil cenário se deve basicamente a dois fatores: a demora dos fabricantes em liberar e testar patches após eles terem sido liberados e a falta de políticas e boas práticas de segurança da informação em redes de automação. Falta de TreiFalta de TreiFalta de TreiFalta de Treinamentonamentonamentonamento e conscientizaçãoe conscientizaçãoe conscientizaçãoe conscientização em Segurança SCADAem Segurança SCADAem Segurança SCADAem Segurança SCADA Baseado em uma pesquisa6 sobre o crime cibernético de 2011, mais da metade (57%) das empresas no Brasil não tem os recursos ou sabe se são capazes de investigar o crime cibernético. Exatamente a metade (50%) também desconhecia se suas empresas podiam
  • 10 detectar e prevenir o crime cibernético. Dois entre cinco brasileiros pesquisados também disseram não ter recebido treinamento em segurança cibernética em 2011. Este número foi obtido exclusivamente a partir de depoimentos de usuários de redes de T.I. (Tecnologia da Informação), também conhecidas como redes corporativas. Devido a fatores culturais e também pela exposição direta à internet, as redes corporativas adotam uma melhor prática de treinamento e conscientização quanto às ameaças cibernéticas. O mesmo não ocorre com os usuários de redes de automação, que raramente tem acesso a treinamentos sobre segurança SCADA, não recebendo capacitação adequada e aumentando muito o risco de incidentes de segurança nestas redes. Desde 2010 a TI Safe tem oferecido de forma pioneira a “Formação em Segurança de Automação Industrial"7 , primeira formação em segurança SCADA em língua portuguesa e que hoje conta com pouco mais de 400 alunos formados. Em um país que possui aproximadamente 31.000 plantas de automação de diferentes tamanhos, este número de alunos treinados ainda é absolutamente inexpressivo. Figura 4: Número de alunos capacitados pela TI Safe de 2010 a 2014.
  • 11 A falta de capacitação e conscientização dos usuários das redes de automação é um dos fatores responsáveis pela alta taxa de erros humanos computados em nossa análise. As infraestruturas críticas deveriam elaborar planos anuais de treinamento e capacitação de seus funcionários em segurança de automação industrial, da mesma forma como já é feito para os usuários das redes corporativas no que tange à segurança das informações. ConclusãoConclusãoConclusãoConclusão O desenvolvimento da economia brasileira fez o país alcançar um lugar de destaque no cenário internacional nos últimos anos. Somado a este crescimento está o fato do país estar sediando eventos globais como a copa do mundo de 2014 e as olimpíadas de 2016. Estes fatores colocam o país na berlinda dos ataques cibernéticos de todas as ordens, incluindo ataques às suas infraestruturas críticas. Ano a ano a quantidade de ataques tem crescido de forma exponencial. Somente nos 4 primeiros meses de 2014 já foram computados mais incidentes de segurança em redes de automação do que em todo o ano de 2013. Além disso o país já conta com 2 casos comprovados de sabotagem cibernética que ocasionaram graves incidentes de segurança em plantas industriais. Se por um lado ocorre o crescimento dos incidentes de segurança em redes de automação de norte a sul do país, por outro lado os investimentos em segurança de automação ainda minguam e ficam muito aquém do necessário. A falta de uma educação ampla e básica para os usuários e gestores de plantas de automação facilita a ocorrência de erros humanos e a
  • 12 ação de invasores que utilizam táticas de engenharia social para executar suas atividades. Ataques de baixa sofisticação e malwares caseiros tem provocado danos substanciais aos sistemas SCADA desprotegidos. Finalmente percebemos que ainda existe um senso de segurança por desconhecimento do risco em grande parte das plantas de automação nacionais. Gestores de automação ainda acreditam que nada de errado irá acontecer às suas redes de automação baseados no fato que “nos últimos 30 anos nada de errado aconteceu, porque iria acontecer agora?”. Além disso notamos uma grande inversão de valores no que diz respeito aos investimentos em segurança da informação. As infraestruturas críticas acabam por investir bem mais na segurança das redes de T.I. do que nas redes de automação que são o coração do negócio de suas empresas. Enquanto o cenário das ameaças e da economia do submundo é de crescimento no Brasil, o governo e as agências legais ainda tomam atitudes tímidas. Embora tenha havido um avanço na área de legislação com a aprovação do Marco Civil da Internet, ainda está claro que é preciso mais em termos de recrutamento e treinamento de especialistas de segurança cibernética para a imposição de normas mais rígidas que possam ajudar a reforçar a segurança das infraestruturas críticas nacionais. É notório que há carência na ordem de 1 milhão de profissionais de segurança da informação em todo o mundo8 . Certamente profissionais em segurança SCADA são grande parte desta demanda. Um dos objetivos da TI Safe, além de formar nova mão de obra, é absorvê-la e oferecê-la ao mercado através do seu portfolio de serviços.
  • 13 ReferênciasReferênciasReferênciasReferências 1. Miniwatts Marketing Group. 27 de novembro, 2012. Internet World Stats. “Brazil Internet Stats and Telecom Market Report.” Acesso em 20 de junho, 2013, www.internetworldstats.com/sa/br.htm. 2. Organização dos Estados Americanos (21 de junho, 2012). OAS Cyber Security Program. “Overview of Information Security (Cyber Security and Cyber Defense of Critical Infrastructure in Brazil).” Acesso em 20 de junho, 2013, http://www.oas.org/cyber/presentations/OAS%20set%202012.pdf. 3. Akamai. (22 de abril, 2013). “The State of the Internet 4th Quarter 2012 Report.” Acesso em 20 de junho, 2013, http://www.akamai.com/dl/whitepapers/akamai_soti_q412.pdf?curl=/dl/whitep apers/akamai_soti_q412.pdf&solcheck=1&WT.mc_id=soti_Q412&. 4. Segurança de automação e SCADA / Marcelo Ayres Branquinho ... [et al.]. 1. ed. - Rio de Janeiro. Elsevier, 2014. 5. Trend Micro Incorporated. (2013). Threat Encyclopedia. “WORM_DORKBOT: IRC Bots Rise Again?” Acesso em 23 de junho,2013,http://about- threats.trendmicro.com/us/webattack/102/wormdorkbot%20irc%20bots%20ris e%20again. 6. PricewaterhouseCoopers LLP. (2011). “Cybercrime Protecting Against the Growing Threat, Global Economic Survey 2011.” Acesso em 20 de junho, 2013, http://www.pwc.com.br/pt/publicacoes/assets/pesquisa-crimes-digitais-11- ingles.pdf.Relatório 7. TI Safe. (17 de Setembro de 2013). Ementa da Formação em Segurança de Automação Industrial". Acesso em 17 de maio, 2014, http://pt.slideshare.net/tisafe/ementa-da-formao-em-segurana-de-automao- industrial 8. ISACA. (2014). Cybersecurity Skills Crisis. http://www.isaca.org/About- ISACA/Press-room/News-Releases/2014/Pages/To-Address-Global- Cybersecurity-Skills-Crisis-ISACA-Unveils-Comprehensive-Cybersecurity-Nexus- Program.aspx