Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Apresentação - Evento de Segurança de Automação em Salvador

1,939
views

Published on

Evento de Segurança de Automação realizado em Salvador, no dia 17-/05/2013

Evento de Segurança de Automação realizado em Salvador, no dia 17-/05/2013


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,939
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
54
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.SeguranSegurançça da Informaa da Informaçção em Ambientes deão em Ambientes deAutomaAutomaçção Industrial (TA) e redes SCADAão Industrial (TA) e redes SCADASalvador, BAMaio de 2013
  • 2. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Agenda do Evento
  • 3. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.TI Safe: Presença Nacional• EscritóriosRio de JaneiroSão Paulo• Representantes ComerciaisPorto AlegreBrasíliaGoiâniaSalvadorManaus
  • 4. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Siga a TI Safe nas Redes Sociais• Twitter: @tisafe• Youtube: www.youtube.com/tisafevideos• SlideShare: www.slideshare.net/tisafe• Facebook: www.facebook.com/tisafe• Flickr: http://www.flickr.com/photos/tisafe
  • 5. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.PalestranteMarcelo BranquinhoMarcelo.branquinho@tisafe.comEngenheiro eletricista, com especialização em sistemas de computação com MBA em gestãode negócios e membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurançada Informação onde também atua como chefe do departamento de segurança parasistemas de automação industrial.• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou odesenvolvimento da Formação de Analistas de Segurança de Automação, primeiraformação brasileira no segmento e ministrada em infra-estruturas críticas e organismosgovernamentais brasileiros.• Atualmente é integrante do comitê internacional que mantém a norma ANSI/ISA-99.• Possui certificação internacional CSSA (Certified SCADA Security Architect)
  • 6. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Demonstrações TécnicasJan Seidljan.seidl@tisafe.com• Coordenador técnico da TI Safe. Especialista em análise de riscos em sistemas deautomação e pesquisador na área de engenharia de Malware.• Evangelista apaixonado *NIX, BSD, C e Python. Profissional e pesquisador de segurançada informação, dedicado ao pentest e análise reversa de malware com larga experiênciana administração e segurança de servidores, redes e aplicações.• Autor do blog sobre infosec http://wroot.org.
  • 7. TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Cyber Terrorismo e a Segurança dasInfraestruturas Críticas
  • 8. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.8O que é automação?• Engenharia de automação é o estudo das técnicas que visam otimizar um processo denegócio, aumentando sua produtividade, promovendo a valorização da força detrabalho humano, e assegurando uma operação ambientalmente segura.• É um conjunto de métodos para a realização de tarefas repetitivas• Deixa para o homem, fazer no máximo intervenções sob demanda, análise e tomadade decisões
  • 9. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.9Automação hojeCada sistema de automação normalmente é composto por 5 elementos:• Acionamento: provê ao sistema energia para atingir determinado objetivo. Ex:Motores, Pistões hidráulicos, etc• Sensoriamento: mede o desempenho do sistema de automação ou uma propriedadeparticular de alguns de seus componentes• Controle: Utiliza as informações dos sensores para regular, controlar os dispositivos.Ex: para acionar motores, válvulas, etc• Comparador: elemento que permite comparar valores medidos com valores pre-estabelecidos e que servem para a tomada de decisão de quando e como atuar. Ex:termostato e os sistemas de software• Programas: contêm as informações de processo e permitem controlar as interaçõesentre os diversos componentes
  • 10. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.10Exemplos de aplicaçõesPara automatizar uma academia de ginástica:Leitor biométrico para identificar o clienteO Leitor biométrico envia as informações para o computadorO cliente é identificado pelo software (programa)Caso sua matricula esteja em ordem, a catraca é liberada pelo computador(acionamento)É registrado a ocorrência no banco de dados.
  • 11. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.11Campos de atuação na área IndustrialControle de Plantas Industriais:
  • 12. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.12Campos de atuação na área IndustrialControle e Monitoramento de componentes:
  • 13. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.13Campos de atuação na área IndustrialNa saída dos produtos:
  • 14. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.14Centro de Controle OperacionalAgrupa em um único centro as informações dos sistemas de controle industriais.
  • 15. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Arquitetura de sistemasArquitetura de sistemasindustriaisindustriais
  • 16. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Sistemas SCADA• Os sistemas SCADA são utilizados emprocessos industriais, como naprodução de aço, produção de energia(convencional e nuclear), distribuiçãode energia, metalomecânica, indústriaquímica, estações de tratamento deáguas, etc.• Em Indústrias, as soluções baseadasna arquitetura SCADA são as maisusadas (Fix, Factory Link,CIMPLICITY, e outras soluções demercado).SCADA = Supervisory Control And Data Acquisition
  • 17. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Arquitetura básica• Um sistema SCADA é composto por:Instrumentação de campo.Autômatos Programáveis.Rede de comunicações.Sistemas Supervisórios
  • 18. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Instrumentação de Campo• Dispositivos que estão ligados ao equipamento ou máquinas aserem monitoradas e controladas pelo sistema SCADA:Sensores para monitorar alguns parâmetros;Atuadores para controlar alguns módulos do sistema.• Estes dispositivos convertem os parâmetros físicos (i.e. fluxo,velocidade, nível, etc.) em sinais elétricos que serão acessadospelas estações remotas.• As saídas podem ser analógicas ou digitais.• As saídas em tensão são utilizadas quando os sensores são instalados perto dos controladores; emcorrente quando os sensores estão longe dos controladores.• As entradas podem ser analógicas ou digitais.Entradas digitais podem ser utilizadas para ligar/desligar equipamento;Entradas analógicas são usadas para controlar a velocidade de um motor ou a posição de umaválvula motorizada.
  • 19. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Autômatos Programáveis• Instalados na planta e controlados pelaentidade central. A instrumentação decampo é ligada aos autômatosprogramáveis, que recolhem ainformação do equipamento e atransferem para o SCADA central.• Tipos:CLP: Controlador LógicoProgramável (PLC em Inglês)RTU: Também chamados deremotas (do inglês, RemoteTerminal Units)IED: dispositivos controladorescomumente utilizados emempresas de energia elétrica.
  • 20. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Topologias de redes SCADA*FEP = Front End Processor
  • 21. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Redes Industriais• Integram todo ou parte do conjunto de informações presentes em uma indústria• Sistema distribuído eficaz no compartilhamento de informações e recursos dispostos porum conjunto de máquinas processadoras• Vários usuários podem trocar informações em todos os níveis dentro da fábrica• Vários protocolos de comunicação para redes SCADA foram desenvolvidos por diferentesfabricantes de equipamentos industriais
  • 22. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Protocolos Industriais - Padrões Fieldbus• Fieldbus é um termo genérico empregado para descrever tecnologias decomunicação industrial para controle em tempo real;• O termo Fieldbus abrange diferentes protocolos para redes industriais• Atualmente há uma vasta variedade de padrões Fieldbus. Alguns dos mais usadossão:AS-Interface (ASI)CAN BusDeviceNetData HighwayLonWorksModbusProfibus
  • 23. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Supervisão e Controle de Processos• A supervisão e o controle de processos produtivos suportam os operadores para agestão de aplicações bastante complexas.• A supervisão e controle assume-se como uma plataforma crucial à gestão, visualizaçãoe processamento de informação em ambiente industrial.• Existem dois tipos de supervisão e controle:IHM: Interface Homem Máquina, para supervisão e controle distribuído.Sistemas Supervisórios: para supervisão e controle centralizado.
  • 24. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Infraestruturas CrInfraestruturas Crííticas eticas eCyber TerrorismoCyber Terrorismo
  • 25. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.O que são infraestruturas críticas?São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda,interrupção significativa ou degradação dos serviços poderia ter graves conseqüênciassociais ou à segurança nacional.Exemplos:Geração e distribuição de eletricidade;Telecomunicações;Fornecimento de água;Produção de alimentos e distribuição;Aquecimento (gas natural, óleo combustível);Saúde Pública;Sistemas de Transportes;Serviços financeiros;Serviços de Segurança (polícia, exército)
  • 26. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ataques aéreos – 1ª Guerra Mundial• Aviões foram usados em combate pela primeira vez na primeira guerra mundial• Trunfo: podiam bombardear a infraestrutura crítica de nações sem serem atingidos• Na época, causaram grande terror à população e aos governos
  • 27. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Cyber War• Cyber War ou Guerra Cibernética é (conceitualmente) apenas uma nova modalidadeda guerra convencional.• Principais diferenças:• Silenciosa• Anônima• Sem território definido• Sem reação• Quem? Como? De onde?
  • 28. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Guerra Convencional X Guerra Cibernética$1.5 a $2 bilhões$80 a $120 milhõesQuanto custa um bombardeiro StealthQuanto custa um caça Stealth?$1 a $2 milhõesQuanto custa um míssil de cruzeiro$300 a $50,000Quanto custa uma cyber arma?
  • 29. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Encontre as armas de destruição em massa:Fábricas de armas nucleares Fábricas de cyber-armasOnde estão as fábricas decyber armas?
  • 30. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Antigamente...Chen-Ing Hau, 24(Autor do vírus CIH)Joseph McElroy, 16(Invadiu o laboratório de pesquisasnucleares dos EUA)Jeffrey Parson, 18(autor do Blaster.B virus)Objetivo:Destruir
  • 31. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Os tempos mudaram…“Script Kiddies”, usando toolkits baixados da internet precisam de muito poucoconhecimento técnico para lançar um ataque!PhishingToolkits
  • 32. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Literatura Hacker• A criticidade do uso e o impacto provocado por ataques a redes de automaçãoaumentou o interesse de hackers em realizar ataques. Já existem livros ensinandocomo atacar uma rede industrial.
  • 33. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.O que movimenta esse mercado?SPAMPhishingEspionagemIndustrialRoubo deidentidadesRoubo dedadoscorporativosSequestro debrowserPop ups& BOsRoubo deDadospessoaisÉ um negócio!
  • 34. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Os novos atacantes• SilenciososSem alarmes, sem vestígios• PrecisosPersonalização, códigosespecíficosTomam vantagem sobre fraquezastecnológicas e humanas• PatrocinadosPor governosPor empresas concorrentesPor empresas de hackingPor grupos terroristas
  • 35. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ciberterroristas• Grupos organizados custeados por governos de países ou organizações terroristaspara promover o terrorismo ao redor do mundo.• A infraestrutura crítica dos países é o alvo preferido destes grupos.• Enquanto hackers se preocupam em roubar ativos da empresa, Ciberterroristas sededicam a promover atos de destruição.• Cyber-Jihad e Cyber Al-Qaeda são exemplos.
  • 36. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ciberespiões• Ciberespionagem é a prática de usar computadores e tecnologia da informação paraconseguir informação confidencial de um adversário.• Diferentemente das técnicas tradicionais de espionagem, como plantar escutastelefônicas, as escutas cibernéticas são bem mais difíceis de serem detectadas.• Uma vez que o espião tenha desenvolvido ou comprado uma escuta cibernética, atécnica mais comum de plantá-la é por email. Entretanto deve ser notado que já foramencontrados códigos espiões no firmware de equipamentos eletrônicos fornecidos porempresas estrangeiras, principalmente chinesas.
  • 37. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Hacktivistas• Hacktivismo é o ato de invadir sistemas de computação por motivos políticos ousociais.• O indivíduo que realiza atos de Hacktivismo é denominado Hacktivista.• Alguns grupos hacktivistas famosos:Anonymous: http://anonymous.pysia.info/Lulzsec: http://lulzsecbrazil.net/Team Web Ninjas: http://hackmageddon.com/tag/web-ninjas/
  • 38. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Guerreiros cibernéticos (Cyber Warriors)• São pessoas que se engajam na guerra cibernética, seja por razões pessoais, patriotismoou crenças religiosas.• Ciberguerreiros podem atacar computadores ou sistemas de informação através dehacking ou outras estratégias relacionadas, ou defendê-los dos seus inimigos.• Eles também podem encontrar melhores maneiras de proteger um sistema ao encontrarvulnerabilidades por meio de técnicas de hacking e anulando estas vulnerabilidades antesque os inimigos a explorem.• Ciberguerreiros são frequentemente contratados por governos de países e organizaçõesmilitares.
  • 39. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.A Ameaça Interna• Grande parte das invasões realizadas em sistemas de tecnologia corporativos têmparticipação de funcionários ou ex-funcionários das empresas. A afirmação feita háalguns meses pelo detetive britânico Chris Simpson - da unidade de crimes decomputação da polícia metropolitana londrina - é reforçada no Brasil pelo IPDI (Institutode Peritos em Tecnologias Digitais e Telecomunicações).• Segundo o IPDI, 80% dos golpes realizados no ambiente corporativo, sejam on-line ouoff-line, contam com colaboração interna.• Esta tendência, aliada à popularização do uso da tecnologia, facilita o roubo deinformações, espionagem industrial, sabotagem, entre outros tipos de crime.Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u19452.shtml
  • 40. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Principais ataques contraPrincipais ataques contraredes de automaredes de automaççãoão
  • 41. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Shodan• Hackers estão usando o site de busca Shodan para encontrar computadoresde sistemas SCADA que utilizam mecanismos potencialmente inseguros paraautenticação e autorização.http://www.shodanhq.com
  • 42. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Repository for Industrial Security Incidents• http://www.securityincidents.org/• O Repositório de Incidentes de Segurança Industrial é um banco de dados deincidentes que têm (ou podem ter) afetado controle de processos e sistemas SCADA.• O objetivo da RISI é coletar, investigar, analisar e compartilhar importantes incidentesde segurança industrial entre as empresas associadas para que elaspossam aprender com as experiências dos outros.• Os dados são recolhidos através da investigação sobre incidentes de conhecimentopúblico e de comunicação privados.
  • 43. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede deautomaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNsInternet Directly17%VPN Connection7%Dial-up modem7%Trusted 3rd PartyConnection10%Telco Network7%Wireless System3%Via Corprate WAN &Business Network49%
  • 44. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Bomba lógica destrói oleoduto na Sibéria• Em 1982, durante a guerra fria, os planos de umsofisticado sistema SCADA para controle deoleoduto foram roubados pela KGB de umaempresa canadense.• A CIA alega que esta empresa detectou o ataquee inseriu uma bomba lógica no código roubadopara sabotar e explodir o oleoduto.• A explosão foi equivalente a um poder de 3Quilotons de TNT. A explosão foi tão poderosaque satélites americanos enviaram alertasnucleares aos centros de controle nos EUA.
  • 45. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Oleoduto explode em Bellingham (EUA)01/06/1999• Falhas no SCADA resultaram na explosãodo oleoduto.• Gasolina atingiu dois rios nas cidades deBellingham e Washington.Explosão matou 3 pessoas e feriu 8.Aproximadamente 26 hectares deárvores e vegetação foramqueimados durante o incidente.Liberou aproximadamente 236.000galões de gasolina, causando danossubstanciais ao meio ambiente.É possível quantificar o prejuízo de um incidente como estes?
  • 46. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ataque à ETR de Maroochy Shire31/10/2001• Ataque ao sistema de controle detratamento de resíduos deMaroochy Shire em Queensland,Austrália.• A Planta passou por uma série deproblemas: bombas não acionavamquando comandadas, alarmes nãoestavam sendo reportados, e haviauma perda de comunicações entreo centro de controle e as estaçõesde bombas.• Estes problemas causaram oalagamento do terreno de um hotelpróximo, um parque, e um rio commais de 7 milhões de litros deesgoto bruto.
  • 47. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ataque à Usina Nuclear de Davis-Besse• Em 25/01/2003, a usina nuclear Davis-Besseusina nuclear em Oak Harbour, Ohio, foiinfectada com o worm "Slammer" do MS SQL.• A infecção causou sobrecarga de tráfego narede local. Como resultado, o Sistema deSegurança de Display de Parâmetros (DOCUP)ficou inacessível por quase 5h, e o computadorde processos da planta por mais de 6h.• Um firewall estava no local para isolar a rede de controle da rede da empresa, noentanto, havia uma conexão T1 a partir de uma empresa de consultoria de software,que entrou na rede de controle por trás do firewall, ignorando todas as políticas decontrole de acesso impostas pelo firewall corporativo.• O worm infectou servidor do consultor e foi capaz de entrar na rede Davis-Besseatravés da linha T1.
  • 48. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Transporte Ferroviário – Ataque à CSX20/08/2003• Sistema de sinalização ferroviárioda CSX• Virus Sobig causa desligamentodos sistemas de sinalização dacosta leste dos EUA• Virus infectou a base de controleda Flórida, desligando sinalizaçãoe outros sistemas de controleferroviário• Trens que fazem percursos delongas distâncias foram atrasadosentre 4 a 6 horas
  • 49. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ataque a centro de comando derruba satélite• Em 2008 investigadores da NASA reportaram queuma falha no ROSAT estava ligada à uma cyberinvasão no Goddard Space Flight Center, centro decomando do satélite.• Segundo o relatório da NASA: “Atividades hostiscomprometeram sistemas de computadores quedireta ou indiretamente lidam com o controle doROSAT”• Após sucessivas falhas nos meses seguintes, em23/10/11 o satélite alemão ROSAT explodiu aoreentrar na atmosfera terrestre. Seus destroçoscaíram em áreas inabitadas do planeta nãocausando vítimas.
  • 50. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Incidentes reportados até 2/3/2011 - RISI
  • 51. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Tipos de incidentes (Brasil – KB TI Safe)• Fonte: Knowledge Base TI Safe• Incidentes computados desde Julho de 2008• Dados obtidos somente de clientes da TI Safe no BrasilIncidentes # CasosMalware 9Erro Humano 15Falhas em dispositivos 8Outros 6Incidentes no Brasil24%39%21%16%MalwareErro HumanoFalhas em dispositivosOutros
  • 52. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.IntervaloIntervalo –– 15 Min.15 Min.
  • 53. TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Desenvolvendo estratégias parasegurança de redes de automação
  • 54. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Novas e poderosasNovas e poderosas CyberCyber Armas.Armas.A necessidade urgente deA necessidade urgente deseguransegurançça em redes dea em redes deautomaautomaçção.ão.
  • 55. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.2010, O Worm Stuxnet• O Stuxnet é um worm desenvolvido paraatingir sistemas de controle industriais queusam PLCs Siemens.• Seu objetivo aparenta ser a destruição deprocessos industriais específicos.• O Stuxnet infecta computadores com sistemaoperacional Windows no controle de sistemasSCADA, independente de ser ou nãoSiemens.• O Worm somente tenta fazer modificaçõesem controladoras dos PLCs modelos S7-300ou S7-400, entretanto ele é agressivo e podeafetar negativamente qualquer sistema decontrole. Computadores infectados tambémpodem ser usados como uma entrada parafuturos ataques.
  • 56. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Stuxnet ataca usinas Iranianas (2010)http://www.reuters.com/article/idUSTRE6AS4MU20101129http://arstechnica.com/business/news/2012/04/stuxnet-worm-reportedly-planted-by-iranian-double-agent-using-memory-stick.ars• O Stuxnet foi instalado em um pen-drive e transportado por um agenteduplo iraniano contratado pelogoverno de israel e acima dequalquer suspeita que o conectou aum computador do sistema desegurança.• Uma vez introduzido o vírus seespalhou silenciosamente durantemeses procurando por PLCsSiemens.• Os PLCs visados estavam nascentrífugas que são usadas noprocesso de enriquecimento dourânio a ser usado para aconstrução de bombas atômicas
  • 57. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.http://www.csmonitor.com/USA/Foreign-Policy/2010/1004/Iran-s-Bushehr-nuclear-plant-delayed-Stuxnet-not-to-blame-official-saysStuxnet ataca usinas Iranianas (cont.)• Em condições normais de operaçãoas centrífugas giram tão rápido quesuas bordas externas se deslocamcom velocidades quase sônicas.• O Stuxnet aumentou a velocidadedas centrífugas para 1600 km/hultrapassando o ponto em que orotor explodiu.• Simultanemante o Stuxnet enviavasinais falsos para os sistemas decontrole indicando que tudofuncionava normalmente.• Aproximadamente 1000 centrífugasforam afetadas e o programa nucleariraniano paralisado.
  • 58. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.O Framework Metasploit (metasploit.org)• O Metasploit é uma plataforma open-sorce para desenvolvimento, teste e uso decódigos de exploração (exploits).• É um framework de scripts totalmente modular.• Torna fácil e rápido o desenvolvimento de ataques.• Ataques são frequentemente adicionados sem que exista um patch para eles (ataques"Zero-Day“).• O Metasploit não é uma ferramenta para hacking!• Metasploit é para:Pesquisa de técnicas de exploração.Entendimento de métodos usados por atacantes.Testes de eficácia de IDPS.Testes de penetração em sistemas.Demonstrações e apresentações.
  • 59. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Metasploit e SCADA Exploitshttps://www.infosecisland.com/blogview/9340-Metasploit-and-SCADA-Exploits-Dawn-of-a-New-Era-.html
  • 60. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Exploits SCADA Zero Day publicadoshttp://www.scmagazine.com.au/News/272175,zero-day-industrial-control-system-exploits-published.aspx
  • 61. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.2011, O Worm Duqu• O Duqu é um Worm descoberto em 1/9/2011.• Seu nome vem do prefixo "~DQ" que ele atribui aos arquivos que ele cria.• A Symantec denominou o Duqu de “quase idêntico ao Stuxnet, mas com propósitototalmente diferente“. Ela acredita que o Duqu tenha sido criado pelos mesmos autoresdo Stuxnet, ou por pessoas que tiveram acesso ao código fonte do Stuxnet.• O worm, assim como o Stuxnet, tem um certificado digital válido (roubado da C-Media)e coleta informações para a preparação de futuros ataques.• Duqu utiliza comunicação peer-to-peer para se alastrar de redes inseguras para redesseguras. De acordo com a McAfee, uma das ações do Duqu é roubar certificados decomputadores atacados para ajudar em futuros ataques.• O Duqu é o primeiro worm a surgir com código fonte derivado do Stuxnet (segundageração).
  • 62. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.2012, O Malware Flame• Também conhecido como sKyWiper.• O Flame é um conjunto de ferramentasde ataque para espionagem industrial.• Ele é um backdoor, um trojan e seespalha como um Worm, se replicandoatravés de mídias externas e contatocom outras redes contaminadas.• Segundo a Kaspersy labs, “ele é muitomais complexo que o Duqu. A geografiados seus alvos (alguns países do orientemédio) e sua complexidade não deixadúvidas de que alguma nação está portrás dele.”
  • 63. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.2012, O Malware Shamoon• O Shamoon, também conhecido como Disttrack, é um malware que atacacomputadores rodando a linha Microsoft Windows "NT" de sistemas operacionais. OMalware tem sido usado para cyber espionagem no setor de energia.• Similaridades entre o Shamoon e o Flame foram destacadas pelos laboratórios depesquisa da Kaspersky Lab e Seculert. Ambos possuem a capacidade de se espalharpara outros computadores na rede através da exploração de discos compartilhados.Uma vez que um sistema tenha sido infectado, o malware continua a compilar uma listade arquivos de locais específicos no sistema, os apaga e envia a informação sobreestes arquivos para o atacante que o programou. Finalmente, o malware sobrescreveráo registro de master boot da máquina, impedindo-a de inicializar.• Um grupo chamado "Cutting Sword of Justice" seresponsabilizou pelo ataque a 30.000 computadoresna empresa de petróleo Saudi Aramco, fazendo comque a empresa tivesse que levar uma semana pararestaurar seus serviços. O grupo indicouposteriormente que o Shamoon foi usado nesteataque.
  • 64. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.A Norma de SeguranA Norma de SeguranççaaANSI/ISAANSI/ISA--9999
  • 65. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Aspectos legais• ObjetivoFornecer maior confiança aos investidores esustentabilidade às organizações• Empresas devem demonstrar boas práticas corporativas:Governança corporativa;Evitar Penalidades criminais;Ampliação da cultura de ética profissional;Estabelecimento e manutenção de controles internos;
  • 66. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.A norma ANSI/ISA 99• Norma elaborada pela ISA (TheInstrumentation Systems and AutomationSociety) para estabelecer segurança dainformação em redes industriais• É um conjunto de boas práticas paraminimizar o risco de redes de sistemasde controle sofrerem Cyber-ataques
  • 67. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Relatórios Técnicos da ISA 99• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation andControl Systems”: Fornece métodos para avaliação e auditoria de tecnologias decybersegurança, métodos para mitigação, e ferramentas que podem ser aplicadas paraproteger os sistemas de controle de automação industriais (IACS) de invasões eataques.• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturingand Control Systems Environment”: Framework para o desenvolvimento de umprograma de segurança para sistemas de controle. Fornece a organizaçãorecomendada e a estrutura para o plano de segurança. O Framework está integrado noque é chamado de CSMS (Cyber Security Management System), cujos elementos erequerimentos estão organizados em 3 categorias principais:• Análise de Riscos• Endereçando os riscos com o CSMS• Monitorando e melhorando o CSMS
  • 68. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.ANSI/ISA-TR99.00.02-2004: Estabelecendo um programa desegurança de sistemas de controle e automação industrialCategoria 1Categoria 2Categoria 3ElementgroupElementRelacionamento de categoriasAnálise de RiscosIdentificação,classificação eanálise de riscosRacional doNegócioEndereçando riscos com o CSMSPolítica de Segurança,organização etreinamentoEscopo do CSMSSegurançaOrganizacionalTreinamento desegurança daequipePlano decontinuidade denegóciosPolíticas desegurança eprocedimentosContramedidas desegurança selecionadasSegurançaPessoalSegurançafísica eambientalSegmentaçãoda redeControle deacesso: gestãode contasControle deAcesso:autenticaçãoImplementaçãoGestão do risco eimplementaçãoDesenvolvimentode sistemas emanutençãoInformação egestão dedocumentosPlanejamento eresposta aincidentesMonitorando e melhorando o CSMSComplianceRevisar, melhorare manter oCSMSElementoGrupos de elementos*Cyber SecurityManagement SystemControle deAcesso:autorização
  • 69. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Etapas para a implementação do CSMS1. Análise de Riscos: Racional do negócio, identificação de riscos, classificação e análise.2. Endereçando riscos com o CSMS:• Política de Segurança, Organização e Treinamento• Definir escopo, segurança organizacional, treinamento da equipe, plano decontinuidade de negócios, políticas e procedimentos• Selecionar contramedidas de segurança• Segurança pessoal, segurança física, segmentação de rede, controle deacesso, autenticação e autorização• Implementação• Gerência de riscos e implementação, desenvolvimento e manutenção desistemas, gestão da informação e documentos, planejamento de incidentes3. Monitoramento e melhorias noCSMS: Compliance, revisão e melhorias nascontramedidas implantadas.
  • 70. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Guia para infraestruturas críticas (2010)• Desenvolvido pelo CGSI (Comitê Gestor daSegurança da Informação), órgão ligado àpresidência da república e instituído através daportaria 45 DSIC GSI• O Guia visa garantir a segurança das infra-estruturas críticas da informação no Brasil
  • 71. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Editais com referência à norma ANSI/ISA-99• O primeiro edital que claramenteapresenta referências à normaANSI/ISA-99 no Brasil foi o da Petrobráspara a licitação do COMPERJ(Complexo Petroquímico do Rio deJaneiro).• Este edital, publicado em Maio de 2009possuía um caderno somente para asespecificações de segurança cibernética.
  • 72. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.EstratEstratéégias de defesa emgias de defesa emprofundidadeprofundidade
  • 73. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Porque as soluções de segurança falham?• Uma solução popular para a segurança industrial é instalar um firewall entre as redesde negócios e de controle.• Conhecido como o Bastion Model , uma vez que ele depende de um ponto único desegurança.• Exemplo: Muralha da China.
  • 74. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Proteger o perímetro não é suficiente• Não se pode somente instalar um firewall para controle de sistemas e esquecer doresto da segurança.• Os invasores normalmente entram.• É necessário proteger o chão de fábrica com uma estratégia de defesa emprofundidade.• Um Worm infiltrou-se em*:• Uma planta nuclear através de uma conexão 3G.• Um sistema SCADA de energia através de uma VPN.• Um sistema de controle de Oil&Gas através do sistema do laptop de umterceirizado.• Firewalls existiam em todos estes casos.* Dados obtidos do RISI
  • 75. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Caminhos dentro da rede de controleLaptopsInfectadosFirewalls mauconfiguradosControl LANRede da plantaRede corporativaInternetConexões nãoautorizadasRede de PLCsSuporte remotoinfectadoModemsDrives USB
  • 76. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Modelo de Zonas e ConduModelo de Zonas e Conduíítestes
  • 77. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.O que torna um sistema seguro?• Na maioria dos incidentes reportados, havia uma falha em conter as comunicações emáreas apropriadas ou sub-sistemas.• Problemas em uma área eram permitidos de migrar para outra área devido à umaestratégia de separação pobre ou inexistente.• A Solução é o uso de zonas de segurança, como definido na ANSI/ISA-99.• ELEMENTO 4.3.2.3 – Segmentação de rede:Objetivo:• Agrupar e separar sistemas de controle de infraestruturas críticas chave emzonas com níveis de segurança comuns de maneira a gerenciar os riscos desegurança e atingir um nível de segurança desejado para cada zona.Requerimento 4.3.2.3.1:• Uma estratégia de contramedida baseada na segmentação de rede deve serdesenvolvida para os elementos de uma rede crítica de acordo com o nível deriscos desta rede.
  • 78. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Definição de zona de segurança• “Zona de segurança: agrupamento de ativos físicos e lógicos que dividem os mesmosrequerimentos de segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116].• Uma zona deve ter uma borda claramente definida (seja lógica ou física), que será afronteira entre elementos incluídos e excluídos.Zona IHMZona Controladora
  • 79. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Conduítes• Um conduíte é um caminho para o fluxo de dados entre duas zonas:Pode fornecer as funções de segurança que permitem diferentes zonas a secomunicar com segurança.Todas as comunicações entre zonas devem passar por um conduíte.Zona IHMZona ControladoraConduíte
  • 80. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Níveis de Segurança• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores como suacriticidade e consequências.• Equipamentos em uma zona terão uma capacidade para o nível de segurança (SLC).• Se eles não forem iguais, então será necessário adicionar tecnologias de segurança epolíticas para torná-las iguais.Zona IHMSLC = 2SLT = 2Zona PLCsSLC = 1SLT = 2Conduíte aumentao SL em 1
  • 81. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Usando zonas: o exemplo da refinariaTopologia da rede deautomação da refinaria.
  • 82. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Especificando as zonas (1º Passo)Rede de automação darefinaria dividida emzonas de segurança.
  • 83. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Adicionando os conduítes (2º Passo)Conduítes sãoadicionados entre aszonas de segurança.
  • 84. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Protegendo as Zonas (3º Passo)• A solução foi separar algumas zonas queestava em desequilíbrio entre o SLC e oSLT.• E então colocar firewalls industriais entreestas zonas para atingir o nível desegurança desejado.
  • 85. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.SoluSoluçções TIões TI SafeSafeSeguranSegurançça para redes industriaisa para redes industriais
  • 86. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.TI Safe: Pioneira em Segurança SCADA no Brasil• MissãoFornecer produtos e serviçosde qualidade para aSegurança de InfraestruturasCríticas• VisãoSer referência de excelênciaem serviços de Segurança deredes de automação eSCADA• Equipe técnica altamentequalificada• Parceria com grandes fabricantesmundiais
  • 87. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Suporte Tecnológico• Equipe técnica permanentemente certificada• Parcerias com fornecedores de soluções e equipamentos para segurança dainformação bem posicionadas nos relatórios de avaliação do Gartner
  • 88. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Governança Industrial• Plano Diretor de Segurança de Automação (PDSA)• Análise de Riscos em Redes SCADA• Análise de Vulnerabilidades em Redes de Automação• Monitoramento do ambiente e performance da rede SCADA• Suporte de Segurança
  • 89. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Plano Diretor de Segurança de Automação (PDSA)• Especificação e implementação de política desegurança específica para a área de automação.• Especificação da topologia da rede de automação,identificando, classificando e segregandologicamente os ativos de acordo com o modelo dezonas e conduítes preconizado pela normaANSI/ISA-99.• Especificação de soluções para segurança de borda e segurança interna darede de automação.• Especificação de matriz de controle de acesso para a rede de automaçãovisando a implantação futura de domínio de segurança.• Desenvolvimento de plano de treinamento e conscientização em segurançade automação para as equipes de TA da empresa.
  • 90. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Análise de Riscos em Redes SCADA• Baseado nas normas ANSI/ISA-99 e NIST 800-82 (Guide to Industrial Control SystemsSecurity)• Atividades realizadasInventário da rede de automaçãoEntrevistas com os gestoresLevantamento de vulnerabilidades e ameaçasAnálise qualitativa ou quantitativaEstimativa de impacto no negócioDefinição de contramedidas e resposta a incidentesAvaliação do risco residualPlano de tratamento de riscosManutenção e gestão continuadaServiços executados com o auxílio do Módulo Risk Manager, combase de conhecimento para segurança industrial (ANSI/ISA-99)
  • 91. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Análise de vulnerabilidades em redes de automação• Análise de vulnerabilidades em servidores OPC, Modbus TCP, e DNP3 bemcomo e alguns modelos de PLCs e aplicativos SCADA.• Escaneamento seguro de servidores com ferramentas específicas para redesindustriais• Geração de relatório com as vulnerabilidades encontradas e contramedidasindicadas• Mentoring para Hardening de servidores SCADA e OPC
  • 92. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Monitoramento do ambiente e performance da rede SCADA• Redes SCADA apresentam um padrão de QoS (Quality of Service) que dificilmente éalterado dado o processo repetitivo das operações de sistemas de controle.• O Monitoramento contínuo dos parâmetros de QoS de uma rede de automação podeantecipar problemas como a contaminação da rede por malware e falhas emequipamentos como switches e roteadores.• Os serviços de monitoramento oferecidos pela TI Safe englobam:Monitoramento da performance da rede e de seus principais servidores.Monitoramento de alertas críticos de equipamentos de segurança de perímetro.Monitoramento de alertas críticos de equipamentos de segurança da rede interna.Imediata resposta a incidentes de segurança na rede de automação.Alertas por email e SMS.Relatórios mensais para acompanhamento de incidentes.
  • 93. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Suporte de segurança• Centro de operações: Rio de Janeiro• Portal do cliente: sistema web de Service Deskacessado pelos especialistas da TI Safe e docliente• Suporte remoto com SLA: acesso remotoseguro à rede do cliente buscando a soluçãoimediata dos problemas de segurança e amanutenção preventiva do seu ambienteoperacional.• Suporte local: Nos casos em que não forpossível resolver o incidente remotamente a TISafe deslocará especialistas em segurança parao atendimento local.• Relatório mensal de suportes: a equipe da TISafe envia para seus clientes um relatório mensalsobre os atendimentos realizados•Serviços executados remotamenteGestão de IPS para segurança de bordaGestão de Firewalls da rede internaGestão de solução de backupGestão de solução de controle deacesso reforçadoGestão de solução DLPGestão de performance de servidores etráfego da rede de automação
  • 94. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Segurança de Borda SCADA• Segurança de perímetro da rede SCADA• Controle de acesso à rede de automação
  • 95. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Segurança de perímetro da rede SCADA• Análise da topologia da rede de automação e conectividade com redes externas(corporativa, parceiros externos, organismos de regulamentação, etc).• Especificação, venda e implantação de soluções para segurança de perímetro da redede automação (Firewall Checkpoint e IPS de rede IBM-ISS).• Implantação de DMZ (Demilitarized Zone) para hospedar servidores comuns à rede deautomação e outras redes (corporativa e externas).• Treinamento e capacitação da equipe gestora da rede de automação.
  • 96. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Controle de acesso à rede de automação• Uma solução de NAC (Network Access Control) usa um conjunto de protocolos paradefinir e implementar a política de controle de aceso à rede de automação.• Esta solução implementa processos de correção automática nos computadores quedesejam se conectar à rede de automação.• Com o NAC, quando um computador tenta se conectar à rede de automação ele nãoterá permissão para acessar qualquer dispositivo enquanto não estiver de acordo coma política de controle de acesso, incluindo nível de proteção antivírus e patching.• Uma vez que as exigencias da política sejam cumpridas, o computador poderá acessaros recursos da rede de automação.
  • 97. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Proteção da Rede Interna• Segmentação - Modelo de Zonas e Conduítes• Domínio de Segurança para redes de automação• Controle de Malware (DLP & White listing)• Suite Tofino• Família Siemens SCALANCE S• Gateways de segurança unidirecionais
  • 98. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Segmentação - Modelo de Zonas e Conduítes• É necessário proteger não somente o perímetro como tambéma rede interna.• A norma ANSI/ISA-99 define o modelo de zonas e conduítesonde a rede interna é dividida logicamente em zonas desegurança interligadas por segmentos de rede denominadosconduítes.• Nos conduítes devem ser implantadas soluções de segurançapara as zonas da rede interna.• Para este propósito a TI Safe oferece os seguintes serviços:Inventário de ativos da rede de automação.Especificação da arquitetura da rede de acordo com omodelo de zonas e conduítes.Segmentação da rede interna através de configuração deVLANs (Redes Locais Virtuais).Especificação de modelos de firewalls industriaisespecíficos para uso nos conduítes.
  • 99. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Domínio de segurança para redes de automação• Especificação de política de controle de acesso para a rede de automação.• Implantação de domínio para área de automação baseado no MicrosoftActive Directory (esquema de autenticação centralizada ou distribuída).• Integração com login de plataformas UNIXlike e login transparente.• Estabelecimento de relação de confiançacom domínio corporativo.• Ativação de GPOs específicas parasegurança de redes industriais.• Registros (Logs) de atividades de usuáriosna rede de automação.
  • 100. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Suite Tofino• Completa solução para segurança de plantas de automação indicada paraempresas que desejam atingir o compliance com a norma ANSI/ISA-99 sem anecessidade de paradas de produção nem configurações complicadas.• A solução é controlada e monitorada em tempo real por uma console degerência que armazena trilhas de auditoria para os eventos de segurança.• A TI Safe é o único VAR da Byres Securityautorizado para prestar consultoria e serviços noBrasil.• Serviços prestados:• Certificação oficial da Suíte Tofino (12h)• Implantação e configuração da Solução• Monitoramento 24 X 7 X 365• Suporte de Segurança da soluçãoimplantada
  • 101. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Família Siemens SCALANCE S
  • 102. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Controle de Malware• A gestão das portas lógicas dos computadores da rede de automação é importantepois elas são o principal vetor de contaminação por Malware.• O controle do uso de mídias removíveis (pen drives, discos rígidos externos, etc) emodems 3G em redes de automação é fundamental para evitar infecções.• É necessário implementar solução de DLP em redes de automação para realizar ocontrole das portas lógicas da rede SCADA.• Complementar à solução de DLP, deve ser instalada também uma solução dewhitelisting.• O software de Whitelisting cria ou contém uma lista de programas e aplicativos que têmpermissão para ser executados na rede de automação. Qualquer software não listadonesta “lista branca” é impedido de executar
  • 103. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Gateways de segurança unidirecionais• Laser em TX, fotocélula em RX, cabo de fibra ótica – você pode enviar dados para fora, mas nadaconsegue retornar no sentido contrário para a rede protegida.• TX usa protocolos em duas vias para reunir dados de redes protegidas.• RX usa protocolos em duas vias para publicar dados em redes externas.• Derrota ataques de controle avançado / remoto.• Casos típicos de uso:Replicação de bases de dados / históricos;Replicação de servidores OPC;Acesso remoto e comunicação segura entre plantas de automação;
  • 104. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Acesso Remoto e Wi-Fi Industrial• Acesso remoto seguro• Segurança de redes sem fio industriais• Vídeoconferência industrial segura
  • 105. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Acesso Remoto Seguro• Solução composta por itens de consultoria aliados à solução Check Point GO, que criaum desktop virtual totalmente seguro e fornece segundo fator de autenticação emacessos a sistemas SCADA, independente da máquina que o usuário estiver usando.• Com a solução a rede de automação fica totalmente livre do risco de infecção pormalware e do roubo das credenciais durante o acesso remoto,• Serviços de consultoria incluídos na solução:Implementação da solução Check Point GO dentro da rede de automaçãoDefinição e implantação de políticas de segurança no acesso remoto.Especificação de controles de segurança para uso de Modems na rede de automação.Revisão de segurança do acesso remoto da rede de automação de acordo com as boaspráticas da norma ANSI/ISA-99.Testes integrados e startup da solução.
  • 106. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Segurança de redes sem fio industriais• As redes sem fio trazem muitos benefícios para plantas industriais, mas tambémgeram novas vulnerabilidades.• Sem as ferramentas corretas para compreender o que está acontecendo no ambientesem fio, a planta fica exposta e a performance da rede comprometida.• Os riscos vão desde a invasão das redes e a subtração de dados até poderososataques de negação de serviço que podem afetar o throughput e até mesmo paralisaro tráfego de dados na rede.• A TI Safe oferece soluções de WIPS (Wireless IPS) da AirTight Networks que forneceproteção contínua contra ameaças na rede sem fio industrial, garantindo que a redesomente será usada por equipamentos autorizados e registrados na política de uso darede sem fio.• Todos os outros equipamentos não autorizados pela política terão o sinal da rede semfio cortado ao entrar no perímetro da rede sem fio, não oferecendo riscos.
  • 107. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Vídeoconferência industrial segura• Redes de telecomunicações industriais exigem altos níveis de confidencialidade,integridade e disponibilidade. Soluções para Vídeoconferência em ambientesindustriais precisam ter o tráfego de dados criptografado para evitar espionagemindustrial.• Para garantir a segurança nessas redes são utilizados criptógrafos IP ou ISDN(dependendo da tecnologia usada pelo sistema de videoconferência).• A TI Safe é revenda de valor agregado (VAR) da DICA Technologies para o Brasil eúnica empresa certificada para instalação, configuração e suporte das soluções decriptografia para vídeoconferências em ambientes industriais.
  • 108. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Segurança de Dados• Criptografia de Informações Confidenciais• Controle de Acesso a Dados• Certificação Digital
  • 109. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Criptografia de Informações ConfidenciaisCriptografia de Bancos de Dados• Dados sensíveis em bancos de dadosestão vulneráveis a ataques.• Na maioria dos casos, as informaçõesficam armazenadas dentro do banco dedados em formato visível, permitindofácil acesso para quem o administra oupara qualquer usuário que o acesse.• A TI Safe comercializa, implementa esuporta a solução Safenet ProtectDBque fornece poderosa criptografia eproteção para dados sensíveisarmazenados em bancos de dados nodatacenter e na nuvem.Criptografia de Dispositivos Móveis• A TI Safe comercializa e implementasoluções para proteção dedispositivos móveis que conjugamcriptografia total de discos rígidosconjugada com forte autenticação nopré-boot dos equipamentos.Proteção de Diretórios• Solução completa parasegurança de diretórioslocais ou em rede, baseadaem solução líder de mercadoque protege arquivos atravésde criptografia forte.
  • 110. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Controle de Acesso a Dados• Para resolver problemas relacionados à fraqueza da segurança de senhas, a TI Safeoferece a implantação de segundo fator de autenticação em sistemas de autenticação.• Implantamos soluções completas de controle de acesso a dados confidenciaisbaseadas em tokens USB (contendo certificados digitais ou senhas gerenciadasautomaticamente) ou tokens OTP (One Time Password – geram senhas numéricasdiferentes a cada aperto do botão).• O Gerenciamento e o backup de tokens é feito através de sistema integrado com o ADe Autoridades Certificadoras (Safenet Authentication Manager – SAM)
  • 111. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Certificação DigitalModelo PCI: usados paraaplicações em um únicoservidorModelo de rede: usadosem sistemas quedemandam serviçoscriptográficos distribuídospela rede da empresaMódulos de Criptografia (HSMs)• Projetos completos, incluindo a especificação,instalação, configuração, integração, treinamento esuporte.• Soluções para:• Implementação de Autoridades Certificadoras Internas• Assinatura Digital e criptografia de documentosconfidenciais• Integração de HSMs com sistemas legado• Substituição de HSMs defeituosos, implantando as chavesprivadas em um novo HSM
  • 112. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Academia TI SafeTreinamento e Conscientização• Formação em Segurança de Automação Industrial• Certificação CASE• Automation Security Day
  • 113. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Formação em segurança de automação industrial• Baseada na norma ANSI/ISA-99• Escopo:• Introdução às redes Industriais e SCADA• Infraestruturas Críticas e Cyber-terrorismo• Normas para segurança em redes industriais• Introdução à análise de riscos• Análise de riscos em redes industriais• Malware em redes industriais e ICS• Desinfecção de redes industriais contaminadaspor Malware• Uso de firewalls e filtros na segurança deredes industriais• Uso de Criptografia em redes industriais• Segurança no acesso remoto à redesindustriais• Implementando o CSMS (ANSI/ISA-99) naprática• Aulas ministradas nas instalações da TI Safe ou naempresa (mínimo de 10 alunos)• Alunos recebem material didático em formato digital• Formação com 20h de duração• Instrutor membro da ISA Internacional e integrante docomitê da norma ANSI/ISA-99, com anos deexperiência em segurança de automação industrial• Objetiva formar profissionais de TI e TA:Apresenta, de forma teórica e prática,aplicações reais da segurança de acordo com oCSMS (Cyber Security Management System)preconizado pela norma ANSI/ISA-99Totalmente em português, adequada ao perfil doprofissional de segurança requerido pelasempresas brasileiras• Calendário com próximas turmas disponível emhttp://www.tisafe.com/solucoes/treinamentos/
  • 114. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Certificação CASEDomínios de conhecimento• Introdução às redes Industriais e sistemasSCADA.• Infraestruturas Críticas e Cyber-terrorismo.• Governança para redes industriais.• Análise de riscos em redes industriais esistemas SCADA.• Malware em redes industriais e sistemasde controle.• Segurança de perímetro em redes deautomação.• Criptografia em redes industriais.• Controle de acesso em sistemas SCADA.• Implantando o CSMS (ANSI/ISA-99) naprática. O Modelo de Zonas e Conduítes.• Prova presencial com 60 perguntas demúltipla escolha.• Tempo de prova: 90 minutos.• As questões com pesos diferentes.Aluno será aprovado se acertar 70% dovalor total dos pontos.• Se aprovado o aluno receberá ocertificado por e-mail e seu nome seráincluído em listagem no site da TI Safe.• Os certificados tem 2 anos (24 meses)de validade a partir da emissão.• Guia de estudos, simulado e calendáriodisponíveis no website.
  • 115. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Automation Security Day• Atividades de conscientização distribuídas ao longode um dia (8 horas)• Palestras ministradas nos auditórios ou locaisdesignados pelas indústrias• Fornecimento de material didático em formato digital• Temas disponíveis:Análises de riscos para plantas industriaisImplementação de estratégias de defesa emprofundidade (ANSI/ISA-99)Monitoramento contínuo de plantas industriaisCyberwar: Ataques e sabotagem em instalaçõesindustriaisInfecções por Malware em redes industriais eSCADADemonstrações de ataques a redes industriais
  • 116. TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Demonstração prática de ataquescom uso de simulador SCADA
  • 117. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ataques a protocolos em redes industriais• Padrões de protocolos, particularmente os de sistemas críticos de controle na indústriado petróleo e energia, têm sido tradicionalmente concebidos para tratar de umaaplicação específica, com pouca atenção para a segurança.• Na melhor das hipóteses, houve apenas a preocupação de passar para a segurançaproblemas que podem surgir em implantação; no pior caso, projetistas de protocolosassumem um ambiente isolado (e, portanto, seguro), o que, em muitos casos, nãoexiste mais.• No protocolo MODBUS, um dos mais usados na indústria, foram identificados 11ataques possíveis que exploram vulnerabilidades de segurança inerentes tanto aespecificação e implantações típicas de sistemas SCADA.
  • 118. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Árvore de ataques ao MODBUS* Fonte: White Paper “The Use of Attack Trees in Assessing Vulnerabilities in SCADA Systems”, de Eric Byres, Matthew Franz e Darrin Miller.
  • 119. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.Ataques a serem demonstrados1. Alteração não autorizada de set points no PLC.2. Sabotagem do Supervisório.3. Ataque de ARP Poison contra o PLC.4. Paralisação total do PLC.5. Contaminação por Malware e bloqueio.
  • 120. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.1. Alteração desautorizada de set points• Sniffing da rede entre a HMI e o PLC.• Ataque por força bruta para descobrir TAGS do PLC.• Apresentação de cliente de Modbus baixado da Internet e usado para setar asvariáveis.• Alteração não autorizada do set point da bomba de drenagem e do nível decomponentes químicos no tanque.• Visualização de consequências na tela do supervisório e nos gráficos com dadoshistóricos.• Alguns scripts engraçados ☺:Pump DanceLevel WaveDead or AliveBad Contact
  • 121. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.2. Sabotagem do Supervisório• Congelamento da atualização dos dados na tela do supervisório.• Alteração não autorizada do set point do tanque de componentes químicos provocandoseu transbordamento.
  • 122. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.3. Ataque de ARP Poison contra o PLC• Este ataque é realizado usando técnica de ARP Poison, enganando o PLC, fazendo-oacreditar que a máquina da HMI está em outro MAC Address.• Como consequência a HMI não recebe mais valores do PLC e mostra “####” nos camposonde deveriam estar apresentados os valores das variáveis de controle.
  • 123. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.4. Paralisação total do PLC• Este ataque é realizado usando técnica de DOS usando a ferramenta hping3 em modoflood.• A máquina do atacante dispara inúmeros pacites de dados na porta TCP 502 (usadapelo Modbus) até o ponto em que o PLC entra em estado de problema.• Como consequência ele para de operar e desliga todos os equipamentos controlados.
  • 124. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.5. Contaminação por Malware e bloqueio• Apresentação do Tofino protegendo zona de segurança do PLC em uma rede deindústria química (simulador).• Em um primeiro momento são apresentados os efeitos do ataque por malwareem uma planta desprotegida..• Logo após é apresentado o mesmo ataque sendo bloqueado por um applianceindustrial Tofino.• Apresentação de LOGs do bloqueio do ataque.
  • 125. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.DDúúvidas e Sorteiovidas e Sorteio
  • 126. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.ContatoSalvador: