Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação
Upcoming SlideShare
Loading in...5
×
 

Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação

on

  • 688 views

Apresentação realizada no congresso da ABM Brasil em 2010.

Apresentação realizada no congresso da ABM Brasil em 2010.

Statistics

Views

Total Views
688
Views on SlideShare
688
Embed Views
0

Actions

Likes
1
Downloads
8
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação Presentation Transcript

  • O Uso de padrões abertos para proteção de sistemas SCADA e de automação Marcelo Branquinho & Eric Byres Outubro de 2010
  • Autor e Apresentador • Marcelo Branquinho • Diretor Comercial, TI Safe Segurança da Informação • Marcelo.branquinho@tisafe.com • Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de negócios, é um dos fundadores do capítulo do Rio de Janeiro da ISACA. • Membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde atua como chefe do departamento de segurança para sistemas de automação industrial. • Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da Formação de Analistas de Segurança de Automação, primeira formação brasileira no segmento e ministrada em infra-estruturas críticas e organismos governamentais brasileiros.
  • Co-Autor• Eric J. Byres• CTO, Byres Security• Eric@byressecurity.com• Eric Byres é reconhecido internacionalmente como um dos principais especialistas em sistemas SCADA e Segurança Industrial. Como fundador do BCIT Critical Infrastructure Security Centre, ele o transformou em uma das principais instalações académicas da américa do norte no campo da segurança SCADA, culminando no prêmio SANS Leadership Award em 2006.• Na década passada, Eric prestou serviços de investigação e consultoria para agências governamentais de segurança e de grandes empresas de energia para proteção de infra-estruturas críticas. Ele é também o presidente do grupo de trabalho da ISA SP-99 e é o representante canadense para oos padrões IEC TC65/WG10 para a proteção de instalações industriais contra ataques cibernéticos. Eric recebeu inúmeros prêmios do IEEE, ISA e SANS por suas pesquisas sobre as soluções de segurança.
  • Objetivo do Trabalho• Apresentar a implementação de segurança em redes de automação industrial utilizando o padrão ANSI/ISA-99 baseado no conceito de estratégia de defesa em profundidade.• Demonstrar como utilizar o modelo de zonas e conduítes para assegurar sistemas de controle.• Apresentar o caso de implantação da técnica em uma refinaria norte-americana.
  • Agenda• Introdução Teórica – A Necessidade de segurança em redes industriais – Os requerimentos únicos para segurança SCADA• Desenvolvimento do trabalho – A Norma de Segurança ANSI/ISA-99 – Estratégia de defesa em profundidade - o Modelo de Zonas e Conduítes – Implementação em refinaria norte-americana• Dúvidas
  • Introdução Teórica
  • Antigamente os sistemas SCADA eram assim....• Ilhas de Automação Rede de Planta ou Gerenciamento Supervisão Banco de Dados NÍVEL DE PLANTA Rede de Controle NÍVEL DE CONTROLE NÍVEL DE Rede de CAMPO Campo
  • Hoje eles são assim... Gerência Corporativa• Sistemas Integrados Gerência Industrial Transacional Transacional Gerência de Produção Tempo Real Controle Tempo Real Seqüencial Contínuo Discreto Medição
  • Evolução – Sistemas Supervisórios• No início os sistemas supervisórios eram desenvolvidos em plataformas operacionais caríssimas, baseadas em sistemas Unix like e máquinas poderosas como os Digital Vax e Alpha.• Desenvolver aplicativos para estas plataformas era algo extremamente caro• Com isto, supervisórios passaram a ser desenvolvidos para plataformas Windows, cujo processo de desenvolvimento era muito mais rápido e os custos globais do projeto eram bastante reduzidos
  • Vulnerabilidades no Sistema Operacional Windowshttp://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx
  • Vulnerabilidades e Exploits para SW SCADAhttp://www.frsirt.com/english/advisories/2008/0306
  • Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervisório e o PLC atravésda porta COM e obter as senhas (Principal e Master) do PLC
  • Vulnerabilidades no Protocolo OPC• Vulnerabilidades de alto risco do sistema operacional – Serviços de sistema desnecessários – Senhas fracas e vulneráveis – Atualizações e patches inadequados no servidor – Uso de mecanismos fracos para autenticação – Vulnerabilidades locais• Vulnerabilidades inerentes ao OPC – Utilização de transportes historicamente inseguros – Falta de autenticação no navegador do servidor OPC – Servidor OPC e seu navegador com privilégios excessivos – Suporte a protocolos desnecessários para o navegador do servidor OPC – Falta de integridade em comunicações OPC – Falta de confidencialidade no tráfego OPC – Dependência de serviços de Internet COM no IIS – Configurações de segurança do OPC não possuem controle de acesso granular – Excessivas portas TCP abertas no servidor OPC
  • Riscos dentro da rede de controle Suporte remoto Internet infectado Rede corporativa Conexões não autorizadas Firewalls mau Laptops configurados Infectados Modems Rede da planta Drives USB Control LAN Rede de PLCs Links RS-232
  • Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de automaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs Via Corprate WAN & Business Network 49% Internet Directly 17% VPN Connection 7% Wireless System Dial-up modem 3% 7% Trusted 3rd Party Telco Network Connection 7% 10%
  • Literatura Hacker• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.
  • Estatísticas de Incidentes• Malware responde por 2/3 dos incidentes externos em sistemas de controle.• Aparentemente vai de encontro aos incidentes de segurança de TI• Entretanto, há uma quantidade surpreendente de eventos de sabotagem System DoS Penetration 6% 13% Sabotage 13% Malware 68%
  • Ameaça recente: O Worm Stuxnet (2010)• Também conhecido como W32.Temphid e Rootkit.TmpHider• Worm desenvolvido para tirar vantagem de vulnerabilidade existente em todas as versões do sistema Windows.• O Stuxnet foi desenvolvido para atingir qualquer sistema usando a plataforma Siemens WinCC.• O Objetivo do Malwsre parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)• Existem patches liberados para cada plataforma Windows e também alguns ajustes provisórios (workarounds)
  • Performance – Comparativo TI X AutomaçãoRedes e Computadores de TI Redes de Automação Perda de dados e interrupções não podem ser toleradas e podem resultarPerda de dados e interruções podem ocasionalmente ser toleradas em sérias consequências, incluindo danos a equipamentos e possíveisatravés da restauração de backups e reinicializações de máquinas. perdas de vidas. Tempos de respostas determinística em loops de controle; respostas em tempo real são necessárias; grandes delays ou downtimes não podem serAltas taxas de dados são necessárias, delays podem ser tolerados. tolerados. Sistemas devem sempre ser tolerantes a falhas ou ter "hot backups";Recuperação sempre após o reboot; Paradas de sistema e reboots paradas de computadores e controladoras podem resultar em situaçõesnormalmente não trazem consequências perigosas ou com riscos de vida. perigosas e com ameaça a vidas. Software antivirus é difícil de ser aplicado na maioria das vezes porque delays não podem ser tolerados e determinismo nos tempos de respostaSoftware antivirus largamente usado. tem que ser preservado.Treinamento e conscientização em segurança de sistemas érazoavelmente alto. Treinamentos em segurança de sistemas raramente ocorrem. Muitos sistemas SCADA transmitem dados e mensagens de controle emCriptografia usada. texto claro. Testes de penetração não são rotineiramente executados na rede de controle e, quando realizados, devem ser feitos com cuidado para nãoTestes de penetração amplamente utilizados. afetar os sistemas de controle. Implementação de patches deve ser cuidadosamente considerada, feitaImplementação de patches é feita rotineiramente. com pouca frequência, e normalmente requer a ajuda dos fabricantes.Auditorias de segurança são necessárias e realizadas rotineiramente. Auditorias de segurança da informação normalmente não são realizadas.Equipamentos normalmente trocados ou substituidos em cada 3 a 5 anos. Equipamentos usados por longos períodos de tempo, sem substituição.
  • Desenvolvimento do Trabalho
  • A norma ANSI/ISA 99• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques
  • Relatórios Técnicos da ISA 99• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and Control Systems” – Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos para mitigação, e ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment” – Framework para o desenvolvimento de um programa de segurança para sistemas de controle – Fornece a organização recomendada e a estrutura para o plano de segurança. – O Framework está integrado no que é chamado de CSMS (Cyber Security Management System) – Os elementos e requerimentos estão organizados em 3 categorias principais: • Análise de Riscos • Endereçando os riscos com o CSMS • Monitorando e melhorando o CSMS
  • Passos para implementação da ISA99.00.021. Análise de Riscos Racional do negócio, identificação de riscos, classificação e análise2. Endereçando riscos com o CSMS Política de Segurança, Organização e Treinamento Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de negócios, políticas e procedimentos Selecionar contramedidas de segurança Segurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e autorização Implementação Gerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da informação e documentos, planejamento de incidentes3. Monitorando e melhorando o CSMS Compliance Revisar, melhorar e manter o CSMS
  • O Modelo de Zonas e Conduítes• A estratégia de defesa em profundidade, conforme definido na norma ANSI/ISA-99, detalha que um sistema deverá ser dividido em sub-zonas de segurança, de acordo com suas caracterísiticas funcionais e de segurança• ELEMENTO 4.3.2.3 – Segmentação de rede – Objetivo: • Agrupar e separar sistemas de controle de infraestruturas críticas chave em zonas com níveis de segurança comuns de maneira a gerenciar os riscos de segurança e atingir um nível de segurança desejado para cada zona. – Requerimento 4.3.2.3.1: • Uma estratégia de contramedida baseada na segmentação de rede deve ser desenvolvida para os elementos de uma rede crítica de acordo com o nível de riscos desta rede.
  • Definição de zona de segurança• “Zona de segurança: agrupamento de ativos físicos e lógicos que dividem os mesmos requerimentos de segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116] – Uma zona deve ter uma borda claramente definida (seja lógica ou física), que será a fronteira entre elementos incluídos e excluídos. Zona IHM Zona Controladora
  • Conduítes• Um conduíte é um caminho para o fluxo de dados entre duas zonas. – Pode fornecer as funções de segurança que permitem diferentes zonas a se comunicar com segurança. – Todas as comunicações entre zonas devem passar por um conduíte. Conduíte Zona IHM Zona Controladora
  • Níveis de Segurança• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores como sua criticidade e consequências.• Equipamentos em uma zona terão uma capacidade para o nível de segurança (SLC)• Se eles não forem iguais, então será necessário adicionar tecnologias de segurança e políticas para torná-las iguais. Zona IHM SLC = 2 SLT = 2 Zona PLCs SLC = 1 SLT = 2 Conduíte aumenta o SL em 1
  • Exemplo de sistema dividido em zonas Ataques Internos Internet PC Infectado Firewall de Camada de defesa 5 Internet (Corporativa) Rede Corporativa DMZ Firewall do sistema de controle Camadas de defesa 3/4 (Sistema de Controle) Firewalls distribuído Camadas de defeas 1/2 (Equipamentos) Firewalls Infected HMI distribuídos Cluster de PLCs SCADA RTU Controladoras DCS
  • Implementação em refinaria norte-americana Topologia da rede deautomação da refinaria
  • Implementação em refinaria norte-americanaRede de automação da refinaria dividida em zonas de segurança
  • Implementação em refinaria norte-americana Conduítes são adicionados entre as zonas de segurança
  • Protegendo as Zonas de Segurança• A solução foi separar algumas zonas que estavam em desequilíbrio entre o SLC e o SLT• E então colocar Firewalls entre estas zonas para atingir o nível de segurança desejado.
  • Exemplo: Protegendo a Zona S1• A Análise de Riscos indicou que existia potencial para falhas comuns de rede entre a zona do supervisório (J1) e as zonas de sistemas integrados de segurança (S1)• Era necessário aumentar a integridade das operações, limitando o tipo e as taxas de tráfego no conduíte (S)• A solução foi: – Definir um conduíte entre as zonas J1 e S1 – Utilizar um Firewall Industrial para MODBUS entre as duas zonas para aumentar os controles de tráfego entre as zonas.
  • A Arquitetura da zona S1 Protegida
  • Configurações específicas - Redundância• Dois Firewalls foram conectados entre os servidores terminais do sistema de segurança e os switches Ethernet de nível 2, fornecendo conexões redundantes entre o sistema de segurança e o sistema de controle.• Firewalls foram selecionados para: – Serem capazes de inspecionar conteúdo MODBUS – Oferecer alto MTBF e and resistência industrial – Suportar alimentação redundante – Oferecido modo bridge ao invés de roteamento tradicionais• Isso aumentou a confiabilidade e diminuiu o custo de configuração, reduzindo consideravelmente o TCO
  • Dúvidas?