Your SlideShare is downloading. ×

Palestra Técnica - Evento APTEL 2012

1,196
views

Published on

Palestra técnica sobre segurança em redes industriais e SCADA ministrada no XIII Seminário Nacional de Telecomunicações - APTEL 2012.

Palestra técnica sobre segurança em redes industriais e SCADA ministrada no XIII Seminário Nacional de Telecomunicações - APTEL 2012.


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,196
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Introdução à Segurança em Redes Industriais e SCADA Marcelo Branquinho, Setembro de 2012 TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 2. Termo de Isenção de Responsabilidade A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas. Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 3. Palestrante Marcelo Branquinho Marcelo.branquinho@tisafe.com • Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de negócios e membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde também atua como chefe do departamento de segurança para sistemas de automação industrial. • Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da Formação de Analistas de Segurança de Automação, primeira formação brasileira no segmento e ministrada em infra-estruturas críticas e organismos governamentais brasileiros. • Atualmente é integrante no ANSI/ISA 99 WG5 TG2 Gap Analysis Task Group, grupo de trabalho que está revisando e atualizando a norma ANSI/ISA-99 contra as recentes ameaças do Stuxnet e suas variantes. • Possui certificação internacional CSSA (Certified SCADA Security Architect)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 4. Siga a TI Safe nas Redes Sociais • Twitter: @tisafe • SlideShare: www.slideshare.net/tisafe • Facebook: www.facebook.com/tisafe • Flickr: http://www.flickr.com/photos/tisafewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 5. Não precisa copiar... http://www.slideshare.net/tisafewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 6. Agenda • Ameaças às redes industriais e sistemas SCADA • Caso reais documentados • Normas para Segurança em Redes Industriais • Soluções para segurança de redes industriais • Treinamento e conscientizaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 7. Introdução às redes industriais e SCADAwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 8. O que são infraestruturas críticas? São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda, interrupção significativa ou degradação dos serviços poderia ter graves consequências sociais ou à segurança nacional. Exemplos: Geração e distribuição de eletricidade; Telecomunicações; Fornecimento de água; Produção de alimentos e distribuição; Aquecimento (gas natural, óleo combustível); Saúde Pública; Sistemas de Transportes; Serviços financeiros; Serviços de Segurança (polícia, exército)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 9. Sistemas SCADA SCADA = Supervisory Control And Data Acquisition • Os sistemas SCADA são utilizados em processos industriais, como na produção de aço, produção de energia (convencional e nuclear), distribuição de energia, metalomecânica, indústria química, estações de tratamento de águas, etc. • Em Indústrias, as soluções baseadas na arquitetura SCADA são as mais usadas (Fix, Factory Link, CIMPLICITY, e outras soluções de mercado).www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 10. Sistemas Supervisórios• Sistemas SCADA – No início • Sistemas proprietários Dependente de Fabricantes • Sistemas isolados • Arquiteturas fechadas • “Ilhas de automação” Arquitetura Básica SCADAwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 11. Evolução dos sistemas SCADA• Sistemas abertos• Arquitetura centrada em Conectividade• Integrações cada vez mais freqüentes: • Sistemas SCADA e Intranet corporativa Produtividade • Sistemas SCADA e Internet Competitividade Rede Corporativa Servidores Corporativos Gateway Rede Operacional • Acesso a Dados Operacionais • Dashboards; Relatórios • Centro de Controle para múltiplas Redes Operacionais • Diferentes tipos de acesso Servidores • Diretores/Gerentes SCADA • Informação em tempo real • Tomada de decisão no processowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 12. Evolução – Sistemas Supervisórios • No início os sistemas supervisórios eram desenvolvidos em plataformas operacionais caríssimas, baseadas em sistemas Unix like e máquinas poderosas como os Digital Vax e Alpha. • Desenvolver aplicativos para estas plataformas era algo extremamente caro • Com isto, supervisórios passaram a ser desenvolvidos para plataformas Windows, cujo processo de desenvolvimento era muito mais rápido e os custos globais do projeto eram bastante reduzidoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 13. Tipos de Vulnerabilidades • Vulnerabilidades dos Sistemas Operacionais e Protocolos • Vulnerabilidades no Projeto dos Produtos • Vulnerabilidades das Implementações • Vulnerabilidades de Configurações Inadequadaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 14. Vulnerabilidades no Sistema Operacional Windows http://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspxwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 15. Vulnerabilidades e Exploits para SW SCADA http://www.frsirt.com/english/advisories/2008/0306www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 16. Cracking de senhas em PLCs • É possível monitorar a comunicação entre o Supervisório e o PLC através da porta COM e obter as senhas (Principal e Master) do PLCwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 17. Injeçaõ de código em PLCs • Ataque de injeção de código: uma bomba relógio com 14 bytes • Desenvolvido por Ralph Langner, este ataque não necessita de informação interna e nenhuma programação ao nível da controladora para ser executado • É inspirado no ataque do Stuxnet contra sistemas de controle • O ataque consiste em injetar o código ao lado no início da varredura principal (OB1), na frente do código legítimo • Para cada chamada do OB1, o ambiente de execução passa a data/hora atual como um parâmetro para a pilha, então nenhuma chamada de função de sistema é necessária. • No exemplo ao lado, a data/hora programada é o natal de 2011, que é simplemente carregada no Código do ataque acumulador ao lado da data hora atual. (Step7 STL) • A partir daí, é feita uma comparação. Assim que o relógio interno do controlador vai para 25 de dezembro, as saídas são congeladas, porque a directiva BEC salta execução da lógica de controle legítimos. http://www.langner.com/en/2011/07/21/a-time-bomb-with-fourteen- bytes/www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 18. Vulnerabilidades no Protocolo OPC • Vulnerabilidades de alto risco do sistema operacional Serviços de sistema desnecessários Enumeração do sistema e seus perfis • Escuta de tráfego (sniffing) • Consultas ao DNS • Consultas ao Active Directory/LDAP • Escaneamento de TCP/UDP • Enumeração de NetBIOS – Domínios e grupos de trabalhos • Enumeração de SMB (Server Message Block) usando login anônimo • Descoberta de Enpoints RPC • Aplicativos de gerenciamento de rede Senhas fracas e vulneráveis Segurança inadequada no login Atualizações e patches inadequados no servidor Uso de mecanismos fracos para autenticação Navegação remota no registro (Registry) Vulnerabilidades locaiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 19. Segurança Industrial – Vulnerabilidades• Caminhos Dentro da Rede .... Rede Corporativa Vulnerabilidades Conexões não autorizadas Sistemas e Serviços Vulneráveis Hacker Suporte Remoto Infectado Hacker Notebooks Infectados Firewalls mal configurados Modems sem proteção Pontos de rede de Hacker dispositivos remotos com baixa segurança física Hacker Rede Operacionalwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 20. Casos reais documentadoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 21. Slide Oculto • Slide ocultowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 22. RISI - Repository for Industrial Security Incidents • http://www.securityincidents.org/ • O Repositório de Incidentes de Segurança Industrial é um banco de dados de incidentes que têm (ou podem ter) afetado controle de processos e sistemas SCADA. • O objetivo da RISI é coletar, investigar, analisar e compartilhar importantes incidentes de segurança industrial entre as empresas associadas para que elas possam aprender com as experiências dos outros. • Os dados são recolhidos através da investigação sobre incidentes de conhecimento público e de comunicação privados.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 23. Como os atacantes entram… a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de automação b) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativa c) Atos intencionais de funcionários insatisfeitos d) Conexões via modem e) VPNs Via Corprate WAN & Business Network 49% Internet Directly 17% VPN Connection 7% Wireless System Dial-up modem 3% 7% Trusted 3rd Party Telco Network Connection 7% 10%www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 24. Incidentes reportados até 2/3/2011 - RISIwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 25. Tipos de incidentes (Brasil – KB TI Safe) • Fonte: Knowledge Base TI Safe • Incidentes computados desde Julho de 2008 • Dados obtidos somente de clientes da TI Safe no Brasil Incidentes # Casos Malware 5 Erro Humano 14 Falhas em dispositivos 7 Outros 4www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 26. Shodan http://www.shodanhq.com • Hackers estão usando o site de busca Shodan para encontrar computadores de sistemas SCADA que utilizam mecanismos potencialmente inseguros para autenticação e autorização.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 27. Oleoduto explode em Bellingham (EUA) 01/06/1999 • Falhas no SCADA resultaram na explosão do oleoduto • Gasolina atingiu dois rios nas cidades de Bellingham e Washington Explosão matou 3 pessoas e feriu outras 8 Aproximadamente 26 hectares de árvores e vegetação foram queimados durante o incidente. Liberou aproximadamente 236.000 galões de gasolina, causando danos substanciais ao meio ambiente É possível quantificar o prejuízo de um incidente como estes?www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 28. Bomba lógica destrói oleoduto na Sibéria • Em 1982, durante a guerra fria, os planos de um sofisticado sistema SCADA para controle de oleoduto foram roubados pela KGB de uma empresa canadense. • A CIA alega que esta empresa detectou o ataque e inseriu uma bomba lógica no código roubado para sabotar e explodir o oleoduto. • A explosão foi equivalente a um poder de 3 Quilotons de TNT. A explosão foi tão poderosa que satélites americanos enviaram alertas nucleares aos centros de controle nos EUA.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 29. Ataque à planta de Energia Nuclear de Davis-Besse • Em 25 de janeiro de 2003, a usina nuclear Davis-Besse usina nuclear em Oak Harbour, Ohio, foi infectada com o worm "Slammer" do MS SQL. • A infecção causou uma sobrecarga de tráfego na rede local. Como resultado, o Sistema de Segurança de Display de Parâmetros (DOCUP) ficou inacessível por quase cinco horas, e o computador de processos da planta por mais de 6 horas. • Um firewall estava no local para isolar a rede de controle da rede da empresa, no entanto, havia uma conexão T1 a partir de uma empresa de consultoria de software, que entrou na rede de controle por trás do firewall, ignorando todas as políticas de controle de acesso impostas pelo firewall corporativo. • O worm infectou servidor do consultor e foi capaz de entrar na rede Davis-Besse através da linha T1.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 30. Ataque ao sistema de Águas de Maroochy Shire 31/10/2001 • Ataque ao sistema de controle de tratamento de resíduos de Maroochy Shire em Queensland, Austrália. • A Planta passou por uma série de problemas: bombas não acionavam quando comandadas, alarmes não estavam sendo reportados, e havia uma perda de comunicações entre o centro de controle e as estações de bombas. • Estes problemas causaram o alagamento do terreno de um hotel próximo, um parque, e um rio com mais de 7 milhões de litros de esgoto bruto.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 31. Ataque a centro de comando derruba satélite ROSAT • Em 2008 investigadores da NASA reportaram que uma falha no ROSAT estava ligada à uma cyber invasão no Goddard Space Flight Center, centro de comando do satélite. • Segundo o relatório da NASA: “Atividades hostis comprometeram sistemas de computadores que direta ou indiretamente lidam com o controle do ROSAT” • Após sucessivas falhas nos meses seguintes, em 23/10/11 o satélite alemão ROSAT explodiu ao reentrar na atmosfera terrestre. Seus destroços caíram em áreas inabitadas do planeta não causando vítimas.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 32. Transporte Ferroviário – Ataque à CSX 20/08/2003 • Sistema de sinalização ferroviário da CSX • Virus Sobig causa desligamento dos sistemas de sinalização da costa leste dos EUA • Virus infectou a base de controle da Flórida, desligando sinalização e outros sistemas de controle ferroviário • Trens que fazem percursos de longas distâncias foram atrasados entre 4 a 6 horaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 33. Ataque à ETA de South Houston (EUA) • 18/11/2011 • Hacker invadiu e publicou em blog imagens das IHMs do SCADA da ETA de South Houston, provando que poderia ter operado a planta • http://pastebin.com/Wx 90LLumwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 34. O Worm Stuxnet - 2010 • Também conhecido como W32.Temphid e Rootkit.TmpHider • Worm desenvolvido para tirar vantagem de vulnerabilidade existente em todas as versões do sistema Windows. • O Stuxnet foi desenvolvido para atingir qualquer sistema usando a plataforma Siemens WinCC. • O Objetivo do Malware parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA) • Existem patches liberados para cada plataforma Windows e também alguns ajustes provisórios (workarounds)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 35. Metasploit e SCADA Exploits: Despertar de uma Nova Era?• https://www.infosecisland.com/blogview/9340-Metasploit-and- SCADA-Exploits-Dawn-of-a-New-Era-.htmlwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 36. Exploits SCADA Zero Day publicados http://www.scmagazine.com.au/News/272175,zero-day-industrial-control-system-exploits-published.aspxwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 37. O Worm Duqu (2011) • O Duqu é um Worm descoberto em 1/9/2011 • Seu nome vem do prefixo "~DQ" que ele atribui aos arquivos que ele cria • A Symantec denominou o Duqu de “quase idêntico ao Stuxnet, mas com propósito totalmente diferente“. Ela acredita que o Duqu tenha sido criado pelos mesmos autores do Stuxnet, ou por pessoas que tiveram acesso ao código fonte do Stuxnet. • O worm, assim como o Stuxnet, tem um certificado digital válido (roubado da C-Media) e coleta informações para a preparação de futuros ataques. • Duqu utiliza comunicação peer-to-peer para se alastrar de redes inseguras para redes seguras. De acordo com a McAfee, uma das ações do Duqu é roubar certificados de computadores atacados para ajudar em futuros ataques. • O Duqu é o primeiro worm a surgir com código fonte derivado do Stuxnet (segunda geração)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 38. O Malware Flame (2012) • Também conhecido como sKyWiper • O Flame é um conjunto de ferramentas de ataque para espionagem industrial. • Ele é um backdoor, um trojan e se espalha como um Worm, se replicando através de mídias externas e contato com outras redes contaminadas. • Segundo a Kaspersy labs, “ele é muito mais complexo que o Duqu. A geografia dos seus alvos (alguns países do oriente médio) e sua complexidade não deixa dúvidas de que alguma nação está por trás dele.”www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 39. Literatura Hacker • A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 40. Ataque à ETA de South Houston (EUA) • 18/11/2011 • Hacker invadiu e publicou em blog imagens das IHMs do SCADA da ETA de South Houston, provando que poderia ter operado a planta • http://pastebin.com/Wx 90LLumwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 41. Ataque à ETA de South Houston (Cont.)Retirado de post feito pelo Hacker em http://pastebin.com/Wx90LLumwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 42. Normas para Segurança em Redes Industriaiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 43. Slide Oculto • Slide ocultowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 44. A norma ANSI/ISA 99 • Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais • É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataqueswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 45. Relatórios Técnicos da ISA 99 • ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and Control Systems” Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos para mitigação, e ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques. • ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment” Framework para o desenvolvimento de um programa de segurança para sistemas de controle Fornece a organização recomendada e a estrutura para o plano de segurança. O Framework está integrado no que é chamado de CSMS (Cyber Security Management System) Os elementos e requerimentos estão organizados em 3 categorias principais: • Análise de Riscos • Endereçando os riscos com o CSMS • Monitorando e melhorando o CSMSwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 46. ANSI/ISA-TR99.00.02-2004 ANSI/ISA-TR99.00.02-2004: Estabelecendo um programa de segurança de sistemas de controle e automação industrial Análise de Riscos Categoria 1 Identificação, Racional do classificação e Negócio análise de riscosRelacionamento de categorias Endereçando riscos com o CSMS Categoria 2 Política de Segurança, Contramedidas de Implementação organização e segurança selecionadas treinamento Segurança Gestão do risco Escopo do CSMS Pessoal e implementação Segurança Desenvolviment Segurança física e o de sistemas e Organizacion ambiental manutenção al Treinamento Segmentação Informação *Cyber Security de segurança e gestão de da equipe da rede documentos Management System Plano de Planejamento e Controle de continuidade resposta a acesso: gestão de negócios incidentes de contas Políticas de segurança e Controle de Acesso: Grupos de elementos procedimentos autenticação Element Controle de Acesso: group autorização Elemento Monitorando e melhorando o CSMS Categoria 3 Revisar, Element Compliance melhorar e manter o CSMSwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 47. A norma NIST 800-82 • Norma elaborada pelo NIST • O documento é um guia para o estabelecimento de sistemas de controle de segurança para indústrias (ICS). • Estes sistemas incluem controle supervisório e aquisição de dados em sistemas SCADA, sistemas de controle distribuídos (DCS), e outras configurações de sistema para PLCs. http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdfwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 48. Livro Azul - Guia de segurança das infraestruturas críticas • Desenvolvido pelo CGSI e publicado em 2010 • O Guia reúne métodos e instrumentos, visando garantir a Segurança das Infraestruturas Críticas da Informação, com relevantes aspectos destacados dada a complexidade do tema nos dias atuais.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 49. Editais com referência à norma ANSI/ISA-99 • O primeiro edital que claramente apresenta referências à norma ANSI/ISA-99 no Brasil foi o da Petrobrás para a licitação do COMPERJ (Complexo Petroquímico do Rio de Janeiro) • Este edital, publicado em Maio de 2009 possuía um caderno somente para as especificações de segurança cibernéticawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 50. Soluções para segurança de redes industriaiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 51. Análise de Riscos para redes industriais • Baseado nas normas ANSI/ISA-99, NIST SP 800-30 (Risk Management Guide for Information Technology Systems) e NIST 800-82 (Guide to Industrial Control Systems Security) • Atividades realizadas Inventário da rede de automação Entrevistas com os gestores Levantamento de vulnerabilidades e ameaças Análise qualitativa ou quantitativa Estimativa de impacto no negócio Definição de contramedidas e resposta a incidentes Avaliação do risco residual Plano de tratamento de riscos Manutenção e gestão continuada Serviços executados com o auxílio do Módulo Risk Manager, com base de conhecimento para segurança industrial (ANSI/ISA-99)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 52. Gap Assessment para adequação à ANSI-ISA 99 ANSI- • O Gap Assessment é uma análise realizada na rede de automação da indústria que define as mudanças e implementações necessárias para que o ambiente esteja em conformidade com o que preconiza a norma ANSI/ISA-99 • Fornece uma direção clara sobre o trabalho necessário para cumprir com as diretrizes da norma. • Atividades realizadas Inventário da rede de automação Especificação de modelo de Zonas e Conduítes e modelo de defesa em profundidade Avaliação de controles e políticas de segurança existentes e níveis de segurança atuais Recomendações de segurança para compliance com a ANSI-ISA 99 Elaboração de relatório de conformidade, documento que descreve os objetivos globais de segurança de cada zona e conduíte visando a compatibilidade com norma ANSI/ISA-99 e indica as principais contramedidadas de segurança a serem aplicadaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 53. Análise de Vulnerabilidades e SCADA Pentest • Análise de vulnerabilidades em servidores SCADA e OPC Escaneamento seguro de servidores com ferramentas específicas para redes industriais Geração de relatório com as vulnerabilidades encontradas e contramedidas indicadas Mentoring para Hardening de servidores SCADA Mentoring para Hardening de servidores OPC • SCADA Pentest Testes de SQL injection em IHMs locais e acessos remotos Testes de invasão com ataques de Brute Force, XSS e execução de códigos maliciosos contra aplicativos SCADA Geração de relatório com os testes efetuados e seus resultados Mentoring para hardening de aplicativos e correção de códigos de aplicativos vulneráveiswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 54. Domínio de segurança para redes de automação • Implementação de procedimentos de governança para redes de automação Revisão / implementação de Política de Segurança específicas para áreas de automação Especificação de política de controle de acesso (grupos, recursos, direitos) • Implementação de domínio para área de automação Baseado em Microsoft Active Directory Integração com login de plataformas UNIX like Implementação de login transparente Relação de confiança com domínio corporativo Ativação de GPOs específicas para segurança de redes industriais Implementação de ACLs para acesso restrito a CLPs e remotas Registros (Logs) de atividades de usuários na rede de automaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 55. TI Safe SRA - Acesso Remoto Seguro • Solução composta por itens de consultoria aliados à solução Check Point GO, que cria um desktop virtual totalmente seguro e fornece segundo fator de autenticação em acessos a sistemas SCADA, independente da máquina que o usuário estiver usando. • Com a solução TI Safe SRA a rede de automação fica totalmente livre do risco de infecção por malware e do roubo das credenciais durante o acesso remoto, • Serviços de consultoria incluídos na solução: Implementação da solução Check Point GO dentro da rede de automação Definição e implantação de políticas de segurança no acesso remoto. Especificação de controles de segurança para uso de Modems na rede de automação. Revisão de segurança do acesso remoto da rede de automação de acordo com as boas práticas da norma ANSI/ISA-99. Testes integrados e startup da solução.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 56. Suporte de segurança para plantas industriais • Centro de operações: Rio de Janeiro • Portal do cliente: sistema web de Service Desk acessado pelos especialistas da TI Safe e do • Serviços executados remotamente cliente Gestão de IPS para segurança de borda • Suporte remoto com SLA: acesso remoto seguro à rede do cliente buscando a solução Gestão de Firewalls da rede interna imediata dos problemas de segurança e a Gestão de solução de backup manutenção preventiva do seu ambiente Gestão de solução de controle de operacional. acesso reforçado • Suporte local: Nos casos em que não for Gestão de solução DLP possível resolver o incidente remotamente a TI Gestão de sofware SIEM Safe deslocará especialistas em segurança para Monitoramento de performance de o atendimento local. servidores e tráfego da rede de automação • Relatório mensal de suportes: a equipe da TI Safe envia para seus clientes um relatório mensal sobre os atendimentos realizadoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 57. Treinamento e Conscientizaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 58. Academia TI Safe • Certificação CASE • Formação em segurança de automação Prova presencial de 60 questões a industrial (20h) ser realizada em 90 minutos. Aprovação com 70% de acertos ou superior • Formação em Fundamentos de Guerra e Importante diferencial no mercado. Defesa Cibernética (24h) • Security Day Treinamentos em turmas regulares ou on-site (mínimo de 10 alunos) Evento dentro da empresa cliente com até 8 horas de duração. Alunos recebem material didático em formato digital Apresentações técnicas baseadas nas normas ISO/IEC 27001/27002, Totalmente em português, adequada ao perfil do BS 25999 e ANSI/ISA-99. profissional de segurança requerido pelas empresas brasileiras Apostila em formato digital.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 59. Formação em segurança de automação industrial • Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos) • Baseada na norma ANSI/ISA-99 • Alunos recebem material didático em formato digital • Escopo: • Formação com 20h de duração • Introdução às redes Industriais e SCADA • Instrutor membro da ISA Internacional e integrante do • Infraestruturas Críticas e Cyber-terrorismo comitê da norma ANSI/ISA-99, com anos de • Normas para segurança em redes industriais experiência em segurança de automação industrial • Introdução à análise de riscos • Objetiva formar profissionais de TI e TA: • Análise de riscos em redes industriais Apresenta, de forma teórica e prática, • Malware em redes industriais e ICS aplicações reais da segurança de acordo com o • Desinfecção de redes industriais contaminadas CSMS (Cyber Security Management System) por Malware preconizado pela norma ANSI/ISA-99 • Uso de firewalls e filtros na segurança de Totalmente em português, adequada ao perfil do redes industriais profissional de segurança requerido pelas empresas brasileiras • Uso de Criptografia em redes industriais • Calendário com próximas turmas disponível em • Segurança no acesso remoto à redes http://www.tisafe.com/solucoes/treinamentos/ industriais • Implementando o CSMS (ANSI/ISA-99) na práticawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 60. Certificação CASE – Certified Automation Security Engineer • Prova presencial composta de 60 perguntas de múltipla escolha que devem ser resolvidas em 90 A certificação CASE abrange os seguintes domínios de minutos. conhecimento: • As questões têm pesos diferentes e o aluno será • Introdução às redes Industriais e sistemas SCADA. aprovado caso obtenha quantidade de acerto igual ou • Infraestruturas Críticas e Cyber-terrorismo. superior a 70% do valor total dos pontos atribuídos ao • Governança para redes industriais. exame. • Políticas e padrões de segurança industrial. • Em caso de aprovação o aluno receberá o certificado • Introdução à análise de riscos. CASE por e-mail e seu nome poderá ser verificado em • Análise de riscos em redes industriais e sistemas listagem no site da TI Safe. SCADA. • Malware em redes industriais e sistemas de controle. • Os certificados tem 2 anos (24 meses) de validade a • Desinfecção de redes industriais contaminadas por partir de sua data de emissão. Malware. • Guia de estudos, simulado e calendário com próximas • Segurança de perímetro em redes de automação. provas disponível em (aba “Certificação CASE”): • Criptografia em redes industriais. http://www.tisafe.com/solucoes/treinamentos/ • Controle de acesso em sistemas SCADA. • Implantando o CSMS (ANSI/ISA-99) na prática.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 61. Security Day • Eventos com 8 horas de duração destinados à criação de consciência de segurança em empresas. • Realizados dentro da empresa (normalmente em auditório) e sem limite de número de alunos. • Utiliza estratégias de divulgação e elaboração em formato de palestras com apostila personalizada, atingindo a todos os níveis de colaboradores da organização. • Palestras técnicas baseadas nas normas ISO/IEC 27001, ISO/IEC 27002, BS 25999 e ANSI/ISA-99 • Escolha as palestras técnicas para o Security Day em sua empresa em nossa base de conhecimento disponível em http://www.slideshare.net/tisafewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 62. Contatowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

×