Palestra técnica - Aprendendo segurança em redes industriais e SCADA
 

Like this? Share it with your network

Share

Palestra técnica - Aprendendo segurança em redes industriais e SCADA

on

  • 2,224 views

Palestra técnica - Aprendendo segurança em redes industriais e SCADA

Palestra técnica - Aprendendo segurança em redes industriais e SCADA

Statistics

Views

Total Views
2,224
Views on SlideShare
2,222
Embed Views
2

Actions

Likes
0
Downloads
62
Comments
0

2 Embeds 2

http://www.linkedin.com 1
https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Palestra técnica - Aprendendo segurança em redes industriais e SCADA Presentation Transcript

  • 1. Aprendendo Segurança em Redes Industriais e SCADA Jarcy Azevedo Agosto de 2012 TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 2. Termo de Isenção de Responsabilidade A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas. Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 3. Sobre a TI Safe • Missão Fornecer produtos e serviços de qualidade para a Segurança da Informação • Visão Ser referência de excelência em serviços de Segurança da Informação • Equipe técnica altamente qualificada • Apoio de grandes marcas do mercadowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 4. Siga a TI Safe nas Redes Sociais • Twitter: @tisafe • SlideShare: www.slideshare.net/tisafe • Facebook: www.facebook.com/tisafe • Flickr: http://www.flickr.com/photos/tisafewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 5. Não precisa copiar... http://www.slideshare.net/tisafewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 6. Agenda • Introdução às redes industriais e SCADA • Segurança SCADA • Política de segurança • Segurança do perímetro • Segurança física • Patches • Antivírus • Autenticação e Identificação • Autorização • Active Directory • Security Standards • Detecção • Protocolos • Monitoramento em sistemas SCADA • Outros controles de segurança • Treinamento e conscientizaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 7. Introdução às redes industriais e SCADA SCADA = Supervisory Control And Data Acquisition • Ele é.. Um sistema que controla e coleta dados de um processo Encaminha dados para outros dispositivos Usado industrialmente • Ele não é.. Um dispositivo Encriptado Controlador de dispositivos Sistemas SCADA devem primar pela velocidade da aquisição dos dados. Cada segundo de delay pode ser crítico.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 8. Introdução às redes industriais e SCADA • Autômatos programáveis RTU PLC IED • Protocolos Fieldbus DeviceNet Modbus DNP3 Profibuswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 9. Introdução às redes industriais e SCADA • Redes SCADA estão em um mundo diferente, quanto a segurança, do mundo de TI (Mito) • Sistemas SCADA não possuem vulnerabilidades com as vulnerabilidades de TI (Mito) • Hackers não atacam sistemas SCADA (Mito) • Possuo um sistema e protocolos personalizados, portanto não estou vulnerável (Mito)www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 10. Segurança SCADA Integridade SCADA Confidencialidade Disponibilidade • Segurança CUSTA Dinheiro • Funcionalidade e facilidade GERAM dinheiro • Segurança gera perda de funcionalidade e facilidadewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 11. Segurança SCADA • Segurança deve estar entre os requisitos para aquisição de novos equipamentos • Os controles se dividem entre controles Técnicos (Firewall, IDS, smart card etc) e Administrativos ( Políticas de segurança, procedimentos etc) • Quando não é possível estabelecer controles diretos sobre algum dispositivo, devemos compensar com controles sobre o sistemawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 12. Segurança SCADA • Ameaças a um sistema SCADA Hackers (Direta e Indireta) Desenvolvedores de Virus (Indireta) Insiders (direta) Cyber Terroristas (direta) • Riscos à que o sistema pode estar exposto Perda de vidas humanas Destruição do ambiente Perda das estruturaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 13. Política de segurança • Cada organização é única • Políticas não são procedimentos • Se a politica é bonita, mas não se aplica à sua organização, ela não serve • DEVE vs PODE • Sempre Auditar e Revisar a políticawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 14. Política de segurança • Proteção legal para a empresa • Erros Políticas impossíveis de serem seguidas Politicas que não podem ser auditadas Políticas não seguidaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 15. Segurança do perímetro • Use Firewall como Firewall e Roteador como Roteador Firewalls trabalham com regras Roteadores com Access lists Firewalls são stateful Roteadores são stateless • ACLs podem ser exploradaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 16. Segurança do perímetro • Outros benefícios dos Firewalls Inspeção de camadas Assinaturas de IDS integradas VPN Firewalls podem rodar em computadores e applianceswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 17. Segurança do perímetro • Zonas de segurança Confiável • Dispositivos e redes SCADA Não Confiável • Todo o resto (Inclusive pareceiros de negócio e empresas de suporte) • Regras de Firewall básicas Isolar a rede SCADA das demais Criar DMZs O que não esté autorizado deve ser implicitamente negado Seja o mais específico possívelwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 18. Segurança do perímetro • Regras de Firewall básicas Diferenciar as redes • Um Firewall mal configurado, alem de ser inútil ainda gera latência na rede. • Redundância é sempre bem-vinda. Usando fabricantes diferentes é ainda melhor. • DMZs são baratas, use quantas forem necessáriaswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 19. Segurança do perímetro • Quando usar uma DMZ? Quando os grupos diferirem quanto às permissões ou papéis Não deve ser usado quando um dispositivo possui uma vulnerabilidade conhecidawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 20. Segurança do perímetro • Prioridades de segurança nas áreas da planta 1. Prevenir que uma área comprometida afete o sistema SCADA 2. Prevenir que uma área comprometida afete outra área 3. Prevenir um Ciberataque em uma área • Não se restrinja a firewalls de borda, também use firewalls internos no limite de cada área • Crie grupos com permissões semelhanteswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 21. Segurança do perímetro • Política de acesso remoto Dividido em acesso aos dispositivos na DMZ e ao sistema SCADA (confiável) Acesso ao sistema SCADA • Deve ser extremamente limitado • Não deve permitir controle remoto • Acesso emergencial dos administradores • Acesso para suporte por parte do vendedor Utilizar controles compensatórios Exigir segurança nos contratos Acesso via VPNswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 22. Segurança física • Muitos dispositivos podem ser hackeados pelo acesso físico Reboot Violência Desligar da tomada • Restringir o acesso ao centro de controle e às HMIs • Observar janelas e portas abertas, etc • Utilizar biometria, RFID, smart cards, etc • Colocar servidores e infra em um local diferentewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 23. Segurança física • Restringir o acesso de pessoal desnecessário • Proteção Coloque guardas nos pontos de acesso Boas trancas, mantenha portas fechadas • Detecção Câmeras Detectores de movimentowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 24. Patches • São softwares com código destinado a resolver problemas, em um software principal. • Atualmente basta baixar rodar um scan de vulnerabilidades, exploit e payload para explorar um sistema com falhas de segurança não “patcheada”. Tudo isso sem entender nada de programação e protocolos. • Você PRECISA instalar os patches no seus sistema para protegê-lo, mas esse patch pode “quebrar” seus sistema.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 25. Patches • Precisam ser testados de forma a não afetar a disponibilidade do sitema • Não podem ser instalados sem autorização do fabricante • Como proteger o sistema até que o patch seja autorizado? • Controles compensatórios! • Verificar a real necessidade do patch • Realize testes e homologação do patchwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 26. Antivírus • Deve ser instalado em todos os sistemas, de acordo com as informações dos fabricantes dos sistemas SCADA • Deve ser atualizado automaticamente em todos os sistemas não- críticos a partir de um WSUS na rede de automação não conectado à Internet • Atualizado manualmente em sistemas críticos • Redundância ajudará a evitar reboots • Uma boa arquitetura da planta isolará o sistema da maior parte dos malwares • Verifique atualizações diariamentewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 27. Autenticação e Identificação • Não adianta ter um kerberus bem configurado se os seus funcionários guardam as senhas atrás do teclado • Usuário/Senha é o mais fraco meio de autenticação • Identificação Privilégios baseados em quem você é e onde você está logado Autenticação por 2 fatoreswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 28. Autenticação e Identificação • Problemas de autenticação Sistemas logados ao fim do boot Sistemas monousuário Contas compartilhadas • Soluções de autenticação Contas individuais Realizar logoff após o uso Trocas de senha periódicas Termos de responsabilidade Política de segurançawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 29. Autorização • O que um usuário está autorizado a fazer ? • Identificação, autenticação e autorização provêm acesso • Manter um registro (log) de todos os acessos, bem como quando eles ocorreram • Criar um controle de acesso baseado no papel de cada usuário no sistema • Mesmo os sistemas SCADA antigos têm formas sofisticadas de controle de autorizaçãowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 30. Security Standards • NERC CIP 002 to 009 Setor de eletrecidade Medidas e conformidades para todos os requisitos Programa de auditoria Penalidades para não-conformidades • CIDX / ACC Setor de química Segurança no setor químico Avaliação de vulnerabilidades Como começar um programa de cyber segurançawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 31. Security Standards • ANSI/ISA SP99 Padrão de segurança adotado por todas as indústrias que possuem sistemas de controle Um dos grupos mais ativos Visão geral das tecnologias de cyber segurança Autorização, encriptação, firewall, IDS Controles de acesso • NIST SP 800-82 Organização do governo americano Guideline de segurança para sistemas de controle Programa de testes de antivíruswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 32. Detecção • Proteção vs Detecção • Identifica ataque em tempo real • Possibilita a tomada imediata de medidas • Serve como uma camada a mais • A detecção de ameaças cibernéticas deve fazer parte de todo sistema crítico • Detecção é ainda mais crítica quando um sistema de proteção ainda não foi implementadowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 33. Detecção • Logs do firewall Por que olhar os logs do firewall? • Identificar tentativas de Insiders bloqueados • Identificar mudanças de configuração • Identificar atividades suspeitas ou não usuais • Sistemas de detecção de intrusão (IDS) Verifica assinaturas de ataque passivamente Dividido em IDS de host e IDS de rede Ajuda na detecção de anomalias IDS de host pode gerar problemas de performance, sendo assim, veja qual IDS seu fornecedor de equipamentos recomendawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 34. Detecção • Sistemas de prevenção de intrusão Pode bloquear tráfego suspeito Efetivo contra exploits conhecidos Não avalia o tráfego interno • Monitoramento Sistemas operacionais e aplicações Ajudam em uma possível forense MSSPwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 35. Protocolos • A comunicação PLC/RTU e o centro de controle era originariamente serial, mas mudou praticamente toda para IP • A comunicação entre o PLC/RTU e os sensores e atuadores ainda é serial • Porque mudar para IP? Maior taxa de transferência LAN/WAN pode ser compartilhada Roteamento para requisitos de disponibilidade Preçowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 36. Protocolos • Modbus Protocolo Serial Checagem de erro Largamente usado Não prevê segurança! • DNP3 Industria elétrica Originalmente serial Similar ao modbus Cliente-Servidor Não prevê segurança!www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 37. Protocolos • Um protocolo ideal teria: Autenticação da origem Conteúdo autenticado Encriptação ótima Boa performance Não existe nada nem próximo disso • A solução atual se baseia em roteadores e firewalls de comunicação de campo • Encriptadores de campo estão sendo desenvolvidoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 38. Monitoramento de sistemas SCADA • Controle compensatório • As medidas de detecção atuais detectam: Protocolos comuns de ataque Aplicações comuns de ataque Sistemas operacionais comuns de ataque • Elas não detectam: Ataques ou mal uso de protocolos SCADA • Assinaturas de IDS: Os protocolos SCADA não fornecem a origem nem autenticação dos dados neles contidoswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 39. Monitoramento de sistemas SCADA • Logs dos sistemas SCADA Podem conter informações valiosas Cada fabricante possui um padrão diferente de logs A solução é criar um dicionário de dados SCADA e normalizar os logswww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 40. Outros controles de segurança • Programa de conscientização Usuários acabam não lendo ou esquecendo a política Pôster, e-mails vídeos, palestras, auditorias • Campanhas de conscientização Já fez seu backup hoje ? Você deixou seu pc ligado ontem • Análise de vulnerabilidades Identifica patches não aplicados Erros de configuração Senhas fracas ou defaultwww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 41. Outros controles de segurança • Análise de vulnerabilidades Faça scans regularmente Cuidado! Scans podem tirar o sistema SCADA do ar Faça scans em pequenos grupos de hosts, para diminuir o impacto Prepare-se para possíveis efeitos colaterais • Siga as boas práticas SEMPRE! ANSI/ISA 99 NIST SP 800-82www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 42. Formação em segurança de automação industrial • Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos) • Baseada na norma ANSI/ISA-99 • Alunos recebem material didático em formato digital • Escopo: • Formação com 20h de duração • Introdução às redes Industriais e SCADA • Instrutor membro da ISA Internacional e integrante do • Infraestruturas Críticas e Cyber-terrorismo comitê da norma ANSI/ISA-99, com anos de • Normas para segurança em redes industriais experiência em segurança de automação industrial • Introdução à análise de riscos • Objetiva formar profissionais de TI e TA: • Análise de riscos em redes industriais Apresenta, de forma teórica e prática, • Malware em redes industriais e ICS aplicações reais da segurança de acordo com o • Desinfecção de redes industriais contaminadas CSMS (Cyber Security Management System) por Malware preconizado pela norma ANSI/ISA-99 • Uso de firewalls e filtros na segurança de Totalmente em português, adequada ao perfil do redes industriais profissional de segurança requerido pelas empresas brasileiras • Uso de Criptografia em redes industriais • Calendário com próximas turmas disponível em • Segurança no acesso remoto à redes http://www.tisafe.com/solucoes/treinamentos/ industriais • Implementando o CSMS (ANSI/ISA-99) na práticawww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 43. Certificação CASE – Certified Automation Security Engineer • Prova presencial composta de 60 perguntas de múltipla escolha que devem ser resolvidas em 90 A certificação CASE abrange os seguintes domínios de minutos. conhecimento: • As questões têm pesos diferentes e o aluno será • Introdução às redes Industriais e sistemas SCADA. aprovado caso obtenha quantidade de acerto igual ou • Infraestruturas Críticas e Cyber-terrorismo. superior a 70% do valor total dos pontos atribuídos ao • Governança para redes industriais. exame. • Políticas e padrões de segurança industrial. • Em caso de aprovação o aluno receberá o certificado • Introdução à análise de riscos. CASE por e-mail e seu nome poderá ser verificado em • Análise de riscos em redes industriais e sistemas listagem no site da TI Safe. SCADA. • Malware em redes industriais e sistemas de controle. • Os certificados tem 2 anos (24 meses) de validade a • Desinfecção de redes industriais contaminadas por partir de sua data de emissão. Malware. • Guia de estudos, simulado e calendário com próximas • Segurança de perímetro em redes de automação. provas disponível em (aba “Certificação CASE”): • Criptografia em redes industriais. http://www.tisafe.com/solucoes/treinamentos/ • Controle de acesso em sistemas SCADA. • Implantando o CSMS (ANSI/ISA-99) na prática.www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 44. Security Day • Eventos com 8 horas de duração destinados à criação de consciência de segurança em empresas. • Realizados dentro da empresa (normalmente em auditório) e sem limite de número de alunos. • Utiliza estratégias de divulgação e elaboração em formato de palestras com apostila personalizada, atingindo a todos os níveis de colaboradores da organização. • Palestras técnicas baseadas nas normas ISO/IEC 27001, ISO/IEC 27002, BS 25999 e ANSI/ISA-99 • Escolha as palestras técnicas para o Security Day em sua empresa em nossa base de conhecimento disponível em http://www.slideshare.net/tisafewww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
  • 45. Contatowww.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.