Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação
1. O Uso de padrões abertos para proteção
de sistemas SCADA e de automação
Marcelo Branquinho & Eric Byres
Outubro de 2010
2. Autor e Apresentador
• Marcelo Branquinho
• Diretor Comercial, TI Safe Segurança da Informação
• Marcelo.branquinho@tisafe.com
• Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de
negócios, é um dos fundadores do capítulo do Rio de Janeiro da ISACA.
• Membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde atua
como chefe do departamento de segurança para sistemas de automação industrial.
• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o
desenvolvimento da Formação de Analistas de Segurança de Automação, primeira formação brasileira
no segmento e ministrada em infra-estruturas críticas e organismos governamentais brasileiros.
3. Co-Autor
• Eric J. Byres
• CTO, Byres Security
• Eric@byressecurity.com
• Eric Byres é reconhecido internacionalmente como um dos principais especialistas em sistemas
SCADA e Segurança Industrial. Como fundador do BCIT Critical Infrastructure Security Centre, ele o
transformou em uma das principais instalações académicas da américa do norte no campo da
segurança SCADA, culminando no prêmio SANS Leadership Award em 2006.
• Na década passada, Eric prestou serviços de investigação e consultoria para agências
governamentais de segurança e de grandes empresas de energia para proteção de infra-estruturas
críticas. Ele é também o presidente do grupo de trabalho da ISA SP-99 e é o representante canadense
para oos padrões IEC TC65/WG10 para a proteção de instalações industriais contra ataques
cibernéticos. Eric recebeu inúmeros prêmios do IEEE, ISA e SANS por suas pesquisas sobre as
soluções de segurança.
4. Objetivo do Trabalho
• Apresentar a implementação de segurança em redes de
automação industrial utilizando o padrão ANSI/ISA-99
baseado no conceito de estratégia de defesa em
profundidade.
• Demonstrar como utilizar o modelo de zonas e conduítes
para assegurar sistemas de controle.
• Apresentar o caso de implantação da técnica em uma
refinaria norte-americana.
5. Agenda
• Introdução Teórica
– A Necessidade de segurança em redes industriais
– Os requerimentos únicos para segurança SCADA
• Desenvolvimento do trabalho
– A Norma de Segurança ANSI/ISA-99
– Estratégia de defesa em profundidade - o Modelo de Zonas
e Conduítes
– Implementação em refinaria norte-americana
• Dúvidas
7. Antigamente os sistemas SCADA eram assim....
• Ilhas de Automação
Rede de Planta ou Gerenciamento
Supervisão
Banco de
Dados NÍVEL DE
PLANTA
Rede de Controle
NÍVEL DE
CONTROLE
NÍVEL DE
Rede de CAMPO
Campo
8. Hoje eles são assim...
Gerência Corporativa
• Sistemas Integrados
Gerência Industrial
Transacional
Transacional
Gerência de
Produção
Tempo Real
Controle Tempo Real
Seqüencial
Contínuo Discreto
Medição
9. Evolução – Sistemas Supervisórios
• No início os sistemas supervisórios eram desenvolvidos em
plataformas operacionais caríssimas, baseadas em sistemas Unix
like e máquinas poderosas como os Digital Vax e Alpha.
• Desenvolver aplicativos para estas plataformas era algo
extremamente caro
• Com isto, supervisórios passaram a ser desenvolvidos para
plataformas Windows, cujo processo de desenvolvimento era muito
mais rápido e os custos globais do projeto eram bastante reduzidos
10. Vulnerabilidades no Sistema Operacional Windows
http://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx
12. Cracking de senhas em PLCs
• É possível monitorar a comunicação entre o Supervisório e o PLC através
da porta COM e obter as senhas (Principal e Master) do PLC
13. Vulnerabilidades no Protocolo OPC
• Vulnerabilidades de alto risco do sistema operacional
– Serviços de sistema desnecessários
– Senhas fracas e vulneráveis
– Atualizações e patches inadequados no servidor
– Uso de mecanismos fracos para autenticação
– Vulnerabilidades locais
• Vulnerabilidades inerentes ao OPC
– Utilização de transportes historicamente inseguros
– Falta de autenticação no navegador do servidor OPC
– Servidor OPC e seu navegador com privilégios excessivos
– Suporte a protocolos desnecessários para o navegador do servidor OPC
– Falta de integridade em comunicações OPC
– Falta de confidencialidade no tráfego OPC
– Dependência de serviços de Internet COM no IIS
– Configurações de segurança do OPC não possuem controle de acesso granular
– Excessivas portas TCP abertas no servidor OPC
14. Riscos dentro da rede de controle
Suporte remoto
Internet infectado
Rede corporativa
Conexões não
autorizadas
Firewalls mau Laptops
configurados Infectados
Modems
Rede da planta
Drives USB
Control LAN
Rede de PLCs
Links RS-232
15. Como os atacantes entram…
a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de
automação
b) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativa
c) Atos intencionais de funcionários insatisfeitos
d) Conexões via modem
e) VPNs
Via Corprate WAN &
Business Network
49%
Internet Directly
17%
VPN Connection
7%
Wireless System Dial-up modem
3% 7%
Trusted 3rd Party
Telco Network Connection
7% 10%
16. Literatura Hacker
• A criticidade do uso e o impacto provocado por ataques a redes de
automação aumentou o interesse de hackers em realizar ataques.
Já existem livros ensinando como atacar uma rede industrial.
17. Estatísticas de Incidentes
• Malware responde por 2/3 dos incidentes externos em sistemas de
controle.
• Aparentemente vai de encontro aos incidentes de segurança de TI
• Entretanto, há uma quantidade surpreendente de eventos de sabotagem
System
DoS Penetration
6% 13%
Sabotage
13%
Malware
68%
18. Ameaça recente: O Worm Stuxnet (2010)
• Também conhecido como
W32.Temphid e Rootkit.TmpHider
• Worm desenvolvido para tirar vantagem
de vulnerabilidade existente em todas
as versões do sistema Windows.
• O Stuxnet foi desenvolvido para atingir
qualquer sistema usando a plataforma
Siemens WinCC.
• O Objetivo do Malwsre parece ser
espionagem industrial (roubo de
propriedade intelectual de sistemas de
controles de processos SCADA)
• Existem patches liberados para cada
plataforma Windows e também alguns
ajustes provisórios (workarounds)
19. Performance – Comparativo TI X Automação
Redes e Computadores de TI Redes de Automação
Perda de dados e interrupções não podem ser toleradas e podem resultar
Perda de dados e interruções podem ocasionalmente ser toleradas em sérias consequências, incluindo danos a equipamentos e possíveis
através da restauração de backups e reinicializações de máquinas. perdas de vidas.
Tempos de respostas determinística em loops de controle; respostas em
tempo real são necessárias; grandes delays ou downtimes não podem ser
Altas taxas de dados são necessárias, delays podem ser tolerados. tolerados.
Sistemas devem sempre ser tolerantes a falhas ou ter "hot backups";
Recuperação sempre após o reboot; Paradas de sistema e reboots paradas de computadores e controladoras podem resultar em situações
normalmente não trazem consequências perigosas ou com riscos de vida. perigosas e com ameaça a vidas.
Software antivirus é difícil de ser aplicado na maioria das vezes porque
delays não podem ser tolerados e determinismo nos tempos de resposta
Software antivirus largamente usado. tem que ser preservado.
Treinamento e conscientização em segurança de sistemas é
razoavelmente alto. Treinamentos em segurança de sistemas raramente ocorrem.
Muitos sistemas SCADA transmitem dados e mensagens de controle em
Criptografia usada. texto claro.
Testes de penetração não são rotineiramente executados na rede de
controle e, quando realizados, devem ser feitos com cuidado para não
Testes de penetração amplamente utilizados. afetar os sistemas de controle.
Implementação de patches deve ser cuidadosamente considerada, feita
Implementação de patches é feita rotineiramente. com pouca frequência, e normalmente requer a ajuda dos fabricantes.
Auditorias de segurança são necessárias e realizadas rotineiramente. Auditorias de segurança da informação normalmente não são realizadas.
Equipamentos normalmente trocados ou substituidos em cada 3 a 5 anos. Equipamentos usados por longos períodos de tempo, sem substituição.
21. A norma ANSI/ISA 99
• Norma elaborada pela ISA (The
Instrumentation Systems and
Automation Society) para
estabelecer segurança da
informação em redes industriais
• É um conjunto de boas práticas
para minimizar o risco de redes
de sistemas de controle
sofrerem Cyber-ataques
22. Relatórios Técnicos da ISA 99
• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and
Control Systems”
– Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos
para mitigação, e ferramentas que podem ser aplicadas para proteger os sistemas de
controle de automação industriais (IACS) de invasões e ataques.
• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing
and Control Systems Environment”
– Framework para o desenvolvimento de um programa de segurança para sistemas de
controle
– Fornece a organização recomendada e a estrutura para o plano de segurança.
– O Framework está integrado no que é chamado de CSMS (Cyber Security Management
System)
– Os elementos e requerimentos estão organizados em 3 categorias principais:
• Análise de Riscos
• Endereçando os riscos com o CSMS
• Monitorando e melhorando o CSMS
23. Passos para implementação da ISA99.00.02
1. Análise de Riscos
Racional do negócio, identificação de riscos, classificação e análise
2. Endereçando riscos com o CSMS
Política de Segurança, Organização e Treinamento
Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de
negócios, políticas e procedimentos
Selecionar contramedidas de segurança
Segurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e
autorização
Implementação
Gerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da
informação e documentos, planejamento de incidentes
3. Monitorando e melhorando o CSMS
Compliance
Revisar, melhorar e manter o CSMS
24. O Modelo de Zonas e Conduítes
• A estratégia de defesa em profundidade, conforme definido na norma
ANSI/ISA-99, detalha que um sistema deverá ser dividido em sub-zonas de
segurança, de acordo com suas caracterísiticas funcionais e de segurança
• ELEMENTO 4.3.2.3 – Segmentação de rede
– Objetivo:
• Agrupar e separar sistemas de controle de infraestruturas críticas chave em
zonas com níveis de segurança comuns de maneira a gerenciar os riscos
de segurança e atingir um nível de segurança desejado para cada zona.
– Requerimento 4.3.2.3.1:
• Uma estratégia de contramedida baseada na segmentação de rede deve
ser desenvolvida para os elementos de uma rede crítica de acordo com o
nível de riscos desta rede.
25. Definição de zona de segurança
• “Zona de segurança: agrupamento de ativos físicos e
lógicos que dividem os mesmos requerimentos de
segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116]
– Uma zona deve ter uma borda claramente definida (seja lógica ou
física), que será a fronteira entre elementos incluídos e excluídos.
Zona IHM
Zona Controladora
26. Conduítes
• Um conduíte é um caminho para o fluxo de dados entre
duas zonas.
– Pode fornecer as funções de segurança que permitem
diferentes zonas a se comunicar com segurança.
– Todas as comunicações entre zonas devem passar por um
conduíte.
Conduíte
Zona IHM
Zona Controladora
27. Níveis de Segurança
• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores
como sua criticidade e consequências.
• Equipamentos em uma zona terão uma capacidade para o nível de
segurança (SLC)
• Se eles não forem iguais, então será necessário adicionar tecnologias de
segurança e políticas para torná-las iguais.
Zona IHM
SLC = 2
SLT = 2
Zona PLCs
SLC = 1
SLT = 2
Conduíte aumenta
o SL em 1
28. Exemplo de sistema dividido em zonas
Ataques Internos
Internet
PC Infectado
Firewall de Camada de defesa 5
Internet (Corporativa)
Rede Corporativa
DMZ
Firewall do sistema de controle Camadas de defesa
3/4 (Sistema de
Controle)
Firewalls
distribuído
Camadas de defeas
1/2 (Equipamentos)
Firewalls
Infected HMI distribuídos
Cluster de PLCs
SCADA RTU
Controladoras DCS
32. Protegendo as Zonas de Segurança
• A solução foi separar
algumas zonas que
estavam em desequilíbrio
entre o SLC e o SLT
• E então colocar Firewalls
entre estas zonas para
atingir o nível de
segurança desejado.
33. Exemplo: Protegendo a Zona S1
• A Análise de Riscos indicou que existia potencial para falhas
comuns de rede entre a zona do supervisório (J1) e as zonas de
sistemas integrados de segurança (S1)
• Era necessário aumentar a integridade das operações, limitando o
tipo e as taxas de tráfego no conduíte (S)
• A solução foi:
– Definir um conduíte entre as zonas J1 e S1
– Utilizar um Firewall Industrial para MODBUS entre as duas zonas para
aumentar os controles de tráfego entre as zonas.
35. Configurações específicas - Redundância
• Dois Firewalls foram conectados entre os servidores terminais do sistema
de segurança e os switches Ethernet de nível 2, fornecendo conexões
redundantes entre o sistema de segurança e o sistema de controle.
• Firewalls foram selecionados para:
– Serem capazes de inspecionar conteúdo MODBUS
– Oferecer alto MTBF e and resistência industrial
– Suportar alimentação redundante
– Oferecido modo bridge ao invés de roteamento tradicionais
• Isso aumentou a confiabilidade e diminuiu o custo de configuração,
reduzindo consideravelmente o TCO