O Uso de padrões abertos para proteção   de sistemas SCADA e de automação                      Marcelo Branquinho & Eric B...
Autor e Apresentador •   Marcelo Branquinho •   Diretor Comercial, TI Safe Segurança da Informação •   Marcelo.branquinho@...
Co-Autor•   Eric J. Byres•   CTO, Byres Security•   Eric@byressecurity.com•   Eric Byres é reconhecido internacionalmente ...
Objetivo do Trabalho• Apresentar a implementação de segurança em redes de  automação industrial utilizando o padrão ANSI/I...
Agenda• Introdução Teórica   – A Necessidade de segurança em redes industriais   – Os requerimentos únicos para segurança ...
Introdução Teórica
Antigamente os sistemas SCADA eram assim....• Ilhas de Automação                  Rede de Planta ou Gerenciamento         ...
Hoje eles são assim...                               Gerência Corporativa• Sistemas Integrados                            ...
Evolução – Sistemas Supervisórios•   No início os sistemas supervisórios eram desenvolvidos em    plataformas operacionais...
Vulnerabilidades no Sistema Operacional Windowshttp://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx
Vulnerabilidades e Exploits para SW SCADAhttp://www.frsirt.com/english/advisories/2008/0306
Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervisório e o PLC atravésda porta COM e obter as...
Vulnerabilidades no Protocolo OPC•   Vulnerabilidades de alto risco do sistema operacional     –   Serviços de sistema des...
Riscos dentro da rede de controle                                                            Suporte remoto               ...
Como os atacantes entram…a)   Laptops de terceiros infectados com Malware e conectados diretamente à rede de     automação...
Literatura Hacker•   A criticidade do uso e o impacto provocado por ataques a redes de    automação aumentou o interesse d...
Estatísticas de Incidentes•   Malware responde por 2/3 dos incidentes externos em sistemas de    controle.•   Aparentement...
Ameaça recente: O Worm Stuxnet (2010)•    Também conhecido como     W32.Temphid e Rootkit.TmpHider•    Worm desenvolvido p...
Performance – Comparativo TI X AutomaçãoRedes e Computadores de TI                                              Redes de A...
Desenvolvimento do    Trabalho
A norma ANSI/ISA 99•   Norma elaborada pela ISA (The    Instrumentation Systems and    Automation Society) para    estabel...
Relatórios Técnicos da ISA 99•   ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and    Contro...
Passos para implementação da ISA99.00.021.   Análise de Riscos        Racional do negócio, identificação de riscos, classi...
O Modelo de Zonas e Conduítes•   A estratégia de defesa em profundidade, conforme definido na norma    ANSI/ISA-99, detalh...
Definição de zona de segurança• “Zona de segurança: agrupamento de ativos físicos e  lógicos que dividem os mesmos requeri...
Conduítes• Um conduíte é um caminho para o fluxo de dados entre  duas zonas.   – Pode fornecer as funções de segurança que...
Níveis de Segurança•   Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores    como sua criticidade e cons...
Exemplo de sistema dividido em zonas                                                                   Ataques Internos   ...
Implementação em refinaria norte-americana Topologia da rede deautomação da refinaria
Implementação em refinaria norte-americanaRede de automação da refinaria dividida em zonas de segurança
Implementação em refinaria norte-americana    Conduítes são adicionados entre as zonas de segurança
Protegendo as Zonas de Segurança• A solução foi separar  algumas zonas que  estavam em desequilíbrio  entre o SLC e o SLT•...
Exemplo: Protegendo a Zona S1•   A Análise de Riscos indicou que existia potencial para falhas    comuns de rede entre a z...
A Arquitetura da zona S1 Protegida
Configurações específicas - Redundância•   Dois Firewalls foram conectados entre os servidores terminais do sistema    de ...
Dúvidas?
Upcoming SlideShare
Loading in …5
×

Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação

820 views

Published on

Apresentação realizada no congresso da ABM Brasil em 2010.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
820
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
28
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação

  1. 1. O Uso de padrões abertos para proteção de sistemas SCADA e de automação Marcelo Branquinho & Eric Byres Outubro de 2010
  2. 2. Autor e Apresentador • Marcelo Branquinho • Diretor Comercial, TI Safe Segurança da Informação • Marcelo.branquinho@tisafe.com • Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de negócios, é um dos fundadores do capítulo do Rio de Janeiro da ISACA. • Membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde atua como chefe do departamento de segurança para sistemas de automação industrial. • Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da Formação de Analistas de Segurança de Automação, primeira formação brasileira no segmento e ministrada em infra-estruturas críticas e organismos governamentais brasileiros.
  3. 3. Co-Autor• Eric J. Byres• CTO, Byres Security• Eric@byressecurity.com• Eric Byres é reconhecido internacionalmente como um dos principais especialistas em sistemas SCADA e Segurança Industrial. Como fundador do BCIT Critical Infrastructure Security Centre, ele o transformou em uma das principais instalações académicas da américa do norte no campo da segurança SCADA, culminando no prêmio SANS Leadership Award em 2006.• Na década passada, Eric prestou serviços de investigação e consultoria para agências governamentais de segurança e de grandes empresas de energia para proteção de infra-estruturas críticas. Ele é também o presidente do grupo de trabalho da ISA SP-99 e é o representante canadense para oos padrões IEC TC65/WG10 para a proteção de instalações industriais contra ataques cibernéticos. Eric recebeu inúmeros prêmios do IEEE, ISA e SANS por suas pesquisas sobre as soluções de segurança.
  4. 4. Objetivo do Trabalho• Apresentar a implementação de segurança em redes de automação industrial utilizando o padrão ANSI/ISA-99 baseado no conceito de estratégia de defesa em profundidade.• Demonstrar como utilizar o modelo de zonas e conduítes para assegurar sistemas de controle.• Apresentar o caso de implantação da técnica em uma refinaria norte-americana.
  5. 5. Agenda• Introdução Teórica – A Necessidade de segurança em redes industriais – Os requerimentos únicos para segurança SCADA• Desenvolvimento do trabalho – A Norma de Segurança ANSI/ISA-99 – Estratégia de defesa em profundidade - o Modelo de Zonas e Conduítes – Implementação em refinaria norte-americana• Dúvidas
  6. 6. Introdução Teórica
  7. 7. Antigamente os sistemas SCADA eram assim....• Ilhas de Automação Rede de Planta ou Gerenciamento Supervisão Banco de Dados NÍVEL DE PLANTA Rede de Controle NÍVEL DE CONTROLE NÍVEL DE Rede de CAMPO Campo
  8. 8. Hoje eles são assim... Gerência Corporativa• Sistemas Integrados Gerência Industrial Transacional Transacional Gerência de Produção Tempo Real Controle Tempo Real Seqüencial Contínuo Discreto Medição
  9. 9. Evolução – Sistemas Supervisórios• No início os sistemas supervisórios eram desenvolvidos em plataformas operacionais caríssimas, baseadas em sistemas Unix like e máquinas poderosas como os Digital Vax e Alpha.• Desenvolver aplicativos para estas plataformas era algo extremamente caro• Com isto, supervisórios passaram a ser desenvolvidos para plataformas Windows, cujo processo de desenvolvimento era muito mais rápido e os custos globais do projeto eram bastante reduzidos
  10. 10. Vulnerabilidades no Sistema Operacional Windowshttp://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx
  11. 11. Vulnerabilidades e Exploits para SW SCADAhttp://www.frsirt.com/english/advisories/2008/0306
  12. 12. Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervisório e o PLC atravésda porta COM e obter as senhas (Principal e Master) do PLC
  13. 13. Vulnerabilidades no Protocolo OPC• Vulnerabilidades de alto risco do sistema operacional – Serviços de sistema desnecessários – Senhas fracas e vulneráveis – Atualizações e patches inadequados no servidor – Uso de mecanismos fracos para autenticação – Vulnerabilidades locais• Vulnerabilidades inerentes ao OPC – Utilização de transportes historicamente inseguros – Falta de autenticação no navegador do servidor OPC – Servidor OPC e seu navegador com privilégios excessivos – Suporte a protocolos desnecessários para o navegador do servidor OPC – Falta de integridade em comunicações OPC – Falta de confidencialidade no tráfego OPC – Dependência de serviços de Internet COM no IIS – Configurações de segurança do OPC não possuem controle de acesso granular – Excessivas portas TCP abertas no servidor OPC
  14. 14. Riscos dentro da rede de controle Suporte remoto Internet infectado Rede corporativa Conexões não autorizadas Firewalls mau Laptops configurados Infectados Modems Rede da planta Drives USB Control LAN Rede de PLCs Links RS-232
  15. 15. Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de automaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs Via Corprate WAN & Business Network 49% Internet Directly 17% VPN Connection 7% Wireless System Dial-up modem 3% 7% Trusted 3rd Party Telco Network Connection 7% 10%
  16. 16. Literatura Hacker• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.
  17. 17. Estatísticas de Incidentes• Malware responde por 2/3 dos incidentes externos em sistemas de controle.• Aparentemente vai de encontro aos incidentes de segurança de TI• Entretanto, há uma quantidade surpreendente de eventos de sabotagem System DoS Penetration 6% 13% Sabotage 13% Malware 68%
  18. 18. Ameaça recente: O Worm Stuxnet (2010)• Também conhecido como W32.Temphid e Rootkit.TmpHider• Worm desenvolvido para tirar vantagem de vulnerabilidade existente em todas as versões do sistema Windows.• O Stuxnet foi desenvolvido para atingir qualquer sistema usando a plataforma Siemens WinCC.• O Objetivo do Malwsre parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)• Existem patches liberados para cada plataforma Windows e também alguns ajustes provisórios (workarounds)
  19. 19. Performance – Comparativo TI X AutomaçãoRedes e Computadores de TI Redes de Automação Perda de dados e interrupções não podem ser toleradas e podem resultarPerda de dados e interruções podem ocasionalmente ser toleradas em sérias consequências, incluindo danos a equipamentos e possíveisatravés da restauração de backups e reinicializações de máquinas. perdas de vidas. Tempos de respostas determinística em loops de controle; respostas em tempo real são necessárias; grandes delays ou downtimes não podem serAltas taxas de dados são necessárias, delays podem ser tolerados. tolerados. Sistemas devem sempre ser tolerantes a falhas ou ter "hot backups";Recuperação sempre após o reboot; Paradas de sistema e reboots paradas de computadores e controladoras podem resultar em situaçõesnormalmente não trazem consequências perigosas ou com riscos de vida. perigosas e com ameaça a vidas. Software antivirus é difícil de ser aplicado na maioria das vezes porque delays não podem ser tolerados e determinismo nos tempos de respostaSoftware antivirus largamente usado. tem que ser preservado.Treinamento e conscientização em segurança de sistemas érazoavelmente alto. Treinamentos em segurança de sistemas raramente ocorrem. Muitos sistemas SCADA transmitem dados e mensagens de controle emCriptografia usada. texto claro. Testes de penetração não são rotineiramente executados na rede de controle e, quando realizados, devem ser feitos com cuidado para nãoTestes de penetração amplamente utilizados. afetar os sistemas de controle. Implementação de patches deve ser cuidadosamente considerada, feitaImplementação de patches é feita rotineiramente. com pouca frequência, e normalmente requer a ajuda dos fabricantes.Auditorias de segurança são necessárias e realizadas rotineiramente. Auditorias de segurança da informação normalmente não são realizadas.Equipamentos normalmente trocados ou substituidos em cada 3 a 5 anos. Equipamentos usados por longos períodos de tempo, sem substituição.
  20. 20. Desenvolvimento do Trabalho
  21. 21. A norma ANSI/ISA 99• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques
  22. 22. Relatórios Técnicos da ISA 99• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and Control Systems” – Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos para mitigação, e ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment” – Framework para o desenvolvimento de um programa de segurança para sistemas de controle – Fornece a organização recomendada e a estrutura para o plano de segurança. – O Framework está integrado no que é chamado de CSMS (Cyber Security Management System) – Os elementos e requerimentos estão organizados em 3 categorias principais: • Análise de Riscos • Endereçando os riscos com o CSMS • Monitorando e melhorando o CSMS
  23. 23. Passos para implementação da ISA99.00.021. Análise de Riscos Racional do negócio, identificação de riscos, classificação e análise2. Endereçando riscos com o CSMS Política de Segurança, Organização e Treinamento Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de negócios, políticas e procedimentos Selecionar contramedidas de segurança Segurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e autorização Implementação Gerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da informação e documentos, planejamento de incidentes3. Monitorando e melhorando o CSMS Compliance Revisar, melhorar e manter o CSMS
  24. 24. O Modelo de Zonas e Conduítes• A estratégia de defesa em profundidade, conforme definido na norma ANSI/ISA-99, detalha que um sistema deverá ser dividido em sub-zonas de segurança, de acordo com suas caracterísiticas funcionais e de segurança• ELEMENTO 4.3.2.3 – Segmentação de rede – Objetivo: • Agrupar e separar sistemas de controle de infraestruturas críticas chave em zonas com níveis de segurança comuns de maneira a gerenciar os riscos de segurança e atingir um nível de segurança desejado para cada zona. – Requerimento 4.3.2.3.1: • Uma estratégia de contramedida baseada na segmentação de rede deve ser desenvolvida para os elementos de uma rede crítica de acordo com o nível de riscos desta rede.
  25. 25. Definição de zona de segurança• “Zona de segurança: agrupamento de ativos físicos e lógicos que dividem os mesmos requerimentos de segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116] – Uma zona deve ter uma borda claramente definida (seja lógica ou física), que será a fronteira entre elementos incluídos e excluídos. Zona IHM Zona Controladora
  26. 26. Conduítes• Um conduíte é um caminho para o fluxo de dados entre duas zonas. – Pode fornecer as funções de segurança que permitem diferentes zonas a se comunicar com segurança. – Todas as comunicações entre zonas devem passar por um conduíte. Conduíte Zona IHM Zona Controladora
  27. 27. Níveis de Segurança• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores como sua criticidade e consequências.• Equipamentos em uma zona terão uma capacidade para o nível de segurança (SLC)• Se eles não forem iguais, então será necessário adicionar tecnologias de segurança e políticas para torná-las iguais. Zona IHM SLC = 2 SLT = 2 Zona PLCs SLC = 1 SLT = 2 Conduíte aumenta o SL em 1
  28. 28. Exemplo de sistema dividido em zonas Ataques Internos Internet PC Infectado Firewall de Camada de defesa 5 Internet (Corporativa) Rede Corporativa DMZ Firewall do sistema de controle Camadas de defesa 3/4 (Sistema de Controle) Firewalls distribuído Camadas de defeas 1/2 (Equipamentos) Firewalls Infected HMI distribuídos Cluster de PLCs SCADA RTU Controladoras DCS
  29. 29. Implementação em refinaria norte-americana Topologia da rede deautomação da refinaria
  30. 30. Implementação em refinaria norte-americanaRede de automação da refinaria dividida em zonas de segurança
  31. 31. Implementação em refinaria norte-americana Conduítes são adicionados entre as zonas de segurança
  32. 32. Protegendo as Zonas de Segurança• A solução foi separar algumas zonas que estavam em desequilíbrio entre o SLC e o SLT• E então colocar Firewalls entre estas zonas para atingir o nível de segurança desejado.
  33. 33. Exemplo: Protegendo a Zona S1• A Análise de Riscos indicou que existia potencial para falhas comuns de rede entre a zona do supervisório (J1) e as zonas de sistemas integrados de segurança (S1)• Era necessário aumentar a integridade das operações, limitando o tipo e as taxas de tráfego no conduíte (S)• A solução foi: – Definir um conduíte entre as zonas J1 e S1 – Utilizar um Firewall Industrial para MODBUS entre as duas zonas para aumentar os controles de tráfego entre as zonas.
  34. 34. A Arquitetura da zona S1 Protegida
  35. 35. Configurações específicas - Redundância• Dois Firewalls foram conectados entre os servidores terminais do sistema de segurança e os switches Ethernet de nível 2, fornecendo conexões redundantes entre o sistema de segurança e o sistema de controle.• Firewalls foram selecionados para: – Serem capazes de inspecionar conteúdo MODBUS – Oferecer alto MTBF e and resistência industrial – Suportar alimentação redundante – Oferecido modo bridge ao invés de roteamento tradicionais• Isso aumentou a confiabilidade e diminuiu o custo de configuração, reduzindo consideravelmente o TCO
  36. 36. Dúvidas?

×