Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

White Paper - TI Safe ICSSF

988 views

Published on

Durante a 1a Conferencia Latina Americana de Segurança SCADA – CLASS 2014 – que ocorreu de 5 a 7 de novembro no Rio de Janeiro, a TI Safe e seus parceiros tecnológicos – Siemens, IBM, Trend Micro e Palo Alto Networks – lançou o ICS.SecurityFramework (ICSSF) – a primeira solução no mundo de planta segura pronta para ser aplicada a plantas industriais e sistemas SCADA utilizando os padrões ANSI/ISA.99 e NIST 800-82.

O ICSSF cobre todos os níveis de camadas ISA para sistemas industriais (chão de fábrica, controle e supervisão, gestão de operações e gestão empresarial), abrangendo de forma integrada a proteção para dispositivos do chão de fábrica, sistemas SCADA, MES, ERP, PIMS e outros sistemas industriais. Os componentes de segurança são instalados de acordo com as necessidades de cada camada dentro das normas de segurança respeitando a tecnologia existente, e todo o sistema é integrado em um ambiente de operação central onde é feito o monitoramento, prevenção e isolamento de ameaças.

Uma versão da plataforma ICS.SecurityFramework foi apresentada no CLASS 2014 na área chamada ICS Village. Nesta implementação foi utilizada uma planta cervejeira simulada Siemens em produção, devidamente protegida pela solução e sendo ameaçada ao vivo por diversos incidentes de segurança.

Published in: Technology
  • Be the first to comment

White Paper - TI Safe ICSSF

  1. 1. Página - 1 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. SOLUÇÃO INTEGRADA DE SEGURANÇA DA INFORMAÇÃO PARA PLANTAS INDUSTRIAIS E INFRAESTRUTURAS CRÍTICAS TI SAFE INDUSTRIAL CONTROL SYSTEMS SECURITY FRAMEWORK WHITE PAPER TISAFE_WHITEPAPER_ICSSF_V1 DATA:21 DE OUTUBRO DE 2014 VERSÃO: 5 Autores: Marcelo Branquinho Renato Mendes Marcio Santos Josué José Souza Junior Franzvitor Fiorim Alexandre Freire
  2. 2. Página - 2 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. RESUMO Nos últimos anos temos assistido o crescimento exponencial de riscos e ameaças cibernéticas a sistemas de automação e de informação que operam plantas industriais. Dentre estas, as mais preocupantes são as chamadas “infraestruturas críticas”, que são instalações, serviços e/ou bens que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico e/ou político. Exemplos de infraestruturas críticas são plantas de geração e distribuição de eletricidade, fábricas de alimentos, bebidas e farmacêuticas, empresas de telecomunicações, de fornecimento de água, gás natural e combustível, empresas de saúde pública, transportes, serviços financeiros e serviços nacionais, tais como polícia, defesa civil, corpo de bombeiros, forças armadas, etc. Em contraponto aos riscos e ameaças apresentadas, empresas do mundo todo investem tempo e dinheiro em pesquisa e desenvolvimento de serviços e soluções para a proteção dessas infraestruturas, buscando reduzir ou eliminar os impactos de eventuais interrupções de operação, quebras de produção, perdas materiais, incidentes ambientais ou acidentes de trabalho causados por incidentes de segurança da informação, tais como ataques maliciosos, vírus, hacking ou até mesmo o chamado terrorismo eletrônico (“cyber terrorismo”). Neste trabalho a equipe da TI Safe juntamente com seus parceiros - Siemens, IBM, Trend Micro e Palo Alto Networks - apresenta uma solução integrada para monitoramento e proteção de plantas industriais denominada TI Safe Industrial Control Systems Security Framework – ICSSF. A solução ICSSF é uma arquitetura de segurança que cobre diversos requisitos de segurança das normas ANSI/ISA-99 e NIST 800-82 e fornece o que há de mais moderno e adequado em termos de segurança de informação para sistemas industriais.
  3. 3. Página - 3 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. SOBRE OS AUTORES  Marcelo Branquinho é diretor-executivo da TI Safe Segurança da Informação.  Renato Mendes é executivo de projetos especiais de segurança ICS na TI Safe Segurança da Informação.  Marcio Santos é consultor técnico da Siemens.  Josué José Souza Junior é consultor técnico da IBM.  Franzvitor Fiorim é consultor técnico da Trend Micro.  Alexandre Freire é consultor técnico da Palo Alto Networks.
  4. 4. Página - 4 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. HISTÓRICO DE VERSÕES Versão Data Autor Descrição 1 21/10/2014 Marcelo Branquinho, Renato Mendes, Marcio Santos, Josué José Souza Junior, Franzvitor Fiorim, Alexandre Freire Geração do primeiro documento. 2 23/10/2014 Renato Mendes Correções pontuais. 3 28/10/2014 Renato Mendes Alterações pontuais no texto. Inclusão da certificação Achilles. 4 10/11/2014 Renato Mendes Revisões no texto. 5 18/11/2014 Renato Mendes Revisões nas figuras e no texto.
  5. 5. Página - 5 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. PROPRIEDADE INTELECTUAL E RESPONSABILIDADES Este documento e seus anexos, incluindo, sem limitações, informações técnicas, diagramas, projetos, informações comerciais, especificações, desenhos, diagramas, etc., podem constituir propriedade intelectual e/ou proprietária de seus respectivos titulares. O conteúdo aqui descrito é de propriedade exclusiva dos autores. A cópia, utilização, distribuição e/ou reprodução não autorizada do total ou trechos deste documento será considerada violação de direitos e estarão passíveis de medidas nos termos da legislação civil e criminal vigente. TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como podem ser outras empresas, produtos e métodos citados neste documento. Em todos os casos de uso estes itens são reconhecidos como marca registrada de seus detentores. As informações constantes neste documento refletem a realidade TI Safe, Siemens, Palo Alto Networks, Trend Micro e IBM são marcas registradas, assim como podem ser outras empresas, produtos e métodos citados neste documento. Em todos os casos de uso estes itens são reconhecidos como marca registrada de seus detentores. As aplicações e os exemplos neste documento visam ser meramente informativos e ilustrativos, não representando soluções definitivas ou soluções personalizadas. Reservamos o direito de alteração deste documento a qualquer momento sem prévia notificação. Os autores deste documento não se responsabilizam pelo uso inadequado das informações deste documento, assim como por qualquer consequência de uso do mesmo.
  6. 6. Página - 6 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. ÍNDICE 1. FUNDAMENTOS DA ARQUITETURA ................................................................. - 8 - 2. O CONCEITO DE DEFESA EM PROFUNDIDADE ................................................ - 9 - 3. AMBIENTE DE FUNCIONAMENTO ................................................................. - 11 - 3.1 A PLANTA SIMULADA DE AUTOMAÇÃO ..................................................... - 11 - 4. SOLUÇÕES DE SEGURANÇA .......................................................................... - 15 - 4.1 PROTEÇÃO DOS SISTEMAS DE AUTOMAÇÃO DO CHÃO DE FÁBRICA ......... - 15 - 4.1.1 FIREWALL INDUSTRIAL SCALANCE S .................................................... - 16 - 4.1.2 CONTROLE DE ACESSO – SIMATIC LOGON E PROTEÇÃO DE KNOW HOW - 20 - 4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS - 27 - 4.1.4 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 31 - 4.1.5 MONITORAMENTO DE REDE – SINEMA SERVER ..................................... - 34 - 4.2 CONTROLE DE MALWARE .......................................................................... - 35 - 4.2.1 SEGURANÇA LOCAL PARA SERVIDORES CRÍTICOS DA REDE DE AUTOMAÇÃO - TREND MICRO OFFICE SCAN ............................................................................ - 36 - 4.2.2 MONITORAMENTO DE MALWARE E APT NA REDE DE AUTOMAÇÃO - TREND MICRO DEEP DISCOVERY ................................................................................... - 37 - 4.3 SEGURANÇA DE PERÍMETRO E CONTROLE DE ACESSO EXTERNO .............. - 39 - 4.4 INTELIGÊNCIA DE SEGURANÇA ................................................................ - 46 - 4.4.1 CENÁRIO DE USO DO IPS XGS5100 ....................................................... - 46 - 4.5 INFORMAÇÃO DE SEGURANÇA E DE INCIDENTES ..................................... - 48 - 4.6 SEGUNÇA DE DADOS ................................................................................ - 50 - 4.6.1 PROTEÇÃO DAS BASES DE DADOS ......................................................... - 50 - 4.6.2 DATABASE ACTIVITY MONITORING (DAM) ........................................... - 51 - 4.6.3 PRINCIPAIS FUNÇÕES DO IBM GUARDIUM ........................................... - 54 - 4.6.3.1 DATABASE AUTODISCOVERY (DBAD) ................................................ - 54 - 4.6.3.2 CLASSIFIER ....................................................................................... - 55 - 4.6.3.3 RELATÓRIO DE PRIVILÉGIOS ............................................................ - 55 -
  7. 7. Página - 7 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. 4.6.3.4 APPLICATION END USER IDENTIFICATION ....................................... - 55 - 4.6.3.5. VULNERABILITY ASSESSMENT ........................................................... - 55 - 4.6.3.6. ACELERADORES DE COMPLIANCE ...................................................... - 56 - 4.6.3.7. WORKFLOW ....................................................................................... - 57 - 4.6.4 DESEMPENHO E OUTROS ....................................................................... - 57 - 5. CONCLUSÃO ................................................................................................. - 58 - 6. ICS.SECURITYFRAMEWORK EM AÇÃO .......................................................... - 59 -
  8. 8. Página - 8 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. 1. FUNDAMENTOS DA ARQUITETURA A arquitetura ICSSF parte do princípio da segmentação dos sistemas industriais no formato de uma pirâmide, conforme padrão ANSI/ISA de segmentação e classificação dos sistemas de informação e de automação utilizados na indústria: Figura 1 - Arquitetura de segmentação de sistemas industriais Dentro da segmentação ilustrada, temos que enquanto os equipamentos, sistemas e redes dos níveis zero e um são essencialmente derivados de tecnologia de automação (controladores, redes proprietárias e/ou padrões de automação), os níveis três e quatro são essencialmente soluções de tecnologia de informação (equipamentos e banco de dados padrão de mercado, rede Ethernet TCP/IP padrão). Na interface destes mundos encontra-se o nível dois, que muitas vezes possui elementos de tecnologia de automação e tecnologia da informação. Esta análise é fundamental uma vez que ameaças e riscos de segurança divergem dependendo da tecnologia que está sendo utilizada, assim como as contramedidas e soluções a serem adotadas na proteção. Desta lógica entendemos então que uma solução para segurança de plantas industriais precisa necessariamente possuir tecnologia e ferramentas tanto de tecnologia da informação quanto da tecnologia de automação, aplicadas em uma arquitetura própria e pensada segundo ambos os pontos de vista.
  9. 9. Página - 9 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. 2. O CONCEITO DE DEFESA EM PROFUNDIDADE Uma solução comum para a segurança industrial é instalar um firewall entre as redes de negócios e de controle. No entanto, proteger apenas o perímetro da rede de automação não é suficiente. Não se pode somente instalar um firewall para controle de sistemas e esquecer-se do resto da segurança, pois os invasores normalmente conseguem penetrar na rede de outras formas. É necessário proteger o chão de fábrica com uma estratégia de defesa em profundidade. Em alguns exemplos de ataques documentados reais contra plantas industriais temos casos documentados de infecções por worm em uma planta nuclear através de uma conexão remota T1, em um sistema SCADA de energia através de uma VPN e em um sistema de controle de óleo e gás através do sistema operacional do laptop de um funcionário terceirizado de manutenção. Em todos estes casos existia um firewall segregando as redes de negócio e de controle, mas ele foi inútil para a proteção contra as ameaças internas, pois elas entraram direto nos segmentos inferiores da pirâmide ANSI/ISA, direto na rede de controle sem passar pela rede corporativa. Figura 2 - Ameaças internas à rede de automação Além do exposto temos que firewalls tradicionais são muito complexos para que a maioria dos profissionais de segurança possa configurar corretamente de modo a evitar uma ameaça. Além disto, sem o conhecimento mais aprofundado de rede, como é o caso da maioria dos profissionais do chão de fábrica, não se consegue fazer com que ele exerça sua função adequadamente. Uma vez que um vírus ou um hacker burle o firewall de controle do sistema, os controladores lógicos programáveis (PLCs), estações SCADA ou outros dispositivos de automação serão alvos fáceis de ataque. Equipamentos e protocolos de controle normalmente não oferecem mecanismos de autenticação, integridade ou confidencialidade e podem ser completamente controlados por qualquer indivíduo que seja capaz de realizar um simples ping nestes equipamentos.
  10. 10. Página - 10 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. As indústrias precisam de uma solução de segurança que tenha sido projetada especificamente para fornecer uma solução de defesa em profundidade tanto para os sistemas de controle novos quanto para o restante do legado. Esta solução tem que ser simples a ponto das equipes de campo entender seu funcionamento e realizar sua instalação e manutenção, ao mesmo tempo em que proteja adequadamente os ativos controlados. É necessário pensar em um framework que inclua soluções tecnológicas aderentes e políticas adequadas para executar, manter e monitorar a segurança de forma consistente, alinhada com a cultura organizacional da empresa e que forneça visibilidade das ameaças, contramedidas necessárias e ocorrência de incidentes. Dentro deste contexto foi pensado e desenvolvido o ICSSF. Trata-se de um framework contendo a melhor tecnologia de mercado adequada ao cenário de plantas industriais, aderentes às normas vigentes (ANSI/ISA-99 e NIST 800-82), com um mapa de rotas claro de implementação, de manutenção e de monitoração da qualidade do ambiente e processos de segurança.
  11. 11. Página - 11 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. 3. AMBIENTE DE FUNCIONAMENTO O ICSSF foi pensado com uma solução totalmente aderente as necessidades das plantas industriais e aos níveis hierárquicos da pirâmide ANSI/ISA. É composto por vários componentes individuais – um ou mais para cada camada – que estão aplicados conforme as recomendações das normas de mercado e profundamente integrados entre si. Apesar de o ICSSF sofrer variações de capacidade e configuração em função da tecnologia utilizada nos sistemas de automação e de informação da planta a ser protegida, seus princípios de funcionamento e arquitetura básica se mantém inalterados independentemente do negócio a ser protegido. A fim de ilustrar o funcionamento do ICSSF e realizar testes, demonstração e exercícios de ataque e proteção montamos nas instalações da TI Safe e posteriormente apresentamos no 1º Congresso Latino Americano de Segurança SCADA (CLASS 2014 – www.class2014.com.br) um ambiente industrial simulado contemplando sistemas comuns em aplicações SCADA e em todos os níveis da pirâmide ISA, e neste ambiente aplicamos o ICSSF. Neste ambiente temos o que chamamos “Planta Base de Automação”, que é a representação simulada dos sistemas industriais, e sobre esta planta base aplicamos os componentes de segurança do ICSSF. 3.1 A PLANTA SIMULADA DE AUTOMAÇÃO Utilizamos como simulação uma planta cervejeira Siemens em escala reduzida e simplificada, onde a produção será simulada desde o chão de fábrica até o nível corporativo. A planta deste segmento de Alimentos e Bebidas é um bom exemplo, uma vez que ela inclui áreas de automação de processos para a área de produção da cerveja, automação discreta para a linha de envase e embalagem e sistemas de utilidades.
  12. 12. Página - 12 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 3 - Ilustração de planta cervejeira simulada A arquitetura dos sistemas desta planta simulada segue nas figuras abaixo: Figura 4 - Arquitetura de proteção de célula da planta de demonstração ICSSF
  13. 13. Página - 13 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 5 - Arquitetura supervisório da planta de demonstração ICSSF Figura 6 - Arquitetura de componentes de segurança da planta de demonstração ICSSF
  14. 14. Página - 14 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Cada um dos grupos de sistemas desta planta está dividido em módulos, sendo que cada módulo representa um conjunto de sistemas associado a ou um nível da pirâmide de automação ou um grupo de aplicações de segurança do ICSSF. A tabela abaixo lista os módulos utilizados neste ambiente simulado e seu respectivo nível na pirâmide ANSI/ISA: DESCRIÇÃO DO MÓDULO NÍVEL ANSI/ISA Sistemas de produção de cerveja (PLCs, Inversor, Motor, IHM, etc.)* 0 e 1 Sistema de envase e embalagem (PLCs, Inversor, Motor, IHM, etc.)* 0 e 1 Sistema SCADA (Servidor OPC, Servidor SCADA, Supervisório, Servidor SCADA Web) 2 Sistema de Controle de Produção (MES – Manufacturing Execution System) 3 Sistema de Gerenciamento Corporativo (ERP – Enterprise Resource Management) 4 Tabela 1 - Descrição dos módulos e respectivos níveis ISA É importante observar que os módulos de segurança protegem várias camadas ISA/ANSI simultaneamente. A proteção da rede de automação é feita pelos equipamentos utilizados nos níveis zero e um e interligados na arquitetura ICSSF, conforme será detalhado mais à frente.
  15. 15. Página - 15 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. 4. SOLUÇÕES DE SEGURANÇA Conforme já ilustrado, aplicamos na planta simulada uma série de soluções de segurança cibernética visando à proteção dos vetores de vulnerabilidade conhecidos. Para cada solução utilizamos diversas técnicas e tecnologias conhecidas e consolidadas e de real efeito preventivo/corretivo, levando em consideração as particularidades de cada um dos sistemas simulados e as características intrínsecas dos sistemas de tecnologia da informação (T.I.) e tecnologia da automação (T.A.). Ao final consolidamos um framework definitivo para proteção completa e integrada de uma planta industrial. Este framework é a base do conceito de infraestrutura crítica segura e compõe a essência da estratégia de proteção de sistemas que contemplem um ou vários níveis da pirâmide ISA de automação. A seguir detalhamos cada um dos vetores de proteção e a solução adotada pelo framework apresentado. 4.1 PROTEÇÃO DOS SISTEMAS DE AUTOMAÇÃO DO CHÃO DE FÁBRICA Um dos maiores dilemas ao se proteger sistemas de automação contra ameaças cibernéticas é romper o paradigma de que sistemas de automação são sistemas isolados e, portanto, naturalmente protegidos contra todo e qualquer tipo de risco. O histórico recente de incidentes de segurança em plantas industriais demonstra que tais sistemas deixaram de ser sistemas isolados há muito tempo. Nos dias de hoje a necessidade de integração entre os níveis corporativos e de produção para fins de controle de produção e rastreabilidade tornam impossível à visão de sistemas de automação como sistemas estanques. Outro fator que corrobora para a dificuldade de executar políticas e soluções de segurança em sistemas de automação origina-se no fato de que sistemas de automação quase sempre são implementados e mantidos por equipes técnicas que possuem baixa ou nenhuma experiência com sistemas de segurança oriundos do mundo de TI. Sendo o foco de tais equipes a operação continua dos processos de produção e automação, é facilmente compreensível concluir que todo e qualquer sistema que vise dificultar o acesso não autorizado à infraestrutura de automação torna-se um complicador nas tarefas do dia a dia destas equipes. No ICSSF demonstramos como realizar a integração entre os níveis corporativos e de produção de forma eficaz, utilizando técnicas não intrusivas nos sistemas do chão de fábrica. O uso de tais técnicas torna possível uma rápida curva de aprendizado por parte das equipes de automação e manutenção, utilizando procedimentos e ferramentas mais adequadas as suas necessidades. Estas técnicas podem ser utilizadas em novos projetos e equipamentos, assim como em equipamentos existentes – ou os chamados sistemas legados. Sistemas legados exigem mais esforços ao serem protegidos, dada a sua obsolescência e, por consequência, a impossibilidade de alterar-se o modo de funcionamento destes equipamentos sem comprometer a sua disponibilidade no processo produtivo no qual eles estão operando.
  16. 16. Página - 16 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. A seguir detalhamos os componentes utilizados nos níveis de controle responsáveis pela proteção dos sistemas de automação do chão de fábrica. 4.1.1 FIREWALL INDUSTRIAL SCALANCE S Figura 7 - Firewall SCALANCE S623 O firewall industrial SCALANCE S permite desde a configuração de simples regras de acesso, tal como permitir ou não o acesso HTTP do servidor WEB de um PLC, até mesmo a configuração de uma rede VPN (Virtual Private Network) entre um PLC e um servidor SCADA. Figura 8 - Diferentes modos de utilização do SCALANCE S O mais interessante neste caso, é que funções de firewall e VPN podem ser encontradas em diversos sistemas e appliances de T.I., porém tais appliances não são facilmente integrados ao sistema de automação, seja por questões técnicas (necessidade de comunicações em tempo real, por exemplo), seja por suporte a ambientes hostis (faixa de temperatura entre - 40 a +70°C, por exemplo). Já o firewall SCALANCE S integra-se perfeitamente as condições de uso severas típicas de ambientes industriais bem como ao ambiente de configuração do sistema de automação, podendo, por exemplo, configurar automaticamente uma regra de acesso a partir das tabelas
  17. 17. Página - 17 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. de conexões dos PLCs. Neste caso, toda e qualquer comunicação não autorizada é bloqueada automaticamente e as conexões declaradas no PLC pela equipe de automação tornam-se automaticamente autorizadas, garantindo dessa forma o correto funcionamento do sistema de automação com o mínimo esforço da equipe de automação. Se necessário for o SCALANCE S pode ser configurado para funções de rede mais avançadas, como roteador IP (L3), NAT (Network Address Translation), NAPT (Network Address and Port Translation) e servidor DHCP (Dynamic Host Configuration Protocol), 802.1x RADIUS, cliente DynDNS (resolução dinâmica de nomes para endereços IPs dinâmicos) e Ghost Mode (no qual o endereço IP do firewall será atribuído dinamicamente em função do endereço IP do equipamento conectado na porta interna do firewall. Essa função é interessante na proteção de sistemas legados em algumas indústrias específicas. A equipe de automação pode, se necessário for, criar com poucos cliques uma VPN entre um PLC e um servidor SCADA, sem que para isso necessite entender de temas específicos como protocolo IPSec, criptografia simétrica e assimétrica ou gerenciamento de certificados de segurança. Uma VPN pode ser configurada caso seja utilizada uma infraestrutura de rede naturalmente sujeita a ataques, seja por espionagem, seja por perda de autenticidade dos dados. Esse cenário é particularmente interessante quando redes WiFi são utilizadas na troca de dados, ou em último caso quando a Internet é utilizada (acesso remoto ou monitoramento de fábricas geograficamente separadas). Na nossa planta simulada, o intuito principal é garantir o correto funcionamento do sistema de produção e automação. Dessa forma, seguindo-se as orientações da norma ISA-99, células de produção/automação foram criadas, de forma que a comunicação dentro da célula é 100% garantida, porém todo e qualquer acesso de dentro da célula para a rede externa e vice-versa só será concretizado caso seja devidamente autorizado a partir das regras declaradas no SCALANCE S. As seguintes regras foram configuradas no SCALANCE S que faz o controle perimetral da célula de produção/automação: • Acesso aos PLCs de processo através do protocolo S7 Communication (TCP 102) a partir da estação de engenharia e servidores SCADAs; • Acesso aos servidores WEB dos PLCs de processo (TCP 80 e 443 – HTTP e HTTPS) a partir de um smartphone, da estação de engenharia e da estação de monitoramento de rede (SINEMA); • Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que compõem a célula (switches, IHMs, PLCs) a partir da estação de monitoramento de rede (SINEMA); • Acesso ao servidor NTP (Network Time Protocol) disponível no sistema SCADA (UDP 123)
  18. 18. Página - 18 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 9 - Proteção de célula da planta simulada De acordo com o princípio de menor privilégio, toda e qualquer comunicação que não esteja oficialmente declarada nas tabelas de regras do SCALANCE S serão automaticamente bloqueadas. Sendo o SCALANCE S um firewall statefull, não é necessário declarar nas tabelas de regras as condições para os telegramas de resposta das comunicações internas/externas. O próprio SCALANCE S consegue identificar que um telegrama de resposta está sendo enviado a partir de um telegrama recebido e validado pelas regras previamente configuradas, tornando a configuração do firewall ainda mais flexível e isenta de erros. Já no nível do sistema SCADA torna-se necessária a separação das redes de comunicação conforme as funcionalidades requeridas. Neste caso foi utilizado outro firewall SCALANCE S com suporte a funções DMZ. O conceito de uma rede DMZ é baseado na separação física entre redes, de forma que uma rede intermediária seja criada. Com isso equipamentos da rede não confiável jamais poderão comunicar com equipamentos da rede confiável de forma direta. Caso algum equipamento da rede não confiável necessite trocar dados com equipamentos da rede confiável e vice-versa, tal troca de dados deverá ser realizada através de equipamentos alocados na rede intermediária (rede DMZ). Dessa forma jamais a rede confiável estará exposta à rede não confiável. O conceito de redes DMZ é fundamentado no controle de fronteiras entre países, onde se origina o nome DMZ (Demilitarized Zone). Nestas fronteiras é necessário passar por duas estações de controle alfandegárias/militares antes de adentrar num outro país.
  19. 19. Página - 19 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 10 - Princípio de funcionamento da DMZ No sistema SCADA encontramos facilmente aplicações para o uso de DMZ. Basta pensarmos que toda e qualquer troca de dados do sistema SCADA com o mundo corporativo só deveria ser realizada a partir de computadores que estejam instalados na DMZ, evitando que um computador corporativo com acesso a Internet (e a todo tipo de vulnerabilidade) tenha acesso direto ao servidor SCADA. Na nossa planta simulada foi instalado um servidor SCADA na rede confiável deste sistema e a troca de dados com os níveis corporativos é executada através de um servidor OPC UA (Unified Architecture - ver detalhes mais adiante) instalado na DMZ do sistema SCADA. Além disso, nessa mesma DMZ temos um servidor WEB para o sistema SCADA, o qual é responsável por publicar algumas telas do sistema SCADA via WEB para clientes corporativos. Através da DMZ garante-se que os computadores da rede confiável do sistema SCADA não estarão diretamente expostos na rede corporativa da nossa planta simulada. A saber, as seguintes regras foram configuradas no SCALANCE S que faz o controle perimetral no sistema SCADA: • Acesso ao Controlador de Domínio a partir das estações que estão na DMZ (somente estações previamente configuradas terão esse acesso, novas estações são bloqueadas automaticamente); • Acesso ao Servidor SCADA a partir das estações que estão na DMZ (somente estações previamente configuradas terão esse acesso, novas estações são bloqueadas automaticamente). A troca de dados nesse caso ocorre somente através da porta TCP 8910 (configurável). Através dessa porta a troca de dados entre os computadores do sistema SCADA ocorre de forma criptografada (ver funcionalidade SIMATIC SHELL mais adiante), o que limita a quantidade de portas necessárias na comunicação entre esses computadores e garante a confidencialidade dos dados;
  20. 20. Página - 20 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. • Acesso às portas SNMP (Simple Network Management Protocol) dos dispositivos que estão na DMZ (switches e computadores) a partir da estação de monitoramento de rede (SINEMA); • Acesso ao Servidor SCADA OPC UA (TCP 4862) da DMZ a partir da rede corporativa (somente estações previamente configuradas terão esse acesso, novas estações são bloqueadas automaticamente). Através dessa porta a troca de dados entre o nível corporativo e o servidor OPC UA ocorre de forma criptografada e assinada digitalmente (certificado X.509) garantindo a confidencialidade e autenticidade dos dados. • Acesso ao Servidor SCADA WEB da DMZ a partir da rede corporativa (TCP 80 e 443 – HTTP e HTTPS). Inicialmente todos os computadores da rede corporativa podem acessar este servidor WEB, porém é plenamente possível configurar um conjunto de computadores os quais podem acessar o servidor WEB. Mais uma vez, de acordo com o princípio de menor privilégio, toda e qualquer comunicação que não esteja oficialmente declarada nas tabelas de regras do SCALANCE S serão automaticamente bloqueadas. Figura 11 - Arquitetura SCADA - separação das redes 4.1.2 CONTROLE DE ACESSO – SIMATIC LOGON e PROTEÇÃO DE KNOW HOW Se no ambiente de TI é praticamente inviável se pensar numa rede de comunicação corporativa sem um controlador de domínio, no ambiente de automação esta configuração é
  21. 21. Página - 21 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. praticamente inexistente. Raros são os projetos onde foram utilizados controladores de domínio. As explicações para tal restrição nos ambientes de automação são várias, mas as mais comuns são: • Falta de conhecimento para empregar e administrar um controlador de domínio por parte da equipe de automação; • Impossibilidade de utilizar um controlador de domínio comum ao ambiente corporativo e ao ambiente de automação; • E a mais comum, dificuldade em observar os ganhos reais a partir da utilização de um controlador de domínio no ambiente de automação. No passado, quando as barreiras técnicas e culturais entre as equipes de TI e TA eram muito mais expressivas, tentou-se utilizar (em vão) os controladores de domínio oferecidos pelas equipes de TI, porém as configurações de segurança aplicadas na TI normalmente são muito restritivas para serem utilizadas no ambiente de automação. Só para citar, o uso de algumas GPOs (Group Policy Objects) pode fazer com que algumas funções dos sistemas SCADAs simplesmente deixem de funcionar. Atualmente existe uma forte tendência de sinergia e trocas de experiências entre as equipes de TI e TA. Em grandes empresas já é possível encontrar profissionais que circulam livremente entre as equipes ou então encontrar situações onde essas empresas estimulam um job rotation entre as equipes, de forma que elas possam entender e vivenciar as necessidades do dia a dia de cada uma delas. Na prática essa sinergia resultou no seguinte cenário atual: • Maior disseminação dos conceitos referentes aos controladores de domínio; • Reconhecimento por parte das equipes de automação quanto às necessidades de aplicar controladores de domínio nas redes de automação; • Reconhecimento por parte das equipes de TI quanto às necessidades de se ter um controlador de domínio dedicado às redes de automação e, quando necessário, incluir tais controladores na floresta de domínio da empresa ou então criar um vínculo de confiança entre o controlador de domínio da TI e da TA. A grande pergunta que ainda persiste nas equipes de automação é: “Como posso obter ganhos com o meu sistema de automação a partir do uso de controladores de domínio?”. Essa pergunta é muito prática, visto que muitos fornecedores de sistemas de automação também não enxergavam necessidade de integrar seus produtos aos controladores de domínio, uma vez que seus clientes não iriam utilizar tal funcionalidade na prática. Esse cenário poderia ser uma realidade até alguns anos atrás, porém atualmente já é possível valer-se da integração entre controlador de domínio e sistemas de automação. Na nossa planta simulada, utilizamos o SIMATIC LOGON, que de forma resumida é um software que possibilita a integração de usuários do Active Directory do Windows às tarefas de automação. Com o SIMATIC LOGON é possível utilizar o conceito de Single Sign On na
  22. 22. Página - 22 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. automação, onde através de um único usuário (autenticado e validado através do Active Directory) é possível determinar quais tarefas o usuário pode executar no processo produtivo. Em função do perfil do usuário os sistemas de automação podem permitir ou não a execução de algumas tarefas previamente cadastradas. Exemplos: • Definição de quais usuários/grupos de usuários podem alterar parâmetros do processo; • Definição de quais usuários/grupos de usuários podem parar ou partir o processo; • Definição de quais usuários/grupos de usuários podem iniciar, parar ou alterar uma batelada; • Definição de quais usuários/grupos de usuários podem desligar o sistema de automação. • Definição de quais usuários/grupos de usuários podem ter acesso as ferramentas de engenharia do sistema de automação. Em alguns casos é possível liberar certas ações sobre o processo somente após ação ser validada por duplo fator de autenticação e receber uma assinatura digital (requerimento comum nas indústrias alimentícias e farmacêuticas, conforme prevê a norma americana FDA CFR 21 PART 11). Além do controle sobre certas funções operativas, na nossa planta simulada a engenharia do sistema de automação e por consequência a alteração dos programas de automação dos PLCs só podem ser executadas por usuários devidamente cadastrados no Active Directory e com perfil de acesso para tal função. Tal controle garante que somente usuários com perfil de acesso irão operar ou alterar o sistema de automação de nossa planta simulada. Algumas das ações executadas pelos usuários podem ser gravadas numa trilha de auditoria para análises futuras, caso seja necessário. No caso especifico de projetos que necessitam atender a norma americana FDA CFR 21 PART 11 é necessário utilizar um software adicional chamado SIMATIC WINCC Audit, o qual possibilita gravar trilhas de auditoria de todas as ações dos usuários, bem como o controle de mudanças do projeto.
  23. 23. Página - 23 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 12 - Autenticação de usuário na engenharia do SIMATIC Manager Figura 13 - Projeto SIMATIC Manager com controle de acesso
  24. 24. Página - 24 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 14 - Autenticação de usuário no SCADA WinCC Diferentemente de ataques genéricos e com fins destrutivos, como infecção por malware ou ataques de DOS/DDOS (Denial and Distributed Denial of Service) onde o foco principal é a indisponibilidade de um serviço/sistema ou a simples proliferação de um vírus, atualmente o termo APT (Advanced Persistent Threat) é o que realmente preocupa os administradores de rede e os engenheiros de automação. Neste tipo de ataque são utilizadas diversas e sofisticadas técnicas de invasão, sendo que esse tipo de ataque é desenvolvido com propósitos muito específicos e com alvos bem definidos. Em plantas industriais um ataque como esse pode, por exemplo, buscar segredos industriais do processo produtivo (espionagem), sequestrar o controle da planta (extorsão) ou em casos mais extremos ser utilizado para impedir o avanço da produção industrial de equipamentos bélicos (cyberwar). De qualquer forma um APT é subdivido em fases, sendo que quase sempre a fase inicial envolve um planejamento onde a coleta de informações referente ao alvo a ser invadido torna-se vital. Neste momento, quanto mais protegermos o sistema alvo, melhor. E neste sentido o controle de acesso à engenharia e configurações do sistema de automação é praticamente obrigatório, pois se o atacante não tem acesso ao projeto do sistema SCADA e dos PLCs, estaremos dificultando e muito, o desenvolvimento de um APT específico à nossa planta. Caso o atacante consiga burlar a infraestrutura de segurança existente e ganhar acesso ao projeto do sistema SCADA e dos PLCs, ainda assim é possível utilizar contramedidas de segurança no sentido de prevenir e em alguns casos detectar a alteração nos projetos destes sistemas. Além das proteções de acesso baseadas nos perfis de usuários é possível ainda: • Proteger scripts e telas do SCADA através de senhas específicas e individuais; • Proteger os PLCs contra acesso de leitura e escrita através de senhas específicas e individuais; • Criptografar os programas dos PLCs;
  25. 25. Página - 25 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. • Impedir que os programas dos PLCs sejam executados em CPUs diferentes das CPUs utilizadas no projeto (proteção de know how a partir dos números seriais das CPUs e dos cartões de memória); Se mesmo assim todas as proteções acima forem burladas é possível detectar automaticamente a alteração do programa do PLC a partir da mudança do checksum do programa original. Dessa forma, se um atacante conseguir infiltrar um código malicioso nas CPUs um alarme é enviado para o SCADA, de forma que a equipe de automação possa reagir adequadamente a este incidente de segurança. Figura 15 - Controle de mudanças do programa do PLC Figura 16 - Controle de acesso do programa do PLC
  26. 26. Página - 26 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 17 - Criptografia do programa do PLC Figura 18 - Controle de acesso das telas do SCADA Todas as técnicas e tecnologias aqui apresentadas foram aplicadas com sucesso na planta simulada do ICSSF.
  27. 27. Página - 27 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. 4.1.3 TROCA DE DADOS SEGURA ENTRE SISTEMAS SCADA E CORPORATIVOS A troca de dados entre os sistemas SCADAs e os sistemas corporativos evoluiu da troca de dados através de interfaces e protocolos proprietários para interfaces e protocolos abertos e mais próximos dos padrões estabelecidos no ambiente de TI. Inicialmente, nas primeiras integrações realizadas, eram utilizados os seguintes padrões: • ODBC (Open Database Connectivity) • DDE (Dynamic Data Exchange). Anos depois o padrão OPC (OLE for Process Control e mais tarde Open Platform Communications) passou a ser utilizado com maior frequência, principalmente devido a forte pressão dos usuários e das variantes do padrão OPC: • OPC DA (Data Access – para comunicação em tempo real); • OPC HDA (Historical Data Access – para troca de dados históricos); • OPC A&E (Alarm and Events – para troca de dados de alarmes e eventos). Outras variantes foram desenvolvidas, porém sem grande aceitação nos fornecedores e projetos com OPC. Uma peculiaridade comum a todas essas variantes do OPC é o fato de todas elas utilizarem o padrão COM/DCOM (Component Object Model/Distributed Component Object Model) da Microsoft. Essa dependência do COM/DCOM trazia alguns pontos negativos à utilização do OPC, sendo as principais: • Dependência de sistemas operacionais Microsoft Windows; • Baixa ou nenhuma possibilidade de alteração do COM/DCOM por parte dos desenvolvedores de sistemas OPC. O controle de novas funcionalidades e/ou correções dos atuais padrões do COM/DCOM dependem totalmente dos interesses da Microsoft. • Dificuldades de executar o OPC em ambientes heterogêneos, como computadores em domínios ou workgroups diferentes; • Vulnerabilidades de segurança associadas ao COM/DCOM expunham severamente os sistemas de automação de tal forma que produtos de segurança foram desenvolvidos com a finalidade de proteger sistemas que utilizavam o OPC com solução de integração. • Apesar de existir uma especificação técnica de segurança por parte da OPC Foundation (órgão que regulamenta o padrão OPC), na prática poucos fornecedores implementaram essa especificação em seus produtos. Só para citar um pequeno exemplo, o uso do DCOM requer uma quantidade de portas TCP/UDP muito grande nos computadores, de forma que configurar regras para proteger tais portas nos firewalls não é uma tarefa muito simples.
  28. 28. Página - 28 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Considerando-se as diferentes especificações do OPC e suas restrições no que tange a segurança industrial, em 2006 a OPC Foundation liberou uma nova especificação do OPC, o OPC UA (OPC Unified Architecture), a qual mais tarde tornou-se uma norma IEC – IEC 62541. O OPC UA definitivamente tenta solucionar os problemas das versões anteriores do OPC, concentrando num único padrão todas as funcionalidades dos seus antecessores, mas principalmente eliminando a necessidade de uso do COM/DCOM. Com isso a dependência de sistemas Microsoft é abolida com o OPC UA, e dessa forma, o OPC UA pode ser executado até mesmo em sistemas embarcados com pouquíssima capacidade computacional. Um fator de grande destaque no OPC UA é o enfoque dado à parte de segurança. Apesar de também existir um capítulo específico no OPC UA referente à segurança, na prática a implementação dos sistemas de segurança recomendados pelo OPC UA é obrigatório. Com isso, hoje é plenamente possível estabelecer a troca de dados entre sistemas através de OPC UA utilizando firewalls configurados com pouquíssimo esforço (apenas uma porta de comunicação é necessária para se estabelecer a comunicação via OPC UA). Adicionalmente as seguintes medidas de segurança podem ser utilizadas com OPC UA: • Uso de certificados X.509, garantindo que somente computadores autorizados irão trocar dados entre si; • Envio de dados criptografados entre sistemas, garantindo a confidencialidade dos dados; • Envio de dados assinados digitalmente entre sistemas, garantindo a autenticidade dos dados; • Autenticação de usuários, garantindo que somente usuários autorizados terão acesso à troca de dados entre os sistemas. Figura 19 - Controle manual da troca de certificados entre sistemas
  29. 29. Página - 29 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 20 - Controle automático da troca de certificados entre sistemas (via Autoridade Certificadora) Na nossa planta simulada a troca de dados entre o sistema de automação e os níveis corporativos é feita através de OPC UA. O SERVIDOR SCADA OPC UA está instalado na DMZ, de forma que ele busca os dados do SERVIDOR SCADA (utilizando canal de comunicação seguro – SIMATIC SHELL) e envia os dados para os níveis corporativos via OPC UA. No firewall S623 foram configuradas as regras de segurança que controlam o acesso entre a rede Terminal BUS <-> DMZ e DMZ <-> OEE BUS. O acesso do OEE BUS para o Terminal BUS de forma direta é expressamente bloqueado. Baseado no controle através de certificados, mesmo que um atacante consiga sobrepor as regras de segurança do firewall S623, ele não teria um certificado X.509 válido e reconhecido pelo SERVIDOR SCADA OPC UA, dessa forma ele não teria acesso aos dados OPC UA deste servidor enquanto o servidor não valide o certificado do atacante.
  30. 30. Página - 30 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 21 - SIMATIC Performance Monitor - ferramenta consumindo dados do SCADA via OPC UA É importante ressaltar que através da arquitetura da nossa planta simulada é possível executar a comunicação segura bidirecional entre os níveis corporativos e de automação. Em um sentindo os dados de produção gerados pelos PLCs de processo são consumidos no nível corporativo, gerando dados de eficiência da planta – OEE (Overall Equipament Effectivences). No outro sentindo, os valores de OEE (calculados no nível corporativo) dos últimos 60 segundos são transferidos para os PLCs de processo utilizando os mesmos canais de comunicação seguros descritos acima. Em projetos de maior sofisticação ordens de produção considerando quantidades a serem produzidas, dados dos clientes e dos fornecedores de matéria prima poderiam ser enviados aos PLCs de processo utilizando os mesmos canais seguros. De forma a estabelecer uma comunicação confiável e segura entre os computadores do sistema SCADA foi configurado um novo canal de comunicação nos produtos SIMATIC. O canal de comunicação SIMATIC SHELL, a partir da versão 7.3 do WinCC SCADA, possibilita a definição de uma PSK (Pre-Shared Key) e uma porta de comunicação única (a qual poderá ser devidamente habilitada nos firewalls de proteção). Com isso os seguintes ganhos de segurança são obtidos: • A comunicação entre estações SCADA (servidores, clientes e estações de engenharia) passa a ser criptografadas, garantindo a confidencialidade dos dados; • Somente estações que foram devidamente configuradas para utilizar a PSK e porta de comunicação correta tem acesso umas às outras; • Somente uma porta de comunicação necessita ser configurada nos firewalls de fronteira de forma a permitir a troca de dados do sistema SCADA. • Na nossa planta simulada todos os computadores que estão instalados nas redes Terminal Bus e DMZ Bus foram devidamente configurados para utilizar o canal de comunicação SIMATIC SHELL em modo seguro.
  31. 31. Página - 31 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. • Figura 22 - Canal de comunicação SIMATIC Shell configurado para comunicação criptografada 4.1.4 MONITORAMENTO DE REDE – SINEMA SERVER Um atacante, sempre que possível não vai querer se expor, dessa forma tentará executar a invasão utilizando técnicas de ataque remotamente. Pode ser que o sistema de segurança dificulte a vida do atacante de tal forma que ele não tenha alternativa a não ser enfrentar o risco da invasão. Em algumas situações pode ser que ele necessite um acesso físico a rede do sistema a ser atacado, de forma a encontrar alguma vulnerabilidade interna e, a partir de então continuar o processo de invasão remotamente. O conceito de defesa em profundidade rege que o sistema a ser protegido deve ter diversas camadas de proteção, de forma que se uma camada não for capaz de proteger o sistema outras camadas subjacentes o protegerão. Um bom exemplo disto é o controle físico de acesso. Neste caso, a portaria da fábrica deveria impedir que um atacante adentrasse na nossa planta. Mas e se a portaria for comprometida? Seja por técnicas de invasão (roubo de identidades, crachás ou engenharia social), seja por simples descuido (portas e trancas de acesso do patch panel ou trancas dos painéis de automação sem as devidas proteções). Neste caso a camada de segurança adjacente deveria proteger o sistema de um invasor. No exemplo dado, é necessário monitorar continuamente o acesso físico da portaria, destas portas e trancas para garantia de segurança das camadas. Em se tratando de sistemas de informação, no nível corporativo os IPS (Intrusion Prevention System) são facilmente encontrados. Estes appliances podem detectar diversas formas de invasões/ataques e tomar ações de contorno (enviar alarmes para estações de monitoramento, bloquear o acesso à rede, etc). Contudo, para aplicação em redes de automação, o custo e os requisitos técnicos de um IPS podem tornar proibitivo seu uso nas diversas redes de automação de uma planta. Isso não significa que as redes de automação não podem ser monitoradas, muito pelo contrário. Com o uso de ferramentas adequadas é possível detectar o correto funcionamento da rede bem como tentativas de acesso não autorizado sobre as mesmas. Essa é a função principal do software SINEMA SERVER.
  32. 32. Página - 32 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. O software SINEMA SERVER foi desenvolvido para monitorar de forma contínua dispositivos de automação com portas Ethernet. Frequentemente estes dispositivos executam protocolos que permitem o monitoramento continuo dos mesmos, sendo os mais frequentes: • DCP: Discovery and Basic Configuration Protocol; • LLDP: Link Layer Discovery Protocol; • SNMP: Simple Network Management Protocol. Através destes protocolos o SINEMA SERVER pode identificar os equipamentos de uma ou mais redes, assim como descobrir sua topologia de interligação e monitorar continuamente eventos associados a tais equipamentos, sejam eles eventos operacionais ou eventos associados a acessos não autorizados. Na nossa planta virtual o SINEMA SERVER foi configurado de forma a monitorar de forma continua os equipamentos instalados nas redes PROCESS BUS, TERMINAL BUS e DMZ BUS. Assim, ele em intervalos regulares monitora as faixas de IPs de cada uma dessas redes. Caso um novo equipamento responda as leituras executadas pelo SINEMA SERVER, este equipamento é adicionado automaticamente à lista de equipamentos a serem monitorados. Na nossa planta simulada existem dois tipos de acessos físicos, via cabo ethernet e via rede WiFi. Tanto os switches como os APs (Access Points) foram configurados de tal forma a enviar um diagnostico SNMP (envio via função TRAP) caso um novo dispositivo seja conectado nas portas disponíveis nos switches ou caso algum novo cliente WiFi seja associado. Mudanças na topologia de rede também são monitoradas. Com isso, qualquer tentativa de acesso à rede será automaticamente monitorada e sinalizada no console de operação do SINEMA SERVER (console WEB). O máximo possível de informações será anexado ao evento em si, tais como MAC Address do novo dispositivo, porta ethernet utilizada, etc. Muitos outros diagnósticos estão disponíveis via SNMP. A quantidade de diagnósticos depende basicamente da tabela MIB (Management Information Base) dos dispositivos. Tentativas de acesso não autorizados nos servidores WEB dos dispositivos também serão monitorados via SNMP, sendo que eventos dessa natureza pode significar que um ataque de força bruta pode estar sendo executado no sentido de ganhar privilégios administrativos nos mesmos. Quaisquer conflitos ou enfraquecimento do sinal de rádio dos APs também são notificados, cenário esse comum no caso de tentativas de sequestro da rede Wifi.
  33. 33. Página - 33 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 23 - SINEMA Server gerando estatísticas de eventos de rede Figura 24 - SINEMA Server monitorando a topologia de rede Ressalta-se que o SINEMA SERVER também é um SERVIDOR OPC UA e pode enviar o status dos dispositivos de rede para o sistema SCADA, alertando os operadores e as equipes de automação sobre comportamentos adversos na rede de automação.
  34. 34. Página - 34 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. O uso do protocolo SNMP nos dispositivos de automação requer o uso de switches no mínimo gerenciáveis. Se nos ambientes de TI é praticamente inaceitável o uso de switches não gerenciáveis, nos ambientes de automação o uso de tais switches pode inviabilizar a execução de um projeto, visto que o custo de aquisição é relativamente superior. Um fato interessante é que normalmente a densidade de portas por switch nos ambientes de automação é muito inferior aqueles requeridos na TI. Esse fato origina-se na necessidade de distribuir geograficamente os pontos de acesso ao longo do processo produtivo ou ao longo das máquinas, tornado muito complexa a concentração de muitos pontos de acesso num único switch. Esse requisito de distribuição geográfica cria uma situação particularmente contraditória na automação, uma vez que são necessários muitos pontos distribuídos geograficamente e tais pontos são providos por switches com nenhuma ou pouca função de monitoramento (protocolo SNMP, por exemplo). Essa cultura necessita ser rapidamente revista pelas equipes de automação sob pena de comprometer totalmente a segurança de um sistema de automação. Figura 25 - Switches SCALANCE X-200, X-300, X-400 e X-500 Atualmente existe uma gama muito extensa de switches industriais com funções de gerenciamento, sendo que quanto mais funções são necessárias, maior é custo inicial de aquisição. Switches um pouco mais elaborados, como o SCALANCE X-300 possuem funções simples de gerenciamento, como a possibilidade de desabilitar portas não utilizadas (hardening) e recursos avançados de gerenciamento, como o suporte ao protocolo 802.1X que, em conjunto com um servidor RADIUS (Windows 2008 Server – NPS Network Policy Server, por exemplo), pode habilitar ou não o acesso de um dispositivo terminal baseado numa série de fatores (configurações de segurança, perfil de usuário, sanidade do dispositivo, etc.). Infelizmente o uso de switches do porte do X-300 e superiores ainda não é uma realidade na maioria dos projetos de automação, razão pela qual utilizamos na nossa planta simulada switches SCALANCES X-200, que já permitem o monitoramento via protocolo SNMP. Com a tendência de integração entre as equipes de TI e TA, assim como o uso de funções de TI no ambiente de TA o uso de switches do porte do X-300 e superiores (X-400 e X-500) serão mais comuns, trazendo reais benefícios de desempenho e segurança aos projetos de automação. 4.1.5 MONITORAMENTO DE REDE – SINEMA SERVER
  35. 35. Página - 35 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 26 - Logotipo da certificação Achilles De forma que os clientes possam comparar e ter uma base sólida em relação aos produtos que possuem bom funcionamento e robustez no tocante a segurança industrial, muitos fornecedores submetem seus produtos aos testes de certificação conhecido como Achilles. É possível obter dois níveis de certificação. A certificação nível 1 compreende funções básicas de segurança que um equipamento industrial necessita possuir e a certificação nível 2 expande o conjunto de funções que o equipamento necessita possuir. No nível 2 da certificação os testes executados no nível 1 costumam ser aplicados sob taxas de utilização ainda maiores, como por exemplo testes de Denial Of Service. A SIEMENS com sua linha de automação SIMATIC obtém atualmente cerca de 70 equipamentos certificados em nível 2, tornando-se benchmark entre os fornecedores de automação sob no que tange produtos com funções de segurança industrial. Maiores informações podem ser obtidas através do link http://www.wurldtech.com/product_services/certifications/certified_products/. 4.2 CONTROLE DE MALWARE Não é possível garantir segurança em sistemas de automação ou sistemas de TI com uma única solução ou medida. As ameaças cibernéticas são muito variadas e dinâmicas. As organizações precisam de "defesa customizada", e uma estratégia de segurança cibernética com várias camadas de controles de segurança para todos os seus sistemas. Essa abordagem garante que intrusos tenham que superar vários obstáculos independentes antes que possam causar danos reais. Isso desestimula os atacantes e dá às organizações mais tempo para reconhecer e bloquear as ameaças graves. O objetivo das estratégias de defesa customizada é impedir o mais cedo possível que os intrusos deem sequência ao ataque. Com mais de 25 anos de experiência, a Trend Micro é líder reconhecida em tecnologia em segurança cibernética. Com este expertise compreende completamente os pré-requisitos exclusivos de segurança para redes de automação e desenvolveram uma solução completa de defesa customizada contra Malware e APTs. Especificamente na planta base do ICSSF, incluiu-se a proteção contra malware e proteção contra Ameaças Persistentes e avançadas (APTs). Conforme figura a abaixo, pode-se visualizar um exemplo da topologia aplicada.
  36. 36. Página - 36 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 27 - Topologia genérica de aplicação da proteção contra malware e ataques avançados e dirigidos 4.2.1 SEGURANÇA LOCAL PARA SERVIDORES CRÍTICOS DA REDE DE AUTOMAÇÃO - TREND MICRO OFFICE SCAN Solução de segurança abrangente para servidores, desktop e laptops, o Office Scan fornece solução de firewall, sistema de detecção e prevenção de intrusão (IPS/IDS), e proteção contra malware para os servidores críticos da rede de automação. Foi instalado nas máquinas servidoras Windows da rede do ICSSF conforme versão certificada pelo fabricante da planta base de automação, a Siemens.
  37. 37. Página - 37 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 28 - Servidor SCADA protegido com Trend Micro OfficeScan 4.2.2 MONITORAMENTO DE MALWARE E APT NA REDE DE AUTOMAÇÃO - TREND MICRO DEEP DISCOVERY Um dispositivo para monitoramento de rede, o Deep Discovery Inspector é uma solução para detecção de APT e ataques direcionados ou avançados, detecção de conteúdo malicioso, comunicação e comportamento que possa indicar uma ameaça avançada ou atividade do atacante através de estágios do ataque. Figura 29 - Tela Principal do Deep Discovery operando no ICS.SecurityFramework
  38. 38. Página - 38 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Para exemplificar a atuação do Deep Discovery Inspector na planta do ICSSF, foram feitos diversos testes para validar sua eficiência. Dentre os testes, foi simulado o comportamento de um malware ao se propagar pela rede e ao fazer comunicação com seu C&C (Command Controler). Na Figura 26 são notados 2 (dois) alertas de nível alto correlacionado a comportamento malicioso. Dentre os eventos, foram identificadas requisições de DNS a domínios de C&C conhecidos, ou seja, oferece grande risco à planta e consequentemente à organização. Figura 30 - Alertas do Deep Discovery Inspector referente a comportamento malicioso na rede Já a Figura 27 demonstra quais máquinas foram responsáveis pelos alertas críticos. Conforme a figura note que os alertas foram gerados simulando um operador com uma máquina infectada durante uma manutenção no sistema de automação e demonstrando os riscos de infecção por terceiros por não existir um sistema de detecção de máquinas infectadas no ambiente de automação. Figura 31 - Alerta do Deep Discovery Inspector referente às máquinas pertencentes à planta de automação que possuem comportamento malicioso A Figura 28 exibe o relatório completo da ameaça coletada que tentava se propagar pela rede de automação. Note que para a geração desta análise, o Deep Discovery Inspector executou a amostra desta ameaça em um ambiente virtual controlado (este conceito é descrito também como sandbox), para medir o impacto desta às maquinas pertencentes à planta. Com essa estratégia, mesmo se a ameaça for avançada ou direcionada ao cliente e até mesmo desconhecida até o momento da infecção, o Deep Discovery Inspector gerará alerta sobre o impacto da ameaça ao ambiente de automação.
  39. 39. Página - 39 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 32 - Resultado da análise virtual de uma amostra de malware que estava tentando se propagar pela rede de automação 4.3 SEGURANÇA DE PERÍMETRO E CONTROLE DE ACESSO EXTERNO Independentemente do tipo de tecnologia adotada para proteção SCADA e dos sistemas de automação, ainda temos em operação, em qualquer SCADA conectado a rede corporativa, uma rede tradicional de TI, com todas as suas características, funcionalidade, vulnerabilidades e riscos. Nesta rede de TI encontramos além dos sistemas SCADA interconectados, componentes tais como bases de dados diversas, aplicativos, sistemas de Intranet, E-mail, Internet e centenas de outros protocolos e aplicações que podem estar instalados na empresa. Esta configuração exige a incorporação de novos paradigmas de proteção que atendam todos os desafios de proteção atualmente existentes nas redes de TI e as necessidades do mundo de automação, seja nos quesitos tecnológicos - suporte a protocolos específicos de automação – seja a necessidade de facilidade da operação do sistema de segurança requerida pela área de automação. Na pirâmide ANSI/ISA o encontro da rede de automação com a rede corporativa se dá normalmente em algum ponto entre os níveis dois e três. A este ponto estamos chamando o centro da arquitetura e no ICSSF temos o que chamamos do “firewall de próxima geração” da Palo Alto Networks. Chamamos de próxima geração em função das diferenças significativas de funcionamento destes equipamentos com relação aos firewalls tradicionais, uma vez que possuem tecnologia que permite a inspeção de todo o tráfego, de todos os usuários, de todas as aplicações em todas as plataformas.
  40. 40. Página - 40 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 33 - Firewall PaloAlto operando no ICS.SecurityFramework A Palo Alto Networks possui uma tecnologia conhecida como App-ID que permite identificação de aplicações através dos mecanismos de checagem de assinaturas, decodificação de protocolos, decriptografia de tráfego e análise comportamental, permitindo controlar aplicações de trafego aberto, evasivas e criptografadas. A Palo Alto foi o primeiro fabricante de Firewall a trazer essa inovação para o mercado. As demais tecnologias criaram uma camada de software para executar o controle fazendo uso da mesma arquitetura de hardware limitada já existente. Este é um dos principais fatos utilizados pelo Gartner para justificar a posição da Palo Alto de líder e tecnologia mais avançada do Quadrante Mágico. Outro fator de muita importância é que a Palo Alto possui uma engine primária de identificação de aplicações permitindo que as empresas permitam o tráfego específico de uma única aplicação sem a necessidade de abrir portas no firewall. No coração desta plataforma existe um algoritmo sofisticado de classificação e filtragem de dados que trabalha com atributos únicos tais como App-Id, User-Id e Content-Id. Estas funcionalidades permitem ao sistema Palo Alto classificar o tráfego, independente de porta e protocolo através de uma inspeção em camada sete levando-se em consideração a aplicação, o usuário e o tipo de conteúdo: • App-Id: Identifica todas as aplicações em todas as portas o tempo todo (ao contrário do comum em firewalls porta/protocolo) • User-Id: Identifica usuários ou grupos de usuários (ao contrário do comum endereço IP) • Content-Id: Escaneia o conteúdo do tráfego buscando dados estruturados, arquivos, vírus, spywares, ataques conhecidos, incidência de tráfego malicioso desconhecido e malware avançado.
  41. 41. Página - 41 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 34 - Atributos únicos dos firewalls de próxima geração Utilizando-se destas funcionalidades, a plataforma oferece visibilidade do que esta sendo trafegado permitindo o controle e bloqueio de qualquer tráfego de dado, de qualquer aplicação, de qualquer usuário, de qualquer conteúdo, conhecido ou desconhecido, suportando de forma nativa o controle de ameaças, funções que equipamentos tradicionais de firewall não possuem. Como já dito em seções anteriores, ataques cibernéticos modernos e APTs se baseiam em discrição, persistência e falhas qualificadas em sistemas tradicionais de segurança de informação, utilizados durante todo o ciclo de vida do ataque. Na arquitetura apresentada, uma proteção fim a fim é realizada no sistema, que combina as assinaturas conhecidas com uma base única na nuvem para análise de ameaças não conhecidas. Esta infraestrutura na nuvem é chamada WildFire e trabalha integrada ao firewall, permitindo a análise de códigos binários simultaneamente nos sistemas operacionais Windows XP, Windows 7 e Android para inspeção de arquivos EXE, DLLs, ZIPs, DOCs, XLSs, PPTs, PDFs, JAVA, APKs e etc., além de permitir a inspeção em tráfegos de internet (HTTP, FTP e SMTP) e em tráfego de compartilhamento de arquivos na rede (SMB). Esta inspeção de tráfego (SMB) visa conter vírus espalhando-se horizontalmente pela rede. Desta forma o dispositivo possui a habilidade de manter-se atualizado em tempo real sobre as mais recentes ameaças e/ou bloquear e reportar ameaças não conhecidas. Desta forma, ameaças 0-day podem ser evitadas, tais como recentes variações do Stuxnet, entre outros. O WildFire pode ser adquirido direto pela Palo Alto, como em nosso piloto, ou implementado direto no formato de nuvem privada (private cloud), instalado no cliente para ambientes controlados. Adicional a assinaturas tradicionais de antivírus e antispyware de T.I., a inteligência de Prevenção de Ameaças da Palo Alto Networks possuí assinaturas para exploits específicos para aplicações de T.A. tais como IHMs, SCADAs, supervisórios, historians, PIMS e outras aplicações industriais, ou de protocolos específicos tais como Modbus, DNP3 e ICCP.
  42. 42. Página - 42 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 35 - Console do firewall operando no ICS.SecurityFramework Apesar de no projeto ICSSF termos um firewall no centro, a solução pode ser replicada e sua arquitetura pode envolver todos os locais e segmentos envolvidos em uma ou várias plantas, estendendo a proteção para pontos remotos (estações remotas, plantas remotas, UTRs, redes de terceiros, etc.), passando pela rede de campo (com ou sem fio), centros de controle, escritórios de engenharia, escritórios remotos em obras e projetos e outras redes de dispersas, em uma configuração distribuída com gerenciamento central. Nesta situação todos os firewalls estarão ligados na nuvem e uma nova assinatura criada em um ponto será replicada para toda a rede de proteção em tempo real. Figura 36 - Arquitetura distribuída de segurança Em sistemas SCADA, as políticas de segurança da informação são normalmente bastante distintas das políticas utilizadas na área de TI corporativa. Soma-se a isto o fato de que em instalações distribuídas, cada local normalmente tem políticas também distintas, tais como em um centro de controle e uma instalação remota de coleta de dados. Para solucionar esta questão a solução adotada traz uma plataforma de gerenciamento central chamada Panorama, onde é possível resolver estas questões através de: • Configuração e ativação centralizada de políticas e configurações de T.I./T.A. distintas em equipamentos dispersos geograficamente.
  43. 43. Página - 43 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. • Apoio à administração baseada em categorias para maior segurança do sistema • Fornecimento de poderosos relatórios personalizados que facilitam o trabalho forense e a certificação de conformidade com normas tais como NERC, CIP e CFATS. • Integração com os principais SIEMs do mercado para gerar novos níveis de visibilidade dos eventos. Vale lembrar que a integração dos firewalls com o sistema Panorama é nativa, não necessitando qualquer trabalho extra de personalização. Apesar do sistema Palo Alto aceitar assinaturas personalizadas, o que ajuda muito no caso de equipamentos específicos para alguns setores de mercado, o sistema já possui reconhecimento de assinaturas para os principais protocolos e aplicações industriais tais como Modbus, OPC e diversas variações de IEC, entre outras. Adicionalmente a plataforma apresenta capacidade de controle de funções que permitem o monitoramento e o controle de subfunções (tais como leitura e escrita) em protocolos industriais específicos tais como o Modbus e o IEC 60870-5-104. Figura 37 - Assinatura de subfunções reconhecidas Assim como na rede de automação, é possível com a arquitetura modular apresentada aplicar as melhores práticas de segmentação descritas nos padrões ANSI/ISA-99 e IEC 62443 através da definição de zonas de segurança. Em seguida, é possível configurar um modelo de controle de rede granular, de ajuste fino, baseado no princípio do menor privilégio. Alguns exemplos de uso são os seguintes: • Permitir o uso de aplicações aprovadas no centro de controle • Decriptografar tráfego SSL, TLS e SSH permitindo a inspeção dos mesmos para identificação de aplicações e combate as ameaças.
  44. 44. Página - 44 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. • Controlar usuários, conteúdo e aplicar QoS para aplicações específicas. • Restringir o uso de aplicações e ferramentas administrativas somente para administradores autorizados (SSH, Telnet, SNMP, FTP, etc.). • Controlar o acesso a URLs e aplicações no modelo SaaS • Limitar o tráfego da rede para protocolos de controle industriais a um número limitado de aplicações/protocolos para administração e alarmes. • Rastrear todos os pacotes relacionados a comandos por usuário para ajudar no processo de correlação de eventos. • Permitir acesso à rede corporativa para usuários e aplicações selecionadas, como por exemplo, dados do PIMS para um analista de processos. • Monitorar e controlar o uso por terceiros de VPN e acesso por servidor de terminais. • Programar políticas de horário para acesso a aplicações e/ou usuários para limitar exposição. • Integrar a segurança de dispositivos e aplicações móveis ao sistema. Em caso de necessidade de hardware com proteção específica, é possível configurar o sistema com todas as suas funcionalidades na forma de máquina virtual instalada em hardwares específicos (embarcado, classificado, a prova de explosão, choque, água, etc.) Finalmente, com relação a desempenho, fator crítico em redes de TA, os seguintes cuidados estão integrados na arquitetura da plataforma Palo Alto: • Tecnologia Single pass e arquitetura de processamento paralelo (SP3), que realiza as funções de análise de pacotes em camada sete e análise de ameaças em única passagem para cada pacote. • Processamento distribuído: Processadores independentes para cada função (controle de aplicação e filtro de pacotes em processadores dedicados, chips de HW FPGA para as funções de IPS, Antivírus e Antispyware, chips dedicados para as funções de QoS, NAT e roteamento) permitem um processamento paralelo de tráfego. Quando é habilitada uma função no equipamento, o mesmo não degrada as demais. • Plano de controle e plano de dados separados, o que garante que os processos de controle não irão afetar o fluxo de dados. • Appliances com hardware e software específico para processamento paralelo de alto desempenho. • Suporte para alta disponibilidade e redundância garantido QoS adequado.
  45. 45. Página - 45 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 38 - Arquitetura de alto desempenho No projeto ICSSF utilizamos a série PA-3050 que possui capacidade média de tráfego (4Gbps), lembrando que a Palo Alto oferece dispositivos para instalação em pequenos locais (PA-200) com 100Mbps de capacidade até equipamentos para centros de dados (PA-7050) com capacidade de 100Gbps. Figura 39 - Linha de produtos da Palo Alto Networks
  46. 46. Página - 46 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. 4.4 INTELIGÊNCIA DE SEGURANÇA Um bom plano de proteção da rede de automação envolve a criação de um perímetro de segurança ao redor de toda rede SCADA, de forma a isolá-la do mundo externo e a aplicar diversos controles e proteções sobre as rotas de acesso à rede, como sistemas de detecção e prevenção de intrusão, Firewall e DMZ. Quando tratamos de infraestruturas críticas, devemos usar equipamentos bem específicos que sejam capazes de combater as ameaças em protocolos industriais e que tenham o desempenho e a confiabilidade necessários em uma rede com esta criticidade. Adicional ao controle do firewall, as principais normas exigem a instalação de um equipamento avançado de proteção de intrusão chamado de IPS (Intrusion Prevention System). O IPS adotado na arquitetura ICSSF é da linha XGS 5100 da IBM e é um equipamento projetado para bloquear avançados ataques maliciosos automaticamente, preservando a largura de banda da rede e sua disponibilidade. O IPS da IBM foi projetado com a capacidade de proteger contra milhares de ameaças ou ataques críticos ou de alto risco contra redes SCADA. Ele também é capaz de fazer bloqueios dinâmicos, quarentena de tráfego e o virtual patch, funcionalidade que elimina a necessidade de implantação imediata de patches críticos em servidores, tarefa bastante complexa e muitas vezes proibitiva para muitos dos servidores e estações da rede de automação. Figura 40 - IBM Security Network Protection XGS 5100 operando no ICS.SecurityFramework 4.4.1 CENÁRIO DE USO DO IPS XGS5100 O NIPS (Network IPS) de próxima geração XGS5100 é utilizado no ICSSF para garantir a segurança na comunicação entre a rede corporativa e a rede de automação, críticas para a operação dos sistemas de automação das infraestruturas críticas. Nesta comunicação transitam dados de processo, produção e qualidade que precisam ter sua segurança garantida. O NIPS utilizado na segurança de perímetro de rede do ICSSF provê as seguintes funcionalidades fundamentais para a segurança SCADA:
  47. 47. Página - 47 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. • Detecção de ameaças em ambos os sentidos de interesse de tráfego entre as redes (tanto da rede corporativa para a rede de automação quanto no sentido inverso); • Bloqueio de ataques e malware provenientes de redes externas, garantindo o throughput e a disponibilidade da rede de automação. • Bloqueio de acesso não autorizado à rede de automação. • Conformidade com normas de segurança internacionais como a ANSI/ISA-99. • Detecção e prevenção contra ataques por armas cibernéticas como o Stuxnet, Duqu, Shamoon, dentre outras que aparecem a cada dia. • Detecção e prevenção contra ataques de negação de serviço (DOS e DDOS) contra servidores da rede industrial. • Alto desempenho em segurança com bloqueio em tempo real de códigos maliciosos e ameaças híbridas. • Recurso de Virtual Patch, muito importante para que redes não conectadas à internet tenham nível de segurança equivalente as que possuem todas as atualizações e patches em dia. Através desta tecnologia a IBM protege as organizações de ataques online, antes mesmo que, os sistemas afetados consigam obter e aplicar correções. Lembramos que em redes de automação a aplicação de patches e outras atualizações do sistema operacional e aplicativos não podem ser feitas e/ou muitas vezes dependem da homologação do sistema SCADA, deixando a rede vulnerável a riscos de público conhecimento da comunidade hacker. • Disponibilidade de mecanismos heurísticos de detecção para proteção contra vulnerabilidades de dia zero, mitigando ataques tais como shellcode malicioso, injeções web ou aqueles que utilizam tunelamento em outros protocolos como técnica de ofuscação. • Disponibilidade de mecanismo de quarentena integrado nativamente com O SIEM da IBM (solução IBM QRadar) para contenção de malware e expansão do intruso no ambiente industrial a partir do ponto de intrusão. • Geração de informações de flow (IPFIX) com informações de camada de aplicação (layer 7), integrado nativamente à análise comportamental de tráfego provida pela solução de SIEM (IBM QRadar), visando detectar anomalias de tráfego indicativas de incidentes de segurança em curso.
  48. 48. Página - 48 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 41 - Console do IPS operando no ICS.SecurityFramework 4.5 INFORMAÇÃO DE SEGURANÇA E DE INCIDENTES Com tantos equipamentos e logs a serem gerados e acompanhados, faz-se necessária a consolidação dos dados para análise e verificação de trilhas de ataques, ameaças e incidentes. Na arquitetura ICSSF utilizamos a solução IBM Q-Radar para esta tarefa. A solução IBM Q-Radar permite maior visibilidade sobre o comportamento normal de rede e sobre atividades anormais que podem sugerir ameaças à segurança. As informações dos alertas de segurança dos equipamentos da rede do ICSSF tais como o Firewall Palo Alto, o NIPS XGS5100, equipamento de controle de Malware Trend Micro Deep Discovery, informações de trafego de rede, informações de vulnerabilidades, informações de acesso a bancos de dados (IBM Guardium), logs do sistema operacional (SysLog) e informações de atividades de usuários são correlacionadas com informações de inteligência de ameaças para uma capacidade única de prevenção. Isto simplifica a investigação de um incidente com melhoria significativa na eficiência para identificação e resolução de incidentes. A solução é capaz de identificar múltiplos eventos como um único ataque a partir de regras de correlação de eventos e tráfego de rede.
  49. 49. Página - 49 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 42 - Arquitetura de Funcionamento do QRadar Figura 43 - QRadar operando no ICS.SecurityFramework As principais funcionalidades de inteligência de segurança fornecidas aos gestores do ICSSF pela plataforma QRadar são as seguintes: • Monitoramento de ameaças e resposta aos incidentes de segurança alertados pelas soluções de segurança da planta segura. • Segurança interna e monitoramento de ameaças internas. • Agregação de logs e análises de diferentes padrões tecnológicos e fabricantes com a geração de relatórios executivos que permitem visibilidade total do cenário de segurança da planta segura. • Auditoria, relatórios e conformidade com as medidas de segurança detalhadas pela política de segurança de automação (PSA) da empresa. • Detecção e priorização de incidentes de segurança com base nas características do ambiente da planta tais como risco e criticidade dos diversos sistemas, reduzindo falsos positivos e otimizando o trabalho das equipes de monitoração de segurança e resposta a incidentes, garantindo foco nos incidentes mais críticos para o negócio.
  50. 50. Página - 50 - de 60 Confidencial - TI Safe Segurança da Informação Este documento e seus anexos são confidenciais e dirigidos exclusivamente aos destinatários dos mesmos. Se por erro recebeu este documento e não é o destinatário, por favor informe-nos e não use, informe,imprima, copie ou repasse este documento por nenhum meio ou motivo. Seu uso não autorizado será de sua inteira responsabilidade e apurada segundo lei vigente. Figura 44 - Console do sistema QRadar operando no ICS.SecurityFramework Além dos sistemas de segurança que tem integração nativa com o SIEM, todos os equipamentos de rede, inclusive os switches e firewalls da rede de controle de automação podem ser integrados com o Q-RADAR, pois eles implementam o protocolo SysLog que permite a visualização e correlação de eventos de segurança com os dados de tráfego de rede. 4.6 SEGUNÇA DE DADOS 4.6.1 PROTEÇÃO DAS BASES DE DADOS Considerando todas as ameaças de segurança enfrentadas por sistemas em todos os setores do mercado, os dados são o principal alvo de violações de segurança, e os bancos de dados são as principais fontes de dados violados. Segundo recentes estudos conduzidos sobre ataques realizados, entre 90% e 98% dos ataques acontecem tendo como foco as bases de dados empresariais. Esta estatística tem grande sentido uma vez que os servidores de bancos de dados são a principal fonte das informações mais valiosas do negócio, sejam elas registros operacionais, informações de clientes e fornecedores, informações de engenharia, dados de processo ou registros financeiros, comumente armazenados de forma estruturada e de fácil acesso a seus usuários – objetivo principal da utilização destes servidores. Muitos dos ataques realizados na atualidade têm a missão de extrair informações destas bases, mas alguns deles têm como foco a alteração ou exclusão destes dados, prejudicando ou sabotando as operações. Em ambos os casos o impacto ao negócio pode ser grande. No primeiro caso, não há como reverter o processo após uma extração de dados. Por mais que um trabalho forense descubra o responsável, não há como rastrear o destino e o uso das informações adquiridas de forma ilegal, que podem ter sido copiadas para outras pessoas não autorizadas ou até mesmo disponibilizadas na Internet.

×