apresentação técnica - o uso de padrões abertos para proteção de sistemas scada e de...
DESCRIPTION
Apresentação realizada no congresso da ABM Brasil em 2010.TRANSCRIPT
![Page 1: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/1.jpg)
O Uso de padrões abertos para proteO Uso de padrões abertos para proteçção ão de sistemas SCADA e de automade sistemas SCADA e de automaççãoão
Marcelo Branquinho & Eric ByresOutubro de 2010
![Page 2: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/2.jpg)
Autor e Apresentador
• Marcelo Branquinho• Diretor Comercial, TI Safe Segurança da Informação• [email protected]
• Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de negócios, é um dos fundadores do capítulo do Rio de Janeiro da ISACA.
• Membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde atua como chefe do departamento de segurança para sistemas de automação industrial.
• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da Formação de Analistas de Segurança de Automação, primeira formação brasileira no segmento e ministrada em infra-estruturas críticas e organismos governamentais brasileiros.
![Page 3: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/3.jpg)
Co-Autor
• Eric J. Byres• CTO, Byres Security• [email protected]
• Eric Byres é reconhecido internacionalmente como um dos principais especialistas em sistemas SCADA e Segurança Industrial. Como fundador do BCIT Critical Infrastructure Security Centre, ele o transformou em uma das principais instalações académicas da américa do norte no campo da segurança SCADA, culminando no prêmio SANS Leadership Award em 2006.
• Na década passada, Eric prestou serviços de investigação e consultoria para agências governamentais de segurança e de grandes empresas de energia para proteção de infra-estruturas críticas. Ele é também o presidente do grupo de trabalho da ISA SP-99 e é o representante canadense para oos padrões IEC TC65/WG10 para a proteção de instalações industriais contra ataques cibernéticos. Eric recebeu inúmeros prêmios do IEEE, ISA e SANS por suas pesquisas sobre as soluções de segurança.
![Page 4: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/4.jpg)
Objetivo do TrabalhoObjetivo do Trabalho
• Apresentar a implementação de segurança em redes de automação industrial utilizando o padrão ANSI/ISA-99 baseado no conceito de estratégia de defesa em profundidade.
• Demonstrar como utilizar o modelo de zonas e conduítes para assegurar sistemas de controle.
• Apresentar o caso de implantação da técnica em uma refinaria norte-americana.
![Page 5: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/5.jpg)
Agenda
• Introdução Teórica– A Necessidade de segurança em redes industriais– Os requerimentos únicos para segurança SCADA
• Desenvolvimento do trabalho– A Norma de Segurança ANSI/ISA-99– Estratégia de defesa em profundidade - o Modelo de Zonas
e Conduítes– Implementação em refinaria norte-americana
• Dúvidas
![Page 6: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/6.jpg)
Introdução Teórica
![Page 7: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/7.jpg)
Antigamente os sistemas SCADA eram assim....
NNÍÍVEL DEVEL DECAMPOCAMPO
NNÍÍVEL DEVEL DECONTROLECONTROLE
NNÍÍVEL DEVEL DEPLANTAPLANTA
Rede de ControleRede de Controle
SupervisãoSupervisãoBanco deBanco de
DadosDados
Rede de Planta ou GerenciamentoRede de Planta ou Gerenciamento
Rede deRede deCampoCampo
• Ilhas de Automação
![Page 8: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/8.jpg)
Hoje eles são assim...
Transacional
Tempo Real
ContínuoSeqüencial
Discreto
Medição
Gerência Corporativa
Gerência de Produção
Tempo Real
Transacional
Controle
Gerência Industrial• Sistemas Integrados
![Page 9: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/9.jpg)
Evolução – Sistemas Supervisórios
• No início os sistemas supervisórios eram desenvolvidos em plataformas operacionais caríssimas, baseadas em sistemas Unix like e máquinas poderosas como os Digital Vax e Alpha.
• Desenvolver aplicativos para estas plataformas era algo extremamente caro
• Com isto, supervisórios passaram a ser desenvolvidos para plataformas Windows, cujo processo de desenvolvimento era muito mais rápido e os custos globais do projeto eram bastante reduzidos
![Page 10: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/10.jpg)
Vulnerabilidades no Sistema Operacional Windows
http://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx
![Page 11: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/11.jpg)
Vulnerabilidades e Exploits para SW SCADA
http://www.frsirt.com/english/advisories/2008/0306
![Page 12: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/12.jpg)
Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervisório e o PLC através da porta COM e obter as senhas (Principal e Master) do PLC
![Page 13: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/13.jpg)
Vulnerabilidades no Protocolo OPC
• Vulnerabilidades de alto risco do sistema operacional– Serviços de sistema desnecessários
– Senhas fracas e vulneráveis
– Atualizações e patches inadequados no servidor
– Uso de mecanismos fracos para autenticação
– Vulnerabilidades locais
• Vulnerabilidades inerentes ao OPC– Utilização de transportes historicamente inseguros
– Falta de autenticação no navegador do servidor OPC
– Servidor OPC e seu navegador com privilégios excessivos
– Suporte a protocolos desnecessários para o navegador do servidor OPC
– Falta de integridade em comunicações OPC
– Falta de confidencialidade no tráfego OPC
– Dependência de serviços de Internet COM no IIS
– Configurações de segurança do OPC não possuem controle de acesso granular
– Excessivas portas TCP abertas no servidor OPC
![Page 14: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/14.jpg)
Riscos dentro da rede de controle
Laptops Infectados
Firewalls mauconfigurados
Control LAN
Rede da planta
Rede corporativa
Internet
Conexões nãoautorizadas
Rede de PLCs
Suporte remotoinfectado
Links RS-232
Modems
Drives USB
![Page 15: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/15.jpg)
Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de
automaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs
Internet Directly17%
VPN Connection7%
Dial-up modem7%
Trusted 3rd Party Connection
10%
Telco Network7%
Wireless System3%
Via Corprate WAN & Business Network
49%
![Page 16: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/16.jpg)
Literatura Hacker
• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.
![Page 17: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/17.jpg)
Estatísticas de Incidentes
• Malware responde por 2/3 dos incidentes externos em sistemas de controle.
• Aparentemente vai de encontro aos incidentes de segurança de TI
• Entretanto, há uma quantidade surpreendente de eventos de sabotagem
DoS6%
Sabotage13%
Malware68%
System Penetration
13%
![Page 18: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/18.jpg)
Ameaça recente: O Worm Stuxnet (2010)
• Também conhecido comoW32.Temphid e Rootkit.TmpHider
• Worm desenvolvido para tirar vantagemde vulnerabilidade existente em todasas versões do sistema Windows.
• O Stuxnet foi desenvolvido para atingirqualquer sistema usando a plataformaSiemens WinCC.
• O Objetivo do Malwsre parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)
• Existem patches liberados para cadaplataforma Windows e também algunsajustes provisórios (workarounds)
![Page 19: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/19.jpg)
Performance – Comparativo TI X AutomaçãoRedes e Computadores de TI Redes de Automação
Perda de dados e interruções podem ocasionalmente ser toleradasatravés da restauração de backups e reinicializações de máquinas.
Perda de dados e interrupções não podem ser toleradas e podem resultarem sérias consequências, incluindo danos a equipamentos e possíveisperdas de vidas.
Altas taxas de dados são necessárias, delays podem ser tolerados.
Tempos de respostas determinística em loops de controle; respostas emtempo real são necessárias; grandes delays ou downtimes não podem ser tolerados.
Recuperação sempre após o reboot; Paradas de sistema e reboots normalmente não trazem consequências perigosas ou com riscos de vida.
Sistemas devem sempre ser tolerantes a falhas ou ter "hot backups"; paradas de computadores e controladoras podem resultar em situaçõesperigosas e com ameaça a vidas.
Software antivirus largamente usado.
Software antivirus é difícil de ser aplicado na maioria das vezes porquedelays não podem ser tolerados e determinismo nos tempos de respostatem que ser preservado.
Treinamento e conscientização em segurança de sistemas érazoavelmente alto. Treinamentos em segurança de sistemas raramente ocorrem.
Criptografia usada.Muitos sistemas SCADA transmitem dados e mensagens de controle emtexto claro.
Testes de penetração amplamente utilizados.
Testes de penetração não são rotineiramente executados na rede de controle e, quando realizados, devem ser feitos com cuidado para nãoafetar os sistemas de controle.
Implementação de patches é feita rotineiramente.Implementação de patches deve ser cuidadosamente considerada, feitacom pouca frequência, e normalmente requer a ajuda dos fabricantes.
Auditorias de segurança são necessárias e realizadas rotineiramente. Auditorias de segurança da informação normalmente não são realizadas.
Equipamentos normalmente trocados ou substituidos em cada 3 a 5 anos. Equipamentos usados por longos períodos de tempo, sem substituição.
![Page 20: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/20.jpg)
Desenvolvimento do Trabalho
![Page 21: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/21.jpg)
A norma ANSI/ISA 99
• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais
• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques
![Page 22: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/22.jpg)
Relatórios Técnicos da ISA 99• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and
Control Systems”– Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos
para mitigação, e ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.
• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment”
– Framework para o desenvolvimento de um programa de segurança para sistemas de controle
– Fornece a organização recomendada e a estrutura para o plano de segurança.
– O Framework está integrado no que é chamado de CSMS (Cyber Security Management System)
– Os elementos e requerimentos estão organizados em 3 categorias principais:
• Análise de Riscos
• Endereçando os riscos com o CSMS
• Monitorando e melhorando o CSMS
![Page 23: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/23.jpg)
Passos para implementação da ISA99.00.02
1. Análise de RiscosRacional do negócio, identificação de riscos, classificação e análise
2. Endereçando riscos com o CSMSPolítica de Segurança, Organização e Treinamento
Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de negócios, políticas e procedimentos
Selecionar contramedidas de segurançaSegurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e autorização
ImplementaçãoGerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da informação e documentos, planejamento de incidentes
3. Monitorando e melhorando o CSMSCompliance
Revisar, melhorar e manter o CSMS
![Page 24: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/24.jpg)
O Modelo de Zonas e Conduítes
• A estratégia de defesa em profundidade, conforme definido na normaANSI/ISA-99, detalha que um sistema deverá ser dividido em sub-zonas de segurança, de acordo com suas caracterísiticas funcionais e de segurança
• ELEMENTO 4.3.2.3 – Segmentação de rede– Objetivo:
• Agrupar e separar sistemas de controle de infraestruturas críticas chave emzonas com níveis de segurança comuns de maneira a gerenciar os riscosde segurança e atingir um nível de segurança desejado para cada zona.
– Requerimento 4.3.2.3.1:• Uma estratégia de contramedida baseada na segmentação de rede deve
ser desenvolvida para os elementos de uma rede crítica de acordo com o nível de riscos desta rede.
![Page 25: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/25.jpg)
Definição de zona de segurança
• “Zona de segurança: agrupamento de ativos físicos e lógicos que dividem os mesmos requerimentos de segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116]– Uma zona deve ter uma borda claramente definida (seja lógica ou
física), que será a fronteira entre elementos incluídos e excluídos.
Zona IHMZona Controladora
![Page 26: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/26.jpg)
Conduítes• Um conduíte é um caminho para o fluxo de dados entre
duas zonas. – Pode fornecer as funções de segurança que permitem
diferentes zonas a se comunicar com segurança. – Todas as comunicações entre zonas devem passar por um
conduíte.
Zona IHMZona Controladora
Conduíte
![Page 27: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/27.jpg)
Níveis de Segurança• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores
como sua criticidade e consequências.• Equipamentos em uma zona terão uma capacidade para o nível de
segurança (SLC)• Se eles não forem iguais, então será necessário adicionar tecnologias de
segurança e políticas para torná-las iguais.
Zona IHMSLC = 2SLT = 2
Zona PLCsSLC = 1SLT = 2
Conduíte aumentao SL em 1
![Page 28: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/28.jpg)
Exemplo de sistema dividido em zonas
Firewalls distribuído
Controladoras DCS
Cluster de PLCsSCADA RTU
Infected HMI
Firewall do sistema de controle
Rede Corporativa
Firewall de Internet
InternetPC Infectado
Ataques Internos
Firewalls distribuídos
Camada de defesa 5 (Corporativa)
Camadas de defesa3/4 (Sistema de Controle)
Camadas de defeas1/2 (Equipamentos)
DMZ
![Page 29: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/29.jpg)
Implementação em refinaria norte-americana
Topologia da rede de automação da refinaria
![Page 30: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/30.jpg)
Implementação em refinaria norte-americana
Rede de automação da refinaria dividida em zonas de segurança
![Page 31: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/31.jpg)
Implementação em refinaria norte-americana
Conduítes são adicionados entre as zonas de segurança
![Page 32: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/32.jpg)
Protegendo as Zonas de Segurança
• A solução foi separaralgumas zonas queestavam em desequilíbrioentre o SLC e o SLT
• E então colocar Firewalls entre estas zonas paraatingir o nível de segurança desejado.
![Page 33: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/33.jpg)
ExemploExemplo: : ProtegendoProtegendo a a ZonaZona S1S1
• A Análise de Riscos indicou que existia potencial para falhascomuns de rede entre a zona do supervisório (J1) e as zonas de sistemas integrados de segurança (S1)
• Era necessário aumentar a integridade das operações, limitando o tipo e as taxas de tráfego no conduíte (S)
• A solução foi:– Definir um conduíte entre as zonas J1 e S1
– Utilizar um Firewall Industrial para MODBUS entre as duas zonas paraaumentar os controles de tráfego entre as zonas.
![Page 34: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/34.jpg)
A Arquitetura da zona S1 Protegida
![Page 35: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/35.jpg)
ConfiguraConfiguraççõesões especespecííficasficas -- RedundânciaRedundância
• Dois Firewalls foram conectados entre os servidores terminais do sistemade segurança e os switches Ethernet de nível 2, fornecendo conexõesredundantes entre o sistema de segurança e o sistema de controle.
• Firewalls foram selecionados para:– Serem capazes de inspecionar conteúdo MODBUS
– Oferecer alto MTBF e and resistência industrial
– Suportar alimentação redundante
– Oferecido modo bridge ao invés de roteamento tradicionais
• Isso aumentou a confiabilidade e diminuiu o custo de configuração, reduzindo consideravelmente o TCO
![Page 36: Apresentação Técnica - O uso de padrões abertos para proteção de sistemas scada e de automação](https://reader033.vdocuments.net/reader033/viewer/2022051323/547025f5b4af9fb40a8b46a0/html5/thumbnails/36.jpg)
DDúúvidas?vidas?