Cyber Security Aplicações práticas para sistemas de automação

Renata Leite, Process Automation/APW, 13/09/2012
Cyber Security
Aplicações práticas para sistemas de
automação
© ABB
Month DD, YYYY | Slide 1
Cyber Security
O que é?
*De acordo com o
dicionário
Merriam-Webster
e o Comite da
ISA99.
“Medidas tomadas para proteger um computador ou um
sistema de computadores contra acessos não autorizados
ou ataques.” *
© ABB Group
8 de outubro de 2012 | Slide 2
Cyber Security
Configuração tradicional: Sistemas isolados
Internet
© ABB Group
8 de outubro de 2012 | Slide 3
Cyber Security
Configuração atual: Integração de sistemas
Internet
© ABB Group
8 de outubro de 2012 | Slide 4
Cyber Security
Ameaças à Segurança
Invasão do
sistema (Hacking)
© ABB Group
8 de outubro de 2012 | Slide 5
Malware instalados
via porta USB
Enganos de
Funcionários
Cyber Security
Ameaças à Segurança
O Stuxnet em 2010
foi o primeiro ataque
específico a um
Sistema de
automação.
Cyber Security
Ameaças à Segurança
© ABB Group
October 8, 2012 | Slide 7
Cyber Security
IT Corporativo X Sistemas de Controle Industrial
Cyber Security
IT Corporativo X Sistemas de Controle Industrial
IT Corporativo
Sistema de Controle Industrial
Impactos primários
Financeiro, divulgação de
informações
Segurança (integridade física), saúde,
meio ambiente, financeira
Disponibilidade
95 – 99%
99.9 – 99.999%
(downtime/ano aceitável =18.25 - 3.65 dias)
(downtime /ano aceitável = 8.76 hrs – 5.25 minutes)
Determinismo
Minutos a horas (ou mais)
Milisegundos a horas
Tempo de vida típico
3-5 anos
15-30 anos
Resolução de problemas
Reinicialização,
patching/upgrade
Tolerância à falhas, reparação online
© ABB Group
8 de outubro de 2012 | Slide 9
IT Corporativo X Sistemas de Controle Industrial
Ações tradicionais nem sempre funcionam...
Bloquear por 10 minutos uma conta após 3 tentativas
erradas.
Instalar atualizações assim que estiverem disponíveis e
reiniciar o sistema.
Atualizar com frequência o software de antivírus e as
definições de vírus (arquivos DAT)
Usar criptografia para proteger dados trocados.
Usar firewalls e sistema de detecção de instrusão (IDS)
indiscriminadamente.
Há muito a aprender sobre sistemas de segurança
corporativos, mas soluções e tecnologia devem ser
aplicadas com cuidado!
Cyber Security
Não é sinônimo de solução técnica …
Organizatio
n
Physical
Security
Ponto
ótimo
Personnel
Process
Control
Security
Custo da
Segurança
Access
Control
Custo da
quebra de
segurança
Complianc
e
Administration
&
Maintenance
Não existe solução única.
Segurança é um processo contínuo.
Segurança começa e termina com ações de seres humanos.
100% de segurança não é praticável.
Cyber Security
Securança é uma responsabilidade dos usuários
Afinal…
Implementação , configuração, operação e manutenção
adequadas de procedimentos de segurança e equipamentos
são responsabilidade dos usuários do sistema de automação.
No entanto …
Soluções de segurança efetivas exigem um esforço conjunto
entre:
Equipe de TI corporativa e Equipe de Automação
Equipes de comissionamento, manutenção e operação da
planta
Suporte dos fornecedores de sitemas de automação durante
todo o ciclo de vida de seus produtos e serviços prestados.
Cyber Security
Boas práticas de segurança
Criar uma política de segurança;
Definir com clareza responsabilidades e atribuí-las aos usuários da
organização;
Definir um plano para resposta a incidentes, incluindo recuperação
de desastres (disasters recovery);
Auditar regularmente o sistema de segurança e procedimentos
para cumprimento da política de segurança;
Usar proteções contra Malware;
Manter o sistema atualizado;
Realizar as devidas considerações sobre a Arquitetura do sistema:
Utilizar múltiplas camadas de defesa (Defense in Depth);
Usar o conceito de zonas de segurança;
Cyber Security
Defense in depth
Physical Security
Procedures and Policies
Firewalls and Architecture
Computer Policies
Account Management
Security Updates
Antivirus Solutions
Uso coordenado de múltiplas camadas com medidas de
prevenção e detecção para proteger a integridade do
sistema.
Cyber Security
Zonas de Segurança
Zonas diferentes para diferentes níveis de segurança.
Todos os recursos na mesma zona devem ter o mesmo
nível de segurança mínimos.
Acesso entre zonas através de interface segura.
Princípio básico do padrão ISA 99/IEC 62443
Corporate network
Available to all employees
Site intranet
Available to local employees
Control system
Available to operators and
process and control engineers
Cyber Security
Análise de alguns padrões
Design Details
Energy
Industrial Autom.
IT
IEC 62351
Technical
Aspects
NIST 800-53
IEEE P 1686
Details of
Relevance
CPNI
Operations
for Manufacturers
NERC CIP
Management
ISO 27K
Operator
ISA 99*
Completeness
Manufacturer
* Since the closing of the ESCoRTS project, ISA decided to relabel the ISA 99 standard to
ISA 62443 to make the alignment with the IEC 62443 series more explicit and obvious.
Aspects
Cyber Security
ISA 99
Fonte: Comite ISA99 - Committee Work Products
Segurança para o Sistema 800xA
The SD3 + C Security Framework
Secure
by Design
Segurança no processo de desenvolvimento de
produtos: Requisitos, Desenvolvimento,
Implementação, Verificação
Secure
by Default
Instalação padronizada e robusta
Múltiplas camadas de segurança
Utilização de funções e privilégios mínimos
Secure in
Deployment
Communication
Suporte aos produtos para garantir sua segura
configuração, operação e manuteção
Suporte para atualizações do sistema
Transparência e responsabilidade na comunicação
com usuários sobre falhas de segurança
detectadas: implicações, correções e alternativas
http://www.abb.com/cybersecurity
Secure by Design
Segurança no Desenvolvimento Produtos
Segurança integrada ao sistema de gerenciamento de
qualidade:
Verificações de Segurança nas etapas de aprovação
dos projetos.
Modelamento de ameaças
Diretrizes para uma codificação segura
Testes
Verificação de requisitos e testes realizados pelo
R&D
Device Security Assurance Center
Testes de mercado (Achilles Communications
Certification by Wurldtech and MUSIC certification by
Mu Dynamics)
Secure by Default
Configurações padrão seguras e Proteção da Rede
Instalação automática (System Installer);
Configurações padrão seguras e hardening:
Princípio de funções e privilégios mínimos;
Windows Firewall habilitado e configurado;
Redundância de Rede;
Proteção contra “storms” em switches e loops de rede;
Supervisão do Sistema:
PNSM (PC Network and Software Monitoring);
Supervisão de Controladores;
Comunicação Cliente Servidor protegida por IPSec (SV5.1
Rev A);
Secure by Default
Autenticação de Usuários e Controle de Acesso
Autenticação de usuário com base no Windows
Active Directory ou Workgroup
Controle de Acesso do 800xA
Baseada em usuários, funções e localização
Configuradas para os níveis das estruturas,
objetos e atributos.
Funções de Autenticação Especiais
Re-autenticação
Autenticação dupla
Log over
Audit trail
Assinatura Digital
Secure in Deployment
Suporte ao Produto
Suporte ao Produto:
Manual do usuário, guidelines e funções do
sistema
Recomendações de Arquiteturas Seguras
Backup/Restore
Suporte a softwares de proteção contra
Malwares
Patch Management
Gerenciamento de Eventos de Segurança
Secure in Deployment
Proteção contra Malware e Atualizações
Acreditação de Software Antivirus
McAfee VirusScan® Enterprise and
Symantec Endpoint Protection
Whitelisting
SE46 (lançamento para 2o semestre de 2012)
Industrial Defender HIPS (em teste)
Validação das atualizações de segurança da Microsoft
Atualizações de segurança da Microsoft
The System 800xA Qualified Security Updates
New
2012
WSUS para gerenciamento centralizado de
atualizações
Revisões do Sistema 800xA (System Update Tool)
Secure in Deployment
Gerenciamento de Eventos de Segurança
Sistema 800xA com solução Industrial Defender
ASM “Monitor”:
Log de eventos centralizado, correlação e
arquivamento.
Consolidadção de dados para análise forense.
Painel de informações customizado pelo
usuário.
Monitoramento centralizado de clientes, servidores
e equipamentos de rede
Integração com o Audit Trail do 800xA e outros
eventos do sistema.
New
2012
Lançamento previsto para Q3 2012.
Secure in Deployment – Serviços
Serviços que ajudam ao sistema de segurança
Em primeiro lugar, uma tarefa para as áreas de projetos e
serviços.
Consultoria para adequação de redes e sistemas de
segurança para automação industrial;
Auditoria e validação de políticas e procedimentos de
segurança para o sistema de automação;
Hardening do sistema e implementação de política de
segurança;
Serviços de Backup de sotware e restabelecimento do
sistema em caso de falhas/desastre (800xA, Windows,
aplicativos, etc.);
Serviços para Antivirus e Patch Management
(Atualizações do 800xA, Windows, aplicativos, etc..)
Documentação e treinamento
Secure in Deployment – Serviços
ABB Cyber Security Fingerprint
Secure in Deployment - Serviços
ABB Cyber Security Fingerprint
New
2012
Benefícios de uma única
ferramente:
Consistencia;
• Dados
• Coleta
Alta qualidade;
Repetibilidade;
Baseado nas melhores
práticas e padrões da
indústria (*);
• Armazenamento
• Visualização
• Análise
• Interpretação
• Relatório
© ABB Group
(*) Incluindo, mas não limitado a: NERC-CIP, OLF-104, ISA-62443 (ISA99), ISO 27000
Secure in Deployment - Serviços
ABB Cyber Security Fingerprint
New
2012
Security in Depth – 7 Camadas de defesa
Objetivos:
Visualização completa e fácil do
status de segurança do sistema;
Base sólida para a definição de uma
estratégia de gerenciamento da
segurança do sistema;
Identificação das forças e fraquezas
do sistema de defesa;
Perfil de risco
Redução do risco de interrupções ao
sistema de automação;
Maior proteção da planta industrial e
de seus stakeholders.
Atender a padrões internacionais de
segurança e à própria política
estabelecida na empresa.
© ABB Group
Secure in Deployment - Serviços
Suporte à Definição de Arquiteturas Seguras
Zonas de Segurança: Múltiplas camadas de rede
Secure in Deployment - Serviços
Suporte à Definição de Políticas e Procedimentos
Suporte à definição da política de segurança visando atender
o princípio de funções e privilégios mínimos:
Existem uma estratégia para a criação de grupos como de
Operadores, Engenheiros e Administradores?
Estes grupos possuem permissões muito amplas?
Existe uma rotina para adição de novos usuários aos
grupos do sistema?
Suporte à definição de procedimentos de segurança
(Atividades, Responsáveis, Periodicidade, Documentos, etc)
Secure in Deployment - Serviços
Serviços de Backup e Restabelecimento do Sistema
Algumas atividades realizadas:
Defição da política e procedimentos para a realização de backups
e restabelecimento do sistema em caso de falhas/desastre
(Disaster Recovery Plan);
Realizar efetivamente imagens e backups;
Fornecimento e configuração de equipamentos;
Verificar se os backups necessários para restabelecer o sistema
são válidos e seguros.
Treinamentos
Objetivos:
Proteger os dados e configuração do sistema contra perdas.
Possibilitar o restabelecimento rápido do sistema após falhas de
componentes de hardware ou software.
Manter os dados necessários durante um processo de upgrade.
© ABB Inc.
October 8, 2012 | Slide 31
Secure in Deployment - Serviços
Serviços de Antivírus e Patch Management
Algumas atividades realizadas:
Preparar a documentação para o processo de gerenciamento
de atualizações (Windows, Antivírus e Sistema 800xA);
Instalar e configurar um servidor (WSUS) para realização de
atualizações automáticas ou manuais do Windows.
Carregar e configurar o software de antivirus de acordo com
as recomendações da ABB;
Carregar as definições atuais dos antivírus (manual,
automática e remota);
Gerar relatórios periódicos conforme contrato;
Objetivos:
Manter o sistema atualizado para manter o nível de proteção
do sistema de acordo com as melhores práticas do mercado e
as regras e procedimentos definidos na empresa.
Secure in Deployment – Serviços
Acesso e Serviços Remotos
Secure in Deployment - Serviços
Acesso Remoto: Situação Atual
ABB
Eng. 1
Eng. 2
Customer
VPN
Supplier B
Supplier A
Cellular
Plant
Supplier C
Supplier C
Phone Line
Supplier D
Satellite
Supplier E
Secure in Deployment – Serviços
ABB Enterprise Service Network
Customer
Personnel
Corporação
Plant 1
Eng. 1
Secure Connected Network
• 24/7 Remote Support
• Proactive Remote Maintenance
• Continuous Monitoring
Service Information
Data Transfer
Alarms
Monitoring
Supplier B
Enterprise
Service
Network
Hub
Remote Access Control
Controlled
Audited
Logged
Plant 2 Plant Communication
Secure
Authenticated
© ABB Group
October 8, 2012 | Slide 35
Eng. 2
Supplier Communication
Secure
Authenticated
Supplier C
Supplier D
Consultant
Comunicação
Notificações do cliente
http://www.abb.com/cybersecurity
Comunicação
Divulgação de vulnerabilidades
Vulnerabilidades reportadas confidencialmente ou
encontradas internamente (ABB e clientes)
Vulnerabilidades divulgadas publicamente:
www.abb.com e ICS-CERT
Comunicação
Divulgação de vulnerabilidades
Para todos os clientes da ABB, independente de contrato
de manutenção:
Boletins de Segurança (Security Bulletin)
Defeito de produto ou problema relacionado à segurança
do sistema;
Relatórios de Segurança (Safety Report)
Defeito de produto ou problema que possa levar à falta
de segurança de pessoas e da planta. (ex. integridade
física de pessoas)
Alerta de Produto (Product Alert)
Defeito de produto que possa resultar, mesmo que
indiretamente, em um problema de segurança ou um
mau comportamento do processo.
Comunicação
Segurança via ABB Automation Sentinel
Boletins dos Produtos com status da validação de
segurança
Atualizações de Segurança da Microsoft (atualizações
mensais);
Arquivos de definições de vírus (depois de toda
atualização, quase que diariamente)
Outros software (após cada atualização;);
Serviço de notificação de atualizações por e-mail;.
Atualizações de Produtos da ABB;
Cyber Security
Perguntas??
Cyber Security
Informações para Contato e Algumas Referências
Fique à vontade para entrar em contato e esclarecer suas
dúvidas:
Contato:
Renata Leite
Empresa:
ABB
Telefone:
(11) 3688-9770
e-mail:
[email protected]
Algumas Referências:
ABB: www.abb.com/cybersecurity
ICS-CERT: www.us-cert.gov/control_systems/ics-cert/
ISA 99: isa99.isa.org