Cyber Security

Marcelo Araujo / Daniel Dias, Agosto de 2015 – Automation & Power World Brasil
System 800xA Cyber Security
Integração TI/TA com Segurança
Agenda
§
Cyber Security
- O que é?
- Ameaças
§
Topologias Tradicionais x Integradas
- IT Corporativo x Sistemas de Controle Industrial
- Boas práticas de segurança
- Defesa em Camadas
- SD3 + C
§
Serviços
- ABB Cyber Security Finger Print
- Suporte a Politicas e Procedimentos
- Antivírus e Patch Management
- Segurança via ABB Automation Sentinel
- Serviços de Backup e Restore
- Acesso Remoto
§
Service Port
Cyber Security
O que é?
*De acordo com o
dicionário
Merriam-Webster
e o Comite da
ISA99.
“Medidas tomadas para proteger um computador ou um
sistema de computadores contra acessos não autorizados
ou ataques.” *
Cyber Security
Ameaças à Segurança
Invasão do
sistema (Hacking)
acessos não
autorizados
Malware, vírus e
trojans instalados
via porta USB
Enganos de
Funcionários
Introdução a Cyber Security
Ameaças
Malwares
§
§
Virus e worms ainda são as ameaças mais comuns no
ambiente de TI
§
Os vírus geralmente precisam de um programa em
execução para realizar sua operação enquanto worms
podem operar e replicar sem qualquer software externo.
§
34% de todos os virus foram desenvolvidos em 2010
Muitos programas podem disseminar e replicar dentro
de uma rede, se um único equipamento é
automaticamente infectado, a maioria dos outros
equipamentos e sistemas em breve serão infectados
também.
Ex: Conficker!
Introdução a Cyber Security
Ameaças
Malwares
§
Cavalos de Tróia são programas maliciosos que se
disfarçam como algum programa inofensivo
§
Muitos cavalos de Tróia são passados manualmente
para amigos e colegas e se espalham através de
engenharia social
§
Cavalos de Tróia são frequentemente customizados e
muito difícil de detectar pois eles podem criptografar
parte das rotinas que muitas vezes são verificadas nas
principais soluções de antivírus
O que aconteceu em 2014?
As ameaças estão crescendo e não irão parar
§
A Indústria tornou-se um alvo chave para os atacantes
§
O número de ataques em sistemas de controle tem vindo a
aumentar drasticamente desde o final de junho!
§
1.000 ataques a clientes de serviços públicos
§
1,500 ataques a clients de Oléo & Gás
§
Treinamento específico disponível por Black Hats para penetrar sistemas de
controle
§
Descrição detalhada disponível por Black Hats para penetrar sistemas de
controle do lado do campo, ou seja, através de Modbus, HART, Profibus,
FF
Cyber Security
Ameaças à Segurança
§ Slammer – Em 2003 afetou uma Usina
Nuclear em Ohio. Paralisou por 5 horas o
seu funcionamento. Causava o mal
funcionamento de sensores.
§ Stuxnet - Em 2010 foi o primeiro ataque
específico a um sistema de automação.
Ataque a Sistema Simens em industria
Iraniana. Reprogramava CLP´s e fazia
com que centrifugas girassem mais rapido
em 40% por 15 minutos o que causava
rachaduras nas centrifugas de aluminio.
§ Duqu – Descoberto em 2011. Acredita se
que foi criado pelas mesmas pessoas do
Stuxnet pois tem código derivado dele.
§ Em Jun/2015 foi identificado o Duqu 2.0,
um backdoor dos sistemas infectados que
permite roubo de informação.
Onde está a motivação para os ataques?
Cyber crime – maior motivação
§
Motivo principal para ataques em industrias:
§
Sabotagem …
§
Pode causar shutdown em plantas
§
Intenção de danificar equipamentos da planta
§
Intenção de comprometer a qualidade dos produtos
§
Pode ser feito para destruir os recordes de produção
§
Pode ser usado para desacelerar a economia, comprometer o
suprimento de energia elétrica, petróleo ou gás, etc...
Cyber Security
Configuração tradicional: Sistemas isolados
Internet
Cyber Security
Configuração atual: Integração de sistemas
Internet
Cyber Security
IT Corporativo X Sistemas de Controle Industrial
IT Corporativo
Sistemas de Controle Industrial
Confidencialidade
Prioridades
diferentes
Disponibilidade
Integridade
Integridade
Disponibilidade
Abordagem
diferente
Confidencialidade
3 tentativas de senha
erradas;
Bloqueia a conta
Operador perde
controle!
Diretrizes de
implantação
Instala novos patches
ASAP
Pode não funcionar!
Pode precisar de
reboot!
Fornecedor homologa
os Patches
Utiliza firewalls e
sistemas de detecção
de Intrusos
Será que eles sabem
os protocolos
industriais utilizados?
Fornecedor valida a
solução
Cyber Security
IT Corporativo X Sistemas de Controle Industrial
IT Corporativo
Sistema de Controle Industrial
Impactos primários
Financeiro, divulgação de
informações
Segurança (integridade física), saúde,
meio ambiente, financeira
Disponibilidade
95 – 99%
99.9 – 99.999%
(downtime/ano aceitável =18.25 - 3.65 dias)
(downtime /ano aceitável = 8.76 hrs – 5.25 minutes)
Determinismo
Minutos a horas (ou mais)
Milisegundos a horas
Tempo de vida típico
3-5 anos
15-30 anos
Resolução de
problemas
Reinicialização,
patching/upgrade
Tolerância à falhas, reparação online
Cyber Security
Securança é uma responsabilidade dos usuários
Afinal…
§
Implementação , configuração, operação e manutenção
adequadas de procedimentos de segurança e equipamentos
são responsabilidade dos usuários do sistema de automação.
No entanto …
§
Soluções de segurança efetivas exigem um esforço conjunto
entre:
§
Equipe de TI Corporativa e Equipe de Automação
§
Equipes de comissionamento, manutenção e operação da
planta
§
Suporte dos fornecedores de sistemas de automação
durante todo o ciclo de vida de seus produtos e serviços
prestados.
Cyber Security
Boas práticas de segurança
§
Criar uma política de segurança;
§
Definir com clareza responsabilidades e atribuí-las aos usuários da
organização;
§
Definir um plano para resposta a incidentes, incluindo recuperação
de desastres (disasters recovery);
§
Auditar regularmente o sistema de segurança e procedimentos
para cumprimento da política de segurança;
§
Usar proteções contra Malware;
§
Manter o sistema atualizado;
§
Utilizar múltiplas camadas de defesa (Defense in Depth);
Cyber Security
Análise de alguns padrões
Design Details
Energy
Industrial Autom.
IT
IEC 62351
Technical
Aspects
NIST 800-53
IEEE P 1686
Details of
Relevance
Operations
for Manufacturers
CPNI
NERC CIP
ISO 27K
Operator
ISA 99*
Completeness
Manufacturer
* Since the closing of the ESCoRTS project, ISA decided to relabel the ISA 99 standard to
ISA 62443 to make the alignment with the IEC 62443 series more explicit and obvious.
Management
Aspects
Cyber Security
Defense in depth (Defesa em Camadas)
Segurança Física
Procedimentos e Políticas
Firewalls e Arquiteturas
Policies de Computador
Gerenciamento de Contas
Atualizações de Segurança
Soluções de Antivírus
§
Uso coordenado de múltiplas camadas com medidas de
prevenção e detecção para proteger a integridade do
sistema.
Cyber Security em todo ciclo de vida do Sistema
Um fator importante em todas as fases
Produtos
Desenvolvimento
Implementação
Verificação
Revisões
Suporte
Projetos
Desenvolvimento
Engenharia
FAT
Comissionamento
SAT
Operação
Consultoria
Operação
Manutenção
Monitoramento
Upgrades
O suporte do fabricante é
necessário em todas as fases.
Segurança para o Sistema 800xA
The SD3 + C Security Framework
Secure
by Design
Secure
by Default
Secure in
Deployment
§
Segurança no processo de desenvolvimento de
produtos: Requisitos, Desenvolvimento,
Implementação, Verificação
§
Instalação padronizada e robusta
Múltiplas camadas de segurança
Utilização de funções e privilégios mínimos
§
§
§
§
Suporte aos produtos para garantir sua segura
configuração, operação e manuteção
Suporte para atualizações do sistema
§
Transparência e responsabilidade na comunicação
com usuários sobre falhas de segurança
detectadas: implicações, correções e alternativas
§
www.abb.com/cybersecurity
Communication
Security Update Service
Perguntas e Respostas
Q: “Nosso Sistema de Controle não esta conectado a internet, então
nós não precisamos de atualizações.“
A: A internet não é a unica forma que pode afetar seu Sistema de
Controle. Existem diversas outras formas que podem afeta-lo:
Contamination through hacked mobile apps
Contamination through USB
ports and CD/DVD drives
Contaminated XP based
engineering PCs or laptops get
connected
XP based MES/ERP systems
get connected
Contamination through
corporate LAN
Contamination through
Remote Connections
Contamination through
hacked network equipment
Interface through field buses,
e.g. Profibus, HART, FF,
IEC61850 bus also through
MODBUS serial
ICS Corsair
Security Update Service
Perguntas e Respostas
§
A maioria das empresas acredita que os sistemas de controle não estão conectados à rede
corporativa. Uma auditoria mostrou que 89 por cento dos sistemas de controle são, de facto,
ligado de uma forma ou de outra.
§
A segurança de TI Corporativa foi orientada para somente processos empresariais gerais,
sem ter em conta os sistemas de controle de processos críticos.
§
Existem vários tipos de conexão entre a rede corporativa e a Internet, incluindo intranets,
conexão direta com a internet, conexões sem fio e modems dial-up.
Security Update Service
Perguntas e Respostas
Q: Hackers não entendem DCS / PLC / SCADA. Nossa planta não é
um alvo.
A: Os sistemas de Controle viraram alvos de Cibercrime muito lucrativos.
Worms e outros virus estão sendo desenvolvidos para aplicações
especificas.
Também vale a pena lembrar que ataques como 'Slammer' visavam
derrubar a maior quantidade de sistemas globalmente, ele não tem que
visar especificamente um segmento de indústria para ter um impacto
significativo.
§
Pesquisa da Kaspersky mostra que muitos PCs industriais estão
infectados com os mesmos malwares que existem em seus sistemas
de negócios de TI.
Algumas formas de defesa
§
SE46 – Whitelisting utilizado para certificar que os programas a serem
executados nas maquinas estão seguros e não foram danificados ou alterados.
Industrial Defender
§
Sistema de detecção de intrusos que monitora hosts e dispositivos contra
invasão e outras atividades maliciosas.
§
Sistema que prove visibilidade, monitoramento, alertas e relatórios através
de um Console Seguro de Gerenciamento de Eventos
Quais são as medidas para diminuir os riscos?
Existe muito o que você pode fazer
§
V5.0
V6.0
Patch regular dos dispositivos e sistemas
§
Anti virus
§
Sistemas Operacionais
§
Control systems (DCS, PLC, SCADA, …)
§
Hardware com software incorporado possuem vulnerabilidades (switches de rede,
dispositivos de campo, modems para conexões remotas ...)
§
Eliminar problemas de obsolescência
§
Gerenciamento de acessos
§
Instalar firewalls entre camadas: Campo / Sistemas de Controle / PIMS / ERP
§
Restringir acesso direto aos computadores (USB, pen drives/HD´s, CDs, …)
§
Introduzir whitelisting onde for possivel
§
Fazer do Cyber Security um importante tópico na sua operação diária!!!
Cyber Security
Serviços
Cyber Security - Serviços
ABB Cyber Security Fingerprint
Cyber Security - Serviços
ABB Cyber Security Fingerprint
§
§
(*) Padrões da
indústria utilizados,
mas não limitado a:
•
NERC-CIP
•
OLF-104
•
ISA-62443
(ISA99)
•
ISO 27000
Security in Depth – 7 Camadas de defesa
Objetivos:
§
Visualização completa e fácil do status de
segurança do sistema;
§
Base sólida para a definição de uma
estratégia de gerenciamento da segurança
do sistema;
§
Identificação das forças e fraquezas do
sistema de defesa;
§
Redução do risco de interrupções ao sistema
de automação;
§
Maior proteção da planta industrial e de seus
stakeholders.
§
Atende aos melhores padrões internacionais
de segurança (*) e à própria política
estabelecida na empresa.
Disponível para:
•
•
•
800xA
version 4.1,
5.0 , 5.1,
Process
Portal B
Perfil de risco
Conductor
NT version 6
Cyber Security - Serviços
ABB Cyber Security Fingerprint – O que proteger
Secure in Deployment – Serviços
ABB Cyber Security Fingerprint – Log e Análise
Security Logger
§
Apenas Coleta os dados sem afetar a produção e sem a necessidade de instalação.
§
Os dados coletados são salvos em um arquivo criptografados.
§
Serve de suporte durante as entrevistas.
§
Economiza cerca de 90% de tempo se comparada a coleta manual de informações.
Security Analyzer
Analisa os dados coletados.
É a única ferramenta que pode ler os dados.
É possível criar diferentes perfis.
High risk
Low risk
Cyber Security Fingerprint
Relatório – Recomendações e Plano de Ação
Cyber Security Fingerprint
Key Performance Indicators - KPIs
Cyber Security - Serviços
Suporte à Definição de Políticas e Procedimentos
§
§
Suporte à definição da política de segurança visando atender
o princípio de funções e privilégios mínimos:
§
Existem uma estratégia para a criação de grupos como de
Operadores, Engenheiros e Administradores?
§
Estes grupos possuem permissões muito amplas?
§
Existe uma rotina para adição de novos usuários aos
grupos do sistema?
Suporte à definição de procedimentos de segurança
(Atividades, Responsáveis, Periodicidade, Documentos, etc)
Cyber Security - Serviços
Serviços de Antivírus e Patch Management
§
§
Algumas atividades realizadas:
§
Preparar a documentação para o processo de gerenciamento
de atualizações (Windows, Antivírus e Sistema 800xA);
§
Instalar e configurar um servidor (WSUS) para realização de
atualizações automáticas ou manuais do Windows.
§
Carregar e configurar o software de antivirus de acordo com
as recomendações da ABB;
§
Carregar as definições atuais dos antivírus (manual,
automática e remota);
§
Gerar relatórios periódicos conforme contrato;
Objetivos:
§
Manter o sistema atualizado para manter o nível de proteção
do sistema de acordo com as melhores práticas do mercado e
as regras e procedimentos definidos na empresa.
Comunicação
Segurança via ABB Automation Sentinel
§
Boletins dos Produtos com status da validação de
segurança
§
Atualizações de Segurança da Microsoft (atualizações
mensais);
§
Arquivos de definições de vírus (depois de toda
atualização, quase que diariamente)
§
Outros software (após cada atualização;);
§
Serviço de notificação de atualizações por e-mail;.
§
Atualizações de Produtos da ABB;
Cyber Security - Serviços
Serviços de Backup e Restabelecimento do Sistema
§
§
Algumas atividades realizadas:
§
Defição da política e procedimentos para a realização de backups
e restabelecimento do sistema em caso de falhas/desastre
(Disaster Recovery Plan);
§
Realizar efetivamente imagens e backups;
§
Fornecimento e configuração de equipamentos;
§
Verificar se os backups necessários para restabelecer o sistema
são válidos e seguros.
§
Treinamentos
Objetivos:
§
Proteger os dados e configuração do sistema contra perdas.
§
Possibilitar o restabelecimento rápido do sistema após falhas de
componentes de hardware ou software.
§
Manter os dados necessários durante um processo de upgrade.
Cyber Security - Serviços
Acesso Remoto: Situação Atual
ABB
Eng. 1
Eng. 2
Customer
VPN
Supplier B
Supplier A
Cellular
Plant
Supplier C
Supplier C
Phone Line
Supplier D
Satellite
Supplier E
Cyber Security - Serviços
Service Command Center
Customer
Personnel
Corporação
Plant 1
Eng. 1
Secure Connected Network
• 24/7 Remote Support
• Proactive Remote Maintenance
• Continuous Monitoring
Service Information
Data Transfer
Alarms
Monitoring
Supplier B
Enterprise
Service
Network
Hub
Remote Access Control
Controlled
Audited
Logged
Plant 2 Plant Communication
Secure
Authenticated
Eng. 2
Supplier Communication
Secure
Authenticated
Supplier C
Supplier D
Consultant
Cyber Security - Serviços
Acesso e Serviços Remotos (RAP)
Cyber Security - Serviços
ServicePort - Cyber Security Channel
Cyber Security - Serviços
ServicePort - Cyber Security Channel
© ABB Group
August 25, 2015 | Slide 42