Cyber Security
Transcrição
Cyber Security
Marcelo Araujo / Daniel Dias, Agosto de 2015 – Automation & Power World Brasil System 800xA Cyber Security Integração TI/TA com Segurança Agenda § Cyber Security - O que é? - Ameaças § Topologias Tradicionais x Integradas - IT Corporativo x Sistemas de Controle Industrial - Boas práticas de segurança - Defesa em Camadas - SD3 + C § Serviços - ABB Cyber Security Finger Print - Suporte a Politicas e Procedimentos - Antivírus e Patch Management - Segurança via ABB Automation Sentinel - Serviços de Backup e Restore - Acesso Remoto § Service Port Cyber Security O que é? *De acordo com o dicionário Merriam-Webster e o Comite da ISA99. “Medidas tomadas para proteger um computador ou um sistema de computadores contra acessos não autorizados ou ataques.” * Cyber Security Ameaças à Segurança Invasão do sistema (Hacking) acessos não autorizados Malware, vírus e trojans instalados via porta USB Enganos de Funcionários Introdução a Cyber Security Ameaças Malwares § § Virus e worms ainda são as ameaças mais comuns no ambiente de TI § Os vírus geralmente precisam de um programa em execução para realizar sua operação enquanto worms podem operar e replicar sem qualquer software externo. § 34% de todos os virus foram desenvolvidos em 2010 Muitos programas podem disseminar e replicar dentro de uma rede, se um único equipamento é automaticamente infectado, a maioria dos outros equipamentos e sistemas em breve serão infectados também. Ex: Conficker! Introdução a Cyber Security Ameaças Malwares § Cavalos de Tróia são programas maliciosos que se disfarçam como algum programa inofensivo § Muitos cavalos de Tróia são passados manualmente para amigos e colegas e se espalham através de engenharia social § Cavalos de Tróia são frequentemente customizados e muito difícil de detectar pois eles podem criptografar parte das rotinas que muitas vezes são verificadas nas principais soluções de antivírus O que aconteceu em 2014? As ameaças estão crescendo e não irão parar § A Indústria tornou-se um alvo chave para os atacantes § O número de ataques em sistemas de controle tem vindo a aumentar drasticamente desde o final de junho! § 1.000 ataques a clientes de serviços públicos § 1,500 ataques a clients de Oléo & Gás § Treinamento específico disponível por Black Hats para penetrar sistemas de controle § Descrição detalhada disponível por Black Hats para penetrar sistemas de controle do lado do campo, ou seja, através de Modbus, HART, Profibus, FF Cyber Security Ameaças à Segurança § Slammer – Em 2003 afetou uma Usina Nuclear em Ohio. Paralisou por 5 horas o seu funcionamento. Causava o mal funcionamento de sensores. § Stuxnet - Em 2010 foi o primeiro ataque específico a um sistema de automação. Ataque a Sistema Simens em industria Iraniana. Reprogramava CLP´s e fazia com que centrifugas girassem mais rapido em 40% por 15 minutos o que causava rachaduras nas centrifugas de aluminio. § Duqu – Descoberto em 2011. Acredita se que foi criado pelas mesmas pessoas do Stuxnet pois tem código derivado dele. § Em Jun/2015 foi identificado o Duqu 2.0, um backdoor dos sistemas infectados que permite roubo de informação. Onde está a motivação para os ataques? Cyber crime – maior motivação § Motivo principal para ataques em industrias: § Sabotagem … § Pode causar shutdown em plantas § Intenção de danificar equipamentos da planta § Intenção de comprometer a qualidade dos produtos § Pode ser feito para destruir os recordes de produção § Pode ser usado para desacelerar a economia, comprometer o suprimento de energia elétrica, petróleo ou gás, etc... Cyber Security Configuração tradicional: Sistemas isolados Internet Cyber Security Configuração atual: Integração de sistemas Internet Cyber Security IT Corporativo X Sistemas de Controle Industrial IT Corporativo Sistemas de Controle Industrial Confidencialidade Prioridades diferentes Disponibilidade Integridade Integridade Disponibilidade Abordagem diferente Confidencialidade 3 tentativas de senha erradas; Bloqueia a conta Operador perde controle! Diretrizes de implantação Instala novos patches ASAP Pode não funcionar! Pode precisar de reboot! Fornecedor homologa os Patches Utiliza firewalls e sistemas de detecção de Intrusos Será que eles sabem os protocolos industriais utilizados? Fornecedor valida a solução Cyber Security IT Corporativo X Sistemas de Controle Industrial IT Corporativo Sistema de Controle Industrial Impactos primários Financeiro, divulgação de informações Segurança (integridade física), saúde, meio ambiente, financeira Disponibilidade 95 – 99% 99.9 – 99.999% (downtime/ano aceitável =18.25 - 3.65 dias) (downtime /ano aceitável = 8.76 hrs – 5.25 minutes) Determinismo Minutos a horas (ou mais) Milisegundos a horas Tempo de vida típico 3-5 anos 15-30 anos Resolução de problemas Reinicialização, patching/upgrade Tolerância à falhas, reparação online Cyber Security Securança é uma responsabilidade dos usuários Afinal… § Implementação , configuração, operação e manutenção adequadas de procedimentos de segurança e equipamentos são responsabilidade dos usuários do sistema de automação. No entanto … § Soluções de segurança efetivas exigem um esforço conjunto entre: § Equipe de TI Corporativa e Equipe de Automação § Equipes de comissionamento, manutenção e operação da planta § Suporte dos fornecedores de sistemas de automação durante todo o ciclo de vida de seus produtos e serviços prestados. Cyber Security Boas práticas de segurança § Criar uma política de segurança; § Definir com clareza responsabilidades e atribuí-las aos usuários da organização; § Definir um plano para resposta a incidentes, incluindo recuperação de desastres (disasters recovery); § Auditar regularmente o sistema de segurança e procedimentos para cumprimento da política de segurança; § Usar proteções contra Malware; § Manter o sistema atualizado; § Utilizar múltiplas camadas de defesa (Defense in Depth); Cyber Security Análise de alguns padrões Design Details Energy Industrial Autom. IT IEC 62351 Technical Aspects NIST 800-53 IEEE P 1686 Details of Relevance Operations for Manufacturers CPNI NERC CIP ISO 27K Operator ISA 99* Completeness Manufacturer * Since the closing of the ESCoRTS project, ISA decided to relabel the ISA 99 standard to ISA 62443 to make the alignment with the IEC 62443 series more explicit and obvious. Management Aspects Cyber Security Defense in depth (Defesa em Camadas) Segurança Física Procedimentos e Políticas Firewalls e Arquiteturas Policies de Computador Gerenciamento de Contas Atualizações de Segurança Soluções de Antivírus § Uso coordenado de múltiplas camadas com medidas de prevenção e detecção para proteger a integridade do sistema. Cyber Security em todo ciclo de vida do Sistema Um fator importante em todas as fases Produtos Desenvolvimento Implementação Verificação Revisões Suporte Projetos Desenvolvimento Engenharia FAT Comissionamento SAT Operação Consultoria Operação Manutenção Monitoramento Upgrades O suporte do fabricante é necessário em todas as fases. Segurança para o Sistema 800xA The SD3 + C Security Framework Secure by Design Secure by Default Secure in Deployment § Segurança no processo de desenvolvimento de produtos: Requisitos, Desenvolvimento, Implementação, Verificação § Instalação padronizada e robusta Múltiplas camadas de segurança Utilização de funções e privilégios mínimos § § § § Suporte aos produtos para garantir sua segura configuração, operação e manuteção Suporte para atualizações do sistema § Transparência e responsabilidade na comunicação com usuários sobre falhas de segurança detectadas: implicações, correções e alternativas § www.abb.com/cybersecurity Communication Security Update Service Perguntas e Respostas Q: “Nosso Sistema de Controle não esta conectado a internet, então nós não precisamos de atualizações.“ A: A internet não é a unica forma que pode afetar seu Sistema de Controle. Existem diversas outras formas que podem afeta-lo: Contamination through hacked mobile apps Contamination through USB ports and CD/DVD drives Contaminated XP based engineering PCs or laptops get connected XP based MES/ERP systems get connected Contamination through corporate LAN Contamination through Remote Connections Contamination through hacked network equipment Interface through field buses, e.g. Profibus, HART, FF, IEC61850 bus also through MODBUS serial ICS Corsair Security Update Service Perguntas e Respostas § A maioria das empresas acredita que os sistemas de controle não estão conectados à rede corporativa. Uma auditoria mostrou que 89 por cento dos sistemas de controle são, de facto, ligado de uma forma ou de outra. § A segurança de TI Corporativa foi orientada para somente processos empresariais gerais, sem ter em conta os sistemas de controle de processos críticos. § Existem vários tipos de conexão entre a rede corporativa e a Internet, incluindo intranets, conexão direta com a internet, conexões sem fio e modems dial-up. Security Update Service Perguntas e Respostas Q: Hackers não entendem DCS / PLC / SCADA. Nossa planta não é um alvo. A: Os sistemas de Controle viraram alvos de Cibercrime muito lucrativos. Worms e outros virus estão sendo desenvolvidos para aplicações especificas. Também vale a pena lembrar que ataques como 'Slammer' visavam derrubar a maior quantidade de sistemas globalmente, ele não tem que visar especificamente um segmento de indústria para ter um impacto significativo. § Pesquisa da Kaspersky mostra que muitos PCs industriais estão infectados com os mesmos malwares que existem em seus sistemas de negócios de TI. Algumas formas de defesa § SE46 – Whitelisting utilizado para certificar que os programas a serem executados nas maquinas estão seguros e não foram danificados ou alterados. Industrial Defender § Sistema de detecção de intrusos que monitora hosts e dispositivos contra invasão e outras atividades maliciosas. § Sistema que prove visibilidade, monitoramento, alertas e relatórios através de um Console Seguro de Gerenciamento de Eventos Quais são as medidas para diminuir os riscos? Existe muito o que você pode fazer § V5.0 V6.0 Patch regular dos dispositivos e sistemas § Anti virus § Sistemas Operacionais § Control systems (DCS, PLC, SCADA, …) § Hardware com software incorporado possuem vulnerabilidades (switches de rede, dispositivos de campo, modems para conexões remotas ...) § Eliminar problemas de obsolescência § Gerenciamento de acessos § Instalar firewalls entre camadas: Campo / Sistemas de Controle / PIMS / ERP § Restringir acesso direto aos computadores (USB, pen drives/HD´s, CDs, …) § Introduzir whitelisting onde for possivel § Fazer do Cyber Security um importante tópico na sua operação diária!!! Cyber Security Serviços Cyber Security - Serviços ABB Cyber Security Fingerprint Cyber Security - Serviços ABB Cyber Security Fingerprint § § (*) Padrões da indústria utilizados, mas não limitado a: • NERC-CIP • OLF-104 • ISA-62443 (ISA99) • ISO 27000 Security in Depth – 7 Camadas de defesa Objetivos: § Visualização completa e fácil do status de segurança do sistema; § Base sólida para a definição de uma estratégia de gerenciamento da segurança do sistema; § Identificação das forças e fraquezas do sistema de defesa; § Redução do risco de interrupções ao sistema de automação; § Maior proteção da planta industrial e de seus stakeholders. § Atende aos melhores padrões internacionais de segurança (*) e à própria política estabelecida na empresa. Disponível para: • • • 800xA version 4.1, 5.0 , 5.1, Process Portal B Perfil de risco Conductor NT version 6 Cyber Security - Serviços ABB Cyber Security Fingerprint – O que proteger Secure in Deployment – Serviços ABB Cyber Security Fingerprint – Log e Análise Security Logger § Apenas Coleta os dados sem afetar a produção e sem a necessidade de instalação. § Os dados coletados são salvos em um arquivo criptografados. § Serve de suporte durante as entrevistas. § Economiza cerca de 90% de tempo se comparada a coleta manual de informações. Security Analyzer Analisa os dados coletados. É a única ferramenta que pode ler os dados. É possível criar diferentes perfis. High risk Low risk Cyber Security Fingerprint Relatório – Recomendações e Plano de Ação Cyber Security Fingerprint Key Performance Indicators - KPIs Cyber Security - Serviços Suporte à Definição de Políticas e Procedimentos § § Suporte à definição da política de segurança visando atender o princípio de funções e privilégios mínimos: § Existem uma estratégia para a criação de grupos como de Operadores, Engenheiros e Administradores? § Estes grupos possuem permissões muito amplas? § Existe uma rotina para adição de novos usuários aos grupos do sistema? Suporte à definição de procedimentos de segurança (Atividades, Responsáveis, Periodicidade, Documentos, etc) Cyber Security - Serviços Serviços de Antivírus e Patch Management § § Algumas atividades realizadas: § Preparar a documentação para o processo de gerenciamento de atualizações (Windows, Antivírus e Sistema 800xA); § Instalar e configurar um servidor (WSUS) para realização de atualizações automáticas ou manuais do Windows. § Carregar e configurar o software de antivirus de acordo com as recomendações da ABB; § Carregar as definições atuais dos antivírus (manual, automática e remota); § Gerar relatórios periódicos conforme contrato; Objetivos: § Manter o sistema atualizado para manter o nível de proteção do sistema de acordo com as melhores práticas do mercado e as regras e procedimentos definidos na empresa. Comunicação Segurança via ABB Automation Sentinel § Boletins dos Produtos com status da validação de segurança § Atualizações de Segurança da Microsoft (atualizações mensais); § Arquivos de definições de vírus (depois de toda atualização, quase que diariamente) § Outros software (após cada atualização;); § Serviço de notificação de atualizações por e-mail;. § Atualizações de Produtos da ABB; Cyber Security - Serviços Serviços de Backup e Restabelecimento do Sistema § § Algumas atividades realizadas: § Defição da política e procedimentos para a realização de backups e restabelecimento do sistema em caso de falhas/desastre (Disaster Recovery Plan); § Realizar efetivamente imagens e backups; § Fornecimento e configuração de equipamentos; § Verificar se os backups necessários para restabelecer o sistema são válidos e seguros. § Treinamentos Objetivos: § Proteger os dados e configuração do sistema contra perdas. § Possibilitar o restabelecimento rápido do sistema após falhas de componentes de hardware ou software. § Manter os dados necessários durante um processo de upgrade. Cyber Security - Serviços Acesso Remoto: Situação Atual ABB Eng. 1 Eng. 2 Customer VPN Supplier B Supplier A Cellular Plant Supplier C Supplier C Phone Line Supplier D Satellite Supplier E Cyber Security - Serviços Service Command Center Customer Personnel Corporação Plant 1 Eng. 1 Secure Connected Network • 24/7 Remote Support • Proactive Remote Maintenance • Continuous Monitoring Service Information Data Transfer Alarms Monitoring Supplier B Enterprise Service Network Hub Remote Access Control Controlled Audited Logged Plant 2 Plant Communication Secure Authenticated Eng. 2 Supplier Communication Secure Authenticated Supplier C Supplier D Consultant Cyber Security - Serviços Acesso e Serviços Remotos (RAP) Cyber Security - Serviços ServicePort - Cyber Security Channel Cyber Security - Serviços ServicePort - Cyber Security Channel © ABB Group August 25, 2015 | Slide 42
Documentos relacionados
Fator-Humano
(usuários, administradores de redes e sistemas, funcionários, gerentes, etc.) que lidam com essa informação. Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas atribuiç...
Leia mais