View
751
Download
2
Embed Size (px)
DESCRIPTION
Apresentação realizada no congresso da ABM Brasil em 2010.
Citation preview
O Uso de padrões abertos para proteO Uso de padrões abertos para proteçção ão de sistemas SCADA e de automade sistemas SCADA e de automaççãoão
Marcelo Branquinho & Eric ByresOutubro de 2010
Autor e Apresentador
• Marcelo Branquinho• Diretor Comercial, TI Safe Segurança da Informação• [email protected]
• Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de negócios, é um dos fundadores do capítulo do Rio de Janeiro da ISACA.
• Membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde atua como chefe do departamento de segurança para sistemas de automação industrial.
• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da Formação de Analistas de Segurança de Automação, primeira formação brasileira no segmento e ministrada em infra-estruturas críticas e organismos governamentais brasileiros.
Co-Autor
• Eric J. Byres• CTO, Byres Security• [email protected]
• Eric Byres é reconhecido internacionalmente como um dos principais especialistas em sistemas SCADA e Segurança Industrial. Como fundador do BCIT Critical Infrastructure Security Centre, ele o transformou em uma das principais instalações académicas da américa do norte no campo da segurança SCADA, culminando no prêmio SANS Leadership Award em 2006.
• Na década passada, Eric prestou serviços de investigação e consultoria para agências governamentais de segurança e de grandes empresas de energia para proteção de infra-estruturas críticas. Ele é também o presidente do grupo de trabalho da ISA SP-99 e é o representante canadense para oos padrões IEC TC65/WG10 para a proteção de instalações industriais contra ataques cibernéticos. Eric recebeu inúmeros prêmios do IEEE, ISA e SANS por suas pesquisas sobre as soluções de segurança.
Objetivo do TrabalhoObjetivo do Trabalho
• Apresentar a implementação de segurança em redes de automação industrial utilizando o padrão ANSI/ISA-99 baseado no conceito de estratégia de defesa em profundidade.
• Demonstrar como utilizar o modelo de zonas e conduítes para assegurar sistemas de controle.
• Apresentar o caso de implantação da técnica em uma refinaria norte-americana.
Agenda
• Introdução Teórica– A Necessidade de segurança em redes industriais– Os requerimentos únicos para segurança SCADA
• Desenvolvimento do trabalho– A Norma de Segurança ANSI/ISA-99– Estratégia de defesa em profundidade - o Modelo de Zonas
e Conduítes– Implementação em refinaria norte-americana
• Dúvidas
Introdução Teórica
Antigamente os sistemas SCADA eram assim....
NNÍÍVEL DEVEL DECAMPOCAMPO
NNÍÍVEL DEVEL DECONTROLECONTROLE
NNÍÍVEL DEVEL DEPLANTAPLANTA
Rede de ControleRede de Controle
SupervisãoSupervisãoBanco deBanco de
DadosDados
Rede de Planta ou GerenciamentoRede de Planta ou Gerenciamento
Rede deRede deCampoCampo
• Ilhas de Automação
Hoje eles são assim...
Transacional
Tempo Real
ContínuoSeqüencial
Discreto
Medição
Gerência Corporativa
Gerência de Produção
Tempo Real
Transacional
Controle
Gerência Industrial• Sistemas Integrados
Evolução – Sistemas Supervisórios
• No início os sistemas supervisórios eram desenvolvidos em plataformas operacionais caríssimas, baseadas em sistemas Unix like e máquinas poderosas como os Digital Vax e Alpha.
• Desenvolver aplicativos para estas plataformas era algo extremamente caro
• Com isto, supervisórios passaram a ser desenvolvidos para plataformas Windows, cujo processo de desenvolvimento era muito mais rápido e os custos globais do projeto eram bastante reduzidos
Vulnerabilidades no Sistema Operacional Windows
http://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx
Vulnerabilidades e Exploits para SW SCADA
http://www.frsirt.com/english/advisories/2008/0306
Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervisório e o PLC através da porta COM e obter as senhas (Principal e Master) do PLC
Vulnerabilidades no Protocolo OPC
• Vulnerabilidades de alto risco do sistema operacional– Serviços de sistema desnecessários
– Senhas fracas e vulneráveis
– Atualizações e patches inadequados no servidor
– Uso de mecanismos fracos para autenticação
– Vulnerabilidades locais
• Vulnerabilidades inerentes ao OPC– Utilização de transportes historicamente inseguros
– Falta de autenticação no navegador do servidor OPC
– Servidor OPC e seu navegador com privilégios excessivos
– Suporte a protocolos desnecessários para o navegador do servidor OPC
– Falta de integridade em comunicações OPC
– Falta de confidencialidade no tráfego OPC
– Dependência de serviços de Internet COM no IIS
– Configurações de segurança do OPC não possuem controle de acesso granular
– Excessivas portas TCP abertas no servidor OPC
Riscos dentro da rede de controle
Laptops Infectados
Firewalls mauconfigurados
Control LAN
Rede da planta
Rede corporativa
Internet
Conexões nãoautorizadas
Rede de PLCs
Suporte remotoinfectado
Links RS-232
Modems
Drives USB
Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de
automaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs
Internet Directly17%
VPN Connection7%
Dial-up modem7%
Trusted 3rd Party Connection
10%
Telco Network7%
Wireless System3%
Via Corprate WAN & Business Network
49%
Literatura Hacker
• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.
Estatísticas de Incidentes
• Malware responde por 2/3 dos incidentes externos em sistemas de controle.
• Aparentemente vai de encontro aos incidentes de segurança de TI
• Entretanto, há uma quantidade surpreendente de eventos de sabotagem
DoS6%
Sabotage13%
Malware68%
System Penetration
13%
Ameaça recente: O Worm Stuxnet (2010)
• Também conhecido comoW32.Temphid e Rootkit.TmpHider
• Worm desenvolvido para tirar vantagemde vulnerabilidade existente em todasas versões do sistema Windows.
• O Stuxnet foi desenvolvido para atingirqualquer sistema usando a plataformaSiemens WinCC.
• O Objetivo do Malwsre parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)
• Existem patches liberados para cadaplataforma Windows e também algunsajustes provisórios (workarounds)
Performance – Comparativo TI X AutomaçãoRedes e Computadores de TI Redes de Automação
Perda de dados e interruções podem ocasionalmente ser toleradasatravés da restauração de backups e reinicializações de máquinas.
Perda de dados e interrupções não podem ser toleradas e podem resultarem sérias consequências, incluindo danos a equipamentos e possíveisperdas de vidas.
Altas taxas de dados são necessárias, delays podem ser tolerados.
Tempos de respostas determinística em loops de controle; respostas emtempo real são necessárias; grandes delays ou downtimes não podem ser tolerados.
Recuperação sempre após o reboot; Paradas de sistema e reboots normalmente não trazem consequências perigosas ou com riscos de vida.
Sistemas devem sempre ser tolerantes a falhas ou ter "hot backups"; paradas de computadores e controladoras podem resultar em situaçõesperigosas e com ameaça a vidas.
Software antivirus largamente usado.
Software antivirus é difícil de ser aplicado na maioria das vezes porquedelays não podem ser tolerados e determinismo nos tempos de respostatem que ser preservado.
Treinamento e conscientização em segurança de sistemas érazoavelmente alto. Treinamentos em segurança de sistemas raramente ocorrem.
Criptografia usada.Muitos sistemas SCADA transmitem dados e mensagens de controle emtexto claro.
Testes de penetração amplamente utilizados.
Testes de penetração não são rotineiramente executados na rede de controle e, quando realizados, devem ser feitos com cuidado para nãoafetar os sistemas de controle.
Implementação de patches é feita rotineiramente.Implementação de patches deve ser cuidadosamente considerada, feitacom pouca frequência, e normalmente requer a ajuda dos fabricantes.
Auditorias de segurança são necessárias e realizadas rotineiramente. Auditorias de segurança da informação normalmente não são realizadas.
Equipamentos normalmente trocados ou substituidos em cada 3 a 5 anos. Equipamentos usados por longos períodos de tempo, sem substituição.
Desenvolvimento do Trabalho
A norma ANSI/ISA 99
• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais
• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques
Relatórios Técnicos da ISA 99• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and
Control Systems”– Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos
para mitigação, e ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.
• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment”
– Framework para o desenvolvimento de um programa de segurança para sistemas de controle
– Fornece a organização recomendada e a estrutura para o plano de segurança.
– O Framework está integrado no que é chamado de CSMS (Cyber Security Management System)
– Os elementos e requerimentos estão organizados em 3 categorias principais:
• Análise de Riscos
• Endereçando os riscos com o CSMS
• Monitorando e melhorando o CSMS
Passos para implementação da ISA99.00.02
1. Análise de RiscosRacional do negócio, identificação de riscos, classificação e análise
2. Endereçando riscos com o CSMSPolítica de Segurança, Organização e Treinamento
Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de negócios, políticas e procedimentos
Selecionar contramedidas de segurançaSegurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e autorização
ImplementaçãoGerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da informação e documentos, planejamento de incidentes
3. Monitorando e melhorando o CSMSCompliance
Revisar, melhorar e manter o CSMS
O Modelo de Zonas e Conduítes
• A estratégia de defesa em profundidade, conforme definido na normaANSI/ISA-99, detalha que um sistema deverá ser dividido em sub-zonas de segurança, de acordo com suas caracterísiticas funcionais e de segurança
• ELEMENTO 4.3.2.3 – Segmentação de rede– Objetivo:
• Agrupar e separar sistemas de controle de infraestruturas críticas chave emzonas com níveis de segurança comuns de maneira a gerenciar os riscosde segurança e atingir um nível de segurança desejado para cada zona.
– Requerimento 4.3.2.3.1:• Uma estratégia de contramedida baseada na segmentação de rede deve
ser desenvolvida para os elementos de uma rede crítica de acordo com o nível de riscos desta rede.
Definição de zona de segurança
• “Zona de segurança: agrupamento de ativos físicos e lógicos que dividem os mesmos requerimentos de segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116]– Uma zona deve ter uma borda claramente definida (seja lógica ou
física), que será a fronteira entre elementos incluídos e excluídos.
Zona IHMZona Controladora
Conduítes• Um conduíte é um caminho para o fluxo de dados entre
duas zonas. – Pode fornecer as funções de segurança que permitem
diferentes zonas a se comunicar com segurança. – Todas as comunicações entre zonas devem passar por um
conduíte.
Zona IHMZona Controladora
Conduíte
Níveis de Segurança• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores
como sua criticidade e consequências.• Equipamentos em uma zona terão uma capacidade para o nível de
segurança (SLC)• Se eles não forem iguais, então será necessário adicionar tecnologias de
segurança e políticas para torná-las iguais.
Zona IHMSLC = 2SLT = 2
Zona PLCsSLC = 1SLT = 2
Conduíte aumentao SL em 1
Exemplo de sistema dividido em zonas
Firewalls distribuído
Controladoras DCS
Cluster de PLCsSCADA RTU
Infected HMI
Firewall do sistema de controle
Rede Corporativa
Firewall de Internet
InternetPC Infectado
Ataques Internos
Firewalls distribuídos
Camada de defesa 5 (Corporativa)
Camadas de defesa3/4 (Sistema de Controle)
Camadas de defeas1/2 (Equipamentos)
DMZ
Implementação em refinaria norte-americana
Topologia da rede de automação da refinaria
Implementação em refinaria norte-americana
Rede de automação da refinaria dividida em zonas de segurança
Implementação em refinaria norte-americana
Conduítes são adicionados entre as zonas de segurança
Protegendo as Zonas de Segurança
• A solução foi separaralgumas zonas queestavam em desequilíbrioentre o SLC e o SLT
• E então colocar Firewalls entre estas zonas paraatingir o nível de segurança desejado.
ExemploExemplo: : ProtegendoProtegendo a a ZonaZona S1S1
• A Análise de Riscos indicou que existia potencial para falhascomuns de rede entre a zona do supervisório (J1) e as zonas de sistemas integrados de segurança (S1)
• Era necessário aumentar a integridade das operações, limitando o tipo e as taxas de tráfego no conduíte (S)
• A solução foi:– Definir um conduíte entre as zonas J1 e S1
– Utilizar um Firewall Industrial para MODBUS entre as duas zonas paraaumentar os controles de tráfego entre as zonas.
A Arquitetura da zona S1 Protegida
ConfiguraConfiguraççõesões especespecííficasficas -- RedundânciaRedundância
• Dois Firewalls foram conectados entre os servidores terminais do sistemade segurança e os switches Ethernet de nível 2, fornecendo conexõesredundantes entre o sistema de segurança e o sistema de controle.
• Firewalls foram selecionados para:– Serem capazes de inspecionar conteúdo MODBUS
– Oferecer alto MTBF e and resistência industrial
– Suportar alimentação redundante
– Oferecido modo bridge ao invés de roteamento tradicionais
• Isso aumentou a confiabilidade e diminuiu o custo de configuração, reduzindo consideravelmente o TCO
DDúúvidas?vidas?