Segurança SCADA em ambientes industriais

© 2013 IBM Corporation
IBM Security Systems
SCADA / Sistemas de controle Industriais
Quem está realmente no controle de nossos Sistemas?
Mitigando riscos em ambientes industriais
Felipe Peñaranda Silva
CISSP, ISO-27001, ITIL Service Manager
IBM Security Tiger Team - Latin America
felpenar@br.ibm.com

Incidentes SCADA são reais!
© 2013 2 IBM Corporation

Incidentes SCADA são reais!

“In October 2012, U.S. defense secretary Leon Panetta warned that the
United States was vulnerable to a “cyber Pearl Harbor” that could derail
trains, poison water supplies, and cripple power grids. The next month,
Chevron confirmed the speculation by becoming the first U.S. corporation
to admit that Stuxnet had spread across its machines.”

Segurança em sistemas SCADA é real e preocupante
O número de vulnerabilidades detectadas
tem aumentado em 20 vezes (desde 2010 )
50% das vulnerabilidades permitem
executar código
Existem exploits públicos para 35% das
vulnerabilidades reportadas
41% de vulnerabilidades são Críticas. Mais
de 40% de sistemas disponíveis a partir da
Internet podem ser invadidos e sabotados
por usuários sem conhecimentos
avançados
54% e 39% de sistemas disponíveis a partir
da Internet na Europa e na América do
Norte, respectivamente, estão vulneráveis

Segurança em sistemas SCADA é real e preocupante
ICS-CERT Incidents by Sector – Fiscal
Year 2012

A sofisticação do ataque aumenta, enquanto que o conhecimento
do intruso diminui
“Stealth”/Advanced
Scanning Techniques
Network Management Diagnostics
Sweepers
Back Doors
Disabling Audits
Denial of Service
Malicious Code
BOTS
Morphing
Era of Modern
Information
Technology
Zombies
WWW Attacks
Current SCADA
Zone of Defense
Automated Probes/Scans
Packet Spoofing
Sniffers
GUI
Era of Legacy
Process Control
Hijacking Sessions
Exploiting Known Vulnerabilities
Technology
Password Cracking
Self-Replicating Code
Password Guessing
Distributed Attack Tools
High
Attack Sophistication
Low
Attackers
1980 1985 1990 1995 2000 2005 2010
Intruder Knowledge
Lipson, H. F., Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues, Special Report CMS/SEI-2002-SR-009, November 2002, page 10.

“I have heard way too many times
that a SCADA system worked
fine for years until IT ‘secured’ it
to death.”

SCADA versus TI
Sistemas SCADA
Foco em Disponibilidade
O usuário final é um computador
Um sistema decentralizado para
garantir confiabilidade
Acesso remoto disponível para os
dispositivos em campo
O código fonte, normalmente, é
vendido junto com o sistema
Longos ciclos de vida
Not patchable
TI
Foco em Confidencialidade
O usuário final é um humano
Um sistema centralizado para
obter economia de escala
Acesso remoto limitado
Código fonte é limitado e
protegido
Ciclos de vida curtos
Patchable
9

SCADA vs. TI – Objetivos ?

Mitos a respeito de SCADA
”Sistemas SCADA residem em uma rede fisicamente separada,
independente e isolada dos demais perímetros corporativos. ” 1

“Conexões entre sistemas SCADA e redes corporativas são
protegidas por forte controles de acesso” 2

“Conexões a sistemas SCADA requerem conhecimento especializado,
dificultando que intrusos acessem e controlem a rede.” 3

Típico ataque a sistemas SCADA

Papel da TI para Segurança em SCADA
Não são os caras de SCADA que não sabem o que estão fazendo. Parte destes sistemas
foram criados há mais de 20 anos, e os engenheiros projetaram essas coisas presumindo
que deveriam operar de forma isolada. Porém, não estão mais isolados“
Alan Paller, diretor de pesquisa, SANS Institute
Segurança para SCADA está geralmente anos atrás da segurança implementada em sistemas
tradicionais de tecnologia da informação por causa de seu histórico de isolamento .
Muito dos problemas confrontados no mundo SCADA já foram endereçados e mitigados no
mundo corporativo de TI. Essas soluções, onde apropriadas, necessitam ser aplicadas às
redes e sistemas SCADA para que as redes industriais não reinventem a roda.

Um Mundo TCP/IP Ativado
Os Process Control Systems (PCS) estão migrando para
redes TCP/IP
• Controles Analógicos e protocolos de status incorporados nos protocolos
digitais
• Limitações no uso de Criptografia
• Gama pobre de protocolos TCP/IP
Problemas com as correções de patches
incorporados aos sistemas operacionais
• Controladoras geralmente rodando em sistemas
operacionais desatualizados;
• Patches de segurança e atualizações do Sistema
Operacional não são aplicados;
• Dificuldade na correção das controladoras;
• Fabricantes não se responsabilizam pela aplicação de
patches e updates caso sistemas industriais venham a
apresentar falhas operacionais ou indisponibilidade.
16

Proliferação de Dispositivos de Rede
Mudança de controles analógicos para
digitais e incorporação de padrões de
rede:
• Comunicações TCP/IP
• Comunicações Wireless
Substituição de equipamentos
incluem novos recursos
“gratuitos”:
• Conectividade ativada
por padrão;
• Podem ser ligados
pelos engenheiros
de campo.
A partir de
analógico
para digital (+
em rede )
integração
de Wireless

Resultados típicos de
Assessments
realizados em
ambientes SCADA

Descobertas típicas durante Assessments SCADA
• Redes PCS (Process Control Systems) carecem de
segmentação e antivirus.
• Sistemas operacionais com instalação padrão permitem
exploração de ataque em brechas já conhecidas e
difundidas no mundo de TI
• A maioria das comunicações IP dentro das redes PCS não
são criptografadas.
• A maioria dos sistemas PCS possuem limitações para gerar
rastreabilidade da trilha de auditoria. Logs não são ativados.
• Correções não são, ou não podem ser instaladas nos
sistemas SCADA
• Nenhum tipo de segurança baseada em host é configurada
nos dispositivos SCADA
• Muitas organizações ainda implementam fortes medidas de
segurança física esquecendo da importância da segurança
lógica.

Avaliação de Instalação Nuclear
Hackable Backbone
Andy Greenberg , 22.08.2007 , 18:00 ET
A primeira vez que Scott Lunsford tentou hackear uma planta de energia nuclear,
disseram que sería impossível. Não existia nenhuma forma de acesso dos
componentes SCADA a partir da Internet – enfatizaram os responsáveis pela
operação da unidade nuclear. Lunsford, um pesquisador da IBM Security
Systems,provou o contrário.
“Foi um dos testes de invasão mais fáceis que já fiz em toda minha vida”, disse o
pesquisador. No primeiro dia Lunsford já havia penetrado na rede SCADA. “Depois
de uma semana sería possível controlar a planta inteira e isso realmente é um
problema” – disse o pesquisador.
Em retrospectiva , Lunsford diz--e a Comissão Nuclear dos EUA concorda - que
garantias de regulamentações governamentais o impediu do acionamento de um
ataque nuclear. Mas ele afirma que se desejasse acessar os controles através da
rede, teria conseguido sabotar o fornecimento de energia para grande parte do país.
“Teria sido tão simples como fechar uma válvula, disse ele .
http://www.forbes.com/2007/08/22/scada-hackers-infrastructure-tech-security-cx_ag_0822hack_print.html

Como proteger a
infraestrutura

Ataques
Wireless
Ataques
Wireless RF
Vetores de Ataque SCADA
Ataques diretos
da Internet
Serviços
vulneráveis
Control/Office Infrastructure Bridge Control Plant
Infrastructure
Ataques
indiretos da
Internet
(ex: VPN)
Infecções
Indiretas de
malware
Hosts
infectados
por malware
Ataques de
Mídia
removível
Roubo de
credenciais
Ataques
Incorporados
Contaminação
do Dispositivo

Estratégias de Proteção SCADA
Alertas e
Detecção de
Anomalias
Gerenciamento de
Vulnerabilidades
Prevenção de Intrusos
e Virtual Patch
Control/Office Infrastructure Control Bridge Plant
Infrastructure
Logs e Trilha
de Auditoria
Proteção
baseada em host
Segregação de
Redes
Controle de
acesso
Resposta a
Emergência

IBM – Security Framework
IIBBMM SSeeccuurriittyy SSyysstteemmss PPoorrttffoolliioo
Security Intelligence and Analytics
QRadar
SIEM
QRadar
Risk Manager
Advanced Fraud Protection
QRadar
Log Manager
Trusteer
Rapport
Trusteer Pinpoint
Malware Detection
Trusteer Pinpoint
ATO Detection
QRadar
Vulnerability Manager
Trusteer Mobile
Risk Engine
People Data Applications Network Infrastructure Endpoint
Identity
Management
Guardium Data Security
and Compliance
AppScan
Source
Network
Intrusion Prevention
Trusteer Apex
Access
Management
Guardium DB
Vulnerability
Management
AppScan
Dynamic
Next Generation
Network Protection
Mobile Security
MaaS360 by Fiberlink
Privileged Identity
Manager
Guardium / Optim
Data Masking
DataPower Web
Security Gateway
SiteProtector
Threat Management
Endpoint Security and
Management
Federated
Access and SSO
Key Lifecycle
Manager
Security Policy
Manager
Network
Anomaly Detection
Mainframe
Security
IBM X-Force Research

Segregação de redes SCADA
IBM Security Network IPS
Protege ambientes bloqueando ameaças mutantes e ataques 0 Day
IBM ISS Proventia GX
Intrusion Prevention System

Vulnerabilidade
• Uma fragilidade ou bug em um
sistema que pode ser usada para
fazer algo malicioso
• Normalmente, pode ser explorado
de várias maneiras
Exploit
• Uma ferramenta para explorar uma
vulnerabilidade
• Diferentes exploits podem explorar uma única
vulnerabilidade
• Nem todos os exploits estão, publicamente,
divulgados e a mutação entre eles é comum
vs.

vs.
IBM protege a
vulnerabilidade
• Previne qualquer coisa que possa
quebrar a janela
• Ahead of the Threat
Outros players bloqueiam
exploits específicos
? ? ?
• Procuram por qualquer coisa que
possa quebrar a janela
• A manutenção pode ser desafiante

Protege ambientes bloqueando ameaças mutantes e ataques 0 Day
Como o IBM IPS pode ajudar
Utiliza abordagem baseada em
protocolo para capturar muitos
ataques dia-zero e ameaças
mutantes versus IPS de somente
assinatura
Oferece proteção contra
vulnerabilidades conhecidas
quando uma correção está
indisponível ou implementada
usando uma “correção virtual”
Patch virtual protege os sistemas
SCADA uma vez que os sistemas e
controladoras não podem receber
correções.
Hackers incluem
novas
vulnerabilidades nos
kits de exploração
Fontes: Tolly Group, outubro de 2012, IBM X-Force Research and Development Team

Proteção de ataques específicos de redes SCADA
Assinaturas do PAM (Protocol Analysis Module)
incluídas nativamente na proteção de redes industrais
dos sensores de prevenção de intrusos da IBM
• Assinaturas nativas dos sistemas de Prevenção de Intrusos da IBM protegem os segmentos de redes
industriais inspecionando tráfego e bloqueando o conteúdo malicioso direcionado aos ambientes de
automação.

Importação de assinaturas oficiais SNORT/SourceFire
ou assinaturas mantidas pela comunidade.
Dezenas de assinaturas criadas pela comunidade de
pesquisa e desenvolvimento de segurança em redes
industrais para proteção de unidades industriais.
• Mecanismo de inspeção SNORT acrescenta segundo nível de proteção contra ataques direcionados a
redes SCADA. As regras podem ser modificadas ou novas regras podem ser criadas utilizando-se a
sintaxe SNORT para proteção de sistemas ou cenários específicos.

alert tcp !$ENIP_CLIENT 44818 -
$ENIP_SERVER any (msg:”SCADA_IDS:
ENIP/CIP – Reboot or Restart from
Unauthorized Client”; flags:PA;
cip_service:5;
reference:scada,1111501.htm,
classtype:attempted-dos; sid:1111501;
rev:1; priority:1;)
• Exemplo de criação de assinatura personalizada SNORT para monitoração da condição
de Reboot ou Restart de uma PLC a partir de um cliente não autorizado.

Prevenção de Intrusos e Patch Virtual sistemas SCADA
A inteligência da IBM no bloqueio de ataques a sistemas industriais
Stuxnet: “Malware” orientado a sistemas de automação industrial que monitora
centrífugas nucleares iranianas, arquitetado de forma sofisticada,
levantando suspeitas diversas sobre a natureza da ação
Sofisticado:
Inclui exploits para 4 vulnerabilidades (0-day) sem patches
Inclui componentes assinados certificados digitais roubados
Disseminados através de diversos vetores, incluindo pen-drives
Infectou máquinas de desenvolvimento c/rootkit que esconde tanto o “malware” como as
mudanças que ele faz nos programas sendo desenvolvidos
Dirigido:
Modifica códigos nos controladores lógicos programáveis - PLCs
Modificações só acontecem em determinadas circunstâncias (drivers de alguns fornecedores, operando
em condições específicas de frequência, etc
Danos colaterais
– Infecção pode se espalhar de forma generalizada

•CVE-2008-4250 (MS-08-067) – Windows Server Service NetPathCanonicalize()
Vulnerability
•CVE-2010-2568 (MS-10-046) - Windows Shell LNK Vulnerability
•CVE-2010-2729 (MS-10-061) – Windows Print Spooler Service Vulnerability
•CVE-2010-2743 (MS-10-073) – Windows Win32K Keyboard Layout Vulnerability
•CVE-2010-2772 - Siemens SIMATIC WinCC Default Password Vulnerability
•CVE-xxxx-xxxx (MS-xx-xxx) – Windows Task Scheduler Vulnerability

Virtual Patch – Proteção Preventiva vs. Reativa
Proteção baseada em pesquisa sobre
vulnerabilidades
Proteger contra exploits é reativo
• Tarde demais na maioria dos casos
• Vulnerável a variações dos exploits
Proteger contra vulnerabilidades e comportamentos
maliciosos é preventivo
• Endereça a causa-raiz
• Menor número de assinaturas para gerenciar
(menor TCO)
• Requer pesquisa e desenvolvimento excelentes

Prevenção de Intrusos e controle de acesso SCADA
Next Generation IPS
Redes podem ser construídas
com uma zona de segurança
SCADA isoladas e
segmentadas das demais
redes com uso de um IPS
Next Generation.
Acesso para a zona SCADA
pode ser autenticado pelo
usuário, e não o endereço IP.
A capacidade de políticas de
segurança com a identidade
do usuário fornecem não
apenas de acesso
apropriados para a zona , mas
também um relatório e trilha
de auditoria.
Os usuários não autorizados
são negados.
Inspeção SSL garante a
visibilidade de tráfego
criprografado.
Políticas flexíveis de
controle de acesso à rede
Controle de acesso granular a partir
do entendimento de aplicações web,
cliente x server e dos diversos
comportamentos de uma aplicação.
Pare o mau uso da rede
corporativa bloqueando
sites que introduzem
risco e custos indevidos
Limite o uso de
redes sociais,
compartilhamento
de arquivos e
webmail para
usuários comuns

Prevenção de Intrusos e detecção de anomalias SCADA
Next Generation IPS
Uma estrutura de proteção
completa pode ser
implementada para
inspecionar todo o tráfego
que atravessar a zona
SCADA em busca de
códigos hostis que explorem
os sistemas industriais.
O Next Generation IPS
agrupa os pacotes em fluxos
de rede compreendendo a
sequencia de dados
transmitidos. Captura pode
ser enviada ao sistema de
inteligência de segurança
QRadar em busca de
anomalias.
O fluxo de rede capturado
contém dados relacionados
a camada de aplicação
(layer 7), aumentando a
leitura de ameaças em curso
no ambiente.
Network
Traffic
and Flows
Employee B
Employee A
Employee C
Good Application
Good Application
Fluxos de rede
podem ser enviados
ao QRadar para
análise avançada,
correlação e detecção
de anomalias
Contexto de
identidade relaciona
usuários e grupos às
suas atividades de rede,
indo além de políticas
baseadas apenas em
endereço IP
Bad Application
Contexto de
aplicação classifica
totalmente o tráfego
de rede, independente
de porta, protocolo ou
técnicas de evasão
Aumente a Segurança Reduza Custos Habilite a Inovação

Gerenciamento de Vulnerabilidades SCADA
IBM Security QRadar Vulnerability Manager
Security Intelligence
• Plataforma auxilia no processo de entendimento de vulnerabilidades existentes em equipamentos de
rede, aplicações e sistemas operacionais;
• Determina os pontos vulneráveis topologias de rede SCADA, como existência de PLCs com sistemas
operacionais desatualizados;
• Organiza as vulnerabilidades encontradas por grupos, ativos e severidades no painel central;
• Exibe feeds em tempo real de notícias e informações sobre existência de vulnerabilidades e
advisories de diversos fabricantes.

Log de Auditoria e Inteligência SCADA
IBM Security QRadar
Security Intelligence
• Monitoramento de ameaças e resposta a
incidentes de segurança de rede e operações
de data centers, incluindo os sistemas de
SCADA;
• Segurança interna com visibilidade em tempo
real dos eventos e ameaças direcionadas as
redes e sistemas SCADA;
• Agregação e correlação de logs para análise
de diferentes tecnologias e fornecedores;
• Inteligência na visibilidade do Fluxo de Rede
em busca de anomalias a partir da correlação
dos fluxos com eventos de auditoria de
sistemas operacionais, equipamentos de
conectividade e aplicações.
• Auditoria de conformidade, relatórios e
apontamentos de suporte NERC, CIP, FERC,
etc.

Dicas do IBM X-Force
As estratégias a seguir são recomendadas para ajudar a proteger
sambientes SCADA contra ataques:
• Conheça seu ambiente SCADA
Quais são as senhas e elas são fortes?
• Capture e armazene dados para análise e futuro forense
• Implemente uma VPN para facilitar o gerenciamento de acesso
e de segurança
• Se utilizar WLAN, utilize uma infra - estrutura wireless criptografadas,
de preferência WPA ou WPA2
• Ativar os firewalls e as outras ACLs para permitir que apenas acesso
de saída para um número muito limitado de sites. Monitore e
acompanhe de perto os acessos.
• Implementar IPS de rede para bloquear possíveis ataques e utilizar o
conceito de Virtual Patching.
• Executar análises de vulnerabilidades nas redes corporativas
e perímetros SCADA

Links úteis
Folder Soluções de Segurança IBM (em português)
http://www.ibm.com/common/ssi/cgi-bin/
ssialias?subtype=BRinfotype=PMappname=SWGE_WG_WG_BRPThtmlfid=WGB03004BRPTattachment=WGB03004BRPT.PDF
Tolly report (em português)
Avaliação Comparativa de Eficácia e Desempenho do Sistema de Prevenção contra Intrusão para Segurança de Redes
GX7800 da IBM
ftp://public.dhe.ibm.com/software/security/br/pdf/Tolly_report_IBM_IPS_GX7800_PORT.pdf
Relatório semestral X-Force Riscos e Tendências de Segurança (Março 2013) (em português)
https://www.ibm.com/services/forms/signup.do?source=swg-xforce13br
Website (em inglês) : www.ibm.com/security
Website (em português) : www.ibm.com/software/products/br/pt/category/SWI00?lnk=mhso

Segurança SCADA em ambientes industriais

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Segurança SCADA em ambientes industriais

Semelhante a Segurança SCADA em ambientes industriais (20)

Mais de TI Safe

Mais de TI Safe (20)

Segurança SCADA em ambientes industriais