O Uso de padrões abertos para proteO Uso de padrões abertos para proteçção ão de sistemas SCADA e de automade sistemas SCADA e de automaççãoão

Marcelo Branquinho & Eric ByresOutubro de 2010

Autor e Apresentador

• Marcelo Branquinho• Diretor Comercial, TI Safe Segurança da Informação• Marcelo.branquinho@tisafe.com

• Engenheiro eletricista, com especialização em sistemas de computação com MBA em gestão de negócios, é um dos fundadores do capítulo do Rio de Janeiro da ISACA.

• Membro da ISA Seção RIODJ, atualmente é diretor da TI Safe Segurança da Informação onde atua como chefe do departamento de segurança para sistemas de automação industrial.

• Com larga experiência adquirida ao longo de 12 anos de atuação na área, coordenou o desenvolvimento da Formação de Analistas de Segurança de Automação, primeira formação brasileira no segmento e ministrada em infra-estruturas críticas e organismos governamentais brasileiros.

Co-Autor

• Eric J. Byres• CTO, Byres Security• Eric@byressecurity.com

• Eric Byres é reconhecido internacionalmente como um dos principais especialistas em sistemas SCADA e Segurança Industrial. Como fundador do BCIT Critical Infrastructure Security Centre, ele o transformou em uma das principais instalações académicas da américa do norte no campo da segurança SCADA, culminando no prêmio SANS Leadership Award em 2006.

• Na década passada, Eric prestou serviços de investigação e consultoria para agências governamentais de segurança e de grandes empresas de energia para proteção de infra-estruturas críticas. Ele é também o presidente do grupo de trabalho da ISA SP-99 e é o representante canadense para oos padrões IEC TC65/WG10 para a proteção de instalações industriais contra ataques cibernéticos. Eric recebeu inúmeros prêmios do IEEE, ISA e SANS por suas pesquisas sobre as soluções de segurança.

Objetivo do TrabalhoObjetivo do Trabalho

• Apresentar a implementação de segurança em redes de automação industrial utilizando o padrão ANSI/ISA-99 baseado no conceito de estratégia de defesa em profundidade.

• Demonstrar como utilizar o modelo de zonas e conduítes para assegurar sistemas de controle.

• Apresentar o caso de implantação da técnica em uma refinaria norte-americana.

Agenda

• Introdução Teórica– A Necessidade de segurança em redes industriais– Os requerimentos únicos para segurança SCADA

• Desenvolvimento do trabalho– A Norma de Segurança ANSI/ISA-99– Estratégia de defesa em profundidade - o Modelo de Zonas

e Conduítes– Implementação em refinaria norte-americana

• Dúvidas

Introdução Teórica

Antigamente os sistemas SCADA eram assim....

NNÍÍVEL DEVEL DECAMPOCAMPO

NNÍÍVEL DEVEL DECONTROLECONTROLE

NNÍÍVEL DEVEL DEPLANTAPLANTA

Rede de ControleRede de Controle

SupervisãoSupervisãoBanco deBanco de

DadosDados

Rede de Planta ou GerenciamentoRede de Planta ou Gerenciamento

Rede deRede deCampoCampo

• Ilhas de Automação

Hoje eles são assim...

Transacional

Tempo Real

ContínuoSeqüencial

Discreto

Medição

Gerência Corporativa

Gerência de Produção

Tempo Real

Transacional

Controle

Gerência Industrial• Sistemas Integrados

Evolução – Sistemas Supervisórios

• No início os sistemas supervisórios eram desenvolvidos em plataformas operacionais caríssimas, baseadas em sistemas Unix like e máquinas poderosas como os Digital Vax e Alpha.

• Desenvolver aplicativos para estas plataformas era algo extremamente caro

• Com isto, supervisórios passaram a ser desenvolvidos para plataformas Windows, cujo processo de desenvolvimento era muito mais rápido e os custos globais do projeto eram bastante reduzidos

Vulnerabilidades no Sistema Operacional Windows

http://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx

Vulnerabilidades e Exploits para SW SCADA

http://www.frsirt.com/english/advisories/2008/0306

Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervisório e o PLC através da porta COM e obter as senhas (Principal e Master) do PLC

Vulnerabilidades no Protocolo OPC

• Vulnerabilidades de alto risco do sistema operacional– Serviços de sistema desnecessários

– Senhas fracas e vulneráveis

– Atualizações e patches inadequados no servidor

– Uso de mecanismos fracos para autenticação

– Vulnerabilidades locais

• Vulnerabilidades inerentes ao OPC– Utilização de transportes historicamente inseguros

– Falta de autenticação no navegador do servidor OPC

– Servidor OPC e seu navegador com privilégios excessivos

– Suporte a protocolos desnecessários para o navegador do servidor OPC

– Falta de integridade em comunicações OPC

– Falta de confidencialidade no tráfego OPC

– Dependência de serviços de Internet COM no IIS

– Configurações de segurança do OPC não possuem controle de acesso granular

– Excessivas portas TCP abertas no servidor OPC

Riscos dentro da rede de controle

Laptops Infectados

Firewalls mauconfigurados

Control LAN

Rede da planta

Rede corporativa

Internet

Conexões nãoautorizadas

Rede de PLCs

Suporte remotoinfectado

Links RS-232

Modems

Drives USB

Como os atacantes entram…a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de

automaçãob) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativac) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs

Internet Directly17%

VPN Connection7%

Dial-up modem7%

Trusted 3rd Party Connection

10%

Telco Network7%

Wireless System3%

Via Corprate WAN & Business Network

49%

Literatura Hacker

• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.

Estatísticas de Incidentes

• Malware responde por 2/3 dos incidentes externos em sistemas de controle.

• Aparentemente vai de encontro aos incidentes de segurança de TI

• Entretanto, há uma quantidade surpreendente de eventos de sabotagem

DoS6%

Sabotage13%

Malware68%

System Penetration

13%

Ameaça recente: O Worm Stuxnet (2010)

• Também conhecido comoW32.Temphid e Rootkit.TmpHider

• Worm desenvolvido para tirar vantagemde vulnerabilidade existente em todasas versões do sistema Windows.

• O Stuxnet foi desenvolvido para atingirqualquer sistema usando a plataformaSiemens WinCC.

• O Objetivo do Malwsre parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)

• Existem patches liberados para cadaplataforma Windows e também algunsajustes provisórios (workarounds)

Performance – Comparativo TI X AutomaçãoRedes e Computadores de TI Redes de Automação

Perda de dados e interruções podem ocasionalmente ser toleradasatravés da restauração de backups e reinicializações de máquinas.

Perda de dados e interrupções não podem ser toleradas e podem resultarem sérias consequências, incluindo danos a equipamentos e possíveisperdas de vidas.

Altas taxas de dados são necessárias, delays podem ser tolerados.

Tempos de respostas determinística em loops de controle; respostas emtempo real são necessárias; grandes delays ou downtimes não podem ser tolerados.

Recuperação sempre após o reboot; Paradas de sistema e reboots normalmente não trazem consequências perigosas ou com riscos de vida.

Sistemas devem sempre ser tolerantes a falhas ou ter "hot backups"; paradas de computadores e controladoras podem resultar em situaçõesperigosas e com ameaça a vidas.

Software antivirus largamente usado.

Software antivirus é difícil de ser aplicado na maioria das vezes porquedelays não podem ser tolerados e determinismo nos tempos de respostatem que ser preservado.

Treinamento e conscientização em segurança de sistemas érazoavelmente alto. Treinamentos em segurança de sistemas raramente ocorrem.

Criptografia usada.Muitos sistemas SCADA transmitem dados e mensagens de controle emtexto claro.

Testes de penetração amplamente utilizados.

Testes de penetração não são rotineiramente executados na rede de controle e, quando realizados, devem ser feitos com cuidado para nãoafetar os sistemas de controle.

Implementação de patches é feita rotineiramente.Implementação de patches deve ser cuidadosamente considerada, feitacom pouca frequência, e normalmente requer a ajuda dos fabricantes.

Auditorias de segurança são necessárias e realizadas rotineiramente. Auditorias de segurança da informação normalmente não são realizadas.

Equipamentos normalmente trocados ou substituidos em cada 3 a 5 anos. Equipamentos usados por longos períodos de tempo, sem substituição.

Desenvolvimento do Trabalho

A norma ANSI/ISA 99

• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais

• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques

Relatórios Técnicos da ISA 99• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and

Control Systems”– Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos

para mitigação, e ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.

• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment”

– Framework para o desenvolvimento de um programa de segurança para sistemas de controle

– Fornece a organização recomendada e a estrutura para o plano de segurança.

– O Framework está integrado no que é chamado de CSMS (Cyber Security Management System)

– Os elementos e requerimentos estão organizados em 3 categorias principais:

• Análise de Riscos

• Endereçando os riscos com o CSMS

• Monitorando e melhorando o CSMS

Passos para implementação da ISA99.00.02

1. Análise de RiscosRacional do negócio, identificação de riscos, classificação e análise

2. Endereçando riscos com o CSMSPolítica de Segurança, Organização e Treinamento

Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de negócios, políticas e procedimentos

Selecionar contramedidas de segurançaSegurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e autorização

ImplementaçãoGerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da informação e documentos, planejamento de incidentes

3. Monitorando e melhorando o CSMSCompliance

Revisar, melhorar e manter o CSMS

O Modelo de Zonas e Conduítes

• A estratégia de defesa em profundidade, conforme definido na normaANSI/ISA-99, detalha que um sistema deverá ser dividido em sub-zonas de segurança, de acordo com suas caracterísiticas funcionais e de segurança

• ELEMENTO 4.3.2.3 – Segmentação de rede– Objetivo:

• Agrupar e separar sistemas de controle de infraestruturas críticas chave emzonas com níveis de segurança comuns de maneira a gerenciar os riscosde segurança e atingir um nível de segurança desejado para cada zona.

– Requerimento 4.3.2.3.1:• Uma estratégia de contramedida baseada na segmentação de rede deve

ser desenvolvida para os elementos de uma rede crítica de acordo com o nível de riscos desta rede.

Definição de zona de segurança

• “Zona de segurança: agrupamento de ativos físicos e lógicos que dividem os mesmos requerimentos de segurança”. [ANSI/ISA–99.00.01–2007- 3.2.116]– Uma zona deve ter uma borda claramente definida (seja lógica ou

física), que será a fronteira entre elementos incluídos e excluídos.

Zona IHMZona Controladora

Conduítes• Um conduíte é um caminho para o fluxo de dados entre

duas zonas. – Pode fornecer as funções de segurança que permitem

diferentes zonas a se comunicar com segurança. – Todas as comunicações entre zonas devem passar por um

conduíte.

Zona IHMZona Controladora

Conduíte

Níveis de Segurança• Uma zona terá de um nível de segurança alvo (SLT) baseado em fatores

como sua criticidade e consequências.• Equipamentos em uma zona terão uma capacidade para o nível de

segurança (SLC)• Se eles não forem iguais, então será necessário adicionar tecnologias de

segurança e políticas para torná-las iguais.

Zona IHMSLC = 2SLT = 2

Zona PLCsSLC = 1SLT = 2

Conduíte aumentao SL em 1

Exemplo de sistema dividido em zonas

Firewalls distribuído

Controladoras DCS

Cluster de PLCsSCADA RTU

Infected HMI

Firewall do sistema de controle

Rede Corporativa

Firewall de Internet

InternetPC Infectado

Ataques Internos

Firewalls distribuídos

Camada de defesa 5 (Corporativa)

Camadas de defesa3/4 (Sistema de Controle)

Camadas de defeas1/2 (Equipamentos)

DMZ

Implementação em refinaria norte-americana

Topologia da rede de automação da refinaria

Implementação em refinaria norte-americana

Rede de automação da refinaria dividida em zonas de segurança

Implementação em refinaria norte-americana

Conduítes são adicionados entre as zonas de segurança

Protegendo as Zonas de Segurança

• A solução foi separaralgumas zonas queestavam em desequilíbrioentre o SLC e o SLT

• E então colocar Firewalls entre estas zonas paraatingir o nível de segurança desejado.

ExemploExemplo: : ProtegendoProtegendo a a ZonaZona S1S1

• A Análise de Riscos indicou que existia potencial para falhascomuns de rede entre a zona do supervisório (J1) e as zonas de sistemas integrados de segurança (S1)

• Era necessário aumentar a integridade das operações, limitando o tipo e as taxas de tráfego no conduíte (S)

• A solução foi:– Definir um conduíte entre as zonas J1 e S1

– Utilizar um Firewall Industrial para MODBUS entre as duas zonas paraaumentar os controles de tráfego entre as zonas.

A Arquitetura da zona S1 Protegida

ConfiguraConfiguraççõesões especespecííficasficas -- RedundânciaRedundância

• Dois Firewalls foram conectados entre os servidores terminais do sistemade segurança e os switches Ethernet de nível 2, fornecendo conexõesredundantes entre o sistema de segurança e o sistema de controle.

• Firewalls foram selecionados para:– Serem capazes de inspecionar conteúdo MODBUS

– Oferecer alto MTBF e and resistência industrial

– Suportar alimentação redundante

– Oferecido modo bridge ao invés de roteamento tradicionais

• Isso aumentou a confiabilidade e diminuiu o custo de configuração, reduzindo consideravelmente o TCO

DDúúvidas?vidas?