Embed Size (px)
Citation preview
Cyber Segurança em Subestações de EnergiaJoão Jorge
Links disponíveis em nossa web de
Virtual Initiatives
Nossos canais
Siga-nos no LinkedIn – “OMICRON Electronics”
Mantenha-se atualizado em nosso Portal do Cliente
Amplie seus conhecimentos com nossa OMICRON Magazine
Conheça nosso Canal no YouTube em português
Agenda
Ataques Cibernéticos Importantes e o que podemos aprender
Segurança em Subestações: TI versus TO
Regulações para Cyber Segurança
Como uma Subestação pode ser atacada
Segurança através de comunicação IEC 61850
Vetores de ataque em Subestações e contramedidas
Detecção de Intrusos em Subestações
Subscrição e Futuras implementações
Demonstração
Sessão de Networking & Conclusões
Ataques Cibernéticos importantes e o que podemos aprender
Ataques Cibernéticos importantes e o que podemos aprender
2010: Iran – “Stuxnet”PLCs infectados através de PCs de engenharia
2015: Ucrânia – “BlackEnergy”PCs do Centro de Controle controlados remotamente, RTUs infectadas/destruídas, ...
2016: Ucrânia – “CrashOverride”Malware com módulos 101/104 e IEC 61850
2017: Ucrânia e todo o mundo* – “Petya”Ransomware
2017: Oriente Médio – “Triton”Malware em PLCs visando sistemas de segurança de plantas
Ataque Cibernético na Ucrânia em 17/12/2016 às 11:53pm
Malware infectou a RTU em uma subestação
Gateway de protocolos executando Windows OS
O malware tinha módulos para protocolos de subestações:
IEC 60870-5-101
IEC 60870-5-104
IEC 61850
OPC Data Access
Estes módulos procuraram por:
101/104: Double bit control (controle de ponto duplo)
IEC 61850: Logical Node CSWI – Controle de Switchgears
Fonte: https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf
A segurança cibernética deveria ser uma grande preocupação para as empresas de Energia?
“Por que não manter tudo analógico”
Quanto poderia um ataque cibernético afetar minha empresa?
As informações e a operação precisam ser comunicadas?
DMSOMSAsset Mgmt MDM WMS CISSCADA
SUBESTAÇÕESADMO
Gerenciamento
de Ativos
OMICRON
Gerenciamento de Riscos
Toda atividade possui certos riscos inerentes
Quanto risco minha empresa quer/pode assumir?
Segurança em Subestações:TI versus TO
Segurança em Subestações: TI versus TO
TO = Tecnologia Operacional
TO = Sistemas de computador usados para fazer algo fisicamenteControles de iluminação para edifícios e cidades inteiras
Sistemas de controle industrial em fábricas (PLCs, SCADA)
Centros de Controle de Empresas de Energia ...
A Cyber Segurança para Empresas de Energia consiste em segurança de TI & de TO
A Segurança de Subestações é um nicho, mas com requisitos ainda mais rigorososDesatendido e remoto
Ainda mais difícil de fazer atualizações de segurança: desenergizar, retestar tudo
Existem muitas subestações com muitos dispositivos diferentes
Segurança em Subestações: TI versus TO
1. Disponibilidade
2. Integridade
3. Confidencialidade
1. Confidencialidade
2. Integridade
3. Disponibilidade
Segurança de TI Segurança de TO
Prioridades
Reversas!
Em subestações
ainda mais!
Criptografia não é uma bala de prata!
Confidencialidade não é importante dentro da subestação
O conteúdo de um Trip via GOOSE é bem conhecido
Integridade e Autenticidade é o que precisamos alcançarNinguém deve ser capaz de injetar um Trip via GOOSE
Somente o relé correspondente deve ser autorizado a Disparar
Não há necessidade de criptografar toda a comunicação no Station BusImpede o registro de falhas do tráfego de rede
Impede a execução de testes
Dificulta o monitoramento de segurança (Detecção de Intrusões)
A IEC 62351 permite utilizar Autenticação sem criptografia
Devemos buscar por esta opção ao considerar o uso de Secure MMS ou Secure GOOSE
Regulações para Cyber Segurança
Qual é o estado da arte para a Segurança em Subestações?
Quais são nossos deveres?
Quão seguro é o suficiente?
Regulamentações
Diferentes regulamentos nacionais em vigor nos países da Europa (Diretiva NIS), Suíça, UK, América do Norte (NERC CIP), ...
A principal diferença é a liberdade de escolha de como implementar medidas de segurança
Risk-based/process-based Compliance-based
ex.: ISO 27000 ex.: NERC CIP
O Princípio da Ampla Defesa – “Defense in Depht”
Medidas propostas:
Barreiras físicas
Segmentação de rede
Controle de acesso baseado em função (RBAC)
Patches regulares de firmware
Protocolos seguros
Etc.
Monitoramento é a chave
O princípio tradicional “Defense in Depht”
O que provavelmente temos na realidade?
Monitoramento é uma peça importante na defesa em princípio de profundidade
Intrusion Detection Systems (IDS) – Sistemas de Detecção de Intrusões
Framework de Segurança NIST v1.1
Usado em muitas normas de segurança nacionais
(Complementa o NERC CIP)
Suposição global: não há 100% de proteção,ataques sempre podem acontecer
Segurança cibernética vista como um processo:
Identificar ativos e vetores de ataque (NERC CIP-002)
Proteger-se primeiro contra os vetores com maior risco (NERC CIP-003,4,5,6,7)
Detectar ataques/ameaças à medida que ocorrem (NERC CIP008)
Responder ao detectar ameaças, minimizar danos e aprender (CIP 008)
Recuperar serviços afetados (NERC CIP-009)
Múltiplas camadas,
cada uma monitorada
por violações
https://www.nist.gov/cyberframework
Perspectiva no Brasil
ANBT NBR ISO/IEC 27032, baseada na ISO 27000Baseada em Processo e Gerenciamento de Risco
Estudos especulativos apontam para possível alteração no futuro para o Procedimento de Rede 2.6, baseados na ANBT NBR ISO/IEC 27032, onde um dos requisitos é possuir dispositivos que garantam a Confidencialidade –contra acesso não autorizado, entre outros aspectos como Integridade, Autenticidade e Disponibilidade previstos na norma.
Fonte: https://www.abntcatalogo.com.br/norma.aspx?ID=334079
O que a OMICRON oferece para Segurança Cibernética?
StationGuard
Monitoramento do Station e Process Bus para detectar ameaças cibernéticas e mal funcionamento da rede
Como uma Subestação pode ser Atacada
Subestações: Como as imaginamos
RTU
Station bus
Centro de Controle
HMI da Subestação
Acesso Remoto
Firewal
Link serialimpossível de hackear
Vetores de ataque na realidadeCentro de Controle
Documentos
de Teste
Arquivos de
ConfiguraçãoPC de Engenharia
TCA
PC de Testes
TCA
Equipamento de Teste
TCA
HMI
Acesso remoto através de rede
de TI do escritório
Vetor de Ataque
Definição NERC CIP
ERC
EAP
BCA
EAP
ERC
Vetores de ataque na realidadeCentro de Controle
Documentos
de Teste
Arquivos de
ConfiguraçãoPC de Engenharia
TCA
PC de Testes
TCA
Equipamento de Teste
TCA
HMI
Acesso remoto através de rede
de TI do escritório
Vetor de Ataque
Definição NERC CIP
ERC
EAP
BCA
EAP
ERC
ESP
O que acontece se um Malware obtiver acesso ao Station Bus?
O que acontece se o Malware ou o próprio adversário estiver na rede da subestação?
Enviar commandos de Trip diretamente
Muito óbvio
Infectar a RTU ou a IHM
Executar comandos de manobras em um determinado momento (Ucrânia, Dezembro de 2016)
Manipular IEDs de proteção
Trip em um certo momento
Desabilitar a proteção
Station Bus
. . .
. . .
É possível termos ataques sob protocolos seriais?
É possível infectar um IED através de IEC101, Modbus, MMS ou GOOSE?Sim.
IEDs têm erros de programação, bugs = Vulnerabilidades
O atacante explora uma ou mais vulnerabilidades para alcançar seu objetivo
Serviços de Crash no IED: denial of service (DoS)
Executa seu o próprio código no IED
Vulnerabilidade mais frequente para IEDs: Buffer overflowDe acordo com ICS-CERTRelatório anual de coordenação de vulnerabilidades, 2016
Perfil dos atacantes
Amadores (Pranksters)
Hacktivistas
Super-Criminosos (APT)
Atacantes Cibernéticos Estatais (Nation-Estate)
https://apt.threattracking.com
Common Vulnerabilities and Exposures (CVE)
CVE-2018-54XX
CVE-2017-79XX
CVE-2013-06XX
...
Vulnerabilidades expostas mostram como os sistemas foram desenvolvidos sem considerar a
segurança cibernética como prioridade. Hoje em dia os fabricantes estão encarregados disso.
CVEs são informações públicas, os usuários finais podem conhecê-las e os atacantes também
https://www.cvedetails.com/
Ataques do tipo Buffer Overflow
Ok,
preparando 7
bytes espaço
A seguinte mensagem
será de 7 bytes
M E S S A G E x x x x x
“MESSAGExxxxxxxxxx”
. . .
Outro conteúdo de memória é sobrescrito!
Vulnerabilidade explorada – um exemplo
Vulnerabilidade de segurança conhecida em versões antigas de firmware de determinado fabricante
Tudo o que é preciso são estas linhas de código python enviando uma única mensagem:
Congela a comunicação e desabilita a proteção“Denial of Service”
Atualização de segurança para este relé está disponível desde 2015
A propósito, este não é um ataque de buffer overflow
Fonte: exploit-db.com
Segurança através de comunicaçãoIEC 61850
Segurança através de GOOSE
GOOSE sequence number: incrementado em cada retransmissão
Se o GOOSE existente for duplicado> Subscritor verifica falha: ...42...43...44...1...45...46...47> O que o IED subscritor deveria fazer? Atualmente sob discussão nos comitês da IEC 61850.
E se um atacante inserir um sequence number correto?> Sequence number duplicado: ...42...43...44...45...45...46...47> E diferente MAC na mensagem
É fácil copiar o MAC do publicador original
Não há como detectar, o IED subscritor opera no primeiro GOOSE recebido
Contramedida: “Secure GOOSE” – assinatura criptográfica do remetente
Definido na IEC 62351-6
Secure MMS
O MMS tem o suporte ao uso de senha incorporado
Transmitido em texto claro... e com mais falhas de segurança
A IEC 62351-4 define “Secure MMS”
Funciona como https (TLS)
Autenticação do IED (server) para o RTU/Gateway (client)
Criptografia não necessária
Problemas ao usar Secure GOOSE & MMS:
Cada IED precisa de um certificado
Cada IED precisa saber os certificados de todos os remetentes GOOSE
Um sistema de gestão de chaves de segurança deve ser introduzido na subestação
Os testes se tornam mais complexos – o equipamento de testes também precisa ser autenticado
Vetores de ataque em subestações e contramedidas
Vetores de ataque em SubestaçõesCentro de Controle
Documentos
de Teste
Arquivos de
ConfiguraçãoPC de Engenharia
TCA
PC de Testes
TCA
Equipamento de Teste
TCA
HMI
Acesso remoto através de rede
de TI do escritório
Vetor de Ataque
Definição NERC CIP
ERC
EAP
BCA
EAP
ERC
ESP
Vetor de Ataque: Acesso remoto
A maioria dos ataques anteriores no Domínio de TO estão relacionados a este vetor
Exemplos:
“Triton” ataque cibernético em PLCs de uma planta industrial
Ucrânia 2016, ataque a uma subestação próxima a de Kiev
Muitos ataques com ransomware criptografado em sistemas TO
Arquiteturas:
. . .
PC da
Subestação
TI: Escritório
Roteador
Firewall
(algumas vezes)
. . .
Mágica Solução VPN
TI: Escritório
Como eles podem entrar em nossa rede de TI do escritório?
Como os atacantes entram na rede de TI do escritório primeiramente?
A maioria dos casos:
Engenharia social
E-mails de phishing
Malware em e-mails
Obter vários nomes de usuário e senhas
Até encontrar um usuário compermissões críticas
Ex.: Acesso via VPN às subestações
Arquivos de engenharia
Fonte: hak5
Acesso remoto: Overview de contramedidas
. . .
Station PC
TI da subestação separada
Router
Firewall
TI: Escritório
Acesso
Seguro
limitado
Subestação
Autenticação
multi-fatores para
acesso remoto
Métodos seguros para transferência
de arquivos para o PC da Subestação
Monitorar a atividade na rede da
Subestação (IDS)
Foto por Brian Ronald, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=10320707
Arquitetura Recomendada
Vetores de ataque em SubestaçõesCentro de Controle
Documentos
de Teste
Arquivos de
ConfiguraçãoPC de Engenharia
TCA
PC de Testes
TCA
Equipamento de Teste
TCA
HMI
Acesso remoto através de rede
de TI do escritório
Vetor de Ataque
Definição NERC CIP
ERC
EAP
BCA
EAP
ERC
ESP
Vetor de Ataque: Conexão do Centro de Controle
Muitas vezes não apenas uma conexão 101/104/DNP
Muitas vezes vários protocolos (bancos de dados, coleta de oscilografias, etc.)
Às vezes nem mesmo um firewall é utilizado
Qualquer protocolo pode ser usado para infectar a RTU, até mesmo serial
Exemplos:
Ucrânia 2015 - RTUs manipuladas e destruídas
Contramedidas:
Firewall entre Centro de Controle e RTUs
Firewall entre RTUs e Station Bus
Supervisionar o comportamento da RTU no Station Bususando um Sistema de Detecção de Intrusões (IDS)
RTU
Station Bus
Centro de Controle
101/104/DNP
. . .
Vetores de ataque em SubestaçõesCentro de Controle
Documentos
de Teste
Arquivos de
ConfiguraçãoPC de Engenharia
TCA
PC de Testes
TCA
Equipamento de Teste
TCA
HMI
Acesso remoto através de rede
de TI do escritório
Vetor de Ataque
Definição NERC CIP
ERC
EAP
BCA
EAP
ERC
ESP
Vetor de Ataque: Laptops de Engenharia
O PC de engenharia pode transferir malware para IEDs
Exemplo: Stuxnet (2010)
Contramedidas:
PC de Engenharia aprimorado: com Firewall próprioincorporado
Forneça uma solução segura para definir o acesso às configurações
Não conectar o PC de engenharia diretamente no IED
Menos controle, uso indevido não detectável
Melhor: PC de Engenharia conectado pela redeMonitoramento de rede é possível
Alertas + logs de PC não autorizado, atividade não autorizada
Configuração do IED
Laptop de Engenharia
Vetores de ataque em SubestaçõesCentro de Controle
Documentos
de Teste
Arquivos de
ConfiguraçãoPC de Engenharia
TCA
PC de Testes
TCA
Equipamento de Teste
TCA
HMI
Acesso remoto através de rede
de TI do escritório
Vetor de Ataque
Definição NERC CIP
ERC
EAP
BCA
EAP
ERC
ESP
Vetor de Ataque: Equipamento de Teste
Contramedidas
Isolar o PC do Station Bus, também para testes IEC 61850
Possuir equipamentos de teste IEC 61850 dedicados disponíveis
Processo seguro para armazenar e acessar arquivos de teste
Soluções sob medida para subestações disponíveis (ADMO)
Rede da Subestação
. . .
. . .
PC de Testes
Equipamento
de Testes
IEC 61850
Arquivos de Teste
Separar
TI da Subestação
Detecção de Intrusos em Subestações
Solução StationGuard
Cyber Segurança e Monitoramento Funcional para Subestações
Detecção de Intrusões (IDS)
Mirror Port
StationGuard
Mirror-Port do switch da supestaçãoou Network TAP(Terminal Access Point)
PASSIVO
Sem interferência na comunicação do station e process bus
Não há bloqueios de comunicação (IDS)
Apenas alarmes
Detecção de Intrusões (IDS)
Historicamente: ataques na maioria das vezes preparados com antecedência
Dispositivos comprometidos se comportam diferente ou falham
O Sistemas de Detecção de Intrusões Alarma ao detectar comportamento suspeito
Sistema de Detecção de Intrusões
EACMS
NERC CIP008
Como funciona o StationGuard
Page 50© OMICRON
StationGuard usa um modelo de sistema para modelar todo o comportamento permitido
Como modelar todo o comportamento permitido de uma subestação?
Page 51© OMICRON
Exemplo na linguagem humana:
IED1 só pode enviar mensagens GOOSE com destino MAC 01:0c:cd:01:00:01 na VLAN ID 0, GOOSE AppID 3000 e GoCBRef "IED2C1/LLN0.posGoose".
O intervalo mínimo de retransmissão para GOOSE IED2C1/LLN0.posGoose" é 10ms, o intervalo máximo é de 1s.
O Client1 é autorizado a realizar operações de controle e escrita no IED4....
Alerta sobre tudo o que não é explicitamente permitido (abordagem de whitelist)
StationGuard System Model
Cada pacote é comparado com todas as condições na árvore
Exemplo apenas para GOOSE, MAC e VLAN:
O Modelo de Sistema para uma subestação comum contém bilhões desses nós
Árvores de restrição
Page 53© OMICRON
O IED1 só pode enviar mensagensGOOSE com destino MAC 01:0c:cd:01:00:01 no VLAN ID 0, GOOSE AppID 0 e GoCBRef"IED1C1/LLN0.posGoose".
Cada mensagem é comparada com muitas condições – lista positiva
A mensagem não vai disparar nenhum alerta se todas as condições forem combinadas.
Assim, se nenhum nó "Accept" puder ser alcançado, um alerta será acionado por padrão
StationGuard approach
Modelo de sistema criado a partir do SCL
Cada pacote é avaliado em relação ao modelo do sistema ao vivo_ alarme_ não alarme
Manutenção e testes também faz parte do modelo do sistema
Detecta não apenas intrusões, mas também mal funcionamentos da rede
Problemas de atraso de mensagens na rede
Problemas de sincronização de tempo
Problemas na publicação de Sampled Values
→ Monitoramento de Segurança Funcional
RBX1
8x Portas Gigabit Ethernet (4x RJ45 Combo + 4x SFP)
Monitora até 8 redes separadas simultaneamente
I/Os binários para alarmes e contato de watchdog
Portas USB 3.0 e HDMI para uso future
Fonte DC ou AC, opções de redundância
Hardening de Cyber Segurança
Ruggedizado e fan-less
RBX1 (Especificações)
Geral:Secure cryptoprocessor
Passively cooled
4 phys. CPU cores with hyperthreading, 16 GB ECC RAM
Operating temperature: -20°C ... +55°C
IEC 61850-3:2013 and IEEE 1613-2009 Severity Level: Class 1
All network ports support hardware time stamping for IEEE 1588 PTP
Traseira:4x 1GB/s SFP and 4x 1GB/s RJ45 as Combo Ports
4x 1GB/s SFP
8x binary outputs in 2 potential groups, 250V DC, max 8A
4x binary inputs in 2 potential groups, 250V DC, configurable threshold
1x fault signal contact (life contact) as NO and NC
1x HDMI
Power supply: 100 ... 240 VDC (±10 %) and 100 .... 240 VAC (±10 %)48 .... 60 VDC (±10 %)redundant option
Frontal:1x 1GB/s RJ45
4x USB 3.0
Recursos de Segurança cibernética da plataforma RBX1
Secure cryptoprocessor chipChaves de autenticação salvas chip, não no disco de memória
Secure and measured bootO hardware só inicia o software assinado pela OMICRON
Full disk encryptionChave única por dispositivo, nem mesmo a OMICRON pode descriptografá-lo
Hardened Linux operating systemContém somente os drivers e serviços requeridos pelo dispositivo
Least privileges for each processNenhum processo possui permissão de administrador
No maintenance access possible by defaultAcesso de manutenção restrito e deve ser ativado manualmente pelo usuário
Signed and encrypted firmware upgradesSomente atualizações assinadas pela OMICRON são aceitas pelo dispositivo
TLS encrypted communication between device and PC
Problemas de IDS convencionais em subestações
1. Baseado em assinaturaFunciona como scanners de vírus de um PC: busca por padrões conhecidos
Não é possível detectar ataques novos/desconhecidos
Blacklist: Apenas o comportamento não permitido é especificado
2. Baseado em aprendizado, “inteligência artificial”Muitos alarmes falsos: Trips, manutenção, testes de rotina, ...
Mensagens de alarme complexas, porque o IDS convencional não sabe o que acontece na subestação
Abordagem do StationGuard
Todo o comportamento da comunicação está descrito nos arquivos SCL
Subestações são determinísticas – sem plug-and-play
SCL pode ser usado para criar uma lista branca (whitelist) de todos os comportamentos
Possibilidades adicionais - Monitoramento de Segurança Funcional
Monitora os tempos de transmissão de todos os GOOSEs
Monitora o sincronismo de tempo através de SV e GOOSE
Monitora bits de qualidade...
wh
iteli
st
✓
✓
✓
✓
StationGuard conhece a subestação
O StationGuard sabe a função de cada IED e o significado das mensagens
Exemplo:Manobrar um Disjuntor e alterar o Test Mode usam o mesmo protocolo MMS
Quem deveria poder fazer isso?
Quando é que ele pode fazer isso?
Como configurar o StationGuard?
Importe o arquivo SCD filda subestação
SCD não atualizado? A configuração também é possível capturando o SCL da rede
Defina “roles” aos demais equipamentos
“O Gateway pode executar commandos de controle em bays com IEDs de controle”
“PC de Engenharia pode usar o protocol proprietário do fabricante do IED X durante a manutenção”
“O Cliente para Transferência de Arquivospode fazer download de oscilo0grafias de relés”
Alertas/Alarmes compreensíveis
Interface de usuário feita para engenheiros de proteção e controle
Suporta a colaboração entre os auditores de segurança e engenheiros de P&C
Alertas/Alarmes compreensíveis (exemplos)
Lista branca (whitelist) auditável
Controle total de quem comunica, como e com quem
Controle total de quais laptops são usados
Registro/Log de ações críticas
Pode ser auditado por especialistas em Segurança de TI remotamente
Integração e transmissão de alarmes
Quatro possibilidades, utilizáveis ao mesmo tempo:
1. StationGuard client no PC local (HMI) PC ou Máquina Virtual
2. StationGuard client sob conexão remota
(TLS secured)
1. Saídas binárias → RTU → Centro de Controle (104/DNP)
2. Syslog (UDP) para SIEM*/SOC**
*Security Information and Event Management
**Security Operations Center
StationGuard Client
Exemplo SIEM: ArcSight
StationGuard – Monitoramento Funcional
Igual ou às vezes até mais importante para o cliente
Detecta alterações na configuração do IEDMonitorando campos de revisão de configuração em mensagens
Medições contínuas de tempo de transmissão do GOOSETo detect failures in IED, network, and time sync
Timing behavior de MUs, SVs
Registro de eventos críticos:
Comandos de controle em disjuntores, controladores de tap, etc.
Monitoramento e registro de todas as transferências de arquivos
E quanto a outros protocolos de comunicação?
Toda comunicação precisa ser whitelisted para ser permitida
Protocolos da IEC 61850: 98% do tráfego em subestações modernas
Análise profunda destes protocolos
Análise detalhada de IEC104, DNP, Modbus, Sincrofasores...
Em breve... e muito mais
Sincronismo interno via PTP...
Em breve
Protocolos proprietários protegidos pelo Modo de Manutenção
Src./dest. MAC + src./dest. IP + VLAN + port nummer/protocol✓
Whitelist
StationGuard DPI : Inspeção Profunda (Junho 2021)
Suporte integrado para manutenção e testes
Certas atividades só podem ser permitidas no Modo de Manutenção
Uso de protocolos de engenharia e equipamentos de teste registradosIEC 61850 Test/Simulation mode
Estudo de caso: Arquitetura de Segurança Cibernética da CKW
Nova arquitetura de sistema secundário por da CKW, Suíça
Acesso remoto seguro
PCs de manutenção seguros
Múltiplas zonas de firewall no Station Bus (ACL)
Switch port security
Controle de acesso baseado em função (RBAC)
Diodos de dados
“Defense in Depth”:
Detecção de Intrusões pelo StationGuard no núcleo da solução
Fonte: Centralschweizer Kraftwerke AG (CKW), Switzerland
Estudo de caso: Instalação em subestações legadas, 2018-2019
Situação típica: nenhum SCD ou SCD desatualizado
→ Arquivos IID capturados apartir do Sistema online e importados
Descobertas interessantes:
Mais conexões externas do que o esperado
Cada uma representa um vetor de ataque
Problemas de sincronismo de tempo NTP encontrados
Erros de configuração
Erros de comunicação MMS entre IEDs
Problemas de interoperabilidade
Erros de configuração
Estudo de caso: Instalação em projetos piloto de subestações digitais
Também testado em vários pilotos de subestações digitais
Descobertas interessantes:
GOOSE e até streams SV inesperadosforam encontrados
Comportamento estranho do gateway de protocolos
Erro de configuração do Reports
Serviços inesperados em gateways de protocolos
Serviços desnecessários instalados
Procurando servidores de licença
Fonte: SP Energy Networks, SP Transmission Plc.
Subscrição e próximas implementações
StationGuard – Opções de contratos de serviço
StationGuard Expert Subscription: Benefícios
Atualizações gratuitas com novos recursos
Novos protocolos, melhores visualizações, ...
Atualizações para o StationGuard detection engine
Equipe própria de pesquisa e equipe de desenvolvimento trabalhando na implementação de novos cenários de ameaças e fornecer as mensagens de alerta mais fáceis de usar e entender para esses cenários
Atualizações de segurança
Monitoramento contínuo e automático de vulnerabilidade de todos os componentes usados no StationGuard
Publicação de vulnerabilidades, envio de patches
Suporte técnico 24/7
OMICRON 24/7 standard technical support
StationGuard Expert Subscription: Benefícios
StationGuard Expert Support
Especialistas em Cybersecurity e IEC 61850 auxiliam na análise de alertas intrínsecos
Site-Specific Expert Support: Optcional, se forem enviados dados adicionais (SCD, diagramas de rede, etc.)
Garantia extendida (ilimitada) para o RBX1
Garantia padrão é de 2 anos
Para usuários do Expert Support, a garantia é ilimitada equanto o Expert Support estiver ativo
Acesso a recursos e serviços futuros tipo “Expert”
Recursos especiais poderão estar disponíveis apenas para usuários do Expert Support
Proporcionaremos servições adicionais e vamos compartilhar conhecimento aos usuários do Expert Support
StationGuard : Próximas implementações (Junho 2021)
IEC 60870-5-104 (“-104”) DPI
DNP3 DPI Modbus TCP and RTU over TCP DPI
Outros protocolos IT/OT- como Http, ICMP, DHCP etc.
Maintenance Mode
IEC 62443 Certification (Level 4)
StationGuard 2.0
LDAP (Authenticação, RBAC – Role based access control)
Gravação de arquivos PCAP por evento
Suporte a Sampled Values, sincronismo via PTP
Custom roles e role templates
Maior flexibilidade, reconhecimento de alarmes detalhado
DemonstraçãoLIVE
StationGuard em ação!
Demonstração
=
Porta Espelhada
do Switch
Porta Normal do Switch
Simulador
de Subestação
PC de Teste
com IEDScout
StationGuard
Teclado simula Ataques
Cibernéticos e falhas de
comunicação
Conclusões Subestações têm requisitos
completamente diferentes de segurança do que os sistemas de TI
Diferentes soluções necessárias para subestações
Há muitas maneiras de contornar o firewall da subestação
Cada dispositivo tem vulnerabilidades de segurança, especialmente dispositivos mais antigos
Medidas de segurança disponíveis para subestações IEC 61850
Sistemas de Detecção de Intrusões, por exemplo, StationGuard
O que não pode ser 100% protegido,
deve ser monitorado!
Obrigado !
Dúvidas?
