Segurança em Sistemas Críticos de Automação aplicando o método ATAMDaniel Guillize - [email protected] B. Prestes - [email protected]
#class2014
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Daniel Guillize– Mestrando em Engenharia de Computação (Área de Concentração: Eng. de
Software) pelo Instituto de Pesquisas Tecnológicas – IPT com formação em Engenharia Eletrônica. Possui mais de 20 anos de experiência em automação na área de Energia. Tem trabalhado no desenvolvimento de sistemas SCADA e controladores para as maiores empresas do Brasil. Atualmente é consultor e desenvolvedor de soluções para integração entre sistemas SCADA e corporativos.
• Silvio Bonete Prestes – Mestrando em Engenharia de Computação (Área de Concentração: Eng. de
Software) pelo Instituto de Pesquisas Tecnológicas – IPT. Formação em Informática e com especialização em “Qualidade do Desenvolvimento de Software” e “Gestão Empresarial” (MBA) pela FIA.
– Contando com mais de 20 anos de experiência no mercado de automação bancária atuando em vários projetos nacionais e internacionais.
2
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Agenda– Introdução– Objetivo– Conceitos– Prática– Conclusão
3
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Introdução
– Sistemas industriais, no passado, estavam em ambientes isolados (HW e SW proprietários) que limitavam sua exposição e possível vulnerabilidade, porém hoje em dia esses sistemas estão interconectados e expostos a várias possibilidades de ataques e os aspectos de segurança começaram a ter uma importância crítica devido a essa integração com os sistemas de TI.
– Devido ao isolamento a que foram submetidos durante anos, os sistemas de automação industrial sempre priorizaram o desempenho e disponibilidade em detrimento da segurançaque foi implementada, mas não com os mesmos níveis de exigência atuais.
4
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Objetivos
– Apresentar e utilizar o método ATAM para a avaliação dos sistemas SCADA, demonstrando que sua aplicação isolada, ou seja, mesmo que sem se apoiar numa norma de segurança como a ISA 99, pode também identificar pontos falhos na implementação dos requisitos de segurança do sistema.
– Sugerir melhorias arquiteturais que atendam os requisitos de segurança, para aumentar a aderência às normas ANSI/ISA-99/2007.
5
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Conceitos– Importância da segurança nos Sistemas de
Automação Industrial• as práticas de segurança nessa área são, geralmente,
deixadas em segundo plano, pois os sistemas normalmente utilizam como única tática segura a limitação de exposição física e digital.
– A necessidade de integração dos dados industriais pelos processos de negócio exigem novas técnicas
e métodos que abordem a segurança devido a criticidade desses sistemas e aos riscos potencialmente devastadores.
6
• Conceitos: Diferenças entre sistemas de TI e industriais (ICS- Industrial Control Systems)
Purdue Enterprise Reference Architecture (PERA). Adotado pela ANSI/ISA 95. Prioridade do "CIA" segundo a ISA 99 .
7
Evolução de Incidentes. Fonte: ICSJWG 2010 Spring Conference.
Figura 08 – Alvo dos Ataques. Fonte: ICSJWG 2010 Spring Conference
8
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• ATAM – Architecture Tradeoff Analysis Method
– Método de Análise de compensações arquiteturais
– Composto por 4 fases distintas
0. Preparação
1.Avaliação
2.Avaliação (Continuação)
3.Retorno da análise e resultados
9
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
Fase DescriçãoFase 0 Formação das equipes e preparação para aplicação do método
Fase 1 Avaliação
Passo 1 Apresentação do Método
Passo 2 Apresentação do Business Driver
Passo 3 Apresentação da Arquitetura
Passo 4 Identificação dos enfoques arquiteturais
Passo 5 Geração da árvore de atributos
Passo 6 Análise dos enfoques arquiteturais
Fase 2 Avaliação (Continuação).
Passo 7 Brainstorming e priorização de cenários
Passo 8 Análise dos enfoques arquiteturais
Fase 3 Retorno da análise
Passo 9 Apresentação dos resultados
10
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• ATAM – FASE 0
– Preparação da equipe
• Líder do time de avaliação
• Principais tomadores de decisões
– Levantamento dos principais direcionadores de negócio
– Stakeholders
– Agenda e logística dos trabalhos
11
• ATAM – FASE 1
– Apresentação do Método ATAM
– Apresentação do Business Driver
– Apresentação da Arquitetura
– Identificação dos enfoques arquiteturais
– Geração da árvore de atributos
– Análise dos enfoques arquiteturais
12
• ATAM – FASE 1
– Apresentação do Método ATAM
– Apresentação do Business Driver
– Apresentação da Arquitetura
– Identificação dos enfoques arquiteturais
– Geração da árvore de atributos
– Análise dos enfoques arquiteturais
ATAM Fase 1ATAM Fase 1
13
• ATAM – FASE 2
– Brainstorming e priorização de cenários
– Análise dos enfoques arquiteturais
14
• ATAM – FASE 1
– Apresentação do Método ATAM
– Apresentação do Business Driver
– Apresentação da Arquitetura
– Identificação dos enfoques arquiteturais
– Geração da árvore de atributos
– Análise dos enfoques arquiteturais
15
• ATAM – FASE 3
– Brainstorming e priorização de cenários
– Análise das abordagens arquiteturais
16
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• PRÁTICA: Passo 2: apresentação dos business drivers
– Uma usina hidrelétrica deve sinalizar seu estado de funcionamento ao órgão ONS durante 24 horas do seu funcionamento (24x7)
• Todas as decisões sobre ativação ou desativação de usinas e rotas alternativas de geração e distribuição são tomadas pelos operadores em Brasília, sede da ONS (Operador Nacional do Sistema).
– Atender requisitos da norma ISA 99, por exemplo:
• Controle de Acesso (AC - Access Control): controle de acesso e informação aos dispositivos;
17
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• PASSO 2: Apresentação dos Business Drivers: Requisitos norma ISA 99
– Atender requisitos da norma ISA 99, por exemplo:• Controle de Acesso (AC - Access Control): controle de acesso e
informação aos dispositivos;
• Controle de Uso (UC - Use Control): controle do uso e informação dos dispositivos;
• Integridade de Dados (DI - Data Integrity): garantir a integridade dos dados referentes aos dispositivos e às comunicações entre eles;
• Confidencialidade de Dados (DC - Data Confidentiality): garantir a confidencialidade dos dados referentes aos dispositivos e as comunicações entre eles;
18
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• PASSO 2: Apresentação dos Business Drivers: Requisitos norma ISA 99
– Atender requisitos da norma ISA 99, por exemplo:• Restringir o Fluxo de Dados (RDF - Restrict Data Flow): restringir o
fluxo de dados nos canais de comunicação para protegê-los contra a publicação de informação de fontes não autorizadas;
• Resposta ao Evento em tempo (TRE - Timely Response to Event): responder às violações de segurança e automaticamente executar ações para corrigir os problemas em tempo de acordo com as necessidades dos sistemas críticos;
• Disponibildade de Recursos (RA - Resource Availability): garantir a disponibilidade dos recursos de rede e computacionais em caso deataques de negação de serviço;
19
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Passo 3 – Apresentação da arquitetura do sistema SCADA
20
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Passo 3 – Apresentação da arquitetura do sistema SCADA
– Componentes do sistema SCADA
21
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Passo 4 – Identificação das abordagens arquiteturais
– A importância da implementação de táticas
Controlando a SegurançaControlando a Segurança
Ataque Sistema
Detecta
Resiste
Reage ou se
Recupera de ataques22
ATAM: Passo 4 – Identificação das abordagens arquiteturais
SegurançaSegurança
Resistir ao Ataque
Resistir ao Ataque
Detectar Ataque
Detectar Ataque
Recuperar de um Ataque
Recuperar de um Ataque
Autenticação de Usuários
Autorização de Usuários
Manter confidencialidade
de dados
Separação de Entidades
Limitar exposição
Limitar acesso
Detecção de Intrusão Restauração
DisponibilidadeDisponibilidade
Trilha de Auditoria
Detecção de Negação de
Serviço
Verificação de Integridade de
Mensagens
Detecção de Atraso de
Mensagens
Identificação de Usuários
Mudança de Configurações
padrão
Reagir ao Ataque
Reagir ao Ataque
Revogação de Acesso
Bloqueio do Sistema
Informar Usuário
AtaqueSistema:
Detecta,
Resiste,
Reage,
Recupera
23
R 1
R 2
• R 1 - Mensagem chegar ao ONS em 4 seg
• R 2 - Usuário não autorizado
ONS
SCADA 1
VisualizadorVisualizador
Ger. Dados
Ger. Dados
BDBD
R n
.
.
.
SCADA 2
VisualizadorVisualizador
Ger. DadosGer. Dados BDBD
24
Atributo de Qualidade
RefinamentoRequisitos Significativos para a
Arquitetura(ASR - Architecturally Significant Requirement)
Segurança
Detecção de Ataques
Todas as mensagens terão o checksum verificado em 100% das ocorrências.Garantir a Integridade dos Dados referentes aos dispositivos e nas comunicações entre eles.
Resistência aos Ataques
Garantia de acesso somente aos usuários autorizados (prevenção contra invasão).Identificação e verificação constante dos processos em execução.Restringir o Fluxo de Dados nos canais de comunicação para proteger contra a publicação de informação a fontes não autorizadas.
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Passo 5 – Árvore de atributos
25
Atributo de Qualidade
RefinamentoRequisitos Significativos para a
Arquitetura(ASR - Architecturally Significant Requirement)
Desempenho
Controle de Recursos
Gerenciar taxa de aquisição de dados.
Minimizar o tempo de resposta dos componentes.
Minimizar a latência do sistema operacional.
Gerenciamento de Recursos
Aumentar da capacidade de memória.
Aumentar a taxa de transferência da rede.
Introdução de concorrência.
DisponibilidadeDetecção de
Falhas
Na falha do servidor principal de supervisão, o servidor backup tem que assumir todo o tráfego de mensagens e estações clientes em tempo menor que 5 segundos em 99% das ocorrências (Heartbeat).Somados erros de HW e SW, a disponibilidade do sistema deve ser 99,95% a.a ou superior.
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Passo 5 – Árvore de atributos (Cont.)
26
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
#Atributo de Qualidade
Descrição
S1
Desempenho
Tempo de resposta dos módulos.
S2 Latência do sistema operacional.
S3 Capacidade de memória.
S4 Taxa de transferência da rede.
S5
Disponibilidade
Falha de hardware no supervisório
S6 Falha de conexão de rede no supervisório
S7 Falha de software no supervisório
S8
Segurança
Processos em execução
S9 Usuários autorizados
S10 Mensagens Verificadas
• Passo 6 – Descrição dos pontos sensíveis
27
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
R 1
• R 1 - Mensagem chegar ao ONS em 4 seg
• R 2 - Usuário não autorizado
ONS
SCADA 1
VisualizadorVisualizador
Ger. DadosGer. Dados BDBD
R n
.
.
.
SCADA 2
VisualizadorVisualizador
Ger. Dados
Ger. Dados
BDBDR 2
28
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• Passo 6 – Descrição dos riscos arquiteturais
29
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
# Tradeoff Consequência
T1Excesso de monitoração
Sobrecarregar o sistema (rede, memória, CPU) com mensagens de monitoração.
T2Vários níveis de segurança na rede
Performance afetada, pois os sinais passariam a ser verificados por vários agentes.
• Passo 6 – Descrição dos pontos de tradeoff
30
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
# Tradeoff Consequência
T1 Excesso de monitoraçãoSobrecarregar o sistema (rede, memória, CPU) com mensagens de monitoração.
T2Vários níveis de segurança na rede
Performance afetada, pois os sinais passariam a ser verificados por vários agentes.
• Passo 6 – Descrição dos pontos de tradeoff
???
31
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
Cenário Descrição
C4 -(Disponibilidade)
Retirada do Servidor Supervisório 1 e verificação se Servidor Supervisório 2 assume o sistema em tempo menor que 5 segundos.
C6 -(Disponibilidade)
Retirada da conexão de rede A do Controlador em tempo = 0 segundo (imediato)
C10 - (Desempenho)Com Carga máxima (100% dos pontos variando), o sistema não pode perder sinais durante 20 segundos.
C11 - (Desempenho)Verificação de sinalização na tela do operador nacional (ONS) não pode ser superior a 4 segundos.
C12 - (Segurança) Tentativa de execução de comando por usuário não autorizado.
C13 - (Segurança) Tentativa de Acesso Externo ao Sistema.
• Passo 7 e 8 – Descrição e explicação dos cenários prioritários
32
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
Requisitos Sistemaa b c d e f g h i
Requisitos ISAa) Autenticidade das entidades S - - - - - - - -b) Autenticidade e integridade das mensagens - S - - - - - - -c) Confidencialidade das mensagens / informações / comunicação
- - S - - - - - -.-
d) Garantia da responsabilidade (não-repúdio) - - - S - - - - -e) Política de controle de acesso - - - - N - - - -f) Prevenção de ataques de negação de serviços - - - - - N - - -g) Manutenção da confiabilidade da plataforma - - - - - - N - -h) Detecção de adulteração - - - - - - - N -i) Monitoramento do estado da segurança - - - - - - - - N
• Passo 9 – Apresentação dos resultados
– Requisitos da norma ISA99 comparados com os requisitos do sistema SCADA
33
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• CONCLUSÃO: Passo 9 – Apresentação dos resultados
– Como sugestão de melhoria para aumentar a aderência aos requisitos da norma ISA/99, poderiam ser implementados:
• “h) Detecção de adulteração” (detecting tampering)
• “i) monitoramento do estado de segurança” (monitoring security status)
Requisitos Sistemaa b c d e f g h i
Requisitos ISAa) Autenticidade das entidades S - - - - - - - -b) Autenticidade e integridade das mensagens - S - - - - - - -c) Confidencialidade das mensagens / informações / comunicação
- - S - - - - - -.-
d) Garantia da responsabilidade (não-repúdio) - - - S - - - - -e) Política de controle de acesso - - - - N - - - -f) Prevenção de ataques de negação de serviços - - - - - N - - -g) Manutenção da confiabilidade da plataforma - - - - - - N - -h) Detecção de adulteração - - - - - - - N -i) Monitoramento do estado da segurança - - - - - - - - N
34
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
Atributo de Qualidade
Refinamento ASR
SegurançaDetecção de
Ataques
Detecção de adulteração: Todas as mensagens terão o checksum verificado em 100% das ocorrências.
DisponibilidadeCondição de monitoração
Monitorar o estado da segurança: Verificar o estado da segurança e dos programas e processos envolvidos
• CONCLUSÃO: Passo 9 – Apresentação dos resultados
– Sugestão de itens para adição a árvore de atributos
35
Cenário Descrição
C14Exigir a verificação do operador a cada 30 minutos dentro do sistema, mesmo que o usuário não faça log off.
C15Alteração de assinatura de um processo verdadeiro e verificação do reconhecimento pelo sistema.
Segurança em Sistemas Críticos de Automação aplicando o método ATAM
• CONCLUSÃO: Passo 9 – Apresentação dos resultados
– Sugestão de itens para adição aos cenários críticos
36
Bibliografia:
BASS, Len; CLEMENTS, Paul; KAZMAN, Rick. Software Architecture in Practice. 2. ed. Boston: Addison Wesley Professional, 2012. 560 p.
ANSI/ISA-99. (2007). Security for Industrial Automation and Control Systems Part 1 : Terminology, Concepts , and Models. American National Standard.
National Institute for Standards and Technology (NIST) 800-82.
Daniel Guillize - [email protected] B. Prestes - [email protected]
Obrigado !!!
37