Embed Size (px)
Citation preview
![Page 1: [Datasheet RADiFlow] Portfólio de Soluões](https://reader036.document.onl/reader036/viewer/2022071815/55a9f6da1a28ab581c8b48f9/html5/thumbnails/1.jpg)
Portfólio de Soluções
o IDS & IPS com vários modelos de instalação
o DPI de protocolos SCADA IP & Serial
o Análises baseadas em modelos para sessões M2M
o Aprendizado automático do modelo comportamental de aplicações
o Detecção de vulnerabilidades conhecidas baseada em assinaturas
o Validação de seções H2M baseada em tarefas
o Integração com segurança física
o Proxy de autenticação para o acesso aos dispositivos finais
o Túneis criptografados VPN para conectividade entre sites
RADiFlow – Segurança em TA
RADiFlow – Segurança em TA Segurança Otimizada para Redes SCADA
![Page 2: [Datasheet RADiFlow] Portfólio de Soluões](https://reader036.document.onl/reader036/viewer/2022071815/55a9f6da1a28ab581c8b48f9/html5/thumbnails/2.jpg)
Data Sheet
Deep Packet Inspection Firewall for SCADA Networks Segurança Otimizada para Redes SCADA
Portfólio de Soluções
Geral Sistemas de Controle de Supervisão e Aquisição de Dados (SCADA) são usados para controlar e monitorar operações remotas em uma variedade de indústrias e infraestruturas, incluindo empresas de energia, petróleo e gás, e muitas outras.
Sistemas SCADA incluem dispositivos de automação distribuídos em vários locais remotos e são controlados a partir de centros de controle, onde todos os dados são claramente apresentados através de um intuitivo HMI (Human Machine Interface).
As ameaças cibernéticas para sistemas SCADA têm crescido muito nos últimos anos. Terroristas e criminosos estão de olho nas infraestruturas críticas que utilizam sistemas SCADA devido a vulnerabilidades e o enorme potencial de perturbar a vida civil.
O Desafio A maioria das aplicações SCADA utilizam uma rede operacional dedicada (Rede de TA) que é separada das redes de TI (Rede Corporativa e Internet). No entanto, uma vez que o atacante ganhe acesso à rede de TA a partir de qualquer local, não existem medidas de segurança que o impeçam de acessar toda a rede infligindo danos a quaisquer ativos ligados localmente ou em locais remotos.
Em muitos serviços públicos, os elos mais fracos, em termos de segurança, são as subestações remotas que estão localizadas em áreas pouco povoadas e com pouca segurança física. Conectar com a rede de um site remoto fornece acesso ilimitado local e para outros sites.
As redes SCADA para esses sites remotos sofrem de vários tipos de problemas de segurança. Em primeiro lugar, os protocolos industriais não foram planejados com segurança built-in. Portanto, não há métodos de autenticação nos protocolos. Uma vez que um atacante entra na rede, ele pode enviar comandos para cada dispositivo que ele encontra na rede. Outro problema é a visibilidade da rede. Na rede de TI há várias ferramentas de monitoramento que auxiliam na detecção de incidentes de segurança. No entanto, estas soluções falham quando se trata da rede de TA. Redes de TA têm diferentes protocolos e um comportamento diferente, em que até mesmo uma pequena quantidade de comandos podem causar uma série de prejuízos.
Além disso os sistemas SCADA lidam com dois tipos diferentes de tráfego de rede que devem ser protegidos de diferentes maneiras: M2M (Machine to Machine) para os processos de automação e H2M (Human to Machine) gerado por uma pessoa dentro da rede SCADA, geralmente para manutenção, seja física (no local) ou remota.
Ferramentas de Segurança DETECÇÃO DE ANOMALIAS Para se proteger contra vários ciberataques é necessário se munir de um bom firewall para detectar tráfego não autorizado, mesmo quando o atacante tenha ganho o acesso à rede. Hoje, existem alguns poucos tipos de firewalls específicos para infraestruturas críticas - um simples firewall pode evitar tráfego não autorizado, validando dispositivos a nível IP, enquanto outros firewalls ficam analisando o tráfego com motores DPI (Deep Packet Inspection), que validam os comandos SCADA de profundidade.
Em função da natureza previsível do tráfego M2M nas redes SCADA, a validação de tráfego pode ser ainda mais reforçada com algoritmos de análise de comportamento implantados em linha em toda a rede (IPS - Intrusion Prevention System) ou em uma central de sistemas de monitoramento (IDS - Intrusion Detection System).
GERENCIAMENTO DE IDENTIDADES De acordo com a norma NERC-CIP, antes de conceder o acesso físico ou remoto à rede, os usuários têm de ser validados. Para verificar os usuários, existem vários métodos de autenticação, de autenticação física, como reconhecimento facial e cartão magnético, assim como autenticações lógicas como o nome de usuário e senha com gerenciamento inteligente de senhas. Normalmente, após ser autenticado o usuário recebe acesso à rede e cada operação é registrada em um arquivo de log.
É recomendado que o acesso concedido ao usuário seja de escopo limitado de acordo com a tarefa específica que ele tenha que fazer.
CONECTIVIDADE ENTRE SITES Túneis VPN criptografados fornecem conectividade segura entre sites contra ataques man-in-the-middle. As VPNs são usadas quando links confiáveis, tais como fibras dedicadas, não estão disponíveis para conectar todos os sites remotos da planta. Existem vários métodos de VPN que, por conseguinte, são importantes para atender às necessidades do operador em aspectos tais como escalabilidade e interoperabilidade.
No plano de segurança os aspectos importantes da VPN são os tipos de algoritmo, o comprimento e as chaves de gerenciamento conforme definido por exemplo nas orientações FIPS. Cuidado especial deve ser dada às chaves de gerenciamento de VPNs de grande escala distribuídas – chaves compartilhadas são fáceis de gerenciar, mas seria melhor gerenciar chaves com certificados, onde o dispositivo obtém chave de uma servidor central que garante que o dispositivo está aprovado.
Caso de uso da operação Risco de Segurança
Autenticação Monitoramento DPI
Políticas de DPI
VPN
SCADA servidor � dispositivos
Médio
Acesso Físico Alto
Acesso Remoto Alto
Conexão entre sites remotos
Alto
Como assegurar operações SCADA comuns
![Page 3: [Datasheet RADiFlow] Portfólio de Soluões](https://reader036.document.onl/reader036/viewer/2022071815/55a9f6da1a28ab581c8b48f9/html5/thumbnails/3.jpg)
Deep Packet Inspection Firewall for SCADA Networks
Data Sheet
Segurança Otimizada para Redes SCADA
Portfólio de Soluções
Soluções RADiFlow Soluções de segurança da RADiFlow foram desenvolvidas especialmente para infraestrutura críticas baseado em três pressupostos:
1. Vulnerabilidades existem, sejam em dispositivos finais ou em sistemas de controle, na rede ou nos protocolos que o SCADA utiliza.
2. Atacantes acabarão por encontrar uma maneira de penetrar até mesmo na rede mais isolada, como demonstrado nos últimos anos.
3. O dano potencial causado pelo ataque de uma infraestrutura crítica é imenso, e o tempo de detecção é fundamental.
RADiFlow fornece componentes que identificam ameaças na rede, isolam atividades maliciosas, e evitam a disseminação de ameaças em toda a rede. Estas soluções lidam tanto com sessões de tráfego M2M quanto H2M, cada uma com ferramentas específicas.
Estas soluções de segurança foram desenvolvidas utilizando a experiência de nossos especialistas em segurança, refinando em estreita interação com os principais fornecedores SCADA e operadores desde 2009.
Estas soluções foram posteriormente validadas e aprovadas pelos laboratórios de pesquisa líderes nos EUA e são continuamente melhoradas com base em estreita cooperação com a academia em novas tecnologias de segurança.
DETECÇÃO DE ANOMALIAS Para alcançar a máxima proteção contra ameaças virtuais, a RADiFlow desenvolveu dois tipos de produtos que utilizam as mesmas capacidades SCADA DPI:
1. Um robusto e seguro roteador - localizado em locais remotos com um firewall SCADA DPI built-in.
2. IDS - Um servidor central que monitora toda a rede e pode detectar ataques sofisticados dentro da rede SCADA.
FIREWALL DPI DISTRIBUÍDO
Para alcançar proteção máxima, a RADiFlow desenvolveu seu mecanismo Firewall DPI para protocolos SCADA (DNP3, IEC 101/104/61850, ModBus) que é implementado em roteadores robustos distribuídos. O firewall DPI distribuído garante que o operador tenha total controle sobre o tráfego de rede, tanto para sessões M2M quanto para H2M.
O firewall é baseado em lista branca e é instalado em todos as portas tanto para tráfego IP quanto Serial, o que significa que cada ponto de acesso passa pelo firewall e cada pacote de protocolo SCADA é validado para seu código de função e do conteúdo de comando.
Uma vez implantados, os dispositivos RADiFlow começam a ”aprender” a rede, incluindo a sua topologia, dispositivos (IP, unidade de ID/ASDU), protocolos, links e parâmetros de intervalos válidos. No final do processo de aprendizagem, a ferramenta NMS (Sistema de gestão de rede) apresenta a rede e a topologia da aplicação sugerindo uma lista branca com base em um algoritmo modelo de tráfego. O operador é capaz de escolher e editar quais políticas usar para monitorar ou obrigar a obedecer em cada local.
O firewall distribuído permite a prevenção de tráfego não autorizado que não se correlaciona com a lista branca, a fim de validar sessões M2M e H2M baseados em tarefas. O firewall também é carregado com assinaturas para vulnerabilidades conhecidas dos dispositivos de rede (por exemplo, Shellshock).
IDS No topo da instalação DPI distribuída, a RADiFlow oferece um
servidor IDS complementar que monitora a rede a partir de uma localização central. O IDS reúne informações de toda a rede e usa seu mecanismo DPI para modelar a rede e o comportamento das aplicações, exibindo sua estrutura (topologia, dispositivos, links e sessões SCADA) em um mapa interativo. Essa ferramenta de análise SCADA cria um modelo que caracteriza o comportamento normal da aplicação SCADA distribuída como a seqüência do processo e o tempo de amostra do dispositivo. Uma vez que o modelo de aplicação normal é “aprendido”, então é apresentada ao operador para aprovação. Uma vez aprovado, o monitoramento da rede começa e a ferramenta IDS baseada no modelo é capaz de detectar escaneamentos na rede, comandos e parâmetros fora da faixa de operação e outras atividades anormais.
O IDS RADiFlow inclui também um mecanismo de detecção baseado em assinatura que, no tráfego da rede, se correlaciona com uma vulnerabilidade conhecida num dos protocolos ou dispositivos (PLC, RTU, etc.), detectando-a.
Uma vez que um desvio tenha sido detectado, um alerta é relatado para o operador e opcionalmente, uma mensagem syslog é enviada para a ferramenta SIEM. O usuário pode também realizar drill-down no tráfego que causou o alerta e decidir se o modelo de base deve ser atualizado para incluir tal atividade de rede.
.
![Page 4: [Datasheet RADiFlow] Portfólio de Soluões](https://reader036.document.onl/reader036/viewer/2022071815/55a9f6da1a28ab581c8b48f9/html5/thumbnails/4.jpg)
Data Sheet
Deep Packet Inspection Firewall for SCADA Networks Segurança Otimizada para Redes SCADA
Portfólio de Soluções
GERENCIAMENTO DE IDENTIDADES Para proteger os processos H2M, um dos requisitos mais importantes da norma NERC-CIP V.5 para proteção de locais remotos é a capacidade de identificar o usuário e criar privilégios específicos da rede por usuário identificado, antes de conceder o acesso do usuário à rede.
O dispositivo da RADiFlow inclui um APA (Autenticação de Acesso ao Proxy) built-in, com um sistema inteligente de gestão de senhas. Antes de conceder ao usuário o acesso à rede, o usuário precisa fazer login no mecanismo de autenticação interna RADiFlow . Depois de validar o perfil do usuário, é concedido um acesso específico a dispositivos e funções pré-definidas, e cada operação é registrada.
Para o acesso físico em locais remotos, o sistema RADiFlow se integra a sistemas de servidores de identidade física (por exemplo, sistemas de controle de acesso com cartão magnético) e ativa dinamicamente um conjunto de regras de cibersegurança de acordo com o usuário que entrou no local. Isso adiciona uma camada de autenticação do acesso físico (no local) à rede. Além disso, a solução também é integrada com sistemas de gerenciamento de vídeo, que utilizam análise de vídeo para a autenticação do usuário e para ajustes dos sistemas de CCTV com base nas atividades detectadas no espaço cibernético (técnico conectado a uma porta de rede específica, etc).
VPN Roteadores RADiFlow garantem segurança na conectividade entre sites usando VPN L2/L3. Embora existam muitos modos de VPN, tais como o IPsec, DMVPN e túneis mGRE, os roteadores RADiFlow suportam a interoperabilidade com os principais roteadores VPN do mercado para garantir uma implementação suave. Dispositivos RADiFlow são compatíveis com as diretrizes FIPS para módulos de criptografia, ao usar algoritmos recomendados, como 3DES, comprimento de chave de 256 bits e gerenciamento de chaves, tais como certificados X.509, com o cadastramento SCEP que autentica os dispositivos de rede com um servidor central antes de iniciar o túnel criptografado.
.
FACIL IMPLEMENTAÇÃO A RADiFlow fornece um abrangente comjunto de ferramentas de segurança SCADA. Contudo, sabendo que a adoção de segurança em redes de TA é um processo delicado, é dada uma ênfase especial também à facilidade de implantação:
1. Roteadores de segurança RADiFlow combinam um grande conjunto de funcionalidades de comunicação (ou seja, Ethernet, PoE, interfaces seriais e celular) com as capacidades de segurança para uma fácil implantação em locais remotos.
2. Para a detecção de anomalias, o comportamento normal da rede é aprendido automaticamente e apresentado ao usuário para aprovação antes de ser implantado.
3. Todos os recursos de segurança são geridos através de uma ferramenta GUI central que apresenta a implementação do aplicativo distribuído, sua linha base de comportamento normal e qualquer desvio que seja detectado.
4. Ferramentas de segurança RADiFlow oferecem interfaces para integração fácil com outras suites complementares de segurança, como syslog reportando para ferramentas de SIEM, informações de identidade a partir de servidores de segurança físicos, etc.
