Embed Size (px)
Citation preview
A CRESCENTE AMEAÇA CIBERNÉTICA – COMO SE PROTEGER? MARCELO BRANQUINHO, JUNHO DE 2017
• A Crescente Ameaça Cibernética
• Normas de Segurança Cibernética
• Análise de riscos SCADA
• O que descobrimos em nossas Análises de riscos SCADA: Antivirus não é suficiente
• Estratégias para proteção e controle de Malware em redes de automação
Agenda
A CRESCENTE AMEAÇA
CIBERNÉTICA
Hacker evoluíram no tempo
Dados Dados Internet
Criptografia Alvos
Organizado Focado Financiado
Uma pessoa ou grupos pequenos Conhecimento e recursos limitados Ataques básicos
Presente
OBJETIVO: Notoriedade
Internet
P
A
S
S
A
D
O
P
R
E
S
E
N
T
E
OBJETIVO: Lucro, Sabotagem, Conflito
SCADA – Tempestade perfeita para ciberataques
Redes em IP e Servidores Windows
Conectividade Interna, Externa, VPN, Fabricantes, etc..
Baixa maturidade de segurança cibernética
Patches não frequentes Ataques e APT´s específicos
Redes em IP e Servidores Windows
Conectividade Interna, Externa, VPN, Fabricantes, etc..
Baixa maturidade de segurança cibernética
Patches não frequentes
Malware avançado atingindo redes industriais e SCADA
FUD Fully UnDetectable (muitas vezes encurtado para "FUD") significa software incapaz de ser detectado por antivirus convencional quando um scan é executado. O termo é utilizado em círculos “underground” para se referir a código que resulta em veredito “limpo” ou “benigno” para a maioria dos antivirus, ainda que seja uma ferramenta de hacking. Técnicas incluem criptografia e/ou fuzzing de payload.
Ransomware: “sequestro” de dados
12/5/17 – O Ataque Global de Ransomware
• Ransomware Wannacry: empresa de
distribuição de energia foi atingida por
cyberattack, dizem funcionários
• Plantas da Renault e Nissan pararam
por causa do ataque de Ransomware
• Ataque por Ransomware à DB paralisa
sistema de trens alemão
• Serviços públicos do Brasil ficaram fora
do ar
• Mega ataque cibernético deixa 200.000
vítimas em 150 países
Ataque por malware a uma indústria química
• Tempo Estimado: 5 min.
• Utilizando o simulador será realizado um ataque através de infecção por APT:
Durante o ataque a programação dos set points das bombas hidráulicas será alterada
pelo vírus provocando o transbordamento do tanque químico.
Normas de Segurança Cibernética
Norma ANSI/ISA 99 (ou IEC-62443)
• Norma elaborada pela ISA (The Instrumentation Systems
and Automation Society) para estabelecer segurança da
informação em redes industriais
• É um conjunto de boas práticas para minimizar o risco de
redes de sistemas de controle sofrerem Cyber-ataques
ANSI/ISA-TR99.00.02-2004: Programa de segurança de sistemas de controle industriais
1. Análise de Riscos (Assessment & Plan) • Racional do negócio, identificação de riscos, classificação e análise
• Primeira etapa e condição si-ne-qua-non para implementação de
segurança cibernética em redes industriais
2. Endereçando contramedidas (Execute) • Política de Segurança, Organização e Treinamento
• Definir escopo, segurança organizacional, treinamento da
equipe, plano de continuidade de negócios, políticas e
procedimentos
• Selecionar contramedidas de segurança
• Segurança pessoal, segurança física, segmentação de rede,
controle de acesso, autenticação e autorização
• Implementação
• Gerência de riscos e implementação, desenvolvimento e
manutenção de sistemas, gestão da informação e
documentos, planejamento de incidentes
3. Monitorando e controlando (Control) • Compliance
• Revisar, melhorar e manter o CSMS
Norma NIST 800-82
• Norma elaborada pelo NIST
• O documento é um guia para o estabelecimento
de sistemas de controle de segurança para
indústrias (ICS).
• Estes sistemas incluem controle supervisório e
aquisição de dados em sistemas SCADA,
sistemas de controle distribuídos (DCS), e outras
configurações de sistema para PLCs.
http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf
Normas ISO 27001 / 27002
• Base para a criação de documentos de segurança da informação, como políticas e padrões.
• Usada para análise de segurança física
Análise de riscos SCADA
Análise de Riscos: ponto de partida
Análise estática
Questionários e inspeção
de auditoria de segurança
física e lógica da rede de
automação alinhados com
as boas práticas das
normas ANSI/ISA-99 , NIST
800-82 e ISOs
27001/27002
Análise dinâmica
Coleta de dados
automatizada suportada
por um firewall de
próxima geração
configurado em modo
TAP (não intrusivo) para
a coleta de informações
da rede a nível de
aplicação
Planejamento de Segurança Cibernética Industrial (PSCI) Define objetivos e prazos relativos aos procedimentos de implementação de controles e procedimentos de segurança cibernética para redes industriais e sistemas SCADA
• Baseada na resposta a questionário desenvolvido de acordo com as diretrizes do CSMS (Cyber Security Management System) especificado nas normas ANSI/ISA-99 e NIST 800-82.
• Nesta análise são levantadas as principais vulnerabilidades inerentes à arquiteturas de rede inseguras e/ou em não conformidade com o modelo de defesa em profundidade da norma, fragilidades de aplicativos, sistemas e protocolos, e por fim, falhas no processo de governança de TA da infraestrutura crítica.
Análise de Riscos de Segurança Lógica
• Baseada na resposta a questionário desenvolvido de acordo com as diretrizes de segurança física de datacenters das normas ISO 27001 e ISO 27002
• Objetiva analisar a segurança física do meio ambiente das áreas de TI/TA e é de fundamental importância, visto que, os processos de controle são executados em equipamentos instalados neste(s) ambiente(s)
Análise de Riscos de Segurança Física
• Realizada com o uso de um Firewall de Próxima Geração, permite
analisar vulnerabilidades da rede de controle em camada 7 (aplicação)
• São realizados testes de IPS (Intrusion Prevention System) tradicionais,
com uma abordagem mais compreensiva que leva em consideração
aplicações modernas e suas capacidades, bem como detecta ameaças
como Vírus, Malware e inspeção de conteúdo.
• Os testes dão visibilidade de tráfego e ameaças provenientes da
Internet, bem como demais perímetros de automação como fronteiras
com redes corporativas, sistemas supervisórios, datacenter de
automação, rede de processos, assim como links com terceiros e
conexões externas de VPN ou entidades regulamentadoras que fazem
leitura da capacidade produtiva das plantas de automação.
• Os testes em ambientes de automação seguem o conceito do
espelhamento de tráfego sem gerar impactos ou mudança na topologia
Análise de Riscos Dinâmica
Entregáveis da Análise de Riscos
Relatório de Análise Estática de Riscos (RAER)
Relatório de Análise de Segurança Física (RASF)
Relatório de Visibilidade de Aplicativos e Riscos (RVAR)
Planejamento de Segurança Cibernética Industrial (PSCI)
O que descobrimos em nossas Análises de riscos SCADA: Antivirus não é suficiente.
Antivírus realmente protegem redes industriais?
• Em nossas análises de riscos, durante a análise dinâmica, frequentemente nos
deparamos com soluções de antivírus que não protegem a planta
• Testamos as principais soluções de antivírus disponíveis no mercado brasileiro contra
ataques de baixa complexidade com ferramentas baixadas da Internet.
• Soluções de antivírus testadas:
McAfee Antivirus Plus
Kaspersky Antivirus
Panda Antivirus Pro
Trend Titanium Maximum Security
Norton Antivirus
F-Secure Antivirus
avast! Pro Antivirus
AVG Anti-Virus
Sophos Anti-Virus
Microsoft Security Essentials.
E-SET NOD32 Antivirus
Resultados dos testes
Os resultados obtidos foram compilados em uma matriz (próximo slide). A partir da análise desta
matriz foi possível observar que:
• A grande maioria das detecções foi baseada em heurística.
• A grande maioria das soluções de antivírus não foi capaz de detectar a ameaça na memória.
• Apenas duas soluções reagiram por comportamento: Sophos Antivirus 7 e Panda AntiVirus
• Nenhuma solução que conseguiu detectar um ataque foi capaz de pará-lo.
• Nenhuma das soluções conseguiu a nota máxima.
• Nenhuma das soluções conseguiu detectar mais de uma amostra de malware criada em
laboratório pela equipe da TI Safe (ataques 10,11 e 12).
• Alguns produtos comerciais não foram capazes de detectar nenhuma amostra de malware
criada em laboratório pela equipe da TI Safe (ataques 10,11 e 12).
• Em termos de heurística, há soluções comerciais que tiveram desempenho inferior a soluções
gratuitas e outras que tiveram desempenho equivalente.
• Todos os candidatos falharam em prevenir o ataque pelo applet Java (ataque 16).
Matriz de resultados dos testes
McAfee Antivirus Plus
2012
Kaspersky Antivirus
2012
Panda Antivirus Pro
2012
Trend Titanium
Maximum SecurityNorton Antivirus 2012 F-Secure Antivirus 2012 avast! Pro Antivirus 6
AVG Anti-Virus FREE
2012Sophos Anti-Virus 7
Microsoft Security
EssentialsE-SET NOD32 Antivirus 5
1 EICAR EICAR test file EICAR-Test-File EICAR-AV-TEST-FILE Eicar_test_file EICAR Test String Trojan.Generic.6567028 EICAR Test-NOT virus!!! EICAR_Test EICAR-AV-Test DOS/EICAR_Test_File Eicar test file
2Metasploit EXE Default Template (no
encryption)Swrort.f Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/EncPk-ACE Trojan.Win32/Swrort.A
a variant of Win32/Rozena.AA
trojan
3Metasploit EXE Default Template
(shikata_ga_nai)Swrort.d Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/Swrort-C Trojan.Win32/Swrort.A
a variant of Win32/Rozena.AH
trojan
4Metasploit EXE Notepad Template (no
encryption)Swrort.f Trojan.Win32.Generic Trj/Genetic.gen - - Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A
a variant of Win32/Rozena.AA
trojan
5Metasploit EXE Notepad Template
(shikata_ga_nai)Swrort.d Trojan.Win32.Generic Trj/Genetic.gen - - Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/Swrort-C Trojan.Win32/Swrort.A
a variant of Win32/Rozena.AH
trojan
6Metasploit EXE SkypePortable Template
(shikata_ga_nai)Swrort.d Trojan.Win32.Generic - - - Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A
a variant of Win32/Rozena.AH
trojan
7Metasploit LOOP-VBS Default Template
(no encryption)Swrort.f Trojan.Win32.Generic Script Blocked TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A
a variant of Win32/Rozena.AA
trojan
8Metasploit LOOP-VBS Default Template
(shikata_ga_nai)Swrort.f Trojan.Win32.Generic Script Blocked TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A
a variant of Win32/Rozena.AH
trojan
9 Shellcodexec Default w/ VBS launcher Generic.tfr!iTrojan.Win32.Genome
.vrrgTrj/CI.A - Trojan.Gen Trojan.Generic.6567028 Win32:Malware-gen Trojan Generic22.KPM Mal/Generic.L -
Win32/ShellcodeRunner.A
trojan
10TI Safe Modded Shellcodeexec (w/ VBS
launcher)- - Script Blocked - - - - - - - -
11TI Safe Modded Shellcodeexec (Custom
EXE w/ embedded payload)- - - - - Backdoor.Shell.AC - Trojan Generic22.SND - Trojan.Win32/Swrort.A -
12 TI Safe Custom Payload Launcher - - - - - - - - Mal/FakeAV-FS - -
13 Metasploit PDF (adobe_utilprintf) Exploit.PDF.bk.gen Exploit.JS.Pdfka.cil - HEUR_PDFEXP.BBloodhound.Exploit.21
3Exploit.PDF-JS.Gen JS:Pdfka-gen Script/Exploit Troj/PDFJs-B Trojan.Win32/Swrort.A JS/Exploit.Pdfka.NOO trojan
14Metasploit PDF
(adobe_pdf_embedded_exe)Swrort.f Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Bloodhound.PDF.24 Exploit.PDF-Dropper.Gen Win32:SwPatch Exploit.PDF Mal/Swrort-C Trojan.Win32/Swrort.A PDF/Exploit.Pidief.PFW trojan
15Metasploit PDF
(adobe_pdf_embedded_exe_nojs)Swrort.f Trojan.Win32.Generic Suspicious File TROJ_PIDIEF.SMEO Bloodhound.PDF.24 Exploit.PDF-Dropper.Gen PDF:Launchr-C Exploit Mal/Swrort-C Trojan.Win32/Swrort.A PDF/Exploit.Pidief.PFT trojan
16 Metasploit Java Applet - - - - - - - - - - -
Ataques Executados
Soluções de Antivirus Testadas
Estratégias para proteção e
controle de Malware em redes de
automação
Requerimentos de um sistema de controle
SSR-1 Sistema NO STOP
SSR-2 Segurança em arquitetura fechada de rede
SSR-3 Sem aplicação frequente e regular de patches
SSR-4 Guarda impacto mínimo na performance de sistemas
SSR-5 De fácil instalação e não é operado por T.I.
Kaspersky KICS: A solução completa
• A Kaspersky Industrial CyberSecurity (KICS) é
uma suíte de tecnologias desenvolvida para a
segurança cibernética industrial em camadas,
incluindo servidores SCADA, interfaces homem-
máquina (IHM), estações de engenharia, PLCs,
conexões de rede e pessoas – sem impactos na
continuidade operacional e consistência do
processo tecnológico.
• A KICS foi projetada especificamente para
proteger ambientes industriais complexos que
contêm uma grande variedade de sistemas
proprietários. Trata-se de uma solução de
segurança altamente flexível que pode ser
ajustada às necessidades de cada instalação.
SOC – Security Operations Center/ICS MSS
• SOC TI Safe (SOC – Security Operation
Center) - Monitora/gerencia ambientes de
segurança cibernética de TI e TA
remotamente, através dos serviços de ICS
MSS.
• ICS MSS (Managed Security Services):
serviços gerenciados de segurança para
sistemas de controle industriais. Detecta e
trata vulnerabilidades em ambientes de TI e
de TA de forma rápida, o que é fundamental
para evitar e mitigar ataques cibernéticos.
• Conta com experiente equipe em detectar
imediatamente ataques cibernéticos e
realizar as contramedidas necessárias e
cobertura 24 x 7 x 365.
• Suporte local no cliente quando necessário.
MAIO DE 2018 - SALVADOR
Contatos
