View
67
Download
1
Embed Size (px)
Citation preview
2º RELATÓRIO ANUAL TI SAFE SOBRE INCIDENTES DE SEGURANÇA EM REDES DE AUTOMAÇÃO BRASILEIRAS
2º RELATÓRIO ANUAL | TI SAFE ABRIL 2016
INTRODUÇÃOEste relatório é uma análise detalhada dos incidentes de segurança em redes de automação brasileiras como parte de nossa pesquisa contínua para compreender a situação das ameaças contra a infraestrutura crítica nacional. É uma atualização da primeira versão do relatório divulgada no ano de 2014 e tem como principal objetivo servir como fonte de referência e pesquisa para interessados no tema e orientar gestores quanto às principais fontes de ameaças e as vulnerabilidades por elas exploradas.
Todos os dados utilizados para a elaboração do relatório foram obtidos a partir de conteúdos de projetos executados pela TI Safe em seus clientes no Brasil e possuem caráter sigiloso. Nenhum nome de cliente, projeto, informação técnica relevante ou financeira de nossos clientes foi exposto.
É relevante ponderar que os dados integrantes desta pesquisa não correspondem à totalidade dos incidentes de segurança de automação em plantas industriais brasileiras. Eles representam única e exclusivamente uma totalização dos incidentes ocorridos em redes de automação de clientes da TI Safe no Brasil. Os dados apresentados neste relatório foram coletados no período de Setembro de 2008 a Dezembro de 2015.
ALTERAÇÃO NA METODOLOGIA DE COLETA DE DADOS DE INCIDENTESNesta nova versão do relatório o método de coleta de dados de incidentes em nossos clientes foi aprimorado. Passamos a utilizar um NGFW (Next Generation Firewall ou Firewall de Próxima Geração) operando em camada 7 (camada de aplicação) para a coleta não somente dos dados dos incidentes de segurança como também detalhes técnicos sobre Malware, aplicativos de alto risco sendo executados nas redes de automação e as principais vulnerabilidades exploradas.
QUANTIDADES ANUAIS DE INCIDENTES DE SEGURANÇA EM REDES DE AUTOMAÇÃO BRASILEIRAS
Com isto houve um aumento relevante no número de incidentes de segurança detectados e foi gerado um relatório com uma maior visibilidade das ameaças às redes de automação críticas das infraestruturas de nossos clientes.
DADOS QUANTITATIVOS DE INCIDENTES DE SEGURANÇA EM REDES DE AUTOMAÇÃO BRASILEIRASO ano de 2015 mostra claramente uma explosão no número de incidentes de segurança cibernética dentro das redes de automação nacionais, como mostram a tabela e figura a seguir:
900800700600500400300200100
0
Tipo de ameaçaMalwareErro HumanoFalhas em dispositivosSabotagemNão identificados
Incidentes por ano
200812000
200912001
201023111
201124200
201233401
201373402
2014104
21816
2015667
5633
121
Total787
9452
332
Núm
ero
de in
cide
ntes
2011
8
2008
3
2009
4
2010
8
2012
11
2013
16
2014
140
2015
778
TABELA 1
EVOLUÇÃO DOS INCIDENTES DE SEGURANÇA EM REDES DE AUTOMAÇÃO BRASILEIRASFIGURA 1
2º RELATÓRIO ANUAL | TI SAFE ABRIL 2016
MALWARE: O PRINCIPAL VILÃO DAS REDES DE AUTOMAÇÃOComumente conhecido e generalizado como Vírus, malware agrupa todo software ou programa criado com a intenção de abrigar funções para penetrar em sistemas, quebrar regras de segurança, roubar informações e servir de base para demais operações ilegais e/ou prejudiciais.1
O relatório mostra que as infecções por Malware são a principal causa de incidentes de segurança da informação
em redes industriais no brasil e que, no ano de 2015, houve uma explosão no
número de máquinas infectadas, como mostra a figura acima.
Esta alta incidência mostra que a maioria das redes de automação no país não possui recursos mínimos de segurança contra malware, contendo máquinas sem antivírus e com patches desatualizados, quando existem. Este frágil cenário se deve basicamente a dois fatores: a demora dos fabricantes em liberar e testar patches após eles terem sido liberados e a falta de políticas e boas práticas de segurança da informação em redes de automação.Além disso, foi possível verificar a ocorrência em larga escala de aplicativos inseguros e inapropriados sendo usados em redes de automação. A transferência de arquivos dos aplicativos pode levar ao vazamento de dados; a capacidade de evitar a detecção ou o túnel de outros aplicativos pode levar a riscos de conformidade; o consumo de largura de banda alta equivale a um aumento dos custos operacionais e os aplicativos que são propensos a malwares ou vulnerabilidades podem apresentar riscos de continuidade de negócios.A identificação dos riscos que um
aplicativo apresenta é o primeiro passo para o gerenciamento eficaz dos riscos corporativos relacionados.
A tabela acima mostra os dez aplicativos com nível de risco que foram encontrados com maior freqüência.
Máq
uina
s in
fect
adas
2011
2
2008
1
2009
1
2010
2
2012
3
2013
7
2014
104
2015
667
AUMENTO DE MÁQUINAS INFECTADAS POR MALWARE EM REDES DE AUTOMAÇÃO BRASILEIRASFIGURA 2
800700600500400300200100
0
TOP 10 - APLICAÇÕES DE ALTO RISCO ENCONTRADAS EM REDES DE AUTOMAÇÃO BRASILEIRAS
TABELA 3
Aplicação de alto risco http-proxy (proxy) 416392Skype (voip-video) 56705FTP (file sharing) 35372webdav (file sharing) 20272SMTP (email) 2118x11 (remote access) 1273google-docs-base (office programs) 570http-audio (audio streaming) 248rss (internet utility) 119Bittorrent (file sharing) 98
Sessões estabelecidas
O Malware "Conficker Win 32" 2, dominou a contagem de malware em plantas de automação no Brasil no período, tendo sido o responsável por 395 das 667 infecções computadas.
TIPOS DE MALWARE DESCOBERTOS EM REDES DE AUTOMAÇÃO BRASILEIRAS
TABELA 2
MalwareNet-Worm/Win32.Conficker.cw 395Virus/Win32.WGeneric.ewnbr 168Trojan-Downloader/Win32.agent.dn 84Virus/Win32.WGeneric.fbsza 32Virus/Win32.WGeneric.gczvh 22Trojan-Ransom/Win32.cryptodef.bf 21GenericR/Win32.dsc.c 18Virus/Win32.WGeneric.fpuiy 17Trojan/Win32.vobfus.jgcy 10Virus/Win32.WGeneric.gewzr 9None:goiaxt.com 8Virus/Win32.WGeneric.gdoqq 3
N.º de ocorrências
2º RELATÓRIO ANUAL | TI SAFE ABRIL 2016
Os principais problemas relacionados ao uso de aplicativos de alto risco em redes de automação são:
Aplicativos com proxy e de acesso remoto foram encontrados. Funcionários experientes podem estar usando esses aplicativos para ocultar a atividade e, assim fazendo, podem expor as redes de automação a riscos de conformidade e perda de dados.
Aplicativos P2P e aplicativos baseados em navegador de compartilhamento de arquivos são usados em larga escala em redes de automação. Estes aplicativos expõem as empresas à perda de dados e a riscos de conformidade que podem atuar como um vetor de ameaça.
Vários aplicativos que são comumente usados para comunicações pessoais foram encontrados, incluindo mensagens instantâneas, webmail, e VoIP/vídeo conferência. Estes tipos de aplicativos expõem as empresas a uma possível perda de produtividade, riscos de conformidade e de continuidade de negócios.
Aplicativos que são conhecidos por consumir largura de banda excessiva, incluindo foto/vídeo e áudio foram detectados. Estes tipos de aplicativos representam um gasto de produtividade dos funcionários e podem consumir quantidades excessivas de largura de banda, atuando como vetores de ameaças potenciais e degradando o tempo de resposta das redes de tempo real.
OCULTAÇÃO DE ATIVIDADE
TRANSFERÊNCIA DE ARQUIVOS E PERDA DE DADOS
COMUNICAÇÕES PESSOAIS
APLICAÇÕES DE ALTO CONSUMO DE BANDA
VULNERABILIDADES EM PROTOCOLOS INDUSTRIAIS ESTÃO SENDO CADA VEZ MAIS EXPLORADASA maior visibilidade dos aplicativos na rede, independentemente da porta,
túneis ou outras táticas evasivas que podem ser utilizadas, estende-se para explorar a vulnerabilidade de proteção a fim de garantir que a ameaça seja detectada e bloqueada. As
vulnerabilidades dos aplicativos SCADA encontradas nas redes de nossos clientes foram classificadas por protocolo e quantidade e apresentadas na tabela abaixo:
PRINCIPAIS VULNERABILIDADES DE APLICATIVOS SCADA DESCOBERTAS EM REDES DE AUTOMAÇÃO BRASILEIRAS
TABELA 4
Vulnerabilidade de aplicativos SCADA Protocolo Quantidade
SCADA Modbus Read Request to a PLC Attempt (modbus-read- info-leak) Modbus 5124628
SCADA ICCP COTP Connection Request from Unauthorized Client cotp 3445262
SCADA ICCP Unauthorized COTP Connection Established cotp 1232751
SCADA ICCP Unauthorized MMS Write Request Succeeded iccp 989098
SCADA DNP3 Unauthorized Read Request to a PLC Atempt dnp3 576098
SCADA Password Crack Brute-Force Attack cotp 199089
SCADA DNP3 Unauthorized Write Request to a PLC Atempt dnp3 87999
SCADA ICCP Unauthorized Association Request iccp 24509
A maioria das organizações cujos dados foram consolidados nesta pesquisa não possui uma política afinada para gerir seus aplicativos - porque não tem sido historicamente necessário ou viável. Com o crescimento das aplicações controladas pelos usuários, a tendência para transportar características evasivas para simplificar o acesso e as ameaças que se aproveitam deles, recomendamos implementação de políticas para habilitação segura de aplicativos, que permitam, de forma controlada, a utilização somente dos aplicativos necessários para a operação e supervisão das plantas de automação.
Os riscos de segurança e conformidade associados com estes aplicativos podem apresentar problemas para as redes de tempo real já que os funcionários podem utilizar estes aplicativos para contornar os controles de segurança existentes. Sem a compreensão, a categorização e a redução destes riscos, expõe-se a rede de automação da empresa a uma possibilidade de transferência de dados não autorizada, violações de conformidade e ameaças associadas aos aplicativos.
Aplicativos como proxy, acesso remoto e túnel criptografado são às vezes utilizados por funcionários que querem esconder suas atividades. Isto representa riscos corporativos e de segurança para as redes das empresas. Políticas que ditam o uso desses aplicativos devem ser implementadas.
A única forma de reduzir o risco do nível de aplicativo é primeiro, saber quais aplicativos estão sendo usados dentro das redes de automação, quais são os riscos corporativos e de segurança, e, finalmente, criar e aplicar as políticas de segurança adequadas.
AUMENTAR O CONTROLE SOBRE A SEGURANÇA DOS APLICATIVOS DAS REDES DE AUTOMAÇÃO
MINIMIZAR OS RISCOS RELACIONADOS AO USO DE APLICATIVOS P2P E O COMPARTILHAMENTO DE ARQUIVOS BASEADO EM NAVEGADOR DENTRO DE REDES DE AUTOMAÇÃO
IMPLEMENTAR POLÍTICAS QUE DITEM O USO DE APLICATIVOS DE OCULTAÇÃO DE ATIVIDADE
BUSCAR VISIBILIDADE E CONTROLE DE APLICATIVOS DENTRO DAS REDES DE AUTOMAÇÃO
maior que a dos anos de 2008 a 2014 somados, o que representa um crescimento alarmante.
As infraestruturas críticas brasileiras devem despertar urgentemente para este cenário e implementar controles de
segurança que vão de encontro ao cenário de ameaças documentado nesta pesquisa.
Os principais controles de segurança recomendados pela TI Safe diante deste cenário desafiador são os seguintes:
2º RELATÓRIO ANUAL | TI SAFE ABRIL 2016
CONCLUSÃOO aumento da atividade hacker no Brasil e a evolução dos ataques direcionados a redes de automação aumentou vertiginosamente no ano de 2015. Somente durante este ano foi notada uma quantidade de incidentes de segurança
REFERÊNCIAS1 Segurança de automação industrial e SCADA / Marcelo Ayres Branquinho ... [et al.]. 1. ed. - Rio de Janeiro. Elsevier, 2014.2 Trend Micro Incorporated. (2013). Threat Encyclopedia. “WORM_DORKBOT: IRC Bots Rise Again?” Acesso em 23 de junho,2013,http://about-threats.trendmicro.com/us/webattack/102/wormdorkbot%20irc%20bots%20rise%20again.
RIO DE JANEIRO - RJAv. das Américas, 700,Bloco 01, sala 331CEP 22640-100Telefone: +55 (21) 2173-1159Fax: (21) 2173-1165
SÃO PAULO - SPRua Dr. Guilherme Bannitz, 1262º andar - Cj 21, CV 9035CEP 04532-060Telefone: +55 (11) 3040-8656Fax: (11) 3040-8656
SALVADOR - BAAv. Tancredo Neves, 45016º andar – Edifício Suarez TradeCEP 41820-901Telefone: +55 (71) 3340-0633Fax: (71) 3340-0633
SITE: WWW.TISAFE.COM.BRTWITTER: @TISAFESKYPE: TI-SAFE