Segurança da Informação em Plantas Industriais

Aluno: Vitalino Victor Vargas BorgesDisciplina: Redes Industriais

Prof. José Luiz Domingos

Estrutura da apresentação

● Introdução● Objetivos● Metodologia● Justificativa● Desenvolvimento● Conclusão● Referências Bibliográficas

Introdução

Introdução

“ A transformação ocorrida na tecnologia utilizada no processo produtivo, como a utilização do protocolo TCP/IP em sensores e controladores, supervisórios utilizando sistemas Windows e a necessidade de integração com a rede corporativa é um fator que contribui para um cenário iminente de problemas.”

Introdução

“ A adoção destas que antes eram essencialmente tecnologias de TI, leva para o ambiente industrial todos os riscos de Segurança da Informação antes confinados no ambiente de TI.”

Introdução

Objetivos

● Objetivos gerais

Apresentar os pilares da Segurança da Informação e possíveis riscos de segurança que uma planta industrial pode estar sujeita. Além disto, apresentar medidas para mitigar os riscos e frameworks para melhor elaboração de políticas de segurança da informação em ambiente industrial.

Metodologia

● Leitura de artigos técnicos na área de controle de instrumentação fornecidos pelo professor;

● Pesquisas complementares em manuais de CLPs e artigos sobre segurança em sistemas SCADA;

Justificativa

“ Os modernos sistemas de automação industrial, em grande parte, são baseados em sistemas operacionais comerciais, implementações de protocolos e aplicações de comunicações desenvolvidas originalmente para o ambiente de TI administrativas. Sabe-se que muitos destes sistemas e implementações são vulneráveis aos ataques e, com as tecnologias abertas e padrões de Internet, a perícia e o conhecimento destas vulnerabilidades podem ser facilmente utilizadas por possíveis atacantes.”

Pilares da Segurança da Informação

Pilares da Segurança da Informação

Exemplos de ataques e

vulnerabilidades

Exemplos de ataques e vulnerabilidades

“ Um ataque é uma violação de um ou mais objetivos de segurança que podem iniciar-se dentro ou fora da planta.”

● Falhas em restrições de acesso e engenharia social

“Nos sistemas de segurança, o homem é, com frequência, o elo mais fraco [...]”

Exemplos de ataques e vulnerabilidades

● Ataques DoS em CLPs● Senhas fracas em servidores e CLPs

(Retirado do manual do WAGO 758)

Exemplos de ataques e vulnerabilidades

● Interceptação de dados

- Man-in-the-middle: ARP Spoofing

- Sniffing em redes sem fio

Exemplos de ataques e vulnerabilidades

● Protocolos inseguros

- HTTP

- ModbusTCP

criado em 1979 x TCP 1981

sem criptografia

Exemplos de ataques e vulnerabilidades

● Fragilidades em redes sem fio

- Quebra de WEP e WPA

- Ataques de desautenticação no 802.11

- Utilização de modens sem fio com suporte a Ethernet acessíveis a redes externas

- Falha na gestão de Access Points (risco de Rouge AP)

Exemplos de ataques e vulnerabilidades

● Ataques a sistemas SCADA

- DoS em sistemas supervisório (Elipse, CoDeSys)

- Execução de código arbitrário (decorrente de exploração de buffer overflow)

Exemplos de ataques e vulnerabilidades

● Malwares

Exemplos de ataques e vulnerabilidades

Medidas para proteção

Medidas para proteção

“ A segurança não é um objetivo fixo. Para manter seguro um sistema é necessário um esforço permanente. No caso dos sistemas de controle, tanto a empresa exploradora da planta como o fornecedor de automação devem se envolver nestes esforços. “

Medidas para proteção

Segurança física:- Investir em treinamentos e criação de políticas de segurança na empresa;

- Utilização de travas junto aos conectores de rede;

Medidas para proteção

Prevenção contra infecção de malwares:

“ Infecções por malware pode ser previnidas limitando seus meios de propagação

e comunicação “

Medidas para proteção

Prevenção contra infecção de malwares: - Na rede do sistema de automação bloquear todo tráfego referente a serviços de mensagens instantâneas (IM/IRC) e redes sociais.

Medidas para proteção

Prevenção contra infecção de malwares: - Uso de listas brancas para permitir acessos a apenas determinados sites.

“Idealmente, somente HTML puro deve alcançar o aplicativo cliente.”

Medidas para proteção

Prevenção contra infecção de malwares: - Bloqueio de serviços de compartilhamento de arquivos;

- Restrição a conexão de computadores portáteis a rede interna e uso de mídias portáteis nos computadores da indústria;

Medidas para proteção

Prevenção contra infecção de malwares: - Dentro da rede de controle firewalls adicionais e pessoais podem ser usados para criar zonas de restrição;

- Serviços não-essenciais com fraquezas conhecidas devem ser oferecidos por apenas um dos muitos servidores redundantes para reduzir o efeito de uma infecção;

Medidas para proteção

(Software Nessus com suporte a avaliação de vulnerabilidades em sistemas SCADA)

Gestão da Segurança da Informação

Gestão da Segurança da Informação

Risco é o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e o impacto resultante caso ele ocorra.

Gestão da Segurança da Informação

A gestão do risco é um processo contínuo de planejamento, identificação, análise, respostas e controle do risco para maximizar o potencial de sucesso de um processo ou atividade.

Gestão da Segurança da Informação

Os esforços contínuos são necessários para manter qualquer sistema seguro. Para o sucesso em qualquer tipo de implementação de Processo de Segurança de Rede existe um ciclo (Secure Plant) que deve ser seguido:

Gestão da Segurança da Informação

Gestão da Segurança da Informação

Em todo o processo os padrões e frameworks existentes podem ser usados como guias ou checklists para avaliação dos processos.

Gestão da Segurança da Informação

Gestão da Segurança da Informação

Para apoiar a implementação de controles para a mitigação de riscos no cenário de Automação, algumas iniciativas já foram tomadas por organizações globais e governamentais.

Gestão da Segurança da Informação

As normas em desenvolvimento consideram, dentre outras coisas, relatórios gerados anteriormente pela própria ISA que dão recomendações sobre quais tecnologias de segurança de TI são adequadas e quais aspectos a considerar quando se adapta a tecnologia para a TA.

Gestão da Segurança da Informação

A norma ISA 99 estabelece elementos para segurança em ambiente de informática, gerenciamento de sistema e orientação de como obter as conformidades para cada elemento. Os tópicos contemplam estratégias, procedimentos, práticas e pessoal.

Conclusão

Conclusão● Nesta apresentação vimos que as tecnologias

atualmente implementadas em ambiente industrial também estão sujeitas a ataques digitais;

● Medidas para conter os riscos ocasionados pela possibilidade de um ataque já estão sendo implementadas em muitas indústrias;

● Vários frameworks estão disponíveis para auxiliar os gestores na elaboração de boas políticas de segurança da informação, incluindo o ISA 99;

Referências bibliográficas

● Artigos de revistas da área de controle e instrumentação.