Apresentação de Segurança SCADA - IBM
-
Upload
ti-safe-seguranca-da-informacao -
Category
Technology
-
view
353 -
download
0
description
Transcript of Apresentação de Segurança SCADA - IBM
© 2013 IBM Corporation
IBM Security Systems
SCADA / Sistemas de controle IndustriaisQuem está realmente no controle de nossos Sistemas?
Mitigando riscos em ambientes industriais
Marcus V I [email protected] Security Systems Technical Sales
© 2013 IBM Corporation2
Incidentes SCADA na ficção – Die Hard 4
© 2013 IBM Corporation3
Incidentes SCADA são reais!
© 2013 IBM Corporation4
Segurança em sistemas SCADA é real e preocupante
� O número de vulnerabilidades detectadasfoi aumentado em 20 vezes (desde 2010 )
� 50% das vulnerabilidades permitemexecutar código
� Existem exploits públicos para 35% das vulnerabilidades reportadas
� 41% de vulnerabilidades são Críticas. Maisde 40% de sistemas disponíveis a partir daInternet podem ser invadidos e sabotadospor usuários sem conhecimentosavançados (Metasploit ?).
� 54% e 39% de sistemas disponíveis a partirda Internet na Europa e na América do Norte, respectivamente, estão vulneráveis
© 2013 IBM Corporation5
ICS-CERT Incidents by Sector – Fiscal Year 2012
Segurança em sistemas SCADA é real e preocupante
© 2013 IBM Corporation6
Mitos a respeito de SCADA
”Sistemas SCADA residem em uma rede fisicamente separada,
independente e isolada dos demais perímetros corporativos. ”1
© 2013 IBM Corporation7
Mitos a respeito de SCADA
“Conexões entre sistemas SCADA e redes corporativas são
protegidas por forte controles de acesso”2
© 2013 IBM Corporation8
Mitos a respeito de SCADA
“ Conexões a sistemas SCADA requerem conhecimento especia lizado,
dificultando que intrusos acessem e controlem a rede.”3
© 2013 IBM Corporation9
Típico ataque a sistemas SCADA
© 2013 IBM Corporation10
Papel da TI para Segurança em SCADA
"Não são as pessoas de SCADA que não sabem o que estão fazendo. Parte destes sistemasforam criados há mais de 20 anos, e os engenheiros projetaram essas coisas presumindoque deveriam operar de forma isolada. Porém, não estão mais isolados“
Alan Paller, diretor de pesquisa, SANS Institute
Segurança para SCADA está geralmente anos atrás da segurança implementada em sistemastradicionais de tecnologia da informação por causa de seu histórico de isolamento.
Muitos dos problemas confrontados no mundo SCADA já foram endereçados e mitigados no mundo corporativo de TI. Essas soluções, onde apropriadas, necessitam ser aplicadas àsredes e sistemas SCADA para que as redes industriais não reinventem a roda.
© 2013 IBM Corporation11
Os Process Control Systems (PCS) estão migrando pararedes TCP/IP
• Controles Analógicos e protocolos de status incorporados nos protocolosdigitais
• Limitações no uso de Criptografia
• Gama pobre de protocolos TCP/IP
Problemas com as correções de patchesincorporados aos sistemas operacionais• Controladoras geralmente rodando em sistemas
operacionais desatualizados;
• Patches de segurança e atualizações do SistemaOperacional não são aplicados;
• Dificuldade na correção das controladoras;• Fabricantes não se responsabilizam pela aplicação de
patches e updates caso sistemas industriais venham aapresentar falhas operacionais ou indisponibilidade.
11
Um Mundo TCP/IP Ativado
© 2013 IBM Corporation12
Mudança de controles analógicos paradigitais e incorporação de padrões de rede:• Comunicações TCP/IP• Comunicações Wireless
Substituição de equipamentosincluem novos recursos“gratuitos”:• Conectividade ativada
por padrão;• Podem ser ligados
pelos engenheirosde campo.
A partir de analógico
para digital (+ em rede )
A partir de analógico
para digital (+ em rede )
Integraçãode WirelessIntegraçãode Wireless
Proliferação de Dispositivos de Rede
© 2013 IBM Corporation13
Resultados típicos de assessmentsrealizados em
ambientes SCADA
© 2013 IBM Corporation14
•Redes PCS (Process Control Systems) carecem de segmentação e antivirus.
•Sistemas operacionais com instalação padrão permitemexploração de ataque em brechas já conhecidas e difundidasno mundo de TI
•A maioria das comunicações IP dentro das redes PCS nãosão criptografadas.
•A maioria dos sistemas PCS possuem limitações para gerarrastreabilidade da trilha de auditoria. Logs não são ativados.
•Correções não são, ou não podem ser instaladas nossistemas SCADA
•Nenhum tipo de segurança baseada em host é configuradanos dispositivos SCADA
•Muitas organizações ainda implementam forte medidas de segurança física esquecendo da importância da segurançalógica.
Descobertas típicas durante Assessments SCADA
© 2013 IBM Corporation15
Hackable Backbone
Andy Greenberg , 22.08.2007 , 18:00 ET
A primeira vez que Scott Lunsford tentou hackear uma planta de energia nuclear, disseram que sería impossível. Não existia nenhuma forma de acesso dos componentes SCADA a partir da Internet – enfatizaram os responsáveis pelaoperação da unidade nuclear. Lunsford, um pesquisador da IBM Security Systems,provou o contrário. “Foi um dos testes de invasão mais fáceis que já fiz em toda minha vida”, disse o pesquisador. No primeiro dia Lunsford já havia penetrado na rede SCADA. “Depoisde uma semana sería possível contorlar a planta inteira e isso realmente é um problema” – disse o pesquisador.Em retrospectiva , Lunsford diz--e a Comissão Nuclear dos EUA concorda - quegarantias de regulamentações governamentais o impediu do acionamento de um ataque nuclear. Mas ele afirma que se desejasse acessar os controles através darede, teria conseguido sabotar o fornecimento de energia para grande parte do país. “Teria sido tão simples como fechar uma válvula," disse ele . http://www.forbes.com/2007/08/22/scada-hackers-infrastructure-tech-security-cx_ag_0822hack_print.html
Avaliação de Instalação Nuclear
© 2013 IBM Corporation16
Como a proteger a infraestrutura
© 2013 IBM Corporation17
Control/Office InfrastructureControl/Office InfrastructureBridge ControlBridge Control
Plant Infrastructure
Plant Infrastructure
AtaquesWirelessAtaquesWireless
AtaquesWireless RF
AtaquesWireless RF
InfecçõesIndiretas de
malware
InfecçõesIndiretas de
malware
Ataquesdiretos daInternet
Ataquesdiretos daInternet
Serviçosvulneráveis
Serviçosvulneráveis
Hosts infectados
por malware
Hosts infectados
por malware
Ataquesindiretos da
Internet (ex: VPN)
Ataquesindiretos da
Internet (ex: VPN)
Ataques de Mídia
removível
Ataques de Mídia
removível
Roubo de credenciaisRoubo de
credenciais
AtaquesIncorporado
s
AtaquesIncorporado
s
Contaminaçãodo DispositivoContaminaçãodo Dispositivo
Vetores de Ataque SCADA
© 2013 IBM Corporation18
Control/Office InfrastructureControl/Office InfrastructureControl Bridge
Control Bridge
Plant Infrastructure
Plant Infrastructure
Logs e Trilhade AuditoriaLogs e Trilhade Auditoria
Alertas e Detecção de Anomalias
Alertas e Detecção de Anomalias
Proteçãobaseada em host
Proteçãobaseada em host
Controle de acesso
Controle de acesso
Segregaçãode Redes
Segregaçãode Redes
Gerenciamento de Vulnerabilidades
Gerenciamento de Vulnerabilidades
Prevenção de Intrusose Virtual Patch
Prevenção de Intrusose Virtual Patch
Resposta a EmergênciaResposta a Emergência
Estratégias de Proteção SCADA
© 2013 IBM Corporation19
IBM Security Network IPSProtege ambientes bloqueando ameaças mutantes e ataques 0 Day
Segregação de redes SCADA
provent aIBM ISS Proventia GX Intrusion Prevention System
© 2013 IBM Corporation20
� Utiliza abordagem baseada em protocolo para capturar muitos ataques "dia-zero" e ameaças mutantes versus IPS de somente assinatura
� Oferece proteção contra vulnerabilidades conhecidas quando uma correção estáindisponível ou implementado usando uma “correção virtual”
� Patch virtual protege os sistemasSCADA uma vez que os sistemase controladoras não podem recebercorreções.
IBM Security Network IPSProtege ambientes bloqueando ameaças mutantes e ataques 0 Day
Segregação de redes SCADA
Fontes: Tolly Group, outubro de 2012, IBM X-Force Research and Development Team
Hackers incluem novas
vulnerabilidades nos kits de exploração
Como o IBM IPS pode ajudarComo o IBM IPS pode ajudar
© 2013 IBM Corporation21
IBM Security Network IPSProteção de ataques específicos de redes SCADA
Segregação de redes SCADA
Assinaturas do PAM (Protocol Analysis Module) incluídas nativamente na proteção de redes industraisdos sensores de prevenção de intrusos da IBM
• Assinaturas nativas dos sistemas de Prevenção de Intrusos da IBM protegem os segmentos de redes industriais inspecionando tráfego e bloqueando o conteúdo malicioso direcionado aos ambientes de automação.
© 2013 IBM Corporation22
IBM Security Network IPSProteção de ataques específicos de redes SCADA
Segregação de redes SCADA
Importação de assinaturas oficiais SNORT/SourceFireou assinaturas mantidas pela comunidade.
Dezenas de assinaturas criadas pela comunidade de pesquisa e desenvolvimento de segurança em redesindustrais para proteção de unidades industriais.
• Mecanismo de inspeção SNORT acrescenta segundo nível de proteção contra ataques direcionados a redes SCADA. As regras podem ser modificadas ou novas regras podem ser criadas utilizando-se a sintaxe SNORT para proteção de sistemas ou cenários específicos.
© 2013 IBM Corporation23
IBM Security Network IPSProteção de ataques específicos de redes SCADA
Segregação de redes SCADA
• Exemplo de criação de assinatura personalizada SNORT para monitoração da condiçãode Reboot ou Restart de uma PLC a partir de um cliente não autorizado.
alert tcp !$ENIP_CLIENT 44818 -> $ENIP_SERVER any (msg:”SCADA_IDS: ENIP/CIP – Reboot or Restart from Unauthorized Client”; flags:PA; cip_service:5; reference:scada,1111501.htm, classtype:attempted-dos; sid:1111501; rev:1; priority:1;)
© 2013 IBM Corporation24
IBM Security Network IPSA inteligência da IBM no bloqueio de ataques a sistemas industriais
Prevenção de Intrusos e Patch Virtual sistemas SCADA
Stuxnet: “Malware” orientado a sistemas de automação in dustrial que monitoracentrífugas nucleares iranianas, arquitetado de forma sofisticada, levantando suspeitas diversas sobre a natureza da ação
� Sofisticado: � Inclui exploits para 4 vulnerabilidades (0-day) sem patches
� Inclui componentess assinados certificados digitais roubados� Disseminados através de diversos vetores, incluindo pen-drives � Infectou máquinas de desenvolvimento c/rootkit que esconde tanto o “malware” como as
mudanças que ele faz nos programas sendo desenvolvidos
� Dirigido:� Modifica códigos nos controladores lógicos programáveis - PLCs� Modificações só acontecem em determinadas circunstâncias (drivers de alguns fornecedores, operando
em condições específicas de frequência, etc
� Danos colaterais� – Infecção pode se espalhar de forma generalizada
© 2013 IBM Corporation25
IBM Security Network IPSA inteligência da IBM no bloqueio de ataques a sistemas industriais
Prevenção de Intrusos e Patch Virtual sistemas SCADA
•CVE-2008-4250 (MS-08-067) – Windows Server Service NetPathCanonicalize()
Vulnerability
•CVE-2010-2568 (MS-10-046) - Windows Shell LNK Vulnerability
•CVE-2010-2729 (MS-10-061) – Windows Print Spooler Service Vulnerability
•CVE-2010-2743 (MS-10-073) – Windows Win32K Keyboard Layout Vulnerability
•CVE-2010-2772 - Siemens SIMATIC WinCC Default Password Vulnerability
•CVE-xxxx-xxxx (MS-xx-xxx) – Windows Task Scheduler Vulnerability
© 2013 IBM Corporation26
IBM Security Network IPSA inteligência da IBM no bloqueio de ataques a sistemas industriais
Prevenção de Intrusos e Patch Virtual sistemas SCADA
2626
26
© 2013 IBM Corporation27
Virtual Patch – Proteção Preventiva vs. Reativa
Proteção baseada em pesquisa sobre vulnerabilidades
Proteger contra exploits é reativo• Tarde demais na maioria dos casos• Vulnerável a variações dos exploits
Proteger contra vulnerabilidades e comportamentos maliciosos é preventivo• Para ameaças na sua raiz
• Menor número de assinaturas para gerenciar (menor TCO)
• Requer pesquisa e desenvolvimento excelentes
Prevenção de Intrusos e Patch Virtual sistemas SCADA
© 2013 IBM Corporation28
� Redes podem ser construídascom uma zona de segurança"SCADA" isoladas e segmentadas das demaisredes com uso de um IPS Next Generation.
� Acesso para a zona SCADA pode ser autenticado pelousuário, e não o endereço IP. A capacidade de políticas de segurança com a identidadedo usuário fornecem nãoapenas de acessoapropriados para a zona , mastambém um relatório e trilhade auditoria.
� Os usuários não autorizadossão negados.
� Inspeção SSL garante a visibilidade de tráfegocriprografado.
Prevenção de Intrusos e controle de acesso SCADA
Controle de acesso granular a partir do entendimento de aplicações web, cliente x server e dos diversos comportamentos de uma aplicação.
Pare o mau uso da rede corporativa bloqueando sites que introduzem risco e custos indevidos
Políticas flexíveis de controle de acesso à rede
Limite o uso de redes sociais, compartilhamento de arquivos e webmail para usuários comuns
IBM Security Network IPSNext Generation IPS
© 2013 IBM Corporation29
Prevenção de Intrusos e detecção de anomalias SCADA
IBM Security Network IPSNext Generation IPS
� Uma estrutura de proteçãocompleta pode ser implementada parainspecionar todo o tráfegoque atravessar a zonaSCADA em busca de códigos hostis que exploremos sistemas industriais.
� O Next Generation IPS agrupa os pacotes em fluxosde rede compreendendo a sequencia de dados transmitidos. Captura podeser enviada ao sistema de inteligência de segurançaQRadar em busca de anomalias.
� O fluxo de rede capturadocontém dados relacionadosa camada de aplicação(layer 7), aumentando a leitura de ameaças em cursono ambiente.
Fluxos de rede podem ser enviados ao QRadar para análise avançada, correlação e detecção de anomalias
Contexto de identidade relaciona usuários e grupos às suas atividades de rede, indo além de políticas baseadas apenas em endereço IP
Contexto de aplicação classifica totalmente o tráfego de rede, independente de porta, protocolo ou técnicas de evasão
Aumente a Segurança Reduza Custos Habilite a Inovação
© 2013 IBM Corporation30
•Plataforma auxilia no processo de entendimento de vulnerabilidades existentes em equipamentos de rede, aplicações e sistemas operacionais;
•Determina os pontos vulneráveis topologias de rede SCADA, como existência de PLCs com sistemasoperacionais desatualizados;
•Organiza as vulnerabilidades encontradas por grupos, ativos e severidades no painel central;
•Exibe feeds em tempo real de notícias e informações sobre existência de vulnerabilidades e advisories de diversos fabricantes.
Gerenciamento de Vulnerabilidades SCADA
IBM Security QRadar Vulnerability ManagerSecurity Intelligence
© 2013 IBM Corporation31
•Monitoramento de ameaças e resposta a incidentes de segurança de rede e operações de data centers, incluindo os sistemas de SCADA;
•Segurança interna com visibilidade em tempo real dos eventos e ameaças direcionadas as redes e sistemas SCADA;
•Agregação e correlação de logs para análise de diferentes tecnologias e fornecedores;
•Inteligência na visibilidade do Fluxo de Rede embusca de anomalias a partir da correlação dos fluxos com eventos de auditoria de sistemasoperacionais, equipamentos de conectividade e aplicações.
•Auditoria de conformidade, relatórios e apontamentos de suporte NERC, CIP, FERC, etc.
Log de Auditoria e Inteligência SCADA
IBM Security QRadarSecurity Intelligence
© 2013 IBM Corporation32
Dicas do IBM X-Force
As estratégias a seguir são recomendadas para ajudar a pr otegerseus SCADA ambiente contra ataques:
• Conheça seu ambiente SCADAQuais são as senhas e eles são fortes?
• Capture e armazene dados para análise e futuro forense
• Implemente uma VPN para facilitar o gerenciamento de acessoe de segurança
• Se utilizar WLAN, utilize uma infra - estrutura wireless criptografadas, de preferência WPA ou WPA2
• Ativar os firewalls e as outras ACLs para permitir que apenas acessode saída para um número muito limitado de sites. Monitore e acompanhe de perto os acessos.
• Implementar IPS de rede para bloquear possíveis ataques e utilizar o conceito de Virtual Patching.
• Executar análises de vulnerabilidades nas redes corporativase perímetros SCADA
© 2013 IBM Corporation33
Links úteis
Folder Soluções de Segurança IBM (em português)http://www.ibm.com/common/ssi/cgi-bin/ssialias?subtype=BR&infotype=PM&appname=SWGE_WG_WG_BRPT&htmlfid=WGB03004BRPT&attachment=WGB03004BRPT.PDF
Tolly report (em português)Avaliação Comparativa de Eficácia e Desempenho do Sistema de Prevenção contra Intrusão para Segurança de RedesGX7800 da IBM
ftp://public.dhe.ibm.com/software/security/br/pdf/Tolly_report_IBM_IPS_GX7800_PORT.pdf
Relatório X-Force Riscos e Tendências de Segurança (2014) (em português)http://ibm.biz/BdFxkd
Website (em inglês) : www.ibm.com/securityWebsite (em português) : www.ibm.com/software/br/security
Site Security Intelligence - Analysis and Insight for Information Security Professionals (em inglês):
http://securityintelligence.com/
© 2013 IBM Corporation34