[Apresentação Técnica] Introdução à Forense Industrial
-
Upload
ti-safe-seguranca-da-informacao -
Category
Technology
-
view
211 -
download
2
Transcript of [Apresentação Técnica] Introdução à Forense Industrial
![Page 1: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/1.jpg)
Introdução à Forense IndustrialMarcelo Branquinho e Leonardo Cardoso
Junho de 2015
Introdução à Forense Industrial
![Page 2: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/2.jpg)
Siga a TI SafeSiga a TI Safe
• Twitter: @tisafe
• Youtube: www.youtube.com/tisafevideos
• SlideShare: www.slideshare.net/tisafe
• Facebook: www.facebook.com/tisafe
• Flickr: http://www.flickr.com/photos/tisafe
![Page 3: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/3.jpg)
Não precisa copiarNão precisa copiarNão precisa copiarNão precisa copiar
http://www.slideshare.net/tisafe
![Page 4: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/4.jpg)
• Principais riscos de ataques cibernéticos em infraestruturas críticas
• Panorama da Segurança Industrial no Brasil
• Malware
• APT – Advanced Persistent Threat
• A Lei e seus desdobramentos
• Caso prático
• Forense Industrial
• Desafios à forense em ambientes de T.A.
• Incidente Criminal
• Monitoramento Contínuo
• Incidente Marco Zero
• Melhores Práticas
• A Academia TI Safe
Agenda
![Page 5: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/5.jpg)
Principais riscos de ataques cibernéticos em infraestruturas críticas
![Page 6: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/6.jpg)
Infraestruturas críticas
• São sistemas de infraestrutura para os quais a continuidade é tão
importante que a perda, interrupção significativa ou degradação dos serviços
poderia ter graves conseqüências sociais ou à segurança nacional.
• Exemplos:
– Geração e distribuição de eletricidade;
– Telecomunicações;
– Fornecimento de água;
– Produção de alimentos e distribuição;
– Aquecimento (gas natural, óleo combustível);
– Saúde Pública;
– Sistemas de Transportes;
– Serviços financeiros;
– Serviços de Segurança (polícia, exército)
![Page 7: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/7.jpg)
As Ilhas de automaAs Ilhas de automaAs Ilhas de automaAs Ilhas de automaççççãoãoãoão
Sistemas SCADA, algumas décadas atrás:
• Sistemas proprietários, totalmente dependente de fabricantes.
• Sistemas isolados com arquiteturas fechadas - “Ilhas de automação”.
Arquitetura Básica SCADA
![Page 8: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/8.jpg)
A evoluA evoluA evoluA evoluçççção dos sistemas SCADA ão dos sistemas SCADA ão dos sistemas SCADA ão dos sistemas SCADA
• Sistemas abertos com arquitetura centrada em conectividade.
• Integrações cada vez mais freqüentes com a Intranet corporativa e Internet.
• Acesso a Dados Operacionais• Dashboards; Relatórios
• Centro de Controle para múltiplas Redes Operacionais• Diferentes tipos de acesso
• Diretores/Gerentes• Informação em tempo real• Tomada de decisão no processo
Servidores Servidores
SCADASCADA
Rede Operacional
GatewayGateway
Servidores Servidores
CorporativosCorporativos
Rede Corporativa
��Produtividade Produtividade
��CompetitividadeCompetitividade
![Page 9: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/9.jpg)
A evolução dos sistemas SCADA
• No início os sistemas supervisórios eram desenvolvidos em plataformas
operacionais caríssimas, baseadas em sistemas Unix like e máquinas
poderosas como os Digital Vax e Alpha.
• Desenvolver aplicativos para estas plataformas
era algo extremamente caro.
• Com isto, supervisórios passaram a ser
desenvolvidos para plataformas Windows, cujo
processo de desenvolvimento era muito mais
rápido e os custos globais do projeto eram
bastante reduzidos.
![Page 10: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/10.jpg)
Vulnerabilidades em redes industriaisVulnerabilidades em redes industriaisVulnerabilidades em redes industriaisVulnerabilidades em redes industriais
� Conexões não autorizadas
� Sistemas Vulneráveis
� Suporte Remoto Infectado
� Notebooks Infectados
� Firewall mal configurado
� Modems sem proteção
�Baixa segurança física em dispositivos remotos
Rede Corporativa
Rede Operacional
HackerHacker
HackerHacker
HackerHacker
HackerHacker
Vulnerabilidades
![Page 11: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/11.jpg)
Vulnerabilidades comuns em SCADA
Arquitetura de rede insegura
• Configuração de servidores de FTP, web e e-mail de maneira inadvertida ou sem necessidade
fornecem acesso à rede interna da empresa.
• Conexões de rede com parceiros de negócios não protegidas por Firewalls, IDS ou VPN são
portas de entrada para invasões.
• Modems habilitados, sem mecanismos fortes de controle de acesso.
• Firewalls e outros dispositivos de segurança de rede não implementados internamente,
deixando pouca ou nenhuma separação entre as redes corporativa e de automação.
• Redes sem fio configuradas sem segurança adequada.
• PLCs não requerem autenticação para serem usados.
• Softwares de supervisórios possuem vulnerabilidades publicadas na Internet.
• Pontos de rede de dispositivos no campo como CLPs e remotas estão diretamente
conectados à rede de automação e podem ser porta de entrada para ataques.
![Page 12: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/12.jpg)
Vulnerabilidades comuns
em SCADA (Cont.)
• Falta de monitoramento em tempo real
– LOGs de equipamentos de segurança não são analisados, impedindo o pessoal de
segurança de redes de reconhecer ataques individuais
– Empresas não utilizam software especialista para gestão de logs e incidentes
• Bombas Lógicas
– Pedaços de código intencionalmente inseridos em um sistema de software que
irá executar uma função maliciosa quando condições específicas forem atingidas.
• Falta de Conhecimento e crença em mitos
– “ Nossa rede de automação não está conectada à Internet, então não temos
nenhum problema”
– “ Nossos funcionários são 100% confiáveis”
![Page 13: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/13.jpg)
Panorama da Segurança Industrial no Brasil
![Page 14: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/14.jpg)
• Cada vez mais sofisticados, os ataques cibernéticos são
hoje capazes de paralisar setores inteiros da
infraestrutura critica de um país.
• Os eventos internacionais de grande porte atraem a
atenção do mundo e trazem riscos de invasões virtuais
em infraestruturas críticas brasileiras.
• E o Brasil, estaria blindado contra ataques virtuais como
estes? Já houve incidentes de segurança cibernética no
Brasil? Qual o estado atual da segurança de nossa
infraestrutura crítica?
IntroduIntroduççãoão
![Page 15: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/15.jpg)
• As organizações industriais pesquisadas englobam os principais setores
da indústria brasileira, com uma maior presença das empresas do setor
elétrico e petróleo e gás, mas incluindo também os setores de alimentos
e bebidas, águas e resíduos, transportes e logística, siderúrgicas,
nuclear, mineradoras e indústrias químicas.
RelatRelatóóriorio TI Safe, 2014TI Safe, 2014
![Page 16: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/16.jpg)
• A pesquisa mostrou que nenhuma das empresas entrevistadas tem a filosofia de
compartilhar publicamente os incidentes de segurança, 55% das empresas
tratam internamente os incidentes de segurança e apenas 12% das empresas
declaram seus incidentes sigilosamente aos fabricantes e consultorias
especializadas de segurança.
DeclaraDeclaraççãoão ppúúblicablica de de
incidentesincidentes de de seguranseguranççaa
![Page 17: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/17.jpg)
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
Incidentes#
Casos
Malware 27
Erro Humano 24
Falhas em dispositivos 15
Sabotagem 2
Outros - Não
identificados 9
IncidentesIncidentes de de seguranseguranççaa
ciberncibernééticatica industrial no Brasilindustrial no Brasil
![Page 18: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/18.jpg)
IncidentesIncidentes de de seguranseguranççaa
ciberncibernééticatica industrial no Brasilindustrial no Brasil
• Fonte: 1o Relatório Anual TI Safe sobre incidentes de segurança em redes de
automação brasileiras (ainda não divulgado)
• Incidentes computados de Setembro de 2008 a Abril de 2014
• Dados obtidos somente de clientes da TI Safe no Brasil
![Page 19: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/19.jpg)
• O DOWNAD, mais conhecido como “Conficker”, dominou a
contagem de malware em plantas industriais no Brasil.
• Dos 27 casos documentados em nosso estudo, 14 foram
derivados de infecções do Conficker.
• Isso acontece porque plantas de automação não são
atualizadas com os últimos patches, deixando-as expostos a
malwares como o Conficker.
• Além disso, boa parte das plantas industriais brasileiras não
possui política de segurança adequada, medidas para
controle de acesso à rede de automação e proteção de
portas USB.
MalwareMalware, o principal , o principal vilãovilão
![Page 20: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/20.jpg)
Estudo de Caso
Grande Siderúrgica Nacional
• Malware e sua variante: Conficker Win32
• Número de máquinas infectadas: toda a rede, mais de 30 computadores entre eles
servidores, estações de engenharia, estações de operação e gateway. “Não estou
mencionando os problemas do complexo siderúrgico. Apenas relatei a Termelétrica.
Houveram outras infecções nas demais unidades como Alto Forno, Sinter, Coqueria e
Distribuição de Energia”.
• Existia anti-virus na planta, porém estava com as assinaturas desatualizadas.
• Principais consequências da infecção: operação as cegas até o isolamento total do
problema. Entre 2 e 4 horas correndo risco.
• Houve prejuízos financeiros quantificáveis? Não, mas tivemos que explicar o ocorrido
para o O.N.S.
• Como foi o processo de desinfecção e quanto tempo levou? A desinfecção para
retornar a operação segura 4 horas, mas no total levaram mais de 30 dias até
podermos estabelecer todas as interfaces. A última interface estabelecida foi com a
rede corporativa até obtermos total segurança da rede.
• Foi descoberta a origem da infecção? Não. Na época era difícil porque a planta estava
em comissionamento e havia muitas interfaces trabalhando nessas redes.
![Page 21: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/21.jpg)
• Nenhuma das organizações pesquisadas afirmou ter um processo de gestão de
incidentes de segurança cibernética industrial desenvolvido e em produção.
• Em 24% das empresas este processo não existe, e 27% atuam de forma reativa
quando ocorrem incidentes de segurança.
• No entanto, 45% das empresas pesquisadas afirmaram estar definindo este
processo.
GestãoGestão de de incidentesincidentes
de de seguranseguranççaa ciberncibernééticatica
![Page 22: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/22.jpg)
Malware
![Page 23: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/23.jpg)
Definição
• Malware, ou software malicioso, é um termo relativamente novo para o
mundo da tecnologia da informação.
• Agrupa todo software ou programa criado com a intenção de abrigar
funções para:
– penetrar em sistemas
– quebrar regras de segurança
– servir de base para operações
ilegais e/ou prejudiciais
![Page 24: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/24.jpg)
Exemplos de Malware
• Virus
– Funções específicas para cópia e dispersão, normalmente vem anexados em
arquivos de programas e formatos populares de documentos.
• Worms
– Parecidos com os vírus, porém se propagam na rede independente das ações
do usuário (não é necessário clicar no arquivo).
• Trojans� Enganam o usuário, que pensa estar executando algo legítimo quando na realidade está sendo atacado.
• Zumbis DDoS / BOTs� Abrem o computador para processar por terceiros. Os usuários infectados normalmente não tem qualquer sinal
do que ocorre (exceto sobrecarga da CPU).
• Keylogger� Normalmente inseridos via trojans, capturam as teclas digitadas e cliques do mouse e transfere as informações
através da Internet para seu desenvolvedor.
• Pranks� Malware que implica com o usuário.
![Page 25: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/25.jpg)
Como o Malware se instala?
• Exploits.
• Uso de mídias removíveis (Pen Drives, HD Externos).
• Compartilhamentos na rede.
• Comunicação entre servidores OPC de diferentes plantas.
• Uso de redes 3G na rede de automação.
• Funcionários insatisfeitos.
• Falta de perícia do usuário (clicar no anexo...).
![Page 26: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/26.jpg)
Mecanismo de Persistência
� Mata anti-virus e anti-malwares que
não o tenham detectado para que
não recebam novas assinaturas e
passem a detectá-lo.
� Tenta se espalhar sozinho para
outras máquinas e mantém um
protocolo próprio que avisa os outros
pares quando está sendo
exterminado, forçando a re-infecção.
� Deixa máquinas - já com patch -
vulneráveis ao corromper o serviço
Server da máquina
![Page 27: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/27.jpg)
APT – Advanced PersistentThreat
![Page 28: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/28.jpg)
O que é um APT
• APT é a abreviatura de “advanced
persistent threat” (ameaça persistente
avançada).
• O objetivo final de um ataque APT é atingir a
máquina em que exista algum tipo de
informação valiosa.
• APTs implementam ataques direcionados a
alvos específicos e são personalizados para
atingir vítimas com características muito
particulares, como infraestruturas críticas, por
exemplo.
• Esses ataques podem simultaneamente usar (e
frequentemente usam) mais de uma técnica.
![Page 29: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/29.jpg)
Stuxnet, o primeiro APT famoso
• O Stuxnet é um APT desenvolvido para atingir
sistemas de controle industriais que usam PLCs
Siemens.
• Seu objetivo aparenta ser a destruição de
processos industriais específicos.
• O Stuxnet infecta computadores com sistema
operacional Windows no controle de sistemas
SCADA, independente de ser ou não Siemens.
• O Stuxnet somente tenta fazer modificações em
controladoras dos PLCs modelos S7-300 ou S7-
400, entretanto ele é agressivo e pode afetar
negativamente qualquer sistema de controle.
Computadores infectados também podem ser
usados como uma entrada para futuros ataques.
![Page 30: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/30.jpg)
Como funciona o Stuxnet?
• O Stuxnet é um dos mais complexos e bem projetados APTs que se tem conhecimento. Ele tira vantagem de
pelo menos 4 vulnerabilidades zero-day e mostra considerável sofisticação na exploração de sistemas
Siemens.
• Quando instalado em um computador, o Stuxnet tenta localizar as estações programáveis Siemens STEP 7 e
infectá-las. Caso tenha sucesso, ele substitui as DLLs do STEP 7 de maneira que qualquer pessoa que veja a
lógica do PLC não verá quaisquer mudanças que o Stuxnet tenha feito anteriormente nos PLCs.
• O Stuxnet então procura modelos específicos de PLCs Siemens (6ES7-315-2 e 6ES7-417). Caso ele consiga se
conectar a um destes dois modelos, ele realiza um fingerprint do PLC ao checar a existência de configurações
de processos e certas strings nos PLCs.
• Se o Stuxnet encontra o que está procurando no PLC, ele começa uma de três seqüências para injetar código
STEP 7 no PLC. O driver Profibus do PLC é substituído e o bloco de programa principal (Bloco organizacional
1) e o bloco de watchdog primário (Bloco organizacional 35) são significantemente modificados.
Dependendo de qual seqüência tiver sido selecionada, dentre 17 a 32 blocos de funções e blocos de dados
são injetados no PLC.
• O PLC infectado agora aparenta esperar por um evento específico para ocorrer, que ele detecta ao monitorar
uma variável. Se esta variável encontra um valor específico (0xDEADF007), então ela altera a execução do
processo lógico e impede a lógica original do bloco de watchdog de executar. O quanto esta mudança na
lógica impacta os processos industriais atuais ainda é desconhecido.
![Page 31: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/31.jpg)
Stuxnet ataca
usinas Iranianas (2010)
http://www.reuters.com/article/idUSTRE6AS4MU20101129
http://arstechnica.com/business/news/2012/04/stuxnet-worm-reportedly-planted-by-iranian-double-agent-using-memory-stick.ars
• O Stuxnet foi instalado em um pen-drive e
transportado por um agente duplo iraniano
contratado pelo governo de israel e acima de
qualquer suspeita que o conectou a um
computador do sistema de segurança.
• Uma vez introduzido o vírus se espalhou
silenciosamente durante meses procurando por
PLCs Siemens.
• Os PLCs visados estavam nas centrífugas que
são usadas no processo de enriquecimento do
urânio a ser usado para a construção de bombas
atômicas
![Page 32: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/32.jpg)
http://www.csmonitor.com/USA/Foreign-Policy/2010/1004/Iran-s-Bushehr-nuclear-plant-delayed-Stuxnet-
not-to-blame-official-says
Stuxnet ataca
usinas Iranianas (cont.)• Em condições normais de operação as
centrífugas giram tão rápido que suas
bordas externas se deslocam com
velocidades quase sônicas.
• O Stuxnet aumentou a velocidade das
centrífugas para 1600 km/h
ultrapassando o ponto em que o rotor
explodiu.
• Simultanemante o Stuxnet enviava
sinais falsos para os sistemas de
controle indicando que tudo funcionava
normalmente.
• Aproximadamente 1000 centrífugas
foram afetadas e o programa nuclear
iraniano paralisado.
![Page 33: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/33.jpg)
A Anatomia do Stuxnet
![Page 34: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/34.jpg)
A Lei e seus desdobramentos
![Page 35: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/35.jpg)
20022002
1.0161.016
do Cdo Cóódigo Civildigo Civil
Lei 10406 deLei 10406 de
Art.Art.
![Page 36: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/36.jpg)
• Art. 1.016. Os administradores respondem solidariamente perante a sociedade e aos
terceiros prejudicados, por culpa no desempenho de suas funções.
ImperImperííciacia ImprudênciaImprudência NegligênciaNegligência
• A empresa possui direito de regresso. Portanto pode acionar judicialmente o
executivo responsável pelo setor / área envolvido na origem do incidente de
segurança.
Seja por:
Podendo atingir:
Lei 10406 de 2002
![Page 37: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/37.jpg)
Caso prCaso práático tico -- vvíídeodeo
![Page 38: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/38.jpg)
Na prática - vídeo
Fonte: RJTV
![Page 39: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/39.jpg)
Alguém sabe a causa deste incidente?
Aparentemente NÃO!
![Page 40: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/40.jpg)
Alvos de ataque hacker SCADA: IHM, PLC, RTU, BDs
Mascarar o que o operador está vendo
Induzir ao erro
Geralmente só dá tempo de correr…
Alvos de um ataque
![Page 41: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/41.jpg)
IHM
![Page 42: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/42.jpg)
Supervisório
![Page 43: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/43.jpg)
RTU
![Page 44: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/44.jpg)
PLC
![Page 45: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/45.jpg)
Forense Industrial
![Page 46: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/46.jpg)
O desafio da Forense na indústria
![Page 47: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/47.jpg)
Desafios à forense em ambiente de T.A.
A maioria dos dispositivos e sistemas de controle não possuem tecnologia capaz de coletar e
armazenar dados que venham a ser utilizados logo após um sinistro ou incidente de
segurança.
O rito tradicional de uma perícia forense não é suficiente para endereçar os eventos de uma
planta de automação industrial.
Arquiteturas industriais não utilizam firewall, IPS/IDS e nem uma solução unificada de
guarda e interpretação de logs (SIEM). O fator tempo é crucial!
Há a dependência do envolvimento do fabricante em análises dos eventos e
incidentes de segurança.
![Page 48: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/48.jpg)
Demanda-se então:
![Page 49: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/49.jpg)
Melhores práticas de respostas a incidentes de segurança
Especificações técnicas do ambiente SCADA
Categorização das tecnologias empregadas na planta
Definir as singularidades dos sistemas de controle
Coleta e métodos de análise
Manter capacidade técnica para a realização de forense
Documentar os requerimentos de controles de processos
DocumentaDocumentaçção de sistemasão de sistemas
Sistema de Controle Forense
![Page 50: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/50.jpg)
Ocorrência Criminal
Incidente e
![Page 51: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/51.jpg)
A realidade industrial versa sobre cenários com ciclos de produção previstos para meses
e anos.
Preservação da cena do crime
As paradas programadas são poucas e oferecem reduzidas janelas de manutenção.
Ao contrário de um ambiente de T.I., não podemos simplesmente parar tudo para fazer a
custódia de HDs. A preservação de evidências é impossível em alguns cenários.
![Page 52: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/52.jpg)
Como provar o crime considerando que a IHM, PLC, RTU ou BD sofreram ataque
hacker e foram comprometidos?
O ambiente de automação deve estar configurado de forma a manter e a preservar o
monitoramento contínuo e respectivos logs de todos os ativos da planta industrial que
sejam passíveis disto.
Usar software SIEM para gerir trilhas de auditoria forense.
O SIEM deve analisar e correlacionar logs de firewalls, switches, máquinas, etc.
Configurado para alarmar por tipo de incidente e ocorrência.
Nunca deve ser reativo!
Deve-se levar em consideração que autômatos como PLCs e RTUs também são
passíveis de ataques e comandos externos.
Preservação da cena do crime
![Page 53: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/53.jpg)
Protocolos industriais que trafegam dados em tempo real.
Monitoramento de todos os processos supervisórios e também da latência da rede
comparados aos padrões operacionais normais.
Ponto fora da curva - Comparar anormalidade imediatamente com a IHM.
Alarmes deverão ser disparados a todos os envolvidos na operação e
manutenção.
Os logs deverão ser imediatamente analisados e já contemplados em
política de backup e storage externo.
Contemplar:Contemplar:
Monitoramento Contínuo
![Page 54: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/54.jpg)
Monitoramento Contínuo
![Page 55: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/55.jpg)
Monitoramento Contínuo
![Page 56: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/56.jpg)
Estado da arte: geração de trilhas de auditoria forense
Monitoramento Contínuo
![Page 57: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/57.jpg)
Análise do log com destaque para
os pacotes 154, 156 e 162.
154154 - o atacante enviou um comando de
parametrização IOA 4821 para 50.354%
para a remota.
156156 – A RTU atendeu o comando.
162162 – A remota informa que o comando
foi realizado com sucesso e que as
comportas do reservatório foram abertas.
A PLANTA FOI A PLANTA FOI
INVADIDA E INVADIDA E
COMANDADA POR UM COMANDADA POR UM
AGENTE EXTERNOAGENTE EXTERNO
Análise de Log
![Page 58: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/58.jpg)
http://pt.slideshare.net/tisafe/white-paper-detectando-problemas-em-redes-industriais-
atravs-de-monitoramento-contnuo
Baixem o White Paper TI SAFE
Dicas
![Page 59: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/59.jpg)
Perícia de Marco Zero
Incidente
Forense
![Page 60: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/60.jpg)
Planta industrial paralisada por vários dias em decorrência de infecção por vírus onde este
interferia nos comandos dos CLPs e degradava a velocidade de rotação dos autômatos por
eles comandados. Então o que fazer neste caso?
Necessário retirar todos os computadores da rede local, desinfectá-los um a um, realizar
uma varredura completa em seus logs de sistemas identificando qual máquina originou e
deu início a toda a infecção e assim por diante
Somente sob a certeza de que todas as máquinas estavam isentas de
pragas virtuais é que estas voltaram à operação normal em rede.
Diante deste quadro urge que sejam implementadas melhores práticas forenses em ambientes industriais informatizados.
Caso Real – Marco Zero
![Page 61: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/61.jpg)
1. Como saber se há invasão
2. Decidir o que consertar primeiro
3. Perícia em equipamentos de campo
4. Acesso físico
Melhores Práticas
![Page 62: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/62.jpg)
1. Como saber se há invasão?
a. Os ataques podem parecer problemas anormais ou até mesmo problemas corriqueiros
no seu painel de controle. Mas assim mesmo devem ser investigados.
b. Procure por indicadores como mudanças bruscas em diversos sinais de mal
funcionamento, persistência e telas azuis de dumping de memória.
c. Investigue no campo os indicadores e os compare com os apresentados na
tela do painel de controle do monitoramento contínuo.
d. Compare as leituras dos sistemas de segurança com as leituras dos
sistemas de controle
e. Logs a serem analisados – firewall, DNS, Proxy, IPS/IDS, routers e
switches, tráfego de rede, acessos físicos,…
Melhores Práticas
![Page 63: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/63.jpg)
2. Decidir o que consertar primeiro
a. Definir as prioridades processuais para o retorno da operação. Ambiente mínimo.
b. Pode ser perda de tempo tentar restaurar tudo ao mesmo tempo.
c. Use o mínimo recomendado para mode ON.
d. Tentar operar manualmente sistemas auxiliares.
e. Religar sistema primário com a certeza que não serão reinfectados.
f. Tenha sempre HW backup como PLCs, routers, etc..
Melhores Práticas
![Page 64: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/64.jpg)
3. Perícia em equipamentos de campo
a. Ainda usa modem? Cheque as linhas e LSS – line sharing switch. Mantenha os logs do
PABX. Ative logs de I/O. #war #dialing
b. Cheque por evidências de alteração em configurações operacionais. #SETUP
c. Analise o #firmware encontrado no equipamento suspeito através da
comparação de HASH. Ou ainda comparar os binários.
d. Tentar operar manualmente sistemas auxiliares.
e. Religar sistema primário com a certeza que não serão reinfectados.
f. Tenha sempre HW backup como PLCs, routers, etc..
i. Setup padrão x fabricante (reset) x suspeito
Melhores Práticas
![Page 65: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/65.jpg)
4. Acesso físico
a. Cheque CFTV
b. Cheque acessos a setores, elevadores, catracas e portas.
c. Analise alarmes.
d. Registro de visitantes.
Melhores Práticas
![Page 66: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/66.jpg)
Referências
1. American Academy of Forensic Sciences. Disponível em: http://www.aafs.org/about-aafs.Acesso em 08 set. 2013.
2. SCADA Network Forensics with IEC-104, Disponível em: http://www.netresec.com/?page=Blog&month=2012-08&post=SCADA-Network-Forensics-with-IEC-104. Acesso em 11 set. 2013.
3. FABRO, MARK. CORNELIUS, ERIC. Creating Cyber Forensics Plans for Control Systems. Disponível em: http://www.inl.gov/technicalpublications/Documents/4113665.pdf. Acesso em 10 set. 2013.
+Único livro sobre
segurança SCADA escrito em português
no mundo
Único livro sobre segurança SCADA
escrito em português no mundo
![Page 67: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/67.jpg)
Academia TI SafeAcademia TI Safe
• Formação Presencial
• Formação via ensino a distância (EAD)
• Certificação CASE
![Page 68: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/68.jpg)
FormaFormaççãoão PresencialPresencial
• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)
• Alunos recebem livro texto e material didático complementar em formato digital
• Formação com 20h de duração
• Instrutores com anos de experiência em segurança de automação industrial
• Objetiva formar profissionais de T.I. e T.A.:
– Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS
(Cyber Security Management System) preconizado pela norma ANSI/ISA-99
– Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas
empresas brasileiras
Próximas turmas em 2015:•Rio de Janeiro: de 9 a 11 de Setembro
•São Paulo: de 22 a 24 de Setembro
•Salvador: de 30/9 a 2 de Outubro
![Page 69: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/69.jpg)
FormaFormaçção via ão via
Ensino a Distância (EAD)Ensino a Distância (EAD)
Matricule-se em www.tisafe.com/ead_fsaiMatricule-se em www.tisafe.com/ead_fsai
![Page 70: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/70.jpg)
CertificaCertificaççãoão CASECASE
• Prova online com 60 perguntas de múltipla
escolha em português.
• Tempo de prova: 90 minutos.
• As questões com pesos diferentes. Aluno será
aprovado se acertar 70% do valor total dos
pontos.
• Se aprovado o aluno receberá o certificado por
e-mail e seu nome será incluído em listagem no
site da TI Safe.
• Os certificados tem 2 anos (24 meses) de
validade a partir da emissão.
• Guia de estudos, simulado e calendário
disponíveis no website.
Matricule-se em www.tisafe.com/ead_case
Matricule-se em www.tisafe.com/ead_case
![Page 71: [Apresentação Técnica] Introdução à Forense Industrial](https://reader031.fdocumentos.tips/reader031/viewer/2022013111/55ba9b6abb61eb59268b4731/html5/thumbnails/71.jpg)
Dúvidas?