[CLASS 2014] Palestra T©cnica - Felipe Penaranda

download [CLASS 2014] Palestra T©cnica - Felipe Penaranda

of 42

  • date post

    25-Jun-2015
  • Category

    Technology

  • view

    121
  • download

    2

Embed Size (px)

description

Título da Palestra: Inteligência de segurança de perímetro para redes industriais

Transcript of [CLASS 2014] Palestra T©cnica - Felipe Penaranda

  • 1. 2013 IBM CorporationIBM Security SystemsSCADA / Sistemas de controle IndustriaisQuem est realmente no controle de nossos Sistemas?Mitigando riscos em ambientes industriaisFelipe Pearanda SilvaCISSP, ISO-27001, ITIL Service ManagerIBM Security Tiger Team - Latin Americafelpenar@br.ibm.com

2. Incidentes SCADA so reais! 2013 2 IBM Corporation 3. Incidentes SCADA so reais! 2013 3 IBM Corporation 4. In October 2012, U.S. defense secretary Leon Panetta warned that theUnited States was vulnerable to a cyber Pearl Harbor that could derailtrains, poison water supplies, and cripple power grids. The next month,Chevron confirmed the speculation by becoming the first U.S. corporationto admit that Stuxnet had spread across its machines. 2013 4 IBM Corporation 5. Segurana em sistemas SCADA real e preocupante O nmero de vulnerabilidades detectadastem aumentado em 20 vezes (desde 2010 ) 50% das vulnerabilidades permitemexecutar cdigo Existem exploits pblicos para 35% dasvulnerabilidades reportadas 41% de vulnerabilidades so Crticas. Maisde 40% de sistemas disponveis a partir daInternet podem ser invadidos e sabotadospor usurios sem conhecimentosavanados 54% e 39% de sistemas disponveis a partirda Internet na Europa e na Amrica doNorte, respectivamente, esto vulnerveis 2013 5 IBM Corporation 6. Segurana em sistemas SCADA real e preocupanteICS-CERT Incidents by Sector FiscalYear 2012 2013 6 IBM Corporation 7. A sofisticao do ataque aumenta, enquanto que o conhecimentodo intruso diminuiStealth/AdvancedScanning TechniquesNetwork Management DiagnosticsSweepersBack DoorsDisabling AuditsDenial of ServiceMalicious CodeBOTSMorphingEra of ModernInformationTechnologyZombiesWWW AttacksCurrent SCADAZone of DefenseAutomated Probes/ScansPacket SpoofingSniffersGUIEra of LegacyProcess ControlHijacking SessionsExploiting Known VulnerabilitiesTechnologyPassword CrackingSelf-Replicating CodePassword GuessingDistributed Attack ToolsHighAttack SophisticationLowAttackers1980 1985 1990 1995 2000 2005 2010Intruder KnowledgeLipson, H. F., Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues, Special Report CMS/SEI-2002-SR-009, November 2002, page 10. 2013 7 IBM Corporation 8. I have heard way too many timesthat a SCADA system workedfine for years until IT secured itto death. 2013 8 IBM Corporation 9. SCADA versus TISistemas SCADAFoco em DisponibilidadeO usurio final um computadorUm sistema decentralizado paragarantir confiabilidadeAcesso remoto disponvel para osdispositivos em campoO cdigo fonte, normalmente, vendido junto com o sistemaLongos ciclos de vidaNot patchableTIFoco em ConfidencialidadeO usurio final um humanoUm sistema centralizado paraobter economia de escalaAcesso remoto limitadoCdigo fonte limitado eprotegidoCiclos de vida curtosPatchable 2013 9 IBM Corporation9 10. SCADA vs. TI Objetivos ? 2013 10 IBM Corporation 11. Mitos a respeito de SCADASistemas SCADA residem em uma rede fisicamente separada,independente e isolada dos demais permetros corporativos. 1 2013 11 IBM Corporation 12. Mitos a respeito de SCADAConexes entre sistemas SCADA e redes corporativas soprotegidas por forte controles de acesso 2 2013 12 IBM Corporation 13. Mitos a respeito de SCADAConexes a sistemas SCADA requerem conhecimento especializado,dificultando que intrusos acessem e controlem a rede. 3 2013 13 IBM Corporation 14. Tpico ataque a sistemas SCADA 2013 14 IBM Corporation 15. Papel da TI para Segurana em SCADANo so os caras de SCADA que no sabem o que esto fazendo. Parte destes sistemasforam criados h mais de 20 anos, e os engenheiros projetaram essas coisas presumindoque deveriam operar de forma isolada. Porm, no esto mais isoladosAlan Paller, diretor de pesquisa, SANS InstituteSegurana para SCADA est geralmente anos atrs da segurana implementada em sistemastradicionais de tecnologia da informao por causa de seu histrico de isolamento .Muito dos problemas confrontados no mundo SCADA j foram endereados e mitigados nomundo corporativo de TI. Essas solues, onde apropriadas, necessitam ser aplicadas sredes e sistemas SCADA para que as redes industriais no reinventem a roda. 2013 15 IBM Corporation 16. Um Mundo TCP/IP AtivadoOs Process Control Systems (PCS) esto migrando pararedes TCP/IP Controles Analgicos e protocolos de status incorporados nos protocolosdigitais Limitaes no uso de Criptografia Gama pobre de protocolos TCP/IPProblemas com as correes de patchesincorporados aos sistemas operacionais Controladoras geralmente rodando em sistemasoperacionais desatualizados; Patches de segurana e atualizaes do SistemaOperacional no so aplicados; Dificuldade na correo das controladoras; Fabricantes no se responsabilizam pela aplicao depatches e updates caso sistemas industriais venham aapresentar falhas operacionais ou indisponibilidade. 2013 16 IBM Corporation16 17. Proliferao de Dispositivos de RedeMudana de controles analgicos paradigitais e incorporao de padres derede: Comunicaes TCP/IP Comunicaes WirelessSubstituio de equipamentosincluem novos recursosgratuitos: Conectividade ativadapor padro; Podem ser ligadospelos engenheirosde campo.A partir deanalgicopara digital (+em rede )integraode Wireless 2013 17 IBM Corporation 18. Resultados tpicos deAssessmentsrealizados emambientes SCADA 2013 18 IBM Corporation 19. Descobertas tpicas durante Assessments SCADA Redes PCS (Process Control Systems) carecem desegmentao e antivirus. Sistemas operacionais com instalao padro permitemexplorao de ataque em brechas j conhecidas edifundidas no mundo de TI A maioria das comunicaes IP dentro das redes PCS noso criptografadas. A maioria dos sistemas PCS possuem limitaes para gerarrastreabilidade da trilha de auditoria. Logs no so ativados. Correes no so, ou no podem ser instaladas nossistemas SCADA Nenhum tipo de segurana baseada em host configuradanos dispositivos SCADA Muitas organizaes ainda implementam fortes medidas desegurana fsica esquecendo da importncia da seguranalgica. 2013 19 IBM Corporation 20. Avaliao de Instalao NuclearHackable BackboneAndy Greenberg , 22.08.2007 , 18:00 ETA primeira vez que Scott Lunsford tentou hackear uma planta de energia nuclear,disseram que sera impossvel. No existia nenhuma forma de acesso doscomponentes SCADA a partir da Internet enfatizaram os responsveis pelaoperao da unidade nuclear. Lunsford, um pesquisador da IBM SecuritySystems,provou o contrrio.Foi um dos testes de invaso mais fceis que j fiz em toda minha vida, disse opesquisador. No primeiro dia Lunsford j havia penetrado na rede SCADA. Depoisde uma semana sera possvel controlar a planta inteira e isso realmente umproblema disse o pesquisador.Em retrospectiva , Lunsford diz--e a Comisso Nuclear dos EUA concorda - quegarantias de regulamentaes governamentais o impediu do acionamento de umataque nuclear. Mas ele afirma que se desejasse acessar os controles atravs darede, teria conseguido sabotar o fornecimento de energia para grande parte do pas.Teria sido to simples como fechar uma vlvula, disse ele .http://www.forbes.com/2007/08/22/scada-hackers-infrastructure-tech-security-cx_ag_0822hack_print.html 2013 20 IBM Corporation 21. Como proteger ainfraestrutura 2013 21 IBM Corporation 22. AtaquesWirelessAtaquesWireless RFVetores de Ataque SCADAAtaques diretosda InternetServiosvulnerveisControl/Office Infrastructure Bridge Control PlantInfrastructureAtaquesindiretos daInternet(ex: VPN)InfecesIndiretas demalwareHostsinfectadospor malwareAtaques deMdiaremovvelRoubo decredenciaisAtaquesIncorporadosContaminaodo Dispositivo 2013 22 IBM Corporation 23. Estratgias de Proteo SCADAAlertas eDeteco deAnomaliasGerenciamento deVulnerabilidadesPreveno de Intrusose Virtual PatchControl/Office Infrastructure Control Bridge PlantInfrastructureLogs e Trilhade AuditoriaProteobaseada em hostSegregao deRedesControle deacessoResposta aEmergncia 2013 23 IBM Corporation 24. IBM Security FrameworkIIBBMM SSeeccuurriittyy SSyysstteemmss PPoorrttffoolliiooSecurity Intelligence and AnalyticsQRadarSIEMQRadarRisk ManagerAdvanced Fraud ProtectionQRadarLog ManagerTrusteerRapportTrusteer PinpointMalware DetectionTrusteer PinpointATO DetectionQRadarVulnerability ManagerTrusteer MobileRisk EnginePeople Data Applications Network Infrastructure EndpointIdentityManagementGuardium Data Securityand ComplianceAppScanSourceNetworkIntrusion PreventionTrusteer ApexAccessManagementGuardium DBVulnerabilityManagementAppScanDynamicNext GenerationNetwork ProtectionMobile SecurityMaaS360 by FiberlinkPrivileged IdentityManagerGuardium / OptimData MaskingDataPower WebSecurity GatewaySiteProtectorThreat ManagementEndpoint Security andManagementFederatedAccess and SSOKey LifecycleManagerSecurity PolicyManagerNetworkAnomaly DetectionMainframeSecurityIBM X-Force Research 2013 24 IBM Corporation 25. Segregao de redes SCADAIBM Security Network IPSProtege ambientes bloqueando ameaas mutantes e ataques 0 DayIBM ISS Proventia GXIntrusion Prevention System 2013 25 IBM Corporation 26. Vulnerabilidade Uma fragilidade ou bug em umsistema que pode ser usada parafazer algo malicioso Normalmente, pode ser exploradode vrias maneirasExploit Uma ferramenta para explorar umavulnerabilidade Diferentes exploits podem explorar uma nicavulnerabilidade Nem todos os exploits esto, publicamente,divulgados e a mutao entre eles comumvs. 2013 26 IBM Corporation 27. vs.IBM protege avulnerabilidade Previne qualquer coisa que possaquebrar a janela Ahead of the ThreatOutros players bloqueiamexploits especficos? ? ? Procuram por qualquer coisa quepossa quebrar a janela A manuteno pode ser desafiante 2013 27 IBM Corporation 28. Segregao de redes SCADAIBM Security Network IPSProtege ambientes bloqueando ameaas mutantes e ataques 0 DayComo o IBM IPS pode ajudar Utiliza abordagem baseada emprotocolo para capturar muitosataques dia-zero e ameaasmutantes versus IPS de somenteassinatura Oferece proteo contravulnerabilidades conhecidasquando uma correo estindisponvel ou implementadausando u