Os Desdobramentos Técnicos e Legais de um Incidente de Segurança Industrial

#CLASS2014Rio de Janeiro, Novembro de 2014

Leonardo Cardoso

• A Lei e seus desdobramentos

• Caso prático

• Forense Industrial

• Desafios à forense em ambientes de T.A.

• Incidente Criminal

• Monitoramento Contínuo

• Incidente Marco Zero

• Melhores Práticas

Agenda

#CLASS2014

20022002

1.0161.016

do Cdo Cóódigo Civildigo Civil

Lei 10406 deLei 10406 de

Art.Art.

• Art. 1.016. Os administradores respondem solidariamente perante a sociedade e aos

terceiros prejudicados, por culpa no desempenho de suas funções.

ImperImperííciacia ImprudênciaImprudência NegligênciaNegligência

• A empresa possui direito de regresso. Portanto pode acionar judicialmente o

executivo responsável pelo setor / área envolvido na origem do incidente de

segurança.

Seja por:

Podendo atingir:

Lei 10406 de 2002

Caso prCaso práático tico -- vvíídeodeo

Na prática - vídeo

Fonte: RJTV

Vídeo

Alguém sabe a causa deste incidente?

Aparentemente NÃO!

Numa época em que…

28/10/2014

Isto ocorreu na semana passada!

Alvos de ataque hacker SCADA: IHM, PLC, RTU, BDs

Mascarar o que o operador está vendo

Induzir ao erro

Geralmente só dá tempo de correr…

Alvos de um ataque

IHM

IHM

RTU

PLC

Forense Industrial

O desafio da Forense na indústria

Desafios à forense em ambiente de T.A.

A maioria dos dispositivos e sistemas de controle não possuem tecnologia capaz de coletar e

armazenar dados que venham a ser utilizados logo após um sinistro ou incidente de

segurança.

O rito tradicional de uma perícia forense não é suficiente para endereçar os eventos de uma

planta de automação industrial.

Arquiteturas industriais não utilizam firewall, IPS/IDS e nem uma solução unificada de

guarda e interpretação de logs (SIEM). O fator tempo é crucial!

Há a dependência do envolvimento do fabricante em análises dos eventos e

incidentes de segurança.

Demanda-se então:

Melhores práticas de respostas a incidentes de segurança

Especificações técnicas do ambiente SCADA

Categorização das tecnologias empregadas na planta

Definir as singularidades dos sistemas de controle

Coleta e métodos de análise

Manter capacidade técnica para a realização de forense

Documentar os requerimentos de controles de processos

Base de processos forenses

DocumentaDocumentaçção de sistemasão de sistemas

Sistema de Controle Forense

Ocorrência Criminal

Incidente e

A realidade industrial versa sobre cenários com ciclos de produção previstos para meses

e anos.

Preservação da cena do crime

As paradas programadas são poucas e oferecem reduzidas janelas de manutenção.

Ao contrário de um ambiente de T.I., não podemos simplesmente parar tudo para fazer a

custódia de HDs. A preservação de evidências é impossível em alguns cenários.

Como provar o crime considerando que a IHM, PLC, RTU ou BD sofreram ataque

hacker e foram comprometidos?

O ambiente de automação deve estar configurado de forma a manter e a preservar o

monitoramento contínuo e respectivos logs de todos os ativos da planta industrial que

sejam passíveis disto.

Usar software SIEM para gerir trilhas de auditoria forense.

O SIEM deve analisar e correlacionar logs de firewalls, switches, máquinas, etc.

Configurado para alarmar por tipo de incidente e ocorrência.

Nunca deve ser reativo!

Deve-se levar em consideração que autômatos como PLCs e RTUs também são

passíveis de ataques e comandos externos.

Preservação da cena do crime

Protocolos industriais que trafegam dados em tempo real.

Monitoramento de todos os processos supervisórios e também da latência da rede

comparados aos padrões operacionais normais.

Ponto fora da curva - Comparar anormalidade imediatamente com a IHM.

Alarmes deverão ser disparados a todos os envolvidos na operação e

manutenção.

Os logs deverão ser imediatamente analisados e já contemplados em

política de backup e storage externo.

Contemplar:Contemplar:

Monitoramento Contínuo

Monitoramento Contínuo

Monitoramento Contínuo

Estado da arte: geração de trilhas de auditoria forense

Monitoramento Contínuo

Análise do log com destaque para

os pacotes 154, 156 e 162.

154154 - o atacante enviou um comando de

parametrização IOA 4821 para 50.354%

para a remota.

156156 – A RTU atendeu o comando.

162162 – A remota informa que o comando

foi realizado com sucesso e que as

comportas do reservatório foram abertas.

A PLANTA FOI A PLANTA FOI

INVADIDA E INVADIDA E

COMANDADA POR UM COMANDADA POR UM

AGENTE EXTERNOAGENTE EXTERNO

Análise de Log

http://pt.slideshare.net/tisafe/white-paper-detectando-problemas-em-redes-industriais-

atravs-de-monitoramento-contnuo

Baixem o White Paper TI SAFE

Dicas

Visitem o ICS Village e vejam as soluções em funcionamento em uma planta industrial.

Perícia de Marco Zero

Incidente

Forense

Planta industrial paralisada por vários dias em decorrência de infecção por vírus onde este

interferia nos comandos dos CLPs e degradava a velocidade de rotação dos autômatos por

eles comandados. Então o que fazer neste caso?

Necessário retirar todos os computadores da rede local, desinfectá-los um a um, realizar

uma varredura completa em seus logs de sistemas identificando qual máquina originou e

deu início a toda a infecção e assim por diante

Somente sob a certeza de que todas as máquinas estavam isentas de

pragas virtuais é que estas voltaram à operação normal em rede.

Diante deste quadro urge que sejam implementadas melhores práticas forenses em ambientes industriais informatizados.

Caso Real – Marco Zero

1. Como saber se há invasão

2. Decidir o que consertar primeiro

3. Perícia em equipamentos de campo

4. Acesso físico

Melhores Práticas

1. Como saber se há invasão?

a. Os ataques podem parecer problemas anormais ou até mesmo problemas corriqueiros

no seu painel de controle. Mas assim mesmo devem ser investigados.

b. Procure por indicadores como mudanças bruscas em diversos sinais de mal

funcionamento, persistência e telas azuis de dumping de memória.

c. Investigue no campo os indicadores e os compare com os apresentados na

tela do painel de controle do monitoramento contínuo.

d. Compare as leituras dos sistemas de segurança com as leituras dos

sistemas de controle

e. Logs a serem analisados – firewall, DNS, Proxy, IPS/IDS, routers e

switches, tráfego de rede, acessos físicos,…

Melhores Práticas

2. Decidir o que consertar primeiro

a. Definir as prioridades processuais para o retorno da operação. Ambiente mínimo.

b. Pode ser perda de tempo tentar restaurar tudo ao mesmo tempo.

c. Use o mínimo recomendado para mode ON.

d. Tentar operar manualmente sistemas auxiliares.

e. Religar sistema primário com a certeza que não serão reinfectados.

f. Tenha sempre HW backup como PLCs, routers, etc..

Melhores Práticas

3. Perícia em equipamentos de campo

a. Ainda usa modem? Cheque as linhas e LSS – line sharing switch. Mantenha os logs do

PABX. Ative logs de I/O. #war #dialing

b. Cheque por evidências de alteração em configurações operacionais. #SETUP

c. Analise o #firmware encontrado no equipamento suspeito através da

comparação de HASH. Ou ainda comparar os binários.

d. Tentar operar manualmente sistemas auxiliares.

e. Religar sistema primário com a certeza que não serão reinfectados.

f. Tenha sempre HW backup como PLCs, routers, etc..

i. Setup padrão x fabricante (reset) x suspeito

Melhores Práticas

4. Acesso físico

a. Cheque CFTV

b. Cheque acessos a setores, elevadores, catracas e portas.

c. Analise alarmes.

d. Registro de visitantes.

Melhores Práticas

Concluindo

Concluindo

leonardo.cardoso@tisafe.com