apresentação técnica - classificação de redes de infraestruturas críticas segundo o padrão...

© 2017 – TI Safe Segurança da Informação Todos os direitos reservados www.tisafe.com

Classificação de redes de infraestruturas críticas

Modelo ANSSI


Agenda • Introdução ao método – O padrão ANSSI

• Classes de segurança cibernética

• Método de classificação

• Exemplos

• Requerimentos de segurança cibernética


Introdução ao Método O Padrão ANSSI


O que são infraestruturas críticas?

• São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda, interrupção significativa ou degradação dos serviços poderia ter graves consequências sociais ou à segurança nacional, como:

• Geração e distribuição de eletricidade;

• Telecomunicações;

• Fornecimento de água;

• Produção de alimentos e distribuição;

• Aquecimento (gas natural, óleo combustível);

• Saúde Pública;

• Sistemas de Transportes;

• Serviços financeiros;

• Serviços de Segurança (polícia, exército)


O Padrão ANSSI

• Este padrão baseia-se nas descobertas do grupo de trabalho sobre segurança

cibernética de ICS (Sistemas de Controle Industriais), dirigido pela Agência Francesa

de Segurança da Informação e Redes, a ANSSI.

• Composto por atores no campo de sistemas automatizados de controle de

processos industriais e especialistas em segurança de TI, o grupo se comprometeu

a elaborar um conjunto de medidas para melhorar a segurança cibernética dos ICS.

• O objetivo é submeter todos os novos ICSs críticos a um processo de aprovação,

garantindo assim que seu nível de segurança cibernética seja aceitável, dado o atual

estado de ameças e seus potencial desenvolvimentos.

• O documento destina-se a todos os atores (por exemplo, entidades responsáveis,

gerentes de projetos, compradores, fabricantes, integradores, contratatantes

principais) preocupados com o projeto, implementação, operação e manutenção de

sistemas de controle industriais.


Classes de segurança cibernética


Níveis de Classificação de ICS

• O Padrão ANSSI divide os ICS em 3

classes, de acordo com sua criticidade.

• Esta classificação pode ser aplicada a um

site inteiro, a uma parcela específica ou a

um ICS distribuído em vários sites. Os

níveis de segurança cibernética são

definidos em termos de consequências

para a Nação, em vez de consequências

para entidades responsáveis.

• As 3 classes de segurança cibernética

para ICS são:

• ICSs para os quais o risco ou impacto de um ataque é baixo. As medidas recomendadas para esta classe devem poder ser aplicadas em completa autonomia.

Classe 1

• ICSs para os quais o risco ou impacto de um ataque é significativo. Não há controle estatal sobre esta classe de ICS, mas, no caso de fiscalização ou incidente, a entidade responsável deve ser capaz de fornecer evidências de que medidas adequadas sejam implementadas.

Classe 2

• ICSs para os quais o risco ou impacto de um ataque é crítico. Nessa classe, as obrigações são aumentadas e a conformidade dos ICSs é verificada pela autoridade estatal ou por um órgão credenciado.

Classe 3


Método de Classificação


Contexto

• As classes de segurança cibernética são determinadas de acordo com um nível de impacto e um nível de probabilidade. O método é baseado em termos e conceitos encontrados nos métodos de análise de risco sem constituir uma análise de risco abrangente.

• A figura fornece um fluxograma para o método.

• Os impactos podem ser facilmente estimados usando tabelas. No entanto, a estimativa de probabilidades requer várias etapas intermediárias.

Conectividade

Seção 3.5.1 Funcionalidades

Seção 3.5.1

Exposição Seção 3.5.1

Usuários Seção 3.5.2

Atacantes Seção 3.3.3

Probabilidade Seção 3.6.2

Impactos 3.6.1

Classe de risco Seção 3.6.3


Determinando o Perímetro

• O perímetro deve ser definido para que contenha todas as

instalações críticas de um site ou infra-estrutura (por exemplo,

redes, transporte, eletricidade). Por outro lado, é possível dividir um

site em vários ICS que potencialmente têm diferentes níveis de

criticidade.

• Se a decisão for feita para dividir uma infra-estrutura em vários ICSs,

uma análise de risco global deve ser realizada para verificar se todas

as ameaças foram consideradas, inclusive aquelas que podem

resultar da infra-estrutura que está sendo vista como um todo.

• Dado o impacto potencial de certas medidas apresentadas acima, é

importante determinar com precisão o perímetro em questão.

Quanto maior a precisão do perímetro do ICS, as medidas mais

aplicáveis serão limitadas ao mínimo absoluto necessário. Por

exemplo, um perímetro mal definido pode levar à imposição de

medidas de classe 3 para um ICS de classe 2.


Componentes dos ICS

• Arquiteturas Típicas

• Níveis de Funcionalidades

• Níveis de Conectividade

• Níveis de Exposição

Conectividade


Seção 3.5.1





Impactos 3.6.1



Arquiteturas Típicas

• A superfície de ataque de um ICS é em grande parte função de sua arquitetura. Para simplesmente avaliar os riscos relacionados à arquitetura, propomos avaliar um ICS baseado em duas escalas: seu nível de funcionalidade e sua conectividade externa.

• A classificação relativa ao nível de funcionalidade corresponde às camadas comumente usadas no modelo CIM (Computer Integrated Manufacturing):

• CIM 0 - sensores e atuadores não comunicantes;

• CIM 1 - PLCs e analisadores;

• CIM 2 - SCADA;

• CIM 3 - MES (Manufacturing Execution System);

• CIM 4 - ERP (Enterprise Resource Planning);

• Note que é improvável que exista um ICS que contenha apenas elementos CIM 0. Portanto, esse nível não foi mantido na classificação. Além disso, parece que não há mais vulnerabilidades envolvidas na CIM 4 do que a CIM 3. Esses dois níveis são, portanto, considerados em conjunto.

Conectividade


Seção 3.5.1





Impactos 3.6.1



Níveis de Funcionalidades

• Funcionalidade 1: sistemas mínimos. Esta categoria contém um ICS somente com elementos classificados CIM 0 e 1, excluindo os consoles de programação, como sensores e atuadores, remotas de I/O, PLCs, IHMs, sistemas embarcados e analisadores.

• Funcionalidade 2: sistemas complexos. Esta categoria diz respeito a ICSs que contêm apenas elementos CIM 0, CIM 1 e CIM 2, excluindo consoles de programação e estações de trabalho de engenharia. Assim, adicionamos à categoria anterior os SCADA e bancos de dados históricos e locais.

• Funcionalidade 3: sistemas muito complexos. Esta categoria contém todos os ICS que não se enquadram nas duas primeiras categorias. Em particular, contém todos os ICS com consoles de programação ou estações de engenharia conectadas permanentemente, sistemas que estão conectados a um MES e ICSs com bancos de dados de historicos centralizados.

Conectividade


Seção 3.5.1





Impactos 3.6.1



Níveis de Conectividade

• Conectividade 1: ICS isolado. Esta categoria se aplica a todas as redes de produção que estão completamente fechadas.

• Conectividade 2: ICS conectado a um MIS. Esta categoria se aplica a todas as redes de produção que estão conectadas ao MIS corporativo, mas sem permitir operações de fora do MIS.

• Conectividade 3: ICS usando tecnologia sem fio. Esta categoria contém todos os ICS usando tecnologia sem fio.

• Conectividade 4: ICS distribuído com infra-estrutura privada ou permitindo operações de fora. Esta categoria é para sistemas distribuídos onde os diferentes sites se comunicam entre si através de uma infra-estrutura privada. Pode ser completamente privado ou “alugado” de um operador de telecomunicações. Esta categoria também diz respeito a todos os ICS que permitem operações de fora do site ou de uma rede de gerenciamento (por exemplo, manutenção remota, gerenciamento remoto).

• Conectividade 5: ICS distribuído com infra-estrutura pública. Esta categoria é como a anterior, exceto que uma infraestrutura pública é usada (por exemplo, um operador de telecomunicações). Um exemplo típico é uma infra-estrutura de distribuição de água.

Conectividade


Seção 3.5.1





Impactos 3.6.1



Níveis de Exposição

• A exposição do ICS é uma combinação de seus níveis de funcionalidade e conectividade. Definimos cinco níveis de exposição variando de 1 (menos exposto) a 5 (mais exposto).

• O nível de exposição é obtido na tabela a seguir:

Conectividade Seção 3.5.1

Funcionalidades Seção 3.5.1





Impactos 3.6.1



Usuários do ICS

• O pessoal que trabalha em um ICS é um importante vetor de vulnerabilidades. Os usuários são classificados em duas categorias. Usuários legítimos são todos indivíduos com o direito de interagir com o ICS de forma controlada. Usuários ilegítimos são todas aquelas pessoas que podem interagir com o ICS sem serem controladas.

• Usuários 1: autorizados, certificados e controlados. Todos os usuários autorizados são certificados e controlados. Não é possível uma intervenção não autorizada.

• Usuários 2: autorizados e certificados Todos os usuários autorizados estão certificados, mas uma ou mais operações possíveis não são rastreadas. Não é possível uma intervenção não autorizada.

• Usuários 3: autorizados. Não há requisitos especiais relativos a usuários autorizados, mas não é possível uma intervenção não autorizada.

• Usuários 4: não autorizados. Esta categoria inclui todos os ICS para os quais uma intervenção não autorizada é possível.

Conectividade


Seção 3.5.1





Impactos 3.6.1



Escala de nível do atacante

Conectividade


Seção 3.5.1





Impactos 3.6.1



Determinando a Classe

• Estimando o Impacto

• Estimando a Probabilidade

• Escala de Classificação







Impactos 3.6.1



Escalas de Classificação

• Escalas de Consequências

• Impactos Humanos

• Impactos ao Meio Ambiente

• Impactos de acordo com a paralisação dos serviços

• Escala de Probabilidades

Conectividade


Seção 3.5.1





Impactos 3.6.1



Consequências – Impactos Humanos

Conectividade


Seção 3.5.1





Impactos 3.6.1



Consequências – Impactos Ambientais

Conectividade


Seção 3.5.1





Impactos 3.6.1



Consequências – Impactos nos Serviços

Conectividade


Seção 3.5.1





Impactos 3.6.1



Estimando o Impacto

• Recordamos que, para cada ativo primário, os critérios de segurança considerados são integridade e disponibilidade.

• Com base na lista estabelecida de ativos primários, a entidade responsável pode enumerar os eventos temidos e estimar seu impacto de acordo com as escalas encontradas anteriormente nesta apresentação.

• O evento temido com o impacto mais grave é usado para determinar a classe do ICS.

• Exemplo: a perda de disponibilidade do sistema de ventilação de um túnel pode dar origem a um impacto humano de 3, um impacto ambiental de 1 e um impacto de interrupção do serviço (o túnel está fechado para o tráfego) de 1. A perda de integridade desse sistema não dá origem a impactos mais sérios. Portanto, as conseqüências são consideradas de nível 3. Em contraste, a perda de disponibilidade para um sistema de tratamento de resíduos tóxicos em uma fábrica dá origem a um impacto humano de 1, um impacto ambiental de 2 e um impacto de interrupção do serviço de 1, enquanto a perda de integridade desse sistema tem um impacto humano de 4, um impacto ambiental de 3 e um impacto de interrupção do serviço de 1. Portanto, as conseqüências são consideradas de nível 4.

Conectividade


Seção 3.5.1





Impactos 3.6.1



Escala de Probabilidades

Conectividade


Seção 3.5.1





Impactos 3.6.1



Estimando a Probabilidade

• O cálculo da probabilidade é baseado na exposição calculada anteriormente nesta apresentação.

• As escalas de usuários e atacantes são então usadas como fatores agravantes para calcular a probabilidade usando a seguinte fórmula:

• Onde L é a probabilidade, E a exposição, U os usuários e A o nível do atacante. O operador matemático [ ] significa arredondar para um inteiro.







Impactos 3.6.1



Escala de Classificação

• Eventos temidos e cenários de ameaças aumentam os riscos.

• Estes são colocados na tabela a seguir, o que nos permite determinar a classe de um ICS. Como explicado no slide anterior, o impacto mais grave (humano, ambiental ou interrupção do serviço) é usado.







Impactos 3.6.1



Exemplos de Classificação


Indústria de Manufatura

• O site em estudo é uma linha de montagem de eletrodomésticos para uma empresa com negócios a nível nacional. Como antecedente, a empresa já enfrentou um incidente de segurança em que um funcionário do turno da noite introduziu um dispositivo USB contendo um vírus em uma estação de trabalho de supervisão. A linha de produção foi interrompida por três dias.

• O ICS é limitado a um único site. Ele inclui um MES e estações de engenharia conectadas permanentemente. Técnicos e operadores usam tablets e scanners sem fio para examinar códigos de barras. Portanto, o nível de funcionalidade é 3 e o nível de conectividade é 3. De acordo com a tabela fornecida, o nível de exposição é 3.

• Os usuários são inúmeros, mas, em teoria, apenas o pessoal autorizado pode acessar as máquinas. O nível de usuários é, portanto, 3.

• Em relação aos atacantes, parece improvável que potências estrangeiras ou concorrentes comerciais desejem atacar o sistema porque a empresa não faz negócios a nível internacional. O nível do atacante é, portanto, 3.

• Os impactos estão limitados à perda de produção, o que pode ser inconveniente para a empresa, mas terá pouco impacto na economia local. Propomos considerar o impacto como nível 1. Usando a fórmula fornecida, obtemos uma probabilidade de 5. De acordo com a tabela de classificação, o ICS está na classe 1.

1 2 3


Planta de Fornecimento de Água

• A planta em consideração é um ICS gerenciado remotamente que controla o abastecimento de água de uma área urbana com

500 mil habitantes. O ICS está distribuído geograficamente em vários sites (reservatórios, bombas de elevação, bombas). Os

sites remotos se comunicam com o site central através de linhas PSTN ou conexões GPRS. O ICS é composto por vários

dispositivos de gerenciamento remoto (RTU) e estações de trabalho de supervisão (SCADA). Os técnicos podem se conectar

ao sistema a partir da localização remota se ocorrerem problemas. Portanto, o nível de funcionalidade é 2 e o nível de

conectividade é 5. De acordo com a tabela fornecida, o nível de exposição é 5.

• Existem poucos usuários. Somente usuários autorizados podem acessar o ICS. Além disso, cada site possui um sistema de

controle de acesso e vigilância por vídeo. O nível de usuários é, portanto, 3.

1 2 3

• Em relação aos atacantes, parece improvável que potências estrangeiras ou

concorrentes comerciais desejem atacar o sistema porque a empresa não

faz negócios a nível internacional. O nível do atacante é, portanto, 3.

• O impacto é limitado a uma interrupção do abastecimento de água por várias

horas. De acordo com a tabela de interrupções do serviço, isso corresponde

a um impacto moderado. Portanto, as consequências são de nível 3. O

impacto máximo é 3. Usando a fórmula fornecida, obtemos uma

probabilidade de 7. De acordo com a tabela de classificação, o ICS está na

classe 2.


Sistema de Controle de Ferrovia • Em uma rede de transporte ferroviário, um sistema de controle de comutação ferroviária computadorizado permite o gerenciamento de

tarefas da via ferroviária e controle remoto de interruptores e dispositivos de sinalização.

• Podemos identificar imediatamente dois eventos “temidos”:

• Um acidente, se o sistema de controle implementar um mapa inválido e enviar comandos perigosos para os switches;

• Perda de serviço para a linha (ou pelo menos uma parte dela), se o sistema de controle parar de funcionar ou “setar” configurações de roteamento restritivas.

• O impacto é, portanto, o nível 5, pois o mau funcionamento do sistema pode causar um acidente com múltiplas fatalidades.

1 2 3

• Em vista dos dispositivos, a funcionalidade é de nível 2. A rede de telecomunicações utilizada pelo sistema de controle é distribuída, mas privada. Portanto, a conectividade é de nível 4. O nível de exposição é, portanto, 4.

• Os usuários que usam o sistema de controle são os responsáveis pela manutenção, sendo os mesmos certificados. Suas intervenções são controladas de acordo com os requisitos de confiabilidade. Portanto, o nível do usuário é 1.

• Nós escolhemos um nível máximo de ameaça porque o sistema pode causar acidentes fatais e, portanto, provavelmente atrairá a atenção de indivíduos mal-intencionados. Além disso, o cenário de causar um descarrilamento do trem é citado regularmente em cenários de ciberataques.

• O nível do atacante é, portanto, 5.

• Em suma, a probabilidade é maior que 4 e o sistema é a classe 3.


Requerimentos de Segurança Cibernética


Lista de Requerimentos

• Papéis e responsabilidades

• Análise de Riscos

• Inventário

• Treinamento de usuários

• Auditorias

• Monitoramento

• Recuperação de desastres

• Modo de emergência

• Alerta e gestão de crises

• Segmentação e segregação das redes

• Diagnóstico

• Detecção de intrusão

• Aprovação de segurança


Papéis e Responsabilidades

• As funções e responsabilidades em relação à segurança cibernetica devem ser claramente estabelecidas.

• Classe 1: uma cadeia de responsabilidade para a segurança cibernética é recomendada , cobrindo todos os ICSs.

• Classe 2: Uma cadeia de responsabilidade para a segurança cibernética deve ser implementada, cobrindo todos os ICSs.

• Classe 3: Uma cadeia de responsabilidade para a segurança cibernética deve ser implementada, cobrindo todos os ICSs. A identidade e os detalhes de contato da pessoa responsável por esta cadeia devem ser comunicados à autoridade da defesa cibernética.


Análise de Riscos

• A análise de riscos é o núcleo das medidas organizacionais. É o ponto de partida para qualquer estratégia de segurança cibernética e, muitas outras medidas são diretamente baseadas nela.

• Classe 1: os ICSs devem estar sujeitos a uma análise de riscos para a segurança cibernética, mesmo que sucinta.

• Classe 2: os ICSs devem estar sujeitos a uma análise de riscos usando um método escolhido pela entidade responsável.

• Classe 3: os ICSs devem estar sujeitos a uma análise de riscos detalhada utilizando um método escolhido pela entidade responsável. A análise de risco deve ser revista regularmente, pelo menos uma vez por ano. Isso deve ser realizado em colaboração com um provedor de serviços certificado.


Inventário

• Um inventário completo do ICS é um componente chave de uma boa política de segurança cibernética, pois fornece uma compreensão detalhada do sistema e do seu ambiente. Por exemplo, permite uma rápida análise do impacto de uma vulnerabilidade descoberta em um produto ou medida do alcance de um acesso comprometido. Os inventários de ICSs também permitem resolução de incidentes mais rápida.

• Classe 1: inventários físicos, lógicos e de aplicativos do ICS devem ser preparados.

• Classe 2: Inventários físicos, lógicos e de aplicação do ICS devem ser preparados. Os inventários devem ser revisados regularmente (freqüência a ser determinada pela entidade responsável) e, no mínimo, cada vez que o ICS for modificado.

• Classe 3: Inventários físicos, lógicos e de aplicação do ICS devem ser preparados. Os inventários devem ser revisados regularmente e pelo menos uma vez por ano.


Treinamento de Usuários, Controle e Certificação

• O treinamento para usuários que trabalham em um ICS é indispensável para assegurar o sistema de segurança cibernética. Este treinamento deve incluir a conscientização sobre os riscos inerentes às tecnologias de informação e comunicação, bem como a apresentação da política de segurança do ICS.

• Ele deve ser formalizado e aprovado pela entidade responsável.

• No restante deste documento, consideramos que o pessoal é certificado se recebeu treinamento específico sobre seu papel no ICS em questão e na conscientização sobre segurança de TI. Este treinamento deve ser oficialmente registrado pela entidade responsável pelo ICS. O pessoal é considerado como controlado se tiver sido explicitamente autorizado a intervir e se suas ações possam ser rastreadas.

• Classe 1: é recomendado que todos os usuários tenham certificados.

• Classe 2: todos os usuários devem ser certificados

• Classe 3: Todos os usuários devem ser certificados e controlados. O treinamento de segurança cibernética para esta certificação deve ser realizado por provedores certificados.


Auditorias

• Auditorias regulares permitem verificar o nível real de segurança cibernética do ICS. A auditoria deve abranger os aspectos técnicos e organizacionais.

• Os testes de intrusão também devem ser realizados. O processo de auditoria deve incluir fornecedores (por exemplo, fabricantes, integradores).

• Classe 1: é recomendado que auditorias regulares sejam implementadas. Essas auditorias devem ser internas.

• Classe 2: auditorias regulares devem ser implementadas. Essas auditorias devem ser realizadas por prestadores de serviços externos.

• Classe 3: auditorias regulares devem ser implementadas e devem ser realizadas pelo menos uma vez por ano. Essas auditorias devem ser realizadas por prestadores de serviços independentes e certificados.


Processo de Monitoramento

• Um processo de monitoramento permite que a organização se mantenha atualizada sobre ameaças e vulnerabilidades. A sofisticação do processo de monitoramento varia de acordo com a classe de segurança cibernética.

• Classe 1: é recomendado que um processo seja implementado para monitorar as vulnerabilidades dos produtos em uso, para atualizá-los em caso de falhas.

• Classe 2: um processo de monitoramento deve ser implementado para:

• manter-se atualizado sobre as vulnerabilidades identificadas nos produtos e tecnologias utilizados nos ICS;

• manter-se atualizado sobre os desenvolvimentos em mecanismos de proteção.

• Classe 3: um processo de monitoramento deve ser implementado para:

• manter-se atualizado sobre a evolução das ameaças;

• manter-se atualizado sobre as vulnerabilidades identificadas nos produtos e tecnologias utilizados nos ICSs;

• manter-se atualizado sobre os desenvolvimentos em técnicas de ataque;

• manter-se atualizado sobre os desenvolvimentos em mecanismos de proteção.


BRP e BCP

• Um BRP (Business Resumption Plan) e um BCP (Business Continuity Plan) podem garantir a retomada ou a continuidade do serviço após uma perda, qualquer que seja sua origem. Estes planos, por vezes, já existem em resposta a outras perdas.

• Eles devem abordar todos os cenários de incidentes que causem interrupção ou degradação do serviço prestado, conforme identificado na análise de riscos de segurança cibernética.

• Classe 1: um BCP ou BRP, por mais sucinto que seja, é recomendado.

• Classe 2: um BCP ou BRP deve ser implementado. A sua eficácia deve ser testada regularmente.

• Classe 3: um BCP ou BRP deve ser implementado. Este plano deve abordar todos os cenários de incidentes que causam uma interrupção do serviço prestado e tenham um impacto sério. A sua eficácia deve ser testada regularmente e, pelo menos, uma vez por ano. Um BCP, com um escopo mais amplo do que a segurança cibernética, pode ser solicitado pelos coordenadores auxiliares.


Modos de Emergência

• Claramente, as medidas para melhorar a segurança cibernética não devem reduzir o nível de safety de um ICS. Pode ser necessário estabelecer procedimentos de emergência simplificados que permitam uma resposta rápida a um incidente industrial.

• A seguinte analogia ilustra esse ponto. Em caso de incêndio em um prédio, as portas com controle de acesso são abertas automaticamente. O pessoal não precisa usar seu crachá durante a evacuação. Este é um modo de emergência.

• Classe 1: é recomendado que os modos de emergência sejam estabelecidos e dirigidos de perto para que eles não constituam uma vulnerabilidade explorável. Eles devem ser refletidos na análise de riscos e os procedimentos associados devem ser estabelecidos na política de segurança do ICS. Em particular, a rastreabilidade das operações deve ser preservada.

• Classe 2: Não há medidas adicionais para esta classe.

• Classe 3: Os modos de emergência devem ser implementados e controlados de forma a não constituir uma vulnerabilidade adicional do sistema. Eles devem ser retratados na análise de riscos; Os procedimentos associados devem ser estabelecidos na política de segurança do ICS. Em particular, a rastreabilidade das operações deve ser preservada.


Processo de Alerta e Gestão de Crises

• Um processo de alerta e de gerenciamento de crises ajuda a estabelecer procedimentos para responder aos cenários de incidentes identificados pela análise de riscos.

• Classe 1: um processo de alerta (mesmo mínimo) é recomendado.

• Classe 2: é recomendada a implementação de um processo de gerenciamento de crises. Ele deve ser regularmente testado para verificar sua eficácia.

• Classe 3: um processo de alerta e gerenciamento de crises deve ser definido. Ele deve ser regularmente testado, pelo menos uma vez por ano, para verificar a sua eficácia. A cadeia de responsabilidade operacional deve ser comunicada à autoridade de defesa cibernética.


Segmentação e Segregação da Rede

• As interconexões são uma fonte significativa de vulnerabilidades. Os riscos devem ser cuidadosamente avaliados antes de conectar duas redes.

• As redes devem ser segmentadas na medida do possível. Em particular, é preciso estar atento às interconexões entre um ICS e uma rede pública (telefone, internet), entre um ICS e uma rede corporativa, ou entre ICSs de diferentes classes de segurança cibernética.

• Classe 1: Recomendações sobre diferentes tipos de interconexão.

• ICSs: partições que usam firewalls devem ser estabelecidas entre ICSs de classe 1. Os dispositivos certificados devem ser usados para a interconexão.

• Sistemas de Gerenciamento da Informação: O ICS deve ser particionado da rede corporativa usando um firewall. Os dispositivos certificados devem ser usados para a interconexão.

• Rede pública: os ICSs não devem ser expostos na Internet, a menos que seja imperativamente justificado. Quando apropriado, devem ser tomadas medidas para garantir que elas só sejam acessíveis para o pessoal autorizado. Os riscos associados a essa solução devem ser claramente identificados.


Segmentação e Segregação da Rede (Cont.)


• ICSs: partições que usam firewalls devem ser estabelecidas entre ICSs de classe 2. Os dispositivos certificados devem ser usados para a interconexão. A interconexão de um ICS de classe 2 e um ICS de classe 1 deve ser unidirecional para o sistema de classe 1. Os dispositivos certificados devem ser usados para a interconexão.

• Sistemas de Gerenciamento da Informação: a interconexão deve ser unidirecional do ICS para a rede corporativa. Caso contrário, todos os fluxos de dados para o ICS da classe 2 devem ser claramente definidos e limitados. Os riscos associados devem ser identificados e avaliados. A interconexão deve ser implementada usando dispositivos de segurança cibernética, como um firewall, que deve ser certificado.

• Rede pública: os ICSs não devem ser expostos na Internet, a menos que seja imperativamente justificado por um requisito operacional. Quando apropriado, eles não devem ser expostos sem proteção e os riscos associados a essa solução devem ser claramente identificados. A interconexão deve ser unidirecional para a rede pública. Os dispositivos certificados devem ser usados para a interconexão.


Segmentação e Segregação da Rede (Final)


• ICSs: as partições que usam firewalls devem ser estabelecidas entre ICS de classe 3. É altamente recomendável implementar a interconexão usando dispositivos certificados. A interconexão de um ICS de classe 3 com um ICS de classe inferior deve ser unidirecional para o último. A unidirecionalidade deve ser garantida fisicamente (por exemplo, com um diodo de dados). Os dispositivos certificados devem ser usados para a interconexão.

• Sistemas de Gerenciamento da Informação: a interligação deve ser unidirecional para a rede corporativa. A unidirecionalidade deve ser garantida fisicamente (por exemplo, com um diodo de dados). Os dispositivos certificados devem ser usados para a interconexão.

• Rede pública: um ICS de classe 3 não deve estar conectado a uma rede pública.


Diagnóstico, Manutenção e Gestão Remota

• Classe 1: procedimentos claros devem ser definidos e os meios de proteção devem ser implementados para dirigir o diagnóstico remoto, a manutenção remota e as operações de gerenciamento remotas. Os produtos certificados devem ser utilizados para o diagnóstico remoto, a manutenção remota e as operações de gerenciamento remotas.

• Classe 2: operações de manutenção remota e de gerenciamento remoto são fortemente desencorajadas. Quando apropriado, os dispositivos utilizados devem garantir a autenticidade e integridade das comunicações. Esses dispositivos devem ser certificados.

• Classe 3: operações de manutenção remota e de gerenciamento remoto não devem ser autorizadas. As operações de diagnóstico remoto podem ser realizadas usando dispositivos que, fisicamente garantem a impossibilidade de interagir com a rede de classe 3. Devem ser utilizados produtos certificados.


Métodos de Detecção de Intrusão

• A implementação de métodos de vigilância e detecção de intrusão aumenta a visibilidade no ICS em questão e reduz o tempo de resposta em caso de ataque, permitindo que suas conseqüências sejam limitadas.

• Classe 1: um sistema de gerenciamento deve ser implementado para os registros de eventos dos vários dispositivos da rede. Uma política de gerenciamento de eventos deve ser definida.

• Classe 2: os métodos de detecção de intrusão certificados devem ser implementados no perímetro dos ICSs e em pontos identificados como críticos, em particular incluindo:

• Interconexões com a Internet (incluindo manutenção remota);

• Interconexões com a rede corporativa;

• Pontos específicos de conexão para o exterior (por exemplo, Wi-Fi industrial);

• Redes PLC consideradas sensíveis.

• Classe 3: os métodos de detecção de intrusão certificados devem ser implementados no perímetro dos ICS e em pontos identificados como críticos, em particular incluindo:

• Interconexões de dispositivos de gerenciamento remoto;

• Interconexões entre redes corporativas e ICSs;

• Pontos específicos de conexão para o exterior (por exemplo, Wi-Fi industrial);

• Estações de troca de dados seguras e estações de descontaminação;

• A rede de backbone para estações de trabalho de supervisão industrial (SCADA);

• Redes PLC consideradas sensíveis.


Aprovação da Segurança

• A aprovação é o processo de verificação do nível de segurança cibernética quando um novo ICS é colocado em serviço.

• O arquivo de aprovação deve abordar todas as medidas listadas neste documento.

• O processo de aprovação consiste essencialmente em verificar se a análise de riscos para o ICS foi realizada corretamente, que as medidas especificadas foram implementadas e que os riscos residuais são aceitáveis. Durante a aprovação, a autoridade de defesa cibernética dá autorização prévia para entrada em serviço e a entidade responsável aceita os riscos residuais.

• Classe 1: Recomenda-se abordar os riscos identificados na análise de riscos, reduzindo o risco residual para um nível que a entidade responsável considera aceitável.

• Classe 2: a entidade responsável deve obter aprovação para ICSs. A aprovação, neste caso, é baseada em um princípio declarativo.

• Classe 3: os ICS devem ser aprovados e requerer autorização antes da entrada em serviço. A aprovação deve ser realizada por uma organização externa certificada.


Dúvidas?


Sobre a TI Safe

Clientes

Pioneira na segurança cibernética de redes de automação industrial


Redes Sociais

• Twitter: @tisafe

• Youtube: www.youtube.com/tisafevideos

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe

Contatos

http://www.youtube.com/tisafevideos

http://www.slideshare.net/tisafe

http://www.facebook.com/tisafe

http://www.flickr.com/photos/tisafe

apresentação técnica - classificação de redes de infraestruturas críticas segundo o padrão...

Technology