avaliação de risco cibernético para tomar boas ...€¦ · avaliação de risco cibernético...
TRANSCRIPT
Avaliação de Risco Cibernético para tomar Boas Decisões e selecionar
Tecnologias Apropriadas para a Segurança Cibernética Industrial
Maximillian G Kon, WisePlant HQ, CEO & Managing Director
Marcelo G. Zaremba, Wiseplant AR, Regional Business Development Manager
O r g a n i z a ç õ e s i n t e r n a c i o n a i s
e p a d r õ e s d e s e n vo l v i d o s
p a r a a c i b e r s e g u r a n ç a
i n d u s t r i a l
• Existem atualmente muitas iniciativas e trabalhos desenvolvidos para a
cibersegurança industrial.
• Claramente não são todos os mesmos e, portanto, os seus resultados tampouco.
• Controles de segurança
• Leis (nacional)
• Normas internacionais
• Regulamentos (governos)
• Melhores práticas
• Etc.
• Todos estes contribuem para a confusão dos usuários, uma vez que é geralmente
observado que as empresas da América do Sul estão aderindo a todos (mais de um),
mas, finalmente não atende a nenhum, gastan dinheiro sem resultados verificáveis e
insuficientes.
Gestão de riscos cibernéticos em infraestrutura crítica e sistemas industriais
• NIST SP 800-39: Integrated Enterprise Risk Management
• NIST SP 800-37: Risk Management Framework
• ANSI/ISA99/IEC-62443: Cyber Security Management System
Normas, leis, regulamentos, guias, melhores práticas, métodos, técnicas, políticas, controles, tecnologias, etc.
• NIST SP 800-53: Recommended Security Controls for Federal Information Systems
• NIST SP 800-82: Guide to Industrial Control Systems (ICS) Security
• NIST CyberSecurity Framework
• ANSI/IEC-62443-X-X: Security Technologies for Industrial Automation and Control Systems
• NERC: Critical Infrastructure Protection (CIP) Cyber Security Standards
• DHS: Catalog of Control Systems Security Recommendations for Standards Developers
• AMI-SEC- Task Force: AMI Systems Security Requirements
• IEEE 1686: Standard Intelligent Electronic Devices Cyber Security
• 6 CFR part 27: Chemical Facility Anti-terrorism Standard (CFATS)
• TSA Pipeline Security Guidelines, April 2011
• Guidance for Adressing CyberSecurity in the Chemical Industry versión 3.0
• API Standard 1164 – SCADA Security
• ….…. e muitos mais!
ABB Automation & Power WorldMietek Glinkowski, Dir. Tech.
Everything you wanted to know but afraid to ask about standards
IEEE, ANSI, IEC, UL, NEMA,…
Organizações nacionais e internacionais e seu trabalhoHá muitas organizações que desenvolveram empregos para a segurança cibernética industrial, no entanto....
TI
TO
ISA/IEC-62443 é uma série de
Normas internacionais desenvolvido por dois grupos
ISA99 → ANSI/IEC-62443
IEC TC65/WG10 → IEC-62443
Em consulta com
ISO/IEC JTC1/SC27 → ISO/IEC 2700x
No Comitê ISA99 somos cerca de 900 membros de setores industriais, usuários finais, fabricantes, fornecedores, governo, organizações (ISO, IEC,..), Destinatários de risco,…
ANSI/ISA99/IEC-62443
• 7 Estándares (SP)
• 7 Referencias Técnicas (TR)
Sobre o Comitê ISA99O Comitê ISA99 é o resultado de uma associação de três organizações que decidiram unificar esforços e recursos
para desenvolver um único trabalho (ISA, ISO e IEC)
Confidencialidade
Segurança funcional Segurança intrínsecaCiberseg. Industrial
Plant A
Laptop Computer
EngineeringWorkstation
File / PrintServer
App.Server
DataServer
Control System & Room
App.Server
DataServer
Maint.Server
Router
Firewall
Fieldbus
Field Instrumentation & Devices
HART 4-20 mA
ControllerController
Mainframe
Server ServerWorkstation
Laptop Computer
Enterprise Network
PlantNetwork
Control SystemNetwork
ControlNetwork
Plant B
Laptop Computer
EngineeringWorkstation
File / PrintServer
App.Server
DataServer
Control System & Room
App.Server
DataServer
Maint.Server
Router
Firewall
Fieldbus
Field Instrumentation & Devices
HART 4-20 mA
ControllerController
PlantNetwork
Control SystemNetwork
ControlNetwork
Plant C
Laptop Computer
EngineeringWorkstation
File / PrintServer
App.Server
DataServer
Control System & Room
App.Server
DataServer
Maint.Server
Router
Firewall
Fieldbus
Field Instrumentation & Devices
HART 4-20 mA
ControllerController
PlantNetwork
Control SystemNetwork
ControlNetwork
O que eles têm em comum?
• Consequências
• Segurança pelo desenho
• Som os mesmos Equipos
Como eles diferem?
• As causas• Vulnerabilidade
• Falhas
• Arco/Elétrico
Algumas disciplinas de riscos industriais
Outras disciplinas de risco para cada segmento industrial.
• Energia
• Alimentos
• Farmacêutico
• Etc.
• Três anos após o naufrágio do Titanic as autoridades criaram novas leis para as empresas …
•… Em apenas alguns minutos, mais pessoas morreram do que no Titanic e Lusitania juntos e em um lago.
“Este desastre exemplifica a importância do “desenho" na
segurança”
O desastre de EastlandUm dos desastres mais terríveis que ele rapidamente queria esconder.
• Tolerância ao risco: Diferentes pessoas percebem o risco de uma forma diferente.
• É da responsabilidade da alta administração definir os objetivos de cibersegurança industrial, políticas, tolerâncias, etc.
• Incidentes como (o desastre de Eastland), sistema elétrico interligado da Ucrânia, e tantos outros. Como as organizações falham?
(1) Não conhecen os padrões/padrões
(2) falha na implementação
(3) Não são consideradas necessárias às normas
Risco = f(Vulnerabilidade, Ameaça, Consequência)
Segurança de Processos ….
Segurança de Pessoas
Segurança de Meio Ambiente
Segurança da Informação
Continuidade OperativaContinuidade do Negocio
HS&E = Health, Safety and Environmental
Avaliação do risco industrial cibernético A avaliação dos riscos cibernéticos industriais deve necessariamente incorporar à segurança das
pessoas, dos processos, do meio ambiente,..
BPCS
BPCS HMI
Equipment Room
Field
Control Room
Plant Admin
Building
SIS
Maint
Laptop
Internet
Corp HQ
Remote Control System
User
BUSINESS ZONE
EMPLOYEE
REMOTE
ACCESS
ZONE
VENDOR
REMOTE
ACCESS
ZONESAFETY
ZONE
WIRELESS
ZONE
Dial-up
Modem
DCS Server B
DCS Server A
Remote Control System
User
IT DomainController
DataHistorian
Supervisor
BusinessServers
PROCESS
CONTROL
ZONE
BusinessWorkstations
Operator Consoles
Operator Consoles
RAS
Corporate
WAN
Comm Room
`
EngineeringWorkstation
Router
Router
A metodologia desenvolvida no ANSI/ISA99/IEC-62443 é chamada
Cyber-PHA (análise de Risco Cibernético em TO) que cumpre as
exigências RAGAGEP/OSHA
RAGAGEP = Recognized And Generaly Accepted Good Engineering Practice
Alcançar a segurança cibernética desejada ou necessária O Comitê ISA99 introduz uma metodologia e fórmula matemática para gerenciar o risco cibernético
industrial e também propõe sua mitigação pelo desenho.
Triton/Itris/HatManSistema Instrumentado de Segurança
Spectre-MeltdownVulnerabilidade em Microprocessadores
Malware desarrolhado en os 5 linguajes de programação IEC-61131-3
Wireless HART es vulnerável a os ciberataques - Hacked
Segurança de Processos
Segurança de as Pessoas
Segurança do Meio Ambiente
Disponibilidade
Integridade
Confidencialidade
Criticidade Destinatários de risco
Segurança da Informação
Impactos
Sectores de la Comunidad
Cibersegurança industrial: incidentes, consequências,
impactos,...
Los Chinos estão espiando com microchips escondidos em as fábricas americanas: Cisco, etc.
Os ataques são cada vez mais sofisticados e prejudiciais nas tecnologias proprietárias de fabricantes industriais. Não só nas tecnologias tradicionais de TI.
É evidente que a confidencialidade das informações no TO é a menor das preocupações. Os impactos mais severos estão no mundo
físico.
E x i s t e m m u i t o s t i p o s
d i f e r e n t e s d e a va l i a ç õ e s
a p l i c á ve i s a o s s i s t e m a s
i n d u s t r i a i s
• Existem muitas técnicas e métodos para a realização de avaliações de cibersegurança
industrial. Cada um deles com diferentes objetivos, resultados e benefícios.
• Muitos consultores confundem a identificação de vulnerabilidades em redes e
sistemas industriais com avaliação de risco, levando a conclusões, recomendações e
ações incorretas e insuficientes. Não é a mesma análise de vulnerabilidade que uma
análise de risco.
• As metodologias tradicionais de TI empregadas na OT não têm conhecimento e
prática para incorporar na avaliação de risco os impactos e conseqüências do mundo
físico da OT, tais como, disponibilidade, saúde das pessoas, segurança do processo,
Segurança ambiental, entre outros.
Há muitos tipos e avaliações diferentes que podem ser feitas em sistemas industriais
Diferentes tipos de avaliação
• Análise GAP: São avaliações que são desenvolvidas principalmente em entrevistas para conhecer as práticas atuais da planta e para serem comparadas com as melhores práticas. (IEC62443, NIST, NERC, etc.)
• Análise passivos: Eles são desenvolvidos com ferramentas para levantar dados, informações sobre redes e sistemas industriais. (por exemplo, captura de tráfego, análise de log, inspeção de configuração, revisão de política de segurança, etc, como Wireshark, Indegy em modo passivo e outros)
• Ativo não intrusivo: Eles são assistidos com ferramentas aprovadas e certificadas com a capacidade de dialogar com os sistemas industriais (por exemplo. Consulta, verificação de firmware, verificação de lógica de escada, verificação de mudança, etc. como o sistema Indegy no modo ativo ou outras ferramentas desenvolvidas pelos fabricantes de sistemas de controle, kits de ferramentas e outros.
• Ativo intrusivo: Eles são feitos com ferramentas que podem causar uma interrupção ou efeito indesejado nos sistemas industriais. (E.g. Maior largura de banda de rede, carga da CPU, redução de memória, etc, como a execução de um Cyber-FAT/SAT,...)
• Destrutivo: Eles são realizados a fim de detectar vulnerabilidades por meio de sua exploração. (E.g. Cyber-FAT, Cyber-SAT, certificação de laboratório – ISA Secure -, descobrindo novas vulnerabilidades, teste de penetração, fuzzing, etc)
A b o r d a g e n s e t e c n o l o g i a s
p a r a a l c a n ç a r a s e g u r a n ç a
n e c e s s á r i a o u e x i g i d a n o s
d o m í n i o s d a p r o d u ç ã o
i n d u s t r i a l
• Segurança cibernética industriais,
segurança de processos industriais,
segurança de as pessoas e o ambiente
estão juntos. Não e aceitável melhorar
um em detrimento do outro.
• Qual será o futuro do cybersecurity
Industrial? Quais são as tecnologias do
futuro para os fabricantes de sistemas
de controle? Etc.
No últimos 5 anos a situação mudo muito. Alem de isso muitas empresa ainda não são consentes.
TCO – Custo Total de Propiedade de IACS
• Engenharia: Simplicidade da arquitetura e soluções universais para pequenas, médias e grandes sistemas permitem projetos ser provado e reutilizados. Facilidade de integração, fornecendo soluções para problemas imediatos. Escalabilidade permitirá as soluções imediatas para ser expandido na.
• Instalação/Colocação em funcionamento: a instalação e Colocação em funcionamento é uma parte da fase de construção. Simplicidade e universalidade da solução será benéficos para a instalação, comissionamento, treinamento e transferência de soberania para as operações. Simplicidade e universalidade da arquitetura irão melhorar a experiência do usuário e reduzir a resistência à mudança.
• Manutenção: A fase mais longa. Custo de propriedade (licenciamento e suporte taxas) é muitas vezes maior que o custo original. Disponibilidade de peças de reposição e suporte técnico local são fundamentais. Simplicidade da arquitetura irá aumentar a confiabilidade e segurança.
• Sistema: Impedindo a obsolescência do produto, incluindo o controle do fornecedor de disponibilidade a longo prazo dos componentes ativos digitais utilizados na concepção juntamente com hardware, firmware e software de origem de fabricação seguro longevidade de sistema global.
• Cibersegurança: Esta fase tem fatores de risco relevantes sobre o ciclo de vida. Segurança da cadeia de abastecimento, incluindo o desenvolvimento de software, fornecimento de componentes e instalações de fabricação. A capacidade de fixar o projeto, fabricação e teste de falsificação e obsolescência são alguns dos critérios importantes a considerar.
A tecnologia vulnerável tão elevando o TCO ao duplo, custo de manutenção ao triplo e muito mais ainda.
Níveis de certificação baseados em requisitos para
hardware, software, design, manufatura, tecnologias,
cadeia de abastecimento (OEMs), etc.
Três certificações
com 4 níveis:
• IEC 62443 - EDSA
Certification
• IEC 62443 - SSA
Certification
• IEC 62443 - SDLA
Certification
O que acontece com fornecedores e fabricantes? O ISA Secure criou um programa de certificação para fabricantes e fornecedores para
desenvolver uma linguagem comum entre usuários e fornecedores.
MODELO DE SEGURIDAD OTANSI/ISA99/IEC-62443 & ISA84/IEC-61508/61511
Fases da cibersegurança industrial e do seu ciclo de vida
S o l u c o e s e M o n i t o r a m e n t o
d e a t i vo s i n d u s t r i a i s
c i b e r n é t i c o s p a r a d e t e c ç ã o
d e a l t e r a ç õ e s , a n o m a l i a s ,
i n t r u s õ e s e i n t e g r a ç ã o c o m
o S O C .
• Identificando ativos cibernéticos
• Identificação de vulnerabilidades
• Identificação de alterações não autorizadas da rede
• Identificando alterações não autorizadas localmente no sistema
• Disponibilidade de recursos
• Detecção de intrusão
• Detecção de anomalias
• Outros eventos configurados pelo usuário
• Visibilidade unificada
• Detecção de anomalias como um serviço
• Conformidade com os níveis de cibersegurança (zonas e condutas)
• Resposta a incidentes
• Outros eventos
Novos sistemas
(Built-In)
Cibersegurança
intrínseca, nativa
ou incorporada
Na base instalada (Bolt-On)
Segurança cibernética
adicionada aos sistemas
convencionais criando
arquiteturas seguras.
Ej: Firewalls, Hardening, etc.Cibersegurança de hardware
Nativa intrínseca (Built-In)e/ou Sistemas de monitoramento (Bolt-On) 7x24x365 (SIEM/SOC-OT)
• Gestão de ciberactivos
• Análise de vulnerabilidades
• Detecção de intrusão
• Detecção de anomalias
• Gerenciamento de mudanças
…. e muitos mais
Tecnologias para a cibersegurança industrial Duas abordagens para duas situações diferentes. Não podemos continuar fazendo as mesmas
coisas da mesma maneira. A tecnologia do futuro chegou.
Exemplo: Sistema de monitoreo Pasivo y Activo No IntrusivoO sistema Idengy é completamente não-intrusivo. Mesmo em seus dois modos de trabalho.
CONTROL NETWORK INSPECTION (CNI)
O sistema Indegy utiliza técnicas passivas para analisar
todo o tráfego em redes de controle com coletores e
intérpretes que compreendem os protocolos industriais
e o conteúdo da mensagem.
AGENTLESS CONTROLLER VERIFICATION (ACV)
O sistema Indegy usa técnicas ativas não intrusivas
aprovadas para atender aos requisitos de segurança de nível
mais alto SL3 e SL4 com a capacidade de detectar
incidentes sofisticados que não são possíveis de detectar
por métodos passivos.
Tecnologias no serviço OT, agente passivoO sistema Idengy é completamente não-intrusivo. Mesmo em seus dois modos de trabalho.
Visibilidad de los Activos Visibilidad de las Actividades
SATAN
Redes
Sociales
BD IoCs
• IBM Threat
Intelligence
• Recolección local
• Otras BD IoC
SIEM
Framework
Analítica e
intercambio
IoC
Arcsight
Logger
Maltego
Inteligencia de
la Amenaza
Correlación y
AnalíticaInvestigación y
Hunting
Fuentes
Noticias
Eventos
Clientes
Herramientas
Estadísticas
Respuesta y
Forense
Herramientas
de Análisis
Remoto
(RedLine, HX)
Herramientas
de análisis
Forense
(Volatility,
EnCase, etc)
Vulnerabilidades
UEBA
Tecnología de
Operaciones (OT)
Amenazas Externas
Intencionadas o No
intencionadas
Amenazas Internas
Ej. Empleado
Incorforme
Error Humano y
Negligencia
AM
EN
AZAS
Múltiples plantas
y/o procesos
distribuidos
Integração de SOC (Security Operations Center) com OT
Perguntas
Maximillian G. Kon
Marcelo Zaremba
V Simpósio ISA São Paulo
de Automação em Saneamento19 de março de 2019 – São Paulo / SP
Mais
perguntas?COMPANY