3. Next-generation Security Platform Complete Industrial Cyber Security Solutions
Valor aos nossos clientes em comum:
Entregar soluções confiáveis de Segurança Cibernética industrial para impedir ataques
e manter o tempo de disponibilidade e segurança elevados
PEOPLE
PROCESS
TECHNOLOGY
Assessments
& Audits
Architecture
& Design
Network
Security
Endpoint
Protection
Situational
Awareness
Response
& Recovery
Dois líderes em seus respectivos campos unindo forças
4. ICS-CERT Sumário dos ataques por indústria – 2014 e 2015
• Em 2014: Setor de Energia mais visado
• Em 2015: Setor de Energia ainda visado mas
ultrapassado pelo setor de manufatura
5. Ameaças Mudaram: Ataques avançados
Data Data
Internet
Encryption Targeted
OBJETIVO: Lucratividade, Sabotagem
e conflitos entre nações
• Organizados
• Ataques direcionados
• Financiado – Industria foco crescente
OBJETIVO: Notoriedade
• Uma pessoa, grupos pequenos
• Conhecimento e Recursos limitados
• Ataques básicos
Internet ?Passado
Presente
6. SCADA/ICS – A tempestade perfeita para ataques cibernéticos
Migração para protocolo IP,
Mais uso do Windows
Maior Conectividade
(Interna, Externa, VPN, Orgs, Fabricantes)
Tradicionalmente
baixa maturidade de
segurança cibernética
Patches não frequentes de
Sistemas operacionais
Número e sofisticação dos
ataques específicos em redes
de automação crescentes
8. Client Industry ICS Perimeters Vírus/Spyware Command
and Control
C&C
Suspicious DNS
Queries
Vulnerabilities Malware
APT
Unauthorized
Applications
ABC Steel - Corporate Network
- Gov. Agencies
- ICS Vendors external VPN
- Process Network (PI)
- ICS Datacenter
- Control Center – Field Devices
X
Conficker
X
C&C Traffic
Gen.
X
malware e botnets
X
PLC Warm Restart
PLC read/writeWindows
Vulnerabilities
Brute Force Attacks SCADA
X
Malware
0Day
X
Dropbox,
Bittorrent,EasyShare
XPTO Energy - Corporate Network
- Gov. Agencies
- Control Centers – Substations
- Process Network (PI)
- IICS Vendors external VPN
X
Conficker
X
C&C Traffic
Gen.
X
malware e botnets
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
X
Malware
0Day
X
Bitorrent, Facebook,
Dropbox, Netflix
XYZ Energy - Corporate Network
- Gov. Agencies
- Process Network (PI)
- Control Centers - Substations
No occurrence No
occurrence
No
occurrence
X
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
No
occurrence
X
Bitorrent, Facebook,
Skype Dropbox,
FileShare
ACME Mining - Corporate Network
- ICS Vendors external VPN
- Process Network (PI)
- ICS Datacenter
X
Conficker
X
C&C Traffic
Gen
X
malware e botnets
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
Not Tested
X
Dropbox,
Bittorrent,EasyShare
, Skype, Ultrasurf
BIZ Oil and
Gas
- Corporate Network
- Gov. Agencies
- ICS Vendors external VPN
- Process Network (PI))
X
Conficker
No
occurrence
No
occurrence
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
Not Tested
X
Dropbox, , Skype
Benchmarking de Provas de Conceito realizadas na America Latina
10. s
Control Center
SCADAENGR
Remote/Substations/Process Zone
RTU / PLC / IED
HIST
OPC
Server
Control Center
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
General
Modbus
DNP3
CIP Ethernet
Bridge/Service
OPC DA/UA
Apps
Cygnet – Oil &
Gas SCADA
PI - Historian
Modbus TCP (port 502) : Mais antigo ICS protocolo usado no controle de I/O (principalmente)
• Sem autenticação ou criptografia
• Sem supressão de broadcast
• Vulnerabilidades publicadas
Procolos de automação são inseguros, muitas vezes “por design”
DNP3 (port 20000)
Muito popular em empresas de energia elétrica e de tratamento de água
• Sem autenticação ou criptografia
• DNP3 Secure Authentication adiciona segurança, mas versão não é amplamente usada.
12. Identificadores de aplicações funcionais
Function Control Variants (15 total)
Modbus-base
Modbus-write-multiple-coils
Modbus-write-file-record
Modbus-read-write-register
Modbus-write-single-coil
Modbus-write-single-register
Modbus-write-multiple-registers
Modbus-read-input-registers
Modbus-encapsulated-transport
Modbus-read-coils
Modbus-read-discrete-inputs
Modbus-mask-write-registers
Modbus-read-fifo-queue
Modbus-read-file-record
Modbus-read-holding-registers
Applipedia entry for Modbus-base App-ID
13. IEC 60870-5-104
Available Variants for IEC 60870-5-104
App-ID
Applipedia entry for IEC 60870-5-104 Base App-ID
Identificadores de aplicações funcionais
14. Demonstração: Visibilidade e Controle da Operação Industrial
• Controle de Processo de
Destilados
• Controle de Pressão e
Temperatura de dutos e válvulas
com protocolo Modbus e
subfunções
• Controle de Supervisório
administrando remota
(subestação)
• DNP3 e subfunções (dnp3-
operate, dnp3-read, dnp3-write)
16. Desafio – Protegendo sistemas desatualizados
Sistemas SCADA não podem receber patches regularmente,
difícil manter-se com as atualizações de Antivirus
Garantir a segurança dos sistemas em longos períodos
de ciclos de atualização (6 a 18 meses) tipicamente;
muitos anos em alguns casos
Impulsionada por metas de disponibilidade ou restrições do
processo
Risco aumenta em direção próxima janela de atualização
Protegendo sistemas legados que não podem receber
patches
Alguns sistemas já não suportados pelo fornecedor
Ainda precisa estar em funcionamento durante anos
Quaisquer novas vulnerabilidades são sempre “Forever Day”
Human
Machine
Interface
Engineering
Workstation
Automation Server
17. SCADA/ICS Vulnerabilidades e Exploits
• Muitos sistemas com
vulnerabilidades conhecidas são
deixados sem correção para uma
variedade de razões
Historian
Server
(CVE-2012-2516)
OPC
Server
(CVE-2011-1914)
SCADA Master /
HMI
(CVE-2012-0233)
PLC / RTU / IED
(CVE-2010-2772)
MultipleVectorsforExploitation
Internet / Support
Network
Removable
Media
Portable
Computing
Exemplo de
indicadores CVE
de diferentes
components
SCADA/ICS
Prevenção de ameaças nativa
protege os ativos críticos contra
vírus e spyware
Aplicar assinaturas de exploits
para virtualmente implementar
patches
Exploits específicos de
SCADA/ICS e exploits de
uso em demais sistemas de
Tecnologia da Informação
Exploits de protocolos
específicos
18. Bloqueio de ameaças conhecidas específicas para SCADA / ICS
Pare de ameaças conhecidas para TI que são relevantes para SCADA
General IT Product Exploits General Malware & CNC
SQL
Slammer
Conficker
Risky protocol functions
E.G. Warm restart
ICS Product Exploits ICS-specific Malware & CNC
Stuxnet Havex
Palo Alto Networks Threat Prevention
Proteção contra Ameaças específicas para automação
19. Palo Alto Networks Threat Prevention
Proteção contra Ameaças específicas para automação
• Específicas para produto (HMIs e Supervisórios SCADA)
• Banco de dados de vulnerabilidades/exploits, virus e spyware
• Cada entrada possuí descrição, severidade, ranking e links para mais informação
• Desenvolvido pela equipe mundial de ameaças da Alto Networks
• Quaisquer vulnerabilidades atualmente descobertas pela equipe de pesquisa de ameaças
podem ser pesquisadas (cliente, SW / HW fornecedor)
• Incluí informações sobre vulnerabilidades e assinaturas existentes especificamente para ambientes SCADA/ICS
20. Desafio – Prevenção de Sabotagens e Desastres
Visibilidade e Controle contra operações industriais não autorizadas
21. Palo Alto Networks: Prevenção de Sabotagens em ambientes SCADA/ICS
Comandos de Protocolos de Risco: Visibilidade e controle de ações
relacionadas a condições e parâmetros de operações industriais.
DNP3 Modbus
• Controles de PLCs, IEDs, RTUs:
• Leitura e escrita (reprogramação) de valores, registros, Cold Restart, Warm Restart,
finalização de processos entre outras condições operacionais.
22. Sofistifação da sabotagem: Worm projetado para “viver” na PLC sem
dependência de endpoints para propagação.
23. Demonstração: Palo Alto Networks Next Generation Firewall: Detecção e
Bloqueio de fraudes/sabotagens a partir de operações não autorizadas
• Visibilidade de processos de leitura e
escrita (reprogramação) de PLC
através de Modbus
• Deteção de operações não autorizadas
como reinicialização de Relay (Cold
Restart/Warm Restart) via DNP3.
• Hacking PLC: Causando paralização da
operação e criando condições
favoráveis a incidentes (e acidentes).
26. Stuxnet como marco divisor para uma nova geração de ameaças
Stuxnet: “Malware” orientado a sistemas de automação industrial que monitora
centrífugas nucleares iranianas, arquitetado de forma sofisticada,
levantando suspeitas diversas sobre a natureza da ação
Sofisticado:
Inclui exploits para 4 vulnerabilidades (0-day) sem patches
Inclui componentes assinados certificados digitais roubados
Disseminados através de diversos vetores, incluindo pen-drives
Infectou máquinas de desenvolvimento c/rootkit que esconde tanto o “malware” como as
mudanças que ele faz nos programas sendo desenvolvidos
Dirigido:
Modifica códigos nos controladores lógicos programáveis - PLCs
Modificações só acontecem em determinadas circunstâncias (drivers de alguns fornecedores, operando
em condições específicas de frequência, etc
27. E sobre o "Filho do Stuxnet"? Lacunas na proteção dos antivírus tradicionais
☣ Malwares direcionado e customizado
☣ Malwares Polimórficos
☣ Malwares recém lançados (0Day)
Tempo demorado para proteção
Malwares modernos são cada vez mais capazes de:
• Evitar que sejam detectados por tecnologias de antivirus tradicionais
• Podem ser disseminados através de polimorfismo, re-codificação e criptografia.
30. WildFire: Nuvem de Inteligência da Palo Alto Networks
Proteções desenvolvidas
com enforcement in-line
através dos estágios do ciclo
de ataque
Inteligência correlacionada:
Web
Detecção do Desconhecido
Malware
Exploits
Controle e Comando (C2)
Queries DNS
URLs Maliciosas
WildFire
WildFire
Threat
Prevetntion
URL Filtering
All traffic
SSL encryption
All ports
PerimeterAll commonly
exploited file types
3rd party data
Data center
Endpoint
Email
FTP
SMTP
SMB
37. Movimento lateral
para alcançar
rede operativa
ATINGIR
OBJETIVO
Comprometimento
dos Sistemas de
Controles
Industriais
OBJETIVO
ALCANÇADO
(SABOTAGEM)
Movimento
lateral para
infectar novos
hosts
OPERAÇÂO
NO ENDPOINT
Comprometimento
inicial e entrega
de malware
EXPLORAÇÃO
DO PERIMETRO
Entregar malware
secundário e
comunicar com
atacante
ENTREGA DO
MALWARE
Ukrainian Grid Attack Lifecycle – Ciclo de vida do Malware
Spearphishing the IT
Network
(Email com arquivo
malicioso MS Office)
C2 Infrastructure
Black Energy 3
Backdoor
Mapeamento de rede,
Acesso a domain
controllers para
captura de credenciais
de usuários
Acesso ao ambiente
de rede SCADA
Disjuntores abertos,
DoS em linhas
telefonicas
Equipamentos
desligados (remotas)
Perda de Energia
Longo blackout
40. Demonstração: Palo Alto Networks Traps
Proteção contra malware avançado e ameaças avançadas no endpoint.
• Operador HMI executa arquivo
infectado com malware moderno;
• Antivirus Mcafee não detecta presença
e atividade do código malicioso;
• Arquivos e programas de processos
industriais criptografados
• Pedido de resgate realizado
Parte 1 – Comprometimento HMI
41. Endpoint: Anatomia de um ataque orientado
Fraude / Sabotagem
Industrial
Reconhecimento
Estabelecimento de
Canais de Controle
Comprometimento
do Endpoint
O momento certo para prevenir uma brecha de segurança é antes
de um atacante comprometer um Endpoint e ganhar entrada no
seu ambiente.
42. Prevenção de Comprometimento do Endpoint
1.
2.
3.
Conhecidos
Desconhecidos
Zero-Day
Conhecido
Desconhecido
Avançado
Prevenir
Exploits
Prevenir
Malware
Pronto para
Enterprise
43. Bloquear as principais técnicas - não a ataques individuais
Número de novas variantes a cada ano
Ataques Individuais
Exploração de vulnerabilidades
de software
Milhares de novas vulnerabilidades e exploits
1,000s
Técnicas Principais
Técnicas de exploração
Apenas 2-4 novas técnicas de exploração
2-4
Malware
Milhões de novas variações de malware
1,000,000s
Técnicas de malware
Dezenas de novas sub-técnicas de malware
~10s
Palo Alto Networks Traps
44. Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevenção de Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3
45. Usuário tenta abrir
Arquivo executável
Submeter
para análise
Regras de
Restrições e
Execução
Signed
USB mediaX
Benign
Malicious
Checagem
comportamental
Malware
Unknown?
Palo Alto Networks Traps
Proteção Efetiva contra Malware conhecido e Desconhecido
Hash checado
localmente e no
database do
servidor
Hash checado
no Wildfire
46. Supported Operating Systems Footprint
Workstations – Physical and Virtual
Windows XP SP3
Windows Vista SP2
Windows 7
Windows 8 / 8.1
Windows 10
Servers – Physical and Virtual
Windows Server 2003 (+R2)
Windows Server 2008 (+R2)
Windows Server 2012 (+R2)
25 MB RAM
0.1% CPU
No Scanning
Application Coverage
Default Policy: 100+ processes
Automatically detect new processes
Protect any application
Palo Alto Networks Traps
Sistemas Operacionais suportados e Recursos
47. Demonstração: Palo Alto Networks Traps
Proteção contra malware avançado e ameaças avançadas no endpoint.
Parte II : Proteção com Palo Alto
Networks Traps
• Operador HMI executa arquivo
infectado com malware moderno;
• Antivirus Mcafee não detecta presença
e atividade do código malicioso;
• Palo Alto Networks Traps Evita a
execução do malware e garante a
Continuidade operacional do controle
do processo industrial
49. Demonstração: Palo Alto Networks AutoFocus
Visão da Proliferação de BlackEnergy ao redor do mundo.
• Proliferação do BlackEnergy em
diferentes indústrias;
• Manifestações em diferentes variantes
do Malware
• Alastramento Geográfico
• “Tags” de categorização do malware e
colaboração da indústria para
compartilhamento de informações;
• Análise forense do ciclo de vida do
Malware: Propriedades de rotinas e
chamadas a variáveis de ambientes
operativos.
50. Desafio – Redes conectadas não mais isoladas
Necessidade de maior segmentação e controle de acesso
Acesso externo granular e segmentação interna
Necessário enforcement do “role-based access control” e conceito “zero-trust
Prevenção de incidents cibernéticos.
Industrial
Control
System
Business
Network
Partners
Other
Plants/Facilities
3rd Party
Support
51. ISA 95/Purdue Enterprise Reference Architecture (PERA)-A
HistorianHMI
Engineering
HMI Application File Server
Level 3
Web Services
Data Center
Corporate Workstations
Level 4
Business Logistics/Enterprise
DMZ
Manufacturing Operations Systems
Control Systems
Intelligent Devices
Process
Email
Business
Workstation Patch WebJump
Level 3.5
Historian Copy
Historian
Engineering
HMI
Application
Level 2
Level 1
PLC/RTU PLC/RTU PLC/RTU
Level 0
HMI
EngineeringEngineering
53. Arquitetura de Referencia: Layer 3 High Availability (HA)
SCADA
PLC
DMZ(L3.5)BUSINESS
ICS
Business
Network
Remotes
• WorkstationREMOTE
Internet
Corporate Data
Center
MPLS
• HMI
• Engineering Sta.
• Appl. Server
• Email
• File Server
• Historian
• Patch Server
• HMI
• Jump Server
Level 3.5
Level 3.5
Level 2
Level 1Level 2
Level 0
Level 4
Level 4
Level 2
Level 4
HA
54. Estudo de Caso
Cenários de empresas na América Latina apresentados no roundtable de
indústrias do Palo Alto Networks Ignite 2016
55. Case 1 for Network Segmentation Issues – Steel Mill company
• Problem:
• ICS external Vendors and contractors spreading virus and bad applications to OT
environments through VPN connections:
• VPN connection provides encryption but what for security controls, threat and app visibility?
• Consequences:
- Undesirable and Bad applications found due 0.0.0.0/0 routing
• Default gateway for VPN tunnel sometimes = end of tunnel = OT enviorment (config fault)
• End of tunnel is a port/protocol Firewall acting as a VPN concentrator.
Lack of app visibility and known/unknown threats
Apps found: Dropbox, Bittorrent, Skype
DNS Suspicious Query indicating C2 botnet activity
Conficker worm spreading through network (network overhead/flood – a concern for OT)
• Do you know Conficker can stop an entire industrial plant? It happened with our client. A huge
impact on Steel production was reported
56. • Solution: Creation of a Third-
Party Access Zone (LEVEL 4)
“Rather than place third-party vendor
access in the DMZ, where there is still the
possibility of exposing workstations and
servers housed there to external threats,
the ideal deployment would be to create a
separate zone just for remote
vendor/support access”
• Level 4 Third Party Zone
created to provide total
visibility into traffic entering
and leaving your production
network with the ability to
alert or block known and
unknown malware, APTs and
zero-day exploits.
• Restrict access based on user
or user groups.
• Restrict access based on
schedules.
• Restrict protocols to only
those necessary for
support and maintenance.
• Define enforcement levels on
a per-vendor, per-person, or
per-user group basis.
External ICS Vendors
Client to Site VPN
Case 1 for Network Segmentation Issues – Steel Mill company
57. Case 2 for Network Segmentation Issues – Energy Sector company
• Problem:
• Attacks spreading trough Government Energy Sector company MPLS networks
• Government Agency company gathers production real time data from Energy Sector Companies
production using IEC 60870-5-104 protocol:
Pooling Supervisory Systems to live info on production capacity;
Pooling Energy Substations directly;
• Consequences:
- Ingress ACL on routers being applied and standard
port/protocol Firewall behind do not stop application level
attacks and threats:
• IEC 60870-5-104 protocol architecture: It does not rely on fixed
standard ports it´s a dynamic protocol allocating random ports.
Many ports Opened:
BruteForce Attacks found against supervisory systems - (Incident reported due password discovery).
Several virus and worms (conficker) spotted;
58. • Solution: Creation of a
BUSINESS Zone (LEVELS 4)
“From a reference point of view, the Business
zone, as it stands in relation to the industrial
controls network, as a potential threat and
inspected.” should be treated like the Internet
and with the same level of concern. All traffic
coming from this zone should be treated
• Treat IEC 60870-5-
104 with native
Application layer
intelligence allowing
only base protocol
and its sub functions
to cross network
boundaries to lower
levels (L3-L2-L1)
• Total visibility into
traffic entering and
leaving your business
zone with the ability
to alert or block
known and unknown
malware, APTs and
zero-day exploits
Case 2 for Network Segmentation Issues – Energy Sector company
MPLS supporting a business requirement for
Supervisory Pooling from external organization
59. Case 3 for Network Segmentation Issues – Energy Sector company
• Problem:
• Unauthorized PLC/RTU management from unknown sources
• RTU restart issued with no apparent reason/cause;
• DNP3 sub functions commands (dnp3-operate/direct-
operate/read/write) spotted from unknown sources during PoC.
• Consequences:
• Incident reported as Loss of View and Loss of Control due unexpected RTU
restart
• Possibility of sabotage and fraud due lack of proper network segmentation
between L0, L1 and Upper Levels
60. • Solution: Creation of PLC
(LEVEL 1) Control Devices Zone
“Devices placed in this zone are items like
Programmable Logic Controllers, Remote
Terminal Units and programmable relays”.
• The creation of
Level1 zone
enforces
protection against
unauthorized
access intending
to reprogram PLC
devices.
• It grants the
proper visibility
and control
allowing only
trusted sources
(Supervisory
systems) to
connect to PLCs in
order to send
read and write
PLC commands.
Case 3 for Network Segmentation Issues – Energy Sector company
MPLS supporting a business requirement for
Supervisory Pooling from external organization
62. Palo Alto Networks: Arquitetura Top-Down de Referência para Redução
de Riscos em Redes SCADA/ICS
Zona Operadores HMIs
Historian Business DEV Zone
Zona de Engenharia
TI-TA Zona
DMZ
Jump Patch Web
Site/CellZone
Process-specific
L0
L1
L2
L3
L3.5
L4
Zona
Servidores
SCADA
Zona
PLC/IED/RTUS
Zona TI
Corporativa
Historian Replica
Traps
Segurança de EndpointTraps
TrapsTrapsTraps
Traps Traps Traps
Traps
Traps
TrapsTrapsTraps
Wildfire – Proteção Malware Moderno
Public
Cloud
Private
Cloud
Panorama
Visibilidade
Segmentação
Prevenção de Ameaças
Gerencia Centralizada
(Panorama and ESM)
ESM
Wildfire Appliance
Acesso Remoto:
Jump Server ou VPN
Remote
Engineer
Access
Zona
PLC/IED/RTUS
63. Next-generation Security para SCADA/ICS
1
Download do Solution Brief de SCADA/ICS
go.secure.paloaltonetworks.com/secureics
2 Saiba mais sobre uso de sua rede e ameaças
Control Network
Application Visibility and Risk Report (AVR) at:
http://connect.paloaltonetworks.com/AVR
Demo OnLine de segurança das soluções Palo Alto Networks para SCADA/ICS
http://events.paloaltonetworks.com/?event_type=632
64. Why Palo Alto Networks?
Prevention
Zero-Day
Reduce Risk
Policy
Visibility
Remediation
Detection
Endpoint
Data Center
Mobility
BYOD Management
Vulnerability
Responsive
Exploit
Anti-Malware Forensics
Automation
Private Cloud
Public Cloud
Performance
Scalability
Platform
Segmentation
Applications
Users
Control
Agile
Perimeter
Integrated
Support
Web Security
Command-&-Control
Virtualization
Ecosystem
Context
Correlation
Services
People
Culture
Safe Enablement
Application