Apresentação sobre ameaças cibernéticas em protocolos de automação realizada na 2a Conferencia Latino Americana de Segurança em SCADA.

1. ANÁLISEDEAMEAÇASCIBERNÉTICASEM
PROTOCOLOSINDUSTRIAIS.
Alexandre Freire
Brazil Enterprise Accounts Sales Engineer
WW Industrial Control Systems Tiger Team
afreire@paloaltonetworks.com

2. Uma visão rápida sobre a Palo Alto Networks
DESTAQUES CORPORATIVOS
• Fundada em 2005; primeiro
equipamento enviado a cliente em 2007
• Habilitando de forma segura aplicações
e negócios prevenindo ameaças
cibernéticas
• Capaz de endereçar todas
necessidades de segurança cibernética
enterprise e de ambientes industriais
• Habilidade excepcional de suportar
clientes globais
• Time experiente de 3,300+ funcionários
• Q2 FY16: $334.7M revenue
$MM
RENDIMENTO CLIENTES
$13 $49
$119
$255
$396
$598
$928
$0
$200
$400
$600
$800
$1,000
FY09FY10FY11FY12FY13FY14FY15
4,700
9,000
13,500
19,000
26,000
0
4,000
8,000
12,000
16,000
20,000
24,000
Jul-11 Jul-12 Jul-13 Jul-14 Jul-15
2 | © 2015, Palo Alto Networks. Confidential and Proprietary.

3. Next-generation Security Platform Complete Industrial Cyber Security Solutions
Valor aos nossos clientes em comum:
Entregar soluções confiáveis de Segurança Cibernética industrial para impedir ataques
e manter o tempo de disponibilidade e segurança elevados
PEOPLE
PROCESS
TECHNOLOGY
Assessments
& Audits
Architecture
& Design
Network
Security
Endpoint
Protection
Situational
Awareness
Response
& Recovery
Dois líderes em seus respectivos campos unindo forças

4. ICS-CERT Sumário dos ataques por indústria – 2014 e 2015
• Em 2014: Setor de Energia mais visado
• Em 2015: Setor de Energia ainda visado mas
ultrapassado pelo setor de manufatura

5. Ameaças Mudaram: Ataques avançados
Data Data
Internet
Encryption Targeted
OBJETIVO: Lucratividade, Sabotagem
e conflitos entre nações
• Organizados
• Ataques direcionados
• Financiado – Industria foco crescente
OBJETIVO: Notoriedade
• Uma pessoa, grupos pequenos
• Conhecimento e Recursos limitados
• Ataques básicos
Internet ?Passado
Presente

6. SCADA/ICS – A tempestade perfeita para ataques cibernéticos
Migração para protocolo IP,
Mais uso do Windows
Maior Conectividade
(Interna, Externa, VPN, Orgs, Fabricantes)
Tradicionalmente
baixa maturidade de
segurança cibernética
Patches não frequentes de
Sistemas operacionais
Número e sofisticação dos
ataques específicos em redes
de automação crescentes

7. Estudo de Caso
Destaque de Provas de Conceito realizadas na America Latina

8. Client Industry ICS Perimeters Vírus/Spyware Command
and Control
C&C
Suspicious DNS
Queries
Vulnerabilities Malware
APT
Unauthorized
Applications
ABC Steel - Corporate Network
- Gov. Agencies
- ICS Vendors external VPN
- Process Network (PI)
- ICS Datacenter
- Control Center – Field Devices
X
Conficker
X
C&C Traffic
Gen.
X
malware e botnets
X
PLC Warm Restart
PLC read/writeWindows
Vulnerabilities
Brute Force Attacks SCADA
X
Malware
0Day
X
Dropbox,
Bittorrent,EasyShare
XPTO Energy - Corporate Network
- Gov. Agencies
- Control Centers – Substations
- Process Network (PI)
- IICS Vendors external VPN
X
Conficker
X
C&C Traffic
Gen.
X
malware e botnets
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
X
Malware
0Day
X
Bitorrent, Facebook,
Dropbox, Netflix
XYZ Energy - Corporate Network
- Gov. Agencies
- Process Network (PI)
- Control Centers - Substations
No occurrence No
occurrence
No
occurrence
X
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
No
occurrence
X
Bitorrent, Facebook,
Skype Dropbox,
FileShare
ACME Mining - Corporate Network
- ICS Vendors external VPN
- Process Network (PI)
- ICS Datacenter
X
Conficker
X
C&C Traffic
Gen
X
malware e botnets
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
Not Tested
X
Dropbox,
Bittorrent,EasyShare
, Skype, Ultrasurf
BIZ Oil and
Gas
- Corporate Network
- Gov. Agencies
- ICS Vendors external VPN
- Process Network (PI))
X
Conficker
No
occurrence
No
occurrence
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
Not Tested
X
Dropbox, , Skype
Benchmarking de Provas de Conceito realizadas na America Latina

9. Desafio – Aumentar a visibilidade
Visibilidade de aplicações e detecção de anomalias em SCADA
Visibilidade granular no protocolo industrial, aplicativo, usuário e nível de conteúdo
9 | ©2015, Palo Alto Networks
Control Network
Funções de Protocolos
Industraiis
(ex: Leituras vs escritas
Identificar aplicações
customizadas
Uso não apropriado
Garantir conteudo
é transferido somente dentro
do perimetro Industrial
Potenciais ameaças
Auditoria/Normas e
Conformidade

10. s
Control Center
SCADAENGR
Remote/Substations/Process Zone
RTU / PLC / IED
HIST
OPC
Server
Control Center
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
General
Modbus
DNP3
CIP Ethernet
Bridge/Service
OPC DA/UA
Apps
Cygnet – Oil &
Gas SCADA
PI - Historian
Modbus TCP (port 502) : Mais antigo ICS protocolo usado no controle de I/O (principalmente)
• Sem autenticação ou criptografia
• Sem supressão de broadcast
• Vulnerabilidades publicadas
Procolos de automação são inseguros, muitas vezes “por design”
DNP3 (port 20000)
Muito popular em empresas de energia elétrica e de tratamento de água
• Sem autenticação ou criptografia
• DNP3 Secure Authentication adiciona segurança, mas versão não é amplamente usada.

11. Protocol / Application Protocol / Application Protocol / Application
 Modbus base & sub-functions  ICCP (IEC 60870-6 / TASE.2)  Schneider Oasys
 DNP3 & sub-functions  Cygnet  Synchrophasor (IEEE C.37.118)
 IEC 60870-5-104 base & functions  Elcom 90  Foundation Fieldbus
 CIP EtherNet/IP  FactoryLink  Profinet IO
 OSIsoft PI Systems  MQTT  OPC
 BACNet
Palo Alto Networks: Conhecimento nativo de Protocolos SCADA/ICS

12. Identificadores de aplicações funcionais
Function Control Variants (15 total)
Modbus-base
Modbus-write-multiple-coils
Modbus-write-file-record
Modbus-read-write-register
Modbus-write-single-coil
Modbus-write-single-register
Modbus-write-multiple-registers
Modbus-read-input-registers
Modbus-encapsulated-transport
Modbus-read-coils
Modbus-read-discrete-inputs
Modbus-mask-write-registers
Modbus-read-fifo-queue
Modbus-read-file-record
Modbus-read-holding-registers
Applipedia entry for Modbus-base App-ID

13. IEC 60870-5-104
Available Variants for IEC 60870-5-104
App-ID
Applipedia entry for IEC 60870-5-104 Base App-ID
Identificadores de aplicações funcionais

14. Demonstração: Visibilidade e Controle da Operação Industrial
• Controle de Processo de
Destilados
• Controle de Pressão e
Temperatura de dutos e válvulas
com protocolo Modbus e
subfunções
• Controle de Supervisório
administrando remota
(subestação)
• DNP3 e subfunções (dnp3-
operate, dnp3-read, dnp3-write)

15. Demonstração: Topologia e Componentes funcionais

16. Desafio – Protegendo sistemas desatualizados
Sistemas SCADA não podem receber patches regularmente,
difícil manter-se com as atualizações de Antivirus
 Garantir a segurança dos sistemas em longos períodos
de ciclos de atualização (6 a 18 meses) tipicamente;
muitos anos em alguns casos
 Impulsionada por metas de disponibilidade ou restrições do
processo
 Risco aumenta em direção próxima janela de atualização
 Protegendo sistemas legados que não podem receber
patches
 Alguns sistemas já não suportados pelo fornecedor
 Ainda precisa estar em funcionamento durante anos
 Quaisquer novas vulnerabilidades são sempre “Forever Day”
Human
Machine
Interface
Engineering
Workstation
Automation Server

17. SCADA/ICS Vulnerabilidades e Exploits
• Muitos sistemas com
vulnerabilidades conhecidas são
deixados sem correção para uma
variedade de razões
Historian
Server
(CVE-2012-2516)
OPC
Server
(CVE-2011-1914)
SCADA Master /
HMI
(CVE-2012-0233)
PLC / RTU / IED
(CVE-2010-2772)
MultipleVectorsforExploitation
Internet / Support
Network
Removable
Media
Portable
Computing
Exemplo de
indicadores CVE
de diferentes
components
SCADA/ICS
 Prevenção de ameaças nativa
protege os ativos críticos contra
vírus e spyware
 Aplicar assinaturas de exploits
para virtualmente implementar
patches
 Exploits específicos de
SCADA/ICS e exploits de
uso em demais sistemas de
Tecnologia da Informação
 Exploits de protocolos
específicos

18. Bloqueio de ameaças conhecidas específicas para SCADA / ICS
Pare de ameaças conhecidas para TI que são relevantes para SCADA
General IT Product Exploits General Malware & CNC
SQL
Slammer
Conficker
Risky protocol functions
E.G. Warm restart
ICS Product Exploits ICS-specific Malware & CNC
Stuxnet Havex
Palo Alto Networks Threat Prevention
Proteção contra Ameaças específicas para automação

19. Palo Alto Networks Threat Prevention
Proteção contra Ameaças específicas para automação
• Específicas para produto (HMIs e Supervisórios SCADA)
• Banco de dados de vulnerabilidades/exploits, virus e spyware
• Cada entrada possuí descrição, severidade, ranking e links para mais informação
• Desenvolvido pela equipe mundial de ameaças da Alto Networks
• Quaisquer vulnerabilidades atualmente descobertas pela equipe de pesquisa de ameaças
podem ser pesquisadas (cliente, SW / HW fornecedor) ​
• Incluí informações sobre vulnerabilidades e assinaturas existentes especificamente para ambientes SCADA/ICS

20. Desafio – Prevenção de Sabotagens e Desastres
Visibilidade e Controle contra operações industriais não autorizadas

21. Palo Alto Networks: Prevenção de Sabotagens em ambientes SCADA/ICS
 Comandos de Protocolos de Risco: Visibilidade e controle de ações
relacionadas a condições e parâmetros de operações industriais.
DNP3 Modbus
• Controles de PLCs, IEDs, RTUs:
• Leitura e escrita (reprogramação) de valores, registros, Cold Restart, Warm Restart,
finalização de processos entre outras condições operacionais.

22. Sofistifação da sabotagem: Worm projetado para “viver” na PLC sem
dependência de endpoints para propagação.

23. Demonstração: Palo Alto Networks Next Generation Firewall: Detecção e
Bloqueio de fraudes/sabotagens a partir de operações não autorizadas
• Visibilidade de processos de leitura e
escrita (reprogramação) de PLC
através de Modbus
• Deteção de operações não autorizadas
como reinicialização de Relay (Cold
Restart/Warm Restart) via DNP3.
• Hacking PLC: Causando paralização da
operação e criando condições
favoráveis a incidentes (e acidentes).

24. Desafio – Malware Moderno impactando produção industrial
Controle do desconhecido e ameaças avançadas persistentes
24 | ©2015, Palo Alto Networks
Repository for Industrial Security Incidents (RISI)
Banco de dados de incidentes que afetam o controle de processos e sistemas SCADA
Segundo os dados do RISI, o incidente mais
comum em redes de automação é o ataque por
malware, que responde por 68% dos incidentes
externos em sistemas de controle, seguidos por
incidentes de sabotagem e penetração em
sistemas, com 13%, e ataques de negação de
serviço, com 6%
.Fonte: RISI
Vulnerabilidades mais exploradas por atacantes de
redes industriais
ICS-CERT Sumário dos ataques por indústria

25. FUD?
• Fully UnDetectable (muitas vezes encurtado para "FUD") significa software incapaz de ser detectado por
antivirus convencional quando um scan é executado. O termo é utilizado em círculos “underground” para se
referir a código que resulta em veredito “limpo” ou “benigno” para a maioria dos antivirus, ainda que seja
uma ferramenta de hacking. Técnicas incluem criptografia e/ou fuzzing de payload.
25 | ©2015, Palo Alto Networks. Confidential and Proprietary.

26. Stuxnet como marco divisor para uma nova geração de ameaças
Stuxnet: “Malware” orientado a sistemas de automação industrial que monitora
centrífugas nucleares iranianas, arquitetado de forma sofisticada,
levantando suspeitas diversas sobre a natureza da ação
 Sofisticado:
 Inclui exploits para 4 vulnerabilidades (0-day) sem patches
 Inclui componentes assinados certificados digitais roubados
 Disseminados através de diversos vetores, incluindo pen-drives
 Infectou máquinas de desenvolvimento c/rootkit que esconde tanto o “malware” como as
mudanças que ele faz nos programas sendo desenvolvidos
 Dirigido:
 Modifica códigos nos controladores lógicos programáveis - PLCs
 Modificações só acontecem em determinadas circunstâncias (drivers de alguns fornecedores, operando
em condições específicas de frequência, etc

27. E sobre o "Filho do Stuxnet"? Lacunas na proteção dos antivírus tradicionais
☣ Malwares direcionado e customizado
☣ Malwares Polimórficos
☣ Malwares recém lançados (0Day)
Tempo demorado para proteção
Malwares modernos são cada vez mais capazes de:
• Evitar que sejam detectados por tecnologias de antivirus tradicionais
• Podem ser disseminados através de polimorfismo, re-codificação e criptografia.

28. Malware avançado atingindo infraestruturas críticas de indústria

29. 30 Minutes de Malware…
1 minuto = 2,021 instâncias
15 minutos = 9,864 instâncias
30 minutos = 45,457 instâncias
Após….
Pare a Propagação
Previna Ataques
• WILDFIRE
• TRAPS
• AUTOFOCUS

30. WildFire: Nuvem de Inteligência da Palo Alto Networks
Proteções desenvolvidas
com enforcement in-line
através dos estágios do ciclo
de ataque
Inteligência correlacionada:
Web
Detecção do Desconhecido
 Malware
 Exploits
 Controle e Comando (C2)
 Queries DNS
 URLs Maliciosas
WildFire
WildFire
Threat
Prevetntion
URL Filtering
All traffic
SSL encryption
All ports
PerimeterAll commonly
exploited file types
3rd party data
Data center
Endpoint
Email
FTP
SMTP
SMB

31. MALWARE AVANÇADO
Automação na análise de Malware Moderno

32. THREAT
INTELLIGENCE
CLOUD
WildFire
Threat
Prevention
URL
Filtering
Identificado automaticamente
RESPOSTA MANUAL
Automaticamente Prevenido
15,000
Proteções
anti-malware por dia
24,000
Proteções
URL por dia
13,500
Proteções
DNS por dia
Proteções entregues
automaticamente em
5 minutos
Relatórios forenses
ricos para investigação
rápida e detalhada
Forensics
& Reporting
O DESCONHECIDO
WildFire: Nuvem de Inteligência da Palo Alto Networks

33. WildFire : Eficácia na detecção de malware desconhecido
33 | ©2016, Palo Alto Networks. Confidential and Proprietary.
77.5%
62.5%
Dos samples de Malware
submetidos ao WildFire por
mês não são conhecidos
pelo Virus Total*
77.5%
*Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner
Dos samples de Malware
submetidos ao Wildfire por
mês não é detectado pelos
top 6 AV corporativos*
62.5%
71.9M
5.3M
4.1M
3.3M
Arquivos Maliciosos Desconhecidos
(VT)
Indetectáveis

34. Cobertura dos Principais Fabricantes de Antivírus
MalwareSampleCount
New Malware Coverage Rate by Top 5 AV Vendors
Daily AV Coverage Rates for Newly Released Malware (50 Samples)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Day-0 Day-1 Day-2 Day-3 Day-4 Day-5 Day-6
5 vendors
4 vendors
3 vendors
2 vendors
1 vendor
0 vendors

35. Caso: Ukrainian Grid Cyberattack
35 | © 2015, Palo Alto Networks. Confidential and Proprietary.
 Em 23 de dezembro de 2015, a
região de Ivano-Frankivsk na
Ucrania sofreu uma interrupção no
fornecimento de energia afetando
mais de 80.000 residências
 Investigação revelou que um ataque
cibernético foi a cauua do blackout,
relacionado ao malware
BlackEnergy.

36. Artefatos Utilizados no ataque

37. Movimento lateral
para alcançar
rede operativa
ATINGIR
OBJETIVO
Comprometimento
dos Sistemas de
Controles
Industriais
OBJETIVO
ALCANÇADO
(SABOTAGEM)
Movimento
lateral para
infectar novos
hosts
OPERAÇÂO
NO ENDPOINT
Comprometimento
inicial e entrega
de malware
EXPLORAÇÃO
DO PERIMETRO
Entregar malware
secundário e
comunicar com
atacante
ENTREGA DO
MALWARE
Ukrainian Grid Attack Lifecycle – Ciclo de vida do Malware
Spearphishing the IT
Network
(Email com arquivo
malicioso MS Office)
C2 Infrastructure
Black Energy 3
Backdoor
Mapeamento de rede,
Acesso a domain
controllers para
captura de credenciais
de usuários
Acesso ao ambiente
de rede SCADA
Disjuntores abertos,
DoS em linhas
telefonicas
Equipamentos
desligados (remotas)
Perda de Energia
Longo blackout

38. Ransomware
• Ransomware é um tipo de malware que previne ou limita usuários de acessarem seus
arquivos e sistemas. Este tipo de malware força a vítima a pagar resgate através de
determinados métodos de pagamento online para devolver o acesso ao Sistema
Operacional. Alguns tipos de ransomware criptografam arquivos (ex. Cryptolocker), enquanto
outros usam a rede TOR para ocultar comunicação C&C (ex. CTB Locker).
38 | ©2015, Palo Alto Networks. Confidential and Proprietary.

39. Ransomware

40. Demonstração: Palo Alto Networks Traps
Proteção contra malware avançado e ameaças avançadas no endpoint.
• Operador HMI executa arquivo
infectado com malware moderno;
• Antivirus Mcafee não detecta presença
e atividade do código malicioso;
• Arquivos e programas de processos
industriais criptografados
• Pedido de resgate realizado
Parte 1 – Comprometimento HMI

41. Endpoint: Anatomia de um ataque orientado
Fraude / Sabotagem
Industrial
Reconhecimento
Estabelecimento de
Canais de Controle
Comprometimento
do Endpoint
O momento certo para prevenir uma brecha de segurança é antes
de um atacante comprometer um Endpoint e ganhar entrada no
seu ambiente.

42. Prevenção de Comprometimento do Endpoint
1.
2.
3.
Conhecidos
Desconhecidos
Zero-Day
Conhecido
Desconhecido
Avançado
Prevenir
Exploits
Prevenir
Malware
Pronto para
Enterprise

43. Bloquear as principais técnicas - não a ataques individuais
Número de novas variantes a cada ano
Ataques Individuais
Exploração de vulnerabilidades
de software
Milhares de novas vulnerabilidades e exploits
1,000s
Técnicas Principais
Técnicas de exploração
Apenas 2-4 novas técnicas de exploração
2-4
Malware
Milhões de novas variações de malware
1,000,000s
Técnicas de malware
Dezenas de novas sub-técnicas de malware
~10s
Palo Alto Networks Traps

44. Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevenção de Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3

45. Usuário tenta abrir
Arquivo executável
Submeter
para análise
Regras de
Restrições e
Execução
Signed
USB mediaX
Benign
Malicious
Checagem
comportamental
Malware
Unknown?
Palo Alto Networks Traps
Proteção Efetiva contra Malware conhecido e Desconhecido
Hash checado
localmente e no
database do
servidor
Hash checado
no Wildfire

46. Supported Operating Systems Footprint
Workstations – Physical and Virtual
 Windows XP SP3
 Windows Vista SP2
 Windows 7
 Windows 8 / 8.1
 Windows 10
Servers – Physical and Virtual
 Windows Server 2003 (+R2)
 Windows Server 2008 (+R2)
 Windows Server 2012 (+R2)
 25 MB RAM
 0.1% CPU
 No Scanning
Application Coverage
 Default Policy: 100+ processes
 Automatically detect new processes
 Protect any application
Palo Alto Networks Traps
Sistemas Operacionais suportados e Recursos

47. Demonstração: Palo Alto Networks Traps
Proteção contra malware avançado e ameaças avançadas no endpoint.
Parte II : Proteção com Palo Alto
Networks Traps
• Operador HMI executa arquivo
infectado com malware moderno;
• Antivirus Mcafee não detecta presença
e atividade do código malicioso;
• Palo Alto Networks Traps Evita a
execução do malware e garante a
Continuidade operacional do controle
do processo industrial

48. Requerimentos para Inteligência de Ameaças Cibernéticas
48 | © 2015, Palo Alto Networks. Confidential and Proprietary.
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresas de Energia
Contexto sobre
indicadores e incidentes
Resposta rápida
e proativa
Priorização de
Eventos Importantes
Automaticamente exporta
indicadores maliciosos para
soluções de segurança
Previne futuros
ataques

49. Demonstração: Palo Alto Networks AutoFocus
Visão da Proliferação de BlackEnergy ao redor do mundo.
• Proliferação do BlackEnergy em
diferentes indústrias;
• Manifestações em diferentes variantes
do Malware
• Alastramento Geográfico
• “Tags” de categorização do malware e
colaboração da indústria para
compartilhamento de informações;
• Análise forense do ciclo de vida do
Malware: Propriedades de rotinas e
chamadas a variáveis de ambientes
operativos.

50. Desafio – Redes conectadas não mais isoladas
Necessidade de maior segmentação e controle de acesso
Acesso externo granular e segmentação interna
Necessário enforcement do “role-based access control” e conceito “zero-trust
Prevenção de incidents cibernéticos.
Industrial
Control
System
Business
Network
Partners
Other
Plants/Facilities
3rd Party
Support

51. ISA 95/Purdue Enterprise Reference Architecture (PERA)-A
HistorianHMI
Engineering
HMI Application File Server
Level 3
Web Services
Data Center
Corporate Workstations
Level 4
Business Logistics/Enterprise
DMZ
Manufacturing Operations Systems
Control Systems
Intelligent Devices
Process
Email
Business
Workstation Patch WebJump
Level 3.5
Historian Copy
Historian
Engineering
HMI
Application
Level 2
Level 1
PLC/RTU PLC/RTU PLC/RTU
Level 0
HMI
EngineeringEngineering

52. Zero-Trust Model
All resources are accessed in a secure
manner regardless of location.
Access control is on a “need-to-know”
basis and is strictly enforced.
Verify and never trust.
Inspect and log all traffic.
The network is designed from the inside
out.
Source: Forrester Research
52 | ©2015, Palo Alto Networks

53. Arquitetura de Referencia: Layer 3 High Availability (HA)
SCADA
PLC
DMZ(L3.5)BUSINESS
ICS
Business
Network
Remotes
• WorkstationREMOTE
Internet
Corporate Data
Center
MPLS
• HMI
• Engineering Sta.
• Appl. Server
• Email
• File Server
• Historian
• Patch Server
• HMI
• Jump Server
Level 3.5
Level 3.5
Level 2
Level 1Level 2
Level 0
Level 4
Level 4
Level 2
Level 4
HA

54. Estudo de Caso
Cenários de empresas na América Latina apresentados no roundtable de
indústrias do Palo Alto Networks Ignite 2016

55. Case 1 for Network Segmentation Issues – Steel Mill company
• Problem:
• ICS external Vendors and contractors spreading virus and bad applications to OT
environments through VPN connections:
• VPN connection provides encryption but what for security controls, threat and app visibility?
• Consequences:
- Undesirable and Bad applications found due 0.0.0.0/0 routing
• Default gateway for VPN tunnel sometimes = end of tunnel = OT enviorment (config fault)
• End of tunnel is a port/protocol Firewall acting as a VPN concentrator.
 Lack of app visibility and known/unknown threats
Apps found: Dropbox, Bittorrent, Skype
 DNS Suspicious Query indicating C2 botnet activity
 Conficker worm spreading through network (network overhead/flood – a concern for OT)
• Do you know Conficker can stop an entire industrial plant? It happened with our client. A huge
impact on Steel production was reported

56. • Solution: Creation of a Third-
Party Access Zone (LEVEL 4)
“Rather than place third-party vendor
access in the DMZ, where there is still the
possibility of exposing workstations and
servers housed there to external threats,
the ideal deployment would be to create a
separate zone just for remote
vendor/support access”
• Level 4 Third Party Zone
created to provide total
visibility into traffic entering
and leaving your production
network with the ability to
alert or block known and
unknown malware, APTs and
zero-day exploits.
• Restrict access based on user
or user groups.
• Restrict access based on
schedules.
• Restrict protocols to only
those necessary for
support and maintenance.
• Define enforcement levels on
a per-vendor, per-person, or
per-user group basis.
External ICS Vendors
Client to Site VPN
Case 1 for Network Segmentation Issues – Steel Mill company

57. Case 2 for Network Segmentation Issues – Energy Sector company
• Problem:
• Attacks spreading trough Government Energy Sector company MPLS networks
• Government Agency company gathers production real time data from Energy Sector Companies
production using IEC 60870-5-104 protocol:
 Pooling Supervisory Systems to live info on production capacity;
 Pooling Energy Substations directly;
• Consequences:
- Ingress ACL on routers being applied and standard
port/protocol Firewall behind do not stop application level
attacks and threats:
• IEC 60870-5-104 protocol architecture: It does not rely on fixed
standard ports it´s a dynamic protocol allocating random ports.
 Many ports Opened:
 BruteForce Attacks found against supervisory systems - (Incident reported due password discovery).
 Several virus and worms (conficker) spotted;

58. • Solution: Creation of a
BUSINESS Zone (LEVELS 4)
“From a reference point of view, the Business
zone, as it stands in relation to the industrial
controls network, as a potential threat and
inspected.” should be treated like the Internet
and with the same level of concern. All traffic
coming from this zone should be treated
• Treat IEC 60870-5-
104 with native
Application layer
intelligence allowing
only base protocol
and its sub functions
to cross network
boundaries to lower
levels (L3-L2-L1)
• Total visibility into
traffic entering and
leaving your business
zone with the ability
to alert or block
known and unknown
malware, APTs and
zero-day exploits
Case 2 for Network Segmentation Issues – Energy Sector company
MPLS supporting a business requirement for
Supervisory Pooling from external organization

59. Case 3 for Network Segmentation Issues – Energy Sector company
• Problem:
• Unauthorized PLC/RTU management from unknown sources
• RTU restart issued with no apparent reason/cause;
• DNP3 sub functions commands (dnp3-operate/direct-
operate/read/write) spotted from unknown sources during PoC.
• Consequences:
• Incident reported as Loss of View and Loss of Control due unexpected RTU
restart
• Possibility of sabotage and fraud due lack of proper network segmentation
between L0, L1 and Upper Levels

60. • Solution: Creation of PLC
(LEVEL 1) Control Devices Zone
“Devices placed in this zone are items like
Programmable Logic Controllers, Remote
Terminal Units and programmable relays”.
• The creation of
Level1 zone
enforces
protection against
unauthorized
access intending
to reprogram PLC
devices.
• It grants the
proper visibility
and control
allowing only
trusted sources
(Supervisory
systems) to
connect to PLCs in
order to send
read and write
PLC commands.
Case 3 for Network Segmentation Issues – Energy Sector company
MPLS supporting a business requirement for
Supervisory Pooling from external organization

61. Arquitetura de Referência
Topologia modelo para Redes de Automação

62. Palo Alto Networks: Arquitetura Top-Down de Referência para Redução
de Riscos em Redes SCADA/ICS
Zona Operadores HMIs
Historian Business DEV Zone
Zona de Engenharia
TI-TA Zona
DMZ
Jump Patch Web
Site/CellZone
Process-specific
L0
L1
L2
L3
L3.5
L4
Zona
Servidores
SCADA
Zona
PLC/IED/RTUS
Zona TI
Corporativa
Historian Replica
Traps
Segurança de EndpointTraps
TrapsTrapsTraps
Traps Traps Traps
Traps
Traps
TrapsTrapsTraps
Wildfire – Proteção Malware Moderno
Public
Cloud
Private
Cloud
Panorama
Visibilidade
Segmentação
Prevenção de Ameaças
Gerencia Centralizada
(Panorama and ESM)
ESM
Wildfire Appliance
Acesso Remoto:
Jump Server ou VPN
Remote
Engineer
Access
Zona
PLC/IED/RTUS

63. Next-generation Security para SCADA/ICS
1
Download do Solution Brief de SCADA/ICS
go.secure.paloaltonetworks.com/secureics
2 Saiba mais sobre uso de sua rede e ameaças
Control Network
Application Visibility and Risk Report (AVR) at:
http://connect.paloaltonetworks.com/AVR
Demo OnLine de segurança das soluções Palo Alto Networks para SCADA/ICS
http://events.paloaltonetworks.com/?event_type=632

64. Why Palo Alto Networks?
Prevention
Zero-Day
Reduce Risk
Policy
Visibility
Remediation
Detection
Endpoint
Data Center
Mobility
BYOD Management
Vulnerability
Responsive
Exploit
Anti-Malware Forensics
Automation
Private Cloud
Public Cloud
Performance
Scalability
Platform
Segmentation
Applications
Users
Control
Agile
Perimeter
Integrated
Support
Web Security
Command-&-Control
Virtualization
Ecosystem
Context
Correlation
Services
People
Culture
Safe Enablement
Application

65. Alexandre Freire
Sales Engineer Enterprise Accounts
afreire@paloaltonetworks.com