SlideShare uma empresa Scribd logo
ANÁLISEDEAMEAÇASCIBERNÉTICASEM
PROTOCOLOSINDUSTRIAIS.
Alexandre Freire
Brazil Enterprise Accounts Sales Engineer
WW Industrial Control Systems Tiger Team
afreire@paloaltonetworks.com
Uma visão rápida sobre a Palo Alto Networks
DESTAQUES CORPORATIVOS
• Fundada em 2005; primeiro
equipamento enviado a cliente em 2007
• Habilitando de forma segura aplicações
e negócios prevenindo ameaças
cibernéticas
• Capaz de endereçar todas
necessidades de segurança cibernética
enterprise e de ambientes industriais
• Habilidade excepcional de suportar
clientes globais
• Time experiente de 3,300+ funcionários
• Q2 FY16: $334.7M revenue
$MM
RENDIMENTO CLIENTES
$13 $49
$119
$255
$396
$598
$928
$0
$200
$400
$600
$800
$1,000
FY09FY10FY11FY12FY13FY14FY15
4,700
9,000
13,500
19,000
26,000
0
4,000
8,000
12,000
16,000
20,000
24,000
Jul-11 Jul-12 Jul-13 Jul-14 Jul-15
2 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Next-generation Security Platform Complete Industrial Cyber Security Solutions
Valor aos nossos clientes em comum:
Entregar soluções confiáveis de Segurança Cibernética industrial para impedir ataques
e manter o tempo de disponibilidade e segurança elevados
PEOPLE
PROCESS
TECHNOLOGY
Assessments
& Audits
Architecture
& Design
Network
Security
Endpoint
Protection
Situational
Awareness
Response
& Recovery
Dois líderes em seus respectivos campos unindo forças
ICS-CERT Sumário dos ataques por indústria – 2014 e 2015
• Em 2014: Setor de Energia mais visado
• Em 2015: Setor de Energia ainda visado mas
ultrapassado pelo setor de manufatura
Ameaças Mudaram: Ataques avançados
Data Data
Internet
Encryption Targeted
OBJETIVO: Lucratividade, Sabotagem
e conflitos entre nações
• Organizados
• Ataques direcionados
• Financiado – Industria foco crescente
OBJETIVO: Notoriedade
• Uma pessoa, grupos pequenos
• Conhecimento e Recursos limitados
• Ataques básicos
Internet ?Passado
Presente
SCADA/ICS – A tempestade perfeita para ataques cibernéticos
Migração para protocolo IP,
Mais uso do Windows
Maior Conectividade
(Interna, Externa, VPN, Orgs, Fabricantes)
Tradicionalmente
baixa maturidade de
segurança cibernética
Patches não frequentes de
Sistemas operacionais
Número e sofisticação dos
ataques específicos em redes
de automação crescentes
Estudo de Caso
Destaque de Provas de Conceito realizadas na America Latina
Client Industry ICS Perimeters Vírus/Spyware Command
and Control
C&C
Suspicious DNS
Queries
Vulnerabilities Malware
APT
Unauthorized
Applications
ABC Steel - Corporate Network
- Gov. Agencies
- ICS Vendors external VPN
- Process Network (PI)
- ICS Datacenter
- Control Center – Field Devices
X
Conficker
X
C&C Traffic
Gen.
X
malware e botnets
X
PLC Warm Restart
PLC read/writeWindows
Vulnerabilities
Brute Force Attacks SCADA
X
Malware
0Day
X
Dropbox,
Bittorrent,EasyShare
XPTO Energy - Corporate Network
- Gov. Agencies
- Control Centers – Substations
- Process Network (PI)
- IICS Vendors external VPN
X
Conficker
X
C&C Traffic
Gen.
X
malware e botnets
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
X
Malware
0Day
X
Bitorrent, Facebook,
Dropbox, Netflix
XYZ Energy - Corporate Network
- Gov. Agencies
- Process Network (PI)
- Control Centers - Substations
No occurrence No
occurrence
No
occurrence
X
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
No
occurrence
X
Bitorrent, Facebook,
Skype Dropbox,
FileShare
ACME Mining - Corporate Network
- ICS Vendors external VPN
- Process Network (PI)
- ICS Datacenter
X
Conficker
X
C&C Traffic
Gen
X
malware e botnets
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
Not Tested
X
Dropbox,
Bittorrent,EasyShare
, Skype, Ultrasurf
BIZ Oil and
Gas
- Corporate Network
- Gov. Agencies
- ICS Vendors external VPN
- Process Network (PI))
X
Conficker
No
occurrence
No
occurrence
X
PLC Warm Restart
PLC read/write
Windows Vulnerabilities
Brute Force Attacks SCADA
Not Tested
X
Dropbox, , Skype
Benchmarking de Provas de Conceito realizadas na America Latina
Desafio – Aumentar a visibilidade
Visibilidade de aplicações e detecção de anomalias em SCADA
Visibilidade granular no protocolo industrial, aplicativo, usuário e nível de conteúdo
9 | ©2015, Palo Alto Networks
Control Network
Funções de Protocolos
Industraiis
(ex: Leituras vs escritas
Identificar aplicações
customizadas
Uso não apropriado
Garantir conteudo
é transferido somente dentro
do perimetro Industrial
Potenciais ameaças
Auditoria/Normas e
Conformidade
s
Control Center
SCADAENGR
Remote/Substations/Process Zone
RTU / PLC / IED
HIST
OPC
Server
Control Center
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
General
Modbus
DNP3
CIP Ethernet
Bridge/Service
OPC DA/UA
Apps
Cygnet – Oil &
Gas SCADA
PI - Historian
Modbus TCP (port 502) : Mais antigo ICS protocolo usado no controle de I/O (principalmente)
• Sem autenticação ou criptografia
• Sem supressão de broadcast
• Vulnerabilidades publicadas
Procolos de automação são inseguros, muitas vezes “por design”
DNP3 (port 20000)
Muito popular em empresas de energia elétrica e de tratamento de água
• Sem autenticação ou criptografia
• DNP3 Secure Authentication adiciona segurança, mas versão não é amplamente usada.
Protocol / Application Protocol / Application Protocol / Application
 Modbus base & sub-functions  ICCP (IEC 60870-6 / TASE.2)  Schneider Oasys
 DNP3 & sub-functions  Cygnet  Synchrophasor (IEEE C.37.118)
 IEC 60870-5-104 base & functions  Elcom 90  Foundation Fieldbus
 CIP EtherNet/IP  FactoryLink  Profinet IO
 OSIsoft PI Systems  MQTT  OPC
 BACNet
Palo Alto Networks: Conhecimento nativo de Protocolos SCADA/ICS
Identificadores de aplicações funcionais
Function Control Variants (15 total)
Modbus-base
Modbus-write-multiple-coils
Modbus-write-file-record
Modbus-read-write-register
Modbus-write-single-coil
Modbus-write-single-register
Modbus-write-multiple-registers
Modbus-read-input-registers
Modbus-encapsulated-transport
Modbus-read-coils
Modbus-read-discrete-inputs
Modbus-mask-write-registers
Modbus-read-fifo-queue
Modbus-read-file-record
Modbus-read-holding-registers
Applipedia entry for Modbus-base App-ID
IEC 60870-5-104
Available Variants for IEC 60870-5-104
App-ID
Applipedia entry for IEC 60870-5-104 Base App-ID
Identificadores de aplicações funcionais
Demonstração: Visibilidade e Controle da Operação Industrial
• Controle de Processo de
Destilados
• Controle de Pressão e
Temperatura de dutos e válvulas
com protocolo Modbus e
subfunções
• Controle de Supervisório
administrando remota
(subestação)
• DNP3 e subfunções (dnp3-
operate, dnp3-read, dnp3-write)
Demonstração: Topologia e Componentes funcionais
Desafio – Protegendo sistemas desatualizados
Sistemas SCADA não podem receber patches regularmente,
difícil manter-se com as atualizações de Antivirus
 Garantir a segurança dos sistemas em longos períodos
de ciclos de atualização (6 a 18 meses) tipicamente;
muitos anos em alguns casos
 Impulsionada por metas de disponibilidade ou restrições do
processo
 Risco aumenta em direção próxima janela de atualização
 Protegendo sistemas legados que não podem receber
patches
 Alguns sistemas já não suportados pelo fornecedor
 Ainda precisa estar em funcionamento durante anos
 Quaisquer novas vulnerabilidades são sempre “Forever Day”
Human
Machine
Interface
Engineering
Workstation
Automation Server
SCADA/ICS Vulnerabilidades e Exploits
• Muitos sistemas com
vulnerabilidades conhecidas são
deixados sem correção para uma
variedade de razões
Historian
Server
(CVE-2012-2516)
OPC
Server
(CVE-2011-1914)
SCADA Master /
HMI
(CVE-2012-0233)
PLC / RTU / IED
(CVE-2010-2772)
MultipleVectorsforExploitation
Internet / Support
Network
Removable
Media
Portable
Computing
Exemplo de
indicadores CVE
de diferentes
components
SCADA/ICS
 Prevenção de ameaças nativa
protege os ativos críticos contra
vírus e spyware
 Aplicar assinaturas de exploits
para virtualmente implementar
patches
 Exploits específicos de
SCADA/ICS e exploits de
uso em demais sistemas de
Tecnologia da Informação
 Exploits de protocolos
específicos
Bloqueio de ameaças conhecidas específicas para SCADA / ICS
Pare de ameaças conhecidas para TI que são relevantes para SCADA
General IT Product Exploits General Malware & CNC
SQL
Slammer
Conficker
Risky protocol functions
E.G. Warm restart
ICS Product Exploits ICS-specific Malware & CNC
Stuxnet Havex
Palo Alto Networks Threat Prevention
Proteção contra Ameaças específicas para automação
Palo Alto Networks Threat Prevention
Proteção contra Ameaças específicas para automação
• Específicas para produto (HMIs e Supervisórios SCADA)
• Banco de dados de vulnerabilidades/exploits, virus e spyware
• Cada entrada possuí descrição, severidade, ranking e links para mais informação
• Desenvolvido pela equipe mundial de ameaças da Alto Networks
• Quaisquer vulnerabilidades atualmente descobertas pela equipe de pesquisa de ameaças
podem ser pesquisadas (cliente, SW / HW fornecedor) ​
• Incluí informações sobre vulnerabilidades e assinaturas existentes especificamente para ambientes SCADA/ICS
Desafio – Prevenção de Sabotagens e Desastres
Visibilidade e Controle contra operações industriais não autorizadas
Palo Alto Networks: Prevenção de Sabotagens em ambientes SCADA/ICS
 Comandos de Protocolos de Risco: Visibilidade e controle de ações
relacionadas a condições e parâmetros de operações industriais.
DNP3 Modbus
• Controles de PLCs, IEDs, RTUs:
• Leitura e escrita (reprogramação) de valores, registros, Cold Restart, Warm Restart,
finalização de processos entre outras condições operacionais.
Sofistifação da sabotagem: Worm projetado para “viver” na PLC sem
dependência de endpoints para propagação.
Demonstração: Palo Alto Networks Next Generation Firewall: Detecção e
Bloqueio de fraudes/sabotagens a partir de operações não autorizadas
• Visibilidade de processos de leitura e
escrita (reprogramação) de PLC
através de Modbus
• Deteção de operações não autorizadas
como reinicialização de Relay (Cold
Restart/Warm Restart) via DNP3.
• Hacking PLC: Causando paralização da
operação e criando condições
favoráveis a incidentes (e acidentes).
Desafio – Malware Moderno impactando produção industrial
Controle do desconhecido e ameaças avançadas persistentes
24 | ©2015, Palo Alto Networks
Repository for Industrial Security Incidents (RISI)
Banco de dados de incidentes que afetam o controle de processos e sistemas SCADA
Segundo os dados do RISI, o incidente mais
comum em redes de automação é o ataque por
malware, que responde por 68% dos incidentes
externos em sistemas de controle, seguidos por
incidentes de sabotagem e penetração em
sistemas, com 13%, e ataques de negação de
serviço, com 6%
.Fonte: RISI
Vulnerabilidades mais exploradas por atacantes de
redes industriais
ICS-CERT Sumário dos ataques por indústria
FUD?
• Fully UnDetectable (muitas vezes encurtado para "FUD") significa software incapaz de ser detectado por
antivirus convencional quando um scan é executado. O termo é utilizado em círculos “underground” para se
referir a código que resulta em veredito “limpo” ou “benigno” para a maioria dos antivirus, ainda que seja
uma ferramenta de hacking. Técnicas incluem criptografia e/ou fuzzing de payload.
25 | ©2015, Palo Alto Networks. Confidential and Proprietary.
Stuxnet como marco divisor para uma nova geração de ameaças
Stuxnet: “Malware” orientado a sistemas de automação industrial que monitora
centrífugas nucleares iranianas, arquitetado de forma sofisticada,
levantando suspeitas diversas sobre a natureza da ação
 Sofisticado:
 Inclui exploits para 4 vulnerabilidades (0-day) sem patches
 Inclui componentes assinados certificados digitais roubados
 Disseminados através de diversos vetores, incluindo pen-drives
 Infectou máquinas de desenvolvimento c/rootkit que esconde tanto o “malware” como as
mudanças que ele faz nos programas sendo desenvolvidos
 Dirigido:
 Modifica códigos nos controladores lógicos programáveis - PLCs
 Modificações só acontecem em determinadas circunstâncias (drivers de alguns fornecedores, operando
em condições específicas de frequência, etc
E sobre o "Filho do Stuxnet"? Lacunas na proteção dos antivírus tradicionais
☣ Malwares direcionado e customizado
☣ Malwares Polimórficos
☣ Malwares recém lançados (0Day)
Tempo demorado para proteção
Malwares modernos são cada vez mais capazes de:
• Evitar que sejam detectados por tecnologias de antivirus tradicionais
• Podem ser disseminados através de polimorfismo, re-codificação e criptografia.
Malware avançado atingindo infraestruturas críticas de indústria
30 Minutes de Malware…
1 minuto = 2,021 instâncias
15 minutos = 9,864 instâncias
30 minutos = 45,457 instâncias
Após….
Pare a Propagação
Previna Ataques
• WILDFIRE
• TRAPS
• AUTOFOCUS
WildFire: Nuvem de Inteligência da Palo Alto Networks
Proteções desenvolvidas
com enforcement in-line
através dos estágios do ciclo
de ataque
Inteligência correlacionada:
Web
Detecção do Desconhecido
 Malware
 Exploits
 Controle e Comando (C2)
 Queries DNS
 URLs Maliciosas
WildFire
WildFire
Threat
Prevetntion
URL Filtering
All traffic
SSL encryption
All ports
PerimeterAll commonly
exploited file types
3rd party data
Data center
Endpoint
Email
FTP
SMTP
SMB
MALWARE AVANÇADO
Automação na análise de Malware Moderno
THREAT
INTELLIGENCE
CLOUD
WildFire
Threat
Prevention
URL
Filtering
Identificado automaticamente
RESPOSTA MANUAL
Automaticamente Prevenido
15,000
Proteções
anti-malware por dia
24,000
Proteções
URL por dia
13,500
Proteções
DNS por dia
Proteções entregues
automaticamente em
5 minutos
Relatórios forenses
ricos para investigação
rápida e detalhada
Forensics
& Reporting
O DESCONHECIDO
WildFire: Nuvem de Inteligência da Palo Alto Networks
WildFire : Eficácia na detecção de malware desconhecido
33 | ©2016, Palo Alto Networks. Confidential and Proprietary.
77.5%
62.5%
Dos samples de Malware
submetidos ao WildFire por
mês não são conhecidos
pelo Virus Total*
77.5%
*Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner
Dos samples de Malware
submetidos ao Wildfire por
mês não é detectado pelos
top 6 AV corporativos*
62.5%
71.9M
5.3M
4.1M
3.3M
Arquivos Maliciosos Desconhecidos
(VT)
Indetectáveis
Cobertura dos Principais Fabricantes de Antivírus
MalwareSampleCount
New Malware Coverage Rate by Top 5 AV Vendors
Daily AV Coverage Rates for Newly Released Malware (50 Samples)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Day-0 Day-1 Day-2 Day-3 Day-4 Day-5 Day-6
5 vendors
4 vendors
3 vendors
2 vendors
1 vendor
0 vendors
Caso: Ukrainian Grid Cyberattack
35 | © 2015, Palo Alto Networks. Confidential and Proprietary.
 Em 23 de dezembro de 2015, a
região de Ivano-Frankivsk na
Ucrania sofreu uma interrupção no
fornecimento de energia afetando
mais de 80.000 residências
 Investigação revelou que um ataque
cibernético foi a cauua do blackout,
relacionado ao malware
BlackEnergy.
Artefatos Utilizados no ataque
Movimento lateral
para alcançar
rede operativa
ATINGIR
OBJETIVO
Comprometimento
dos Sistemas de
Controles
Industriais
OBJETIVO
ALCANÇADO
(SABOTAGEM)
Movimento
lateral para
infectar novos
hosts
OPERAÇÂO
NO ENDPOINT
Comprometimento
inicial e entrega
de malware
EXPLORAÇÃO
DO PERIMETRO
Entregar malware
secundário e
comunicar com
atacante
ENTREGA DO
MALWARE
Ukrainian Grid Attack Lifecycle – Ciclo de vida do Malware
Spearphishing the IT
Network
(Email com arquivo
malicioso MS Office)
C2 Infrastructure
Black Energy 3
Backdoor
Mapeamento de rede,
Acesso a domain
controllers para
captura de credenciais
de usuários
Acesso ao ambiente
de rede SCADA
Disjuntores abertos,
DoS em linhas
telefonicas
Equipamentos
desligados (remotas)
Perda de Energia
Longo blackout
Ransomware
• Ransomware é um tipo de malware que previne ou limita usuários de acessarem seus
arquivos e sistemas. Este tipo de malware força a vítima a pagar resgate através de
determinados métodos de pagamento online para devolver o acesso ao Sistema
Operacional. Alguns tipos de ransomware criptografam arquivos (ex. Cryptolocker), enquanto
outros usam a rede TOR para ocultar comunicação C&C (ex. CTB Locker).
38 | ©2015, Palo Alto Networks. Confidential and Proprietary.
Ransomware
Demonstração: Palo Alto Networks Traps
Proteção contra malware avançado e ameaças avançadas no endpoint.
• Operador HMI executa arquivo
infectado com malware moderno;
• Antivirus Mcafee não detecta presença
e atividade do código malicioso;
• Arquivos e programas de processos
industriais criptografados
• Pedido de resgate realizado
Parte 1 – Comprometimento HMI
Endpoint: Anatomia de um ataque orientado
Fraude / Sabotagem
Industrial
Reconhecimento
Estabelecimento de
Canais de Controle
Comprometimento
do Endpoint
O momento certo para prevenir uma brecha de segurança é antes
de um atacante comprometer um Endpoint e ganhar entrada no
seu ambiente.
Prevenção de Comprometimento do Endpoint
1.
2.
3.
Conhecidos
Desconhecidos
Zero-Day
Conhecido
Desconhecido
Avançado
Prevenir
Exploits
Prevenir
Malware
Pronto para
Enterprise
Bloquear as principais técnicas - não a ataques individuais
Número de novas variantes a cada ano
Ataques Individuais
Exploração de vulnerabilidades
de software
Milhares de novas vulnerabilidades e exploits
1,000s
Técnicas Principais
Técnicas de exploração
Apenas 2-4 novas técnicas de exploração
2-4
Malware
Milhões de novas variações de malware
1,000,000s
Técnicas de malware
Dezenas de novas sub-técnicas de malware
~10s
Palo Alto Networks Traps
Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevenção de Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3
Usuário tenta abrir
Arquivo executável
Submeter
para análise
Regras de
Restrições e
Execução
Signed
USB mediaX
Benign
Malicious
Checagem
comportamental
Malware
Unknown?
Palo Alto Networks Traps
Proteção Efetiva contra Malware conhecido e Desconhecido
Hash checado
localmente e no
database do
servidor
Hash checado
no Wildfire
Supported Operating Systems Footprint
Workstations – Physical and Virtual
 Windows XP SP3
 Windows Vista SP2
 Windows 7
 Windows 8 / 8.1
 Windows 10
Servers – Physical and Virtual
 Windows Server 2003 (+R2)
 Windows Server 2008 (+R2)
 Windows Server 2012 (+R2)
 25 MB RAM
 0.1% CPU
 No Scanning
Application Coverage
 Default Policy: 100+ processes
 Automatically detect new processes
 Protect any application
Palo Alto Networks Traps
Sistemas Operacionais suportados e Recursos
Demonstração: Palo Alto Networks Traps
Proteção contra malware avançado e ameaças avançadas no endpoint.
Parte II : Proteção com Palo Alto
Networks Traps
• Operador HMI executa arquivo
infectado com malware moderno;
• Antivirus Mcafee não detecta presença
e atividade do código malicioso;
• Palo Alto Networks Traps Evita a
execução do malware e garante a
Continuidade operacional do controle
do processo industrial
Requerimentos para Inteligência de Ameaças Cibernéticas
48 | © 2015, Palo Alto Networks. Confidential and Proprietary.
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresas de Energia
Contexto sobre
indicadores e incidentes
Resposta rápida
e proativa
Priorização de
Eventos Importantes
Automaticamente exporta
indicadores maliciosos para
soluções de segurança
Previne futuros
ataques
Demonstração: Palo Alto Networks AutoFocus
Visão da Proliferação de BlackEnergy ao redor do mundo.
• Proliferação do BlackEnergy em
diferentes indústrias;
• Manifestações em diferentes variantes
do Malware
• Alastramento Geográfico
• “Tags” de categorização do malware e
colaboração da indústria para
compartilhamento de informações;
• Análise forense do ciclo de vida do
Malware: Propriedades de rotinas e
chamadas a variáveis de ambientes
operativos.
Desafio – Redes conectadas não mais isoladas
Necessidade de maior segmentação e controle de acesso
Acesso externo granular e segmentação interna
Necessário enforcement do “role-based access control” e conceito “zero-trust
Prevenção de incidents cibernéticos.
Industrial
Control
System
Business
Network
Partners
Other
Plants/Facilities
3rd Party
Support
ISA 95/Purdue Enterprise Reference Architecture (PERA)-A
HistorianHMI
Engineering
HMI Application File Server
Level 3
Web Services
Data Center
Corporate Workstations
Level 4
Business Logistics/Enterprise
DMZ
Manufacturing Operations Systems
Control Systems
Intelligent Devices
Process
Email
Business
Workstation Patch WebJump
Level 3.5
Historian Copy
Historian
Engineering
HMI
Application
Level 2
Level 1
PLC/RTU PLC/RTU PLC/RTU
Level 0
HMI
EngineeringEngineering
Zero-Trust Model
All resources are accessed in a secure
manner regardless of location.
Access control is on a “need-to-know”
basis and is strictly enforced.
Verify and never trust.
Inspect and log all traffic.
The network is designed from the inside
out.
Source: Forrester Research
52 | ©2015, Palo Alto Networks
Arquitetura de Referencia: Layer 3 High Availability (HA)
SCADA
PLC
DMZ(L3.5)BUSINESS
ICS
Business
Network
Remotes
• WorkstationREMOTE
Internet
Corporate Data
Center
MPLS
• HMI
• Engineering Sta.
• Appl. Server
• Email
• File Server
• Historian
• Patch Server
• HMI
• Jump Server
Level 3.5
Level 3.5
Level 2
Level 1Level 2
Level 0
Level 4
Level 4
Level 2
Level 4
HA
Estudo de Caso
Cenários de empresas na América Latina apresentados no roundtable de
indústrias do Palo Alto Networks Ignite 2016
Case 1 for Network Segmentation Issues – Steel Mill company
• Problem:
• ICS external Vendors and contractors spreading virus and bad applications to OT
environments through VPN connections:
• VPN connection provides encryption but what for security controls, threat and app visibility?
• Consequences:
- Undesirable and Bad applications found due 0.0.0.0/0 routing
• Default gateway for VPN tunnel sometimes = end of tunnel = OT enviorment (config fault)
• End of tunnel is a port/protocol Firewall acting as a VPN concentrator.
 Lack of app visibility and known/unknown threats
Apps found: Dropbox, Bittorrent, Skype
 DNS Suspicious Query indicating C2 botnet activity
 Conficker worm spreading through network (network overhead/flood – a concern for OT)
• Do you know Conficker can stop an entire industrial plant? It happened with our client. A huge
impact on Steel production was reported
• Solution: Creation of a Third-
Party Access Zone (LEVEL 4)
“Rather than place third-party vendor
access in the DMZ, where there is still the
possibility of exposing workstations and
servers housed there to external threats,
the ideal deployment would be to create a
separate zone just for remote
vendor/support access”
• Level 4 Third Party Zone
created to provide total
visibility into traffic entering
and leaving your production
network with the ability to
alert or block known and
unknown malware, APTs and
zero-day exploits.
• Restrict access based on user
or user groups.
• Restrict access based on
schedules.
• Restrict protocols to only
those necessary for
support and maintenance.
• Define enforcement levels on
a per-vendor, per-person, or
per-user group basis.
External ICS Vendors
Client to Site VPN
Case 1 for Network Segmentation Issues – Steel Mill company
Case 2 for Network Segmentation Issues – Energy Sector company
• Problem:
• Attacks spreading trough Government Energy Sector company MPLS networks
• Government Agency company gathers production real time data from Energy Sector Companies
production using IEC 60870-5-104 protocol:
 Pooling Supervisory Systems to live info on production capacity;
 Pooling Energy Substations directly;
• Consequences:
- Ingress ACL on routers being applied and standard
port/protocol Firewall behind do not stop application level
attacks and threats:
• IEC 60870-5-104 protocol architecture: It does not rely on fixed
standard ports it´s a dynamic protocol allocating random ports.
 Many ports Opened:
 BruteForce Attacks found against supervisory systems - (Incident reported due password discovery).
 Several virus and worms (conficker) spotted;
• Solution: Creation of a
BUSINESS Zone (LEVELS 4)
“From a reference point of view, the Business
zone, as it stands in relation to the industrial
controls network, as a potential threat and
inspected.” should be treated like the Internet
and with the same level of concern. All traffic
coming from this zone should be treated
• Treat IEC 60870-5-
104 with native
Application layer
intelligence allowing
only base protocol
and its sub functions
to cross network
boundaries to lower
levels (L3-L2-L1)
• Total visibility into
traffic entering and
leaving your business
zone with the ability
to alert or block
known and unknown
malware, APTs and
zero-day exploits
Case 2 for Network Segmentation Issues – Energy Sector company
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Case 3 for Network Segmentation Issues – Energy Sector company
• Problem:
• Unauthorized PLC/RTU management from unknown sources
• RTU restart issued with no apparent reason/cause;
• DNP3 sub functions commands (dnp3-operate/direct-
operate/read/write) spotted from unknown sources during PoC.
• Consequences:
• Incident reported as Loss of View and Loss of Control due unexpected RTU
restart
• Possibility of sabotage and fraud due lack of proper network segmentation
between L0, L1 and Upper Levels
• Solution: Creation of PLC
(LEVEL 1) Control Devices Zone
“Devices placed in this zone are items like
Programmable Logic Controllers, Remote
Terminal Units and programmable relays”.
• The creation of
Level1 zone
enforces
protection against
unauthorized
access intending
to reprogram PLC
devices.
• It grants the
proper visibility
and control
allowing only
trusted sources
(Supervisory
systems) to
connect to PLCs in
order to send
read and write
PLC commands.
Case 3 for Network Segmentation Issues – Energy Sector company
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Arquitetura de Referência
Topologia modelo para Redes de Automação
Palo Alto Networks: Arquitetura Top-Down de Referência para Redução
de Riscos em Redes SCADA/ICS
Zona Operadores HMIs
Historian Business DEV Zone
Zona de Engenharia
TI-TA Zona
DMZ
Jump Patch Web
Site/CellZone
Process-specific
L0
L1
L2
L3
L3.5
L4
Zona
Servidores
SCADA
Zona
PLC/IED/RTUS
Zona TI
Corporativa
Historian Replica
Traps
Segurança de EndpointTraps
TrapsTrapsTraps
Traps Traps Traps
Traps
Traps
TrapsTrapsTraps
Wildfire – Proteção Malware Moderno
Public
Cloud
Private
Cloud
Panorama
Visibilidade
Segmentação
Prevenção de Ameaças
Gerencia Centralizada
(Panorama and ESM)
ESM
Wildfire Appliance
Acesso Remoto:
Jump Server ou VPN
Remote
Engineer
Access
Zona
PLC/IED/RTUS
Next-generation Security para SCADA/ICS
1
Download do Solution Brief de SCADA/ICS
go.secure.paloaltonetworks.com/secureics
2 Saiba mais sobre uso de sua rede e ameaças
Control Network
Application Visibility and Risk Report (AVR) at:
http://connect.paloaltonetworks.com/AVR
Demo OnLine de segurança das soluções Palo Alto Networks para SCADA/ICS
http://events.paloaltonetworks.com/?event_type=632
Why Palo Alto Networks?
Prevention
Zero-Day
Reduce Risk
Policy
Visibility
Remediation
Detection
Endpoint
Data Center
Mobility
BYOD Management
Vulnerability
Responsive
Exploit
Anti-Malware Forensics
Automation
Private Cloud
Public Cloud
Performance
Scalability
Platform
Segmentation
Applications
Users
Control
Agile
Perimeter
Integrated
Support
Web Security
Command-&-Control
Virtualization
Ecosystem
Context
Correlation
Services
People
Culture
Safe Enablement
Application
Alexandre Freire
Sales Engineer Enterprise Accounts
afreire@paloaltonetworks.com

Mais conteúdo relacionado

Mais procurados

CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe PenarandaTI Safe
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaBravo Tecnologia
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...Symantec Brasil
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasTI Safe
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Rodrigo Immaginario
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADATI Safe
 
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)TI Safe
 
Palo alto networks sysvalue 2013
Palo alto networks sysvalue 2013Palo alto networks sysvalue 2013
Palo alto networks sysvalue 2013Filipe Rolo
 
Palestra técnica - Aprendendo segurança em redes industriais e SCADA
Palestra técnica - Aprendendo segurança em redes industriais e SCADAPalestra técnica - Aprendendo segurança em redes industriais e SCADA
Palestra técnica - Aprendendo segurança em redes industriais e SCADATI Safe
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1TI Safe
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioTI Safe
 
Dell sonic wall sales training
Dell sonic wall sales training    Dell sonic wall sales training
Dell sonic wall sales training danilopv
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoTI Safe
 
[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio RochaTI Safe
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)TI Safe
 
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
Webinar be aware -  como proteger sua informação no desaparecimento do perímetroWebinar be aware -  como proteger sua informação no desaparecimento do perímetro
Webinar be aware - como proteger sua informação no desaparecimento do perímetroSymantec Brasil
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresasmarcesil
 

Mais procurados (20)

CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresa
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
 
Apresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA CampinasApresentação Técnica - Evento ISA Campinas
Apresentação Técnica - Evento ISA Campinas
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
 
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
 
Palo alto networks sysvalue 2013
Palo alto networks sysvalue 2013Palo alto networks sysvalue 2013
Palo alto networks sysvalue 2013
 
Palestra técnica - Aprendendo segurança em redes industriais e SCADA
Palestra técnica - Aprendendo segurança em redes industriais e SCADAPalestra técnica - Aprendendo segurança em redes industriais e SCADA
Palestra técnica - Aprendendo segurança em redes industriais e SCADA
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael Sampaio
 
Dell sonic wall sales training
Dell sonic wall sales training    Dell sonic wall sales training
Dell sonic wall sales training
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau Branco
 
[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
 
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
Webinar be aware -  como proteger sua informação no desaparecimento do perímetroWebinar be aware -  como proteger sua informação no desaparecimento do perímetro
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com   Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
 

Semelhante a Análise de Ameaças Cibernéticas em Protocolos Industriais

Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADAAlexandre Freire
 
Aplicações Móveis com J2ME
Aplicações Móveis com J2MEAplicações Móveis com J2ME
Aplicações Móveis com J2MEelliando dias
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais   Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais   Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetroRodrigo Campos
 
Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...
Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...
Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...Amazon Web Services LATAM
 
[Cloud Summit 2010] Tecla Internet - Antonio Carlos Pina
[Cloud Summit 2010] Tecla Internet - Antonio Carlos Pina[Cloud Summit 2010] Tecla Internet - Antonio Carlos Pina
[Cloud Summit 2010] Tecla Internet - Antonio Carlos PinaTecla Internet
 
Ifix Basico e avançado Apresentação da Plataforma
Ifix Basico e avançado Apresentação da PlataformaIfix Basico e avançado Apresentação da Plataforma
Ifix Basico e avançado Apresentação da PlataformaFelipeSchaefferFerna
 
Expondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travadosExpondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travadosFábio Rosato
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 
Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Thiago Viola
 
F-Secure - Apresentação Técnica
F-Secure - Apresentação TécnicaF-Secure - Apresentação Técnica
F-Secure - Apresentação TécnicaDaniel Bastos
 
Java, Internet das Coisas, Things API e Arquiteturas de Inovação
Java, Internet das Coisas, Things API e Arquiteturas de InovaçãoJava, Internet das Coisas, Things API e Arquiteturas de Inovação
Java, Internet das Coisas, Things API e Arquiteturas de InovaçãoGlobalcode
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialTI Safe
 
Segurança da Informação, Novos Desafios
Segurança da Informação, Novos DesafiosSegurança da Informação, Novos Desafios
Segurança da Informação, Novos Desafiosedmofilho
 
RelatÓrio Da Palestra Final
RelatÓrio Da Palestra FinalRelatÓrio Da Palestra Final
RelatÓrio Da Palestra FinalHELDERTRBALHO
 

Semelhante a Análise de Ameaças Cibernéticas em Protocolos Industriais (20)

Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
 
Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADA
 
Data center seguro
Data center seguroData center seguro
Data center seguro
 
Aplicações Móveis com J2ME
Aplicações Móveis com J2MEAplicações Móveis com J2ME
Aplicações Móveis com J2ME
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais   Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais   Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetro
 
Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...
Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...
Como o Magazine Luiza inova suas operações utilizando as soluções de IoT e Bi...
 
[Cloud Summit 2010] Tecla Internet - Antonio Carlos Pina
[Cloud Summit 2010] Tecla Internet - Antonio Carlos Pina[Cloud Summit 2010] Tecla Internet - Antonio Carlos Pina
[Cloud Summit 2010] Tecla Internet - Antonio Carlos Pina
 
Ifix Basico e avançado Apresentação da Plataforma
Ifix Basico e avançado Apresentação da PlataformaIfix Basico e avançado Apresentação da Plataforma
Ifix Basico e avançado Apresentação da Plataforma
 
Expondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travadosExpondo APIs de back-ends legados e travados
Expondo APIs de back-ends legados e travados
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 
Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.
 
F-Secure - Apresentação Técnica
F-Secure - Apresentação TécnicaF-Secure - Apresentação Técnica
F-Secure - Apresentação Técnica
 
Java, Internet das Coisas, Things API e Arquiteturas de Inovação
Java, Internet das Coisas, Things API e Arquiteturas de InovaçãoJava, Internet das Coisas, Things API e Arquiteturas de Inovação
Java, Internet das Coisas, Things API e Arquiteturas de Inovação
 
1 Ids On Campus V3a
1 Ids On Campus V3a1 Ids On Campus V3a
1 Ids On Campus V3a
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - Baumier
 
Segurança da Informação, Novos Desafios
Segurança da Informação, Novos DesafiosSegurança da Informação, Novos Desafios
Segurança da Informação, Novos Desafios
 
RelatÓrio Da Palestra Final
RelatÓrio Da Palestra FinalRelatÓrio Da Palestra Final
RelatÓrio Da Palestra Final
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 

Análise de Ameaças Cibernéticas em Protocolos Industriais

  • 1. ANÁLISEDEAMEAÇASCIBERNÉTICASEM PROTOCOLOSINDUSTRIAIS. Alexandre Freire Brazil Enterprise Accounts Sales Engineer WW Industrial Control Systems Tiger Team afreire@paloaltonetworks.com
  • 2. Uma visão rápida sobre a Palo Alto Networks DESTAQUES CORPORATIVOS • Fundada em 2005; primeiro equipamento enviado a cliente em 2007 • Habilitando de forma segura aplicações e negócios prevenindo ameaças cibernéticas • Capaz de endereçar todas necessidades de segurança cibernética enterprise e de ambientes industriais • Habilidade excepcional de suportar clientes globais • Time experiente de 3,300+ funcionários • Q2 FY16: $334.7M revenue $MM RENDIMENTO CLIENTES $13 $49 $119 $255 $396 $598 $928 $0 $200 $400 $600 $800 $1,000 FY09FY10FY11FY12FY13FY14FY15 4,700 9,000 13,500 19,000 26,000 0 4,000 8,000 12,000 16,000 20,000 24,000 Jul-11 Jul-12 Jul-13 Jul-14 Jul-15 2 | © 2015, Palo Alto Networks. Confidential and Proprietary.
  • 3. Next-generation Security Platform Complete Industrial Cyber Security Solutions Valor aos nossos clientes em comum: Entregar soluções confiáveis de Segurança Cibernética industrial para impedir ataques e manter o tempo de disponibilidade e segurança elevados PEOPLE PROCESS TECHNOLOGY Assessments & Audits Architecture & Design Network Security Endpoint Protection Situational Awareness Response & Recovery Dois líderes em seus respectivos campos unindo forças
  • 4. ICS-CERT Sumário dos ataques por indústria – 2014 e 2015 • Em 2014: Setor de Energia mais visado • Em 2015: Setor de Energia ainda visado mas ultrapassado pelo setor de manufatura
  • 5. Ameaças Mudaram: Ataques avançados Data Data Internet Encryption Targeted OBJETIVO: Lucratividade, Sabotagem e conflitos entre nações • Organizados • Ataques direcionados • Financiado – Industria foco crescente OBJETIVO: Notoriedade • Uma pessoa, grupos pequenos • Conhecimento e Recursos limitados • Ataques básicos Internet ?Passado Presente
  • 6. SCADA/ICS – A tempestade perfeita para ataques cibernéticos Migração para protocolo IP, Mais uso do Windows Maior Conectividade (Interna, Externa, VPN, Orgs, Fabricantes) Tradicionalmente baixa maturidade de segurança cibernética Patches não frequentes de Sistemas operacionais Número e sofisticação dos ataques específicos em redes de automação crescentes
  • 7. Estudo de Caso Destaque de Provas de Conceito realizadas na America Latina
  • 8. Client Industry ICS Perimeters Vírus/Spyware Command and Control C&C Suspicious DNS Queries Vulnerabilities Malware APT Unauthorized Applications ABC Steel - Corporate Network - Gov. Agencies - ICS Vendors external VPN - Process Network (PI) - ICS Datacenter - Control Center – Field Devices X Conficker X C&C Traffic Gen. X malware e botnets X PLC Warm Restart PLC read/writeWindows Vulnerabilities Brute Force Attacks SCADA X Malware 0Day X Dropbox, Bittorrent,EasyShare XPTO Energy - Corporate Network - Gov. Agencies - Control Centers – Substations - Process Network (PI) - IICS Vendors external VPN X Conficker X C&C Traffic Gen. X malware e botnets X PLC Warm Restart PLC read/write Windows Vulnerabilities X Malware 0Day X Bitorrent, Facebook, Dropbox, Netflix XYZ Energy - Corporate Network - Gov. Agencies - Process Network (PI) - Control Centers - Substations No occurrence No occurrence No occurrence X PLC read/write Windows Vulnerabilities Brute Force Attacks SCADA No occurrence X Bitorrent, Facebook, Skype Dropbox, FileShare ACME Mining - Corporate Network - ICS Vendors external VPN - Process Network (PI) - ICS Datacenter X Conficker X C&C Traffic Gen X malware e botnets X PLC Warm Restart PLC read/write Windows Vulnerabilities Brute Force Attacks SCADA Not Tested X Dropbox, Bittorrent,EasyShare , Skype, Ultrasurf BIZ Oil and Gas - Corporate Network - Gov. Agencies - ICS Vendors external VPN - Process Network (PI)) X Conficker No occurrence No occurrence X PLC Warm Restart PLC read/write Windows Vulnerabilities Brute Force Attacks SCADA Not Tested X Dropbox, , Skype Benchmarking de Provas de Conceito realizadas na America Latina
  • 9. Desafio – Aumentar a visibilidade Visibilidade de aplicações e detecção de anomalias em SCADA Visibilidade granular no protocolo industrial, aplicativo, usuário e nível de conteúdo 9 | ©2015, Palo Alto Networks Control Network Funções de Protocolos Industraiis (ex: Leituras vs escritas Identificar aplicações customizadas Uso não apropriado Garantir conteudo é transferido somente dentro do perimetro Industrial Potenciais ameaças Auditoria/Normas e Conformidade
  • 10. s Control Center SCADAENGR Remote/Substations/Process Zone RTU / PLC / IED HIST OPC Server Control Center SCADAENGR HIST OPC Server ICCP MMS Elcom 90 General Modbus DNP3 CIP Ethernet Bridge/Service OPC DA/UA Apps Cygnet – Oil & Gas SCADA PI - Historian Modbus TCP (port 502) : Mais antigo ICS protocolo usado no controle de I/O (principalmente) • Sem autenticação ou criptografia • Sem supressão de broadcast • Vulnerabilidades publicadas Procolos de automação são inseguros, muitas vezes “por design” DNP3 (port 20000) Muito popular em empresas de energia elétrica e de tratamento de água • Sem autenticação ou criptografia • DNP3 Secure Authentication adiciona segurança, mas versão não é amplamente usada.
  • 11. Protocol / Application Protocol / Application Protocol / Application  Modbus base & sub-functions  ICCP (IEC 60870-6 / TASE.2)  Schneider Oasys  DNP3 & sub-functions  Cygnet  Synchrophasor (IEEE C.37.118)  IEC 60870-5-104 base & functions  Elcom 90  Foundation Fieldbus  CIP EtherNet/IP  FactoryLink  Profinet IO  OSIsoft PI Systems  MQTT  OPC  BACNet Palo Alto Networks: Conhecimento nativo de Protocolos SCADA/ICS
  • 12. Identificadores de aplicações funcionais Function Control Variants (15 total) Modbus-base Modbus-write-multiple-coils Modbus-write-file-record Modbus-read-write-register Modbus-write-single-coil Modbus-write-single-register Modbus-write-multiple-registers Modbus-read-input-registers Modbus-encapsulated-transport Modbus-read-coils Modbus-read-discrete-inputs Modbus-mask-write-registers Modbus-read-fifo-queue Modbus-read-file-record Modbus-read-holding-registers Applipedia entry for Modbus-base App-ID
  • 13. IEC 60870-5-104 Available Variants for IEC 60870-5-104 App-ID Applipedia entry for IEC 60870-5-104 Base App-ID Identificadores de aplicações funcionais
  • 14. Demonstração: Visibilidade e Controle da Operação Industrial • Controle de Processo de Destilados • Controle de Pressão e Temperatura de dutos e válvulas com protocolo Modbus e subfunções • Controle de Supervisório administrando remota (subestação) • DNP3 e subfunções (dnp3- operate, dnp3-read, dnp3-write)
  • 15. Demonstração: Topologia e Componentes funcionais
  • 16. Desafio – Protegendo sistemas desatualizados Sistemas SCADA não podem receber patches regularmente, difícil manter-se com as atualizações de Antivirus  Garantir a segurança dos sistemas em longos períodos de ciclos de atualização (6 a 18 meses) tipicamente; muitos anos em alguns casos  Impulsionada por metas de disponibilidade ou restrições do processo  Risco aumenta em direção próxima janela de atualização  Protegendo sistemas legados que não podem receber patches  Alguns sistemas já não suportados pelo fornecedor  Ainda precisa estar em funcionamento durante anos  Quaisquer novas vulnerabilidades são sempre “Forever Day” Human Machine Interface Engineering Workstation Automation Server
  • 17. SCADA/ICS Vulnerabilidades e Exploits • Muitos sistemas com vulnerabilidades conhecidas são deixados sem correção para uma variedade de razões Historian Server (CVE-2012-2516) OPC Server (CVE-2011-1914) SCADA Master / HMI (CVE-2012-0233) PLC / RTU / IED (CVE-2010-2772) MultipleVectorsforExploitation Internet / Support Network Removable Media Portable Computing Exemplo de indicadores CVE de diferentes components SCADA/ICS  Prevenção de ameaças nativa protege os ativos críticos contra vírus e spyware  Aplicar assinaturas de exploits para virtualmente implementar patches  Exploits específicos de SCADA/ICS e exploits de uso em demais sistemas de Tecnologia da Informação  Exploits de protocolos específicos
  • 18. Bloqueio de ameaças conhecidas específicas para SCADA / ICS Pare de ameaças conhecidas para TI que são relevantes para SCADA General IT Product Exploits General Malware & CNC SQL Slammer Conficker Risky protocol functions E.G. Warm restart ICS Product Exploits ICS-specific Malware & CNC Stuxnet Havex Palo Alto Networks Threat Prevention Proteção contra Ameaças específicas para automação
  • 19. Palo Alto Networks Threat Prevention Proteção contra Ameaças específicas para automação • Específicas para produto (HMIs e Supervisórios SCADA) • Banco de dados de vulnerabilidades/exploits, virus e spyware • Cada entrada possuí descrição, severidade, ranking e links para mais informação • Desenvolvido pela equipe mundial de ameaças da Alto Networks • Quaisquer vulnerabilidades atualmente descobertas pela equipe de pesquisa de ameaças podem ser pesquisadas (cliente, SW / HW fornecedor) ​ • Incluí informações sobre vulnerabilidades e assinaturas existentes especificamente para ambientes SCADA/ICS
  • 20. Desafio – Prevenção de Sabotagens e Desastres Visibilidade e Controle contra operações industriais não autorizadas
  • 21. Palo Alto Networks: Prevenção de Sabotagens em ambientes SCADA/ICS  Comandos de Protocolos de Risco: Visibilidade e controle de ações relacionadas a condições e parâmetros de operações industriais. DNP3 Modbus • Controles de PLCs, IEDs, RTUs: • Leitura e escrita (reprogramação) de valores, registros, Cold Restart, Warm Restart, finalização de processos entre outras condições operacionais.
  • 22. Sofistifação da sabotagem: Worm projetado para “viver” na PLC sem dependência de endpoints para propagação.
  • 23. Demonstração: Palo Alto Networks Next Generation Firewall: Detecção e Bloqueio de fraudes/sabotagens a partir de operações não autorizadas • Visibilidade de processos de leitura e escrita (reprogramação) de PLC através de Modbus • Deteção de operações não autorizadas como reinicialização de Relay (Cold Restart/Warm Restart) via DNP3. • Hacking PLC: Causando paralização da operação e criando condições favoráveis a incidentes (e acidentes).
  • 24. Desafio – Malware Moderno impactando produção industrial Controle do desconhecido e ameaças avançadas persistentes 24 | ©2015, Palo Alto Networks Repository for Industrial Security Incidents (RISI) Banco de dados de incidentes que afetam o controle de processos e sistemas SCADA Segundo os dados do RISI, o incidente mais comum em redes de automação é o ataque por malware, que responde por 68% dos incidentes externos em sistemas de controle, seguidos por incidentes de sabotagem e penetração em sistemas, com 13%, e ataques de negação de serviço, com 6% .Fonte: RISI Vulnerabilidades mais exploradas por atacantes de redes industriais ICS-CERT Sumário dos ataques por indústria
  • 25. FUD? • Fully UnDetectable (muitas vezes encurtado para "FUD") significa software incapaz de ser detectado por antivirus convencional quando um scan é executado. O termo é utilizado em círculos “underground” para se referir a código que resulta em veredito “limpo” ou “benigno” para a maioria dos antivirus, ainda que seja uma ferramenta de hacking. Técnicas incluem criptografia e/ou fuzzing de payload. 25 | ©2015, Palo Alto Networks. Confidential and Proprietary.
  • 26. Stuxnet como marco divisor para uma nova geração de ameaças Stuxnet: “Malware” orientado a sistemas de automação industrial que monitora centrífugas nucleares iranianas, arquitetado de forma sofisticada, levantando suspeitas diversas sobre a natureza da ação  Sofisticado:  Inclui exploits para 4 vulnerabilidades (0-day) sem patches  Inclui componentes assinados certificados digitais roubados  Disseminados através de diversos vetores, incluindo pen-drives  Infectou máquinas de desenvolvimento c/rootkit que esconde tanto o “malware” como as mudanças que ele faz nos programas sendo desenvolvidos  Dirigido:  Modifica códigos nos controladores lógicos programáveis - PLCs  Modificações só acontecem em determinadas circunstâncias (drivers de alguns fornecedores, operando em condições específicas de frequência, etc
  • 27. E sobre o "Filho do Stuxnet"? Lacunas na proteção dos antivírus tradicionais ☣ Malwares direcionado e customizado ☣ Malwares Polimórficos ☣ Malwares recém lançados (0Day) Tempo demorado para proteção Malwares modernos são cada vez mais capazes de: • Evitar que sejam detectados por tecnologias de antivirus tradicionais • Podem ser disseminados através de polimorfismo, re-codificação e criptografia.
  • 28. Malware avançado atingindo infraestruturas críticas de indústria
  • 29. 30 Minutes de Malware… 1 minuto = 2,021 instâncias 15 minutos = 9,864 instâncias 30 minutos = 45,457 instâncias Após…. Pare a Propagação Previna Ataques • WILDFIRE • TRAPS • AUTOFOCUS
  • 30. WildFire: Nuvem de Inteligência da Palo Alto Networks Proteções desenvolvidas com enforcement in-line através dos estágios do ciclo de ataque Inteligência correlacionada: Web Detecção do Desconhecido  Malware  Exploits  Controle e Comando (C2)  Queries DNS  URLs Maliciosas WildFire WildFire Threat Prevetntion URL Filtering All traffic SSL encryption All ports PerimeterAll commonly exploited file types 3rd party data Data center Endpoint Email FTP SMTP SMB
  • 31. MALWARE AVANÇADO Automação na análise de Malware Moderno
  • 32. THREAT INTELLIGENCE CLOUD WildFire Threat Prevention URL Filtering Identificado automaticamente RESPOSTA MANUAL Automaticamente Prevenido 15,000 Proteções anti-malware por dia 24,000 Proteções URL por dia 13,500 Proteções DNS por dia Proteções entregues automaticamente em 5 minutos Relatórios forenses ricos para investigação rápida e detalhada Forensics & Reporting O DESCONHECIDO WildFire: Nuvem de Inteligência da Palo Alto Networks
  • 33. WildFire : Eficácia na detecção de malware desconhecido 33 | ©2016, Palo Alto Networks. Confidential and Proprietary. 77.5% 62.5% Dos samples de Malware submetidos ao WildFire por mês não são conhecidos pelo Virus Total* 77.5% *Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner Dos samples de Malware submetidos ao Wildfire por mês não é detectado pelos top 6 AV corporativos* 62.5% 71.9M 5.3M 4.1M 3.3M Arquivos Maliciosos Desconhecidos (VT) Indetectáveis
  • 34. Cobertura dos Principais Fabricantes de Antivírus MalwareSampleCount New Malware Coverage Rate by Top 5 AV Vendors Daily AV Coverage Rates for Newly Released Malware (50 Samples) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Day-0 Day-1 Day-2 Day-3 Day-4 Day-5 Day-6 5 vendors 4 vendors 3 vendors 2 vendors 1 vendor 0 vendors
  • 35. Caso: Ukrainian Grid Cyberattack 35 | © 2015, Palo Alto Networks. Confidential and Proprietary.  Em 23 de dezembro de 2015, a região de Ivano-Frankivsk na Ucrania sofreu uma interrupção no fornecimento de energia afetando mais de 80.000 residências  Investigação revelou que um ataque cibernético foi a cauua do blackout, relacionado ao malware BlackEnergy.
  • 37. Movimento lateral para alcançar rede operativa ATINGIR OBJETIVO Comprometimento dos Sistemas de Controles Industriais OBJETIVO ALCANÇADO (SABOTAGEM) Movimento lateral para infectar novos hosts OPERAÇÂO NO ENDPOINT Comprometimento inicial e entrega de malware EXPLORAÇÃO DO PERIMETRO Entregar malware secundário e comunicar com atacante ENTREGA DO MALWARE Ukrainian Grid Attack Lifecycle – Ciclo de vida do Malware Spearphishing the IT Network (Email com arquivo malicioso MS Office) C2 Infrastructure Black Energy 3 Backdoor Mapeamento de rede, Acesso a domain controllers para captura de credenciais de usuários Acesso ao ambiente de rede SCADA Disjuntores abertos, DoS em linhas telefonicas Equipamentos desligados (remotas) Perda de Energia Longo blackout
  • 38. Ransomware • Ransomware é um tipo de malware que previne ou limita usuários de acessarem seus arquivos e sistemas. Este tipo de malware força a vítima a pagar resgate através de determinados métodos de pagamento online para devolver o acesso ao Sistema Operacional. Alguns tipos de ransomware criptografam arquivos (ex. Cryptolocker), enquanto outros usam a rede TOR para ocultar comunicação C&C (ex. CTB Locker). 38 | ©2015, Palo Alto Networks. Confidential and Proprietary.
  • 40. Demonstração: Palo Alto Networks Traps Proteção contra malware avançado e ameaças avançadas no endpoint. • Operador HMI executa arquivo infectado com malware moderno; • Antivirus Mcafee não detecta presença e atividade do código malicioso; • Arquivos e programas de processos industriais criptografados • Pedido de resgate realizado Parte 1 – Comprometimento HMI
  • 41. Endpoint: Anatomia de um ataque orientado Fraude / Sabotagem Industrial Reconhecimento Estabelecimento de Canais de Controle Comprometimento do Endpoint O momento certo para prevenir uma brecha de segurança é antes de um atacante comprometer um Endpoint e ganhar entrada no seu ambiente.
  • 42. Prevenção de Comprometimento do Endpoint 1. 2. 3. Conhecidos Desconhecidos Zero-Day Conhecido Desconhecido Avançado Prevenir Exploits Prevenir Malware Pronto para Enterprise
  • 43. Bloquear as principais técnicas - não a ataques individuais Número de novas variantes a cada ano Ataques Individuais Exploração de vulnerabilidades de software Milhares de novas vulnerabilidades e exploits 1,000s Técnicas Principais Técnicas de exploração Apenas 2-4 novas técnicas de exploração 2-4 Malware Milhões de novas variações de malware 1,000,000s Técnicas de malware Dezenas de novas sub-técnicas de malware ~10s Palo Alto Networks Traps
  • 44. Heap Spray Utilizing OS Functions JIT Child Process Unsigned Executable Restricted Location Admin Pre-Set Verdicts Wildfire Known Verdict On Demand Inspection Injection Attempts Blockage Traps Malware Protection Palo Alto Networks Traps Prevenção de Exploits/Malware no Endpoint Delivery Exploitation Download and Execute Execution Restriction 1 Execution Restriction 2 Execution Restriction 3 Local Verdict Check Wildfire Verdict Check Wildfire Inspection Malicious Thread Injection Intelligence and Emulation Traps Exploit Protection Advanced Execution Control Malicious Behavior Protection Memory Corruption Logic Flaws 4 5 6 7 8 9 10 Exploitation Technique 1 Exploitation Technique 2 Exploitation Technique 3 1 2 3
  • 45. Usuário tenta abrir Arquivo executável Submeter para análise Regras de Restrições e Execução Signed USB mediaX Benign Malicious Checagem comportamental Malware Unknown? Palo Alto Networks Traps Proteção Efetiva contra Malware conhecido e Desconhecido Hash checado localmente e no database do servidor Hash checado no Wildfire
  • 46. Supported Operating Systems Footprint Workstations – Physical and Virtual  Windows XP SP3  Windows Vista SP2  Windows 7  Windows 8 / 8.1  Windows 10 Servers – Physical and Virtual  Windows Server 2003 (+R2)  Windows Server 2008 (+R2)  Windows Server 2012 (+R2)  25 MB RAM  0.1% CPU  No Scanning Application Coverage  Default Policy: 100+ processes  Automatically detect new processes  Protect any application Palo Alto Networks Traps Sistemas Operacionais suportados e Recursos
  • 47. Demonstração: Palo Alto Networks Traps Proteção contra malware avançado e ameaças avançadas no endpoint. Parte II : Proteção com Palo Alto Networks Traps • Operador HMI executa arquivo infectado com malware moderno; • Antivirus Mcafee não detecta presença e atividade do código malicioso; • Palo Alto Networks Traps Evita a execução do malware e garante a Continuidade operacional do controle do processo industrial
  • 48. Requerimentos para Inteligência de Ameaças Cibernéticas 48 | © 2015, Palo Alto Networks. Confidential and Proprietary. 223.144.191.23 Adversário BlackEnergy Indicadores Relaciondos Conexão: 101.55.121.171:443 DNS: gagalist.net Alvos Governo, Militar, Empresas de Energia Contexto sobre indicadores e incidentes Resposta rápida e proativa Priorização de Eventos Importantes Automaticamente exporta indicadores maliciosos para soluções de segurança Previne futuros ataques
  • 49. Demonstração: Palo Alto Networks AutoFocus Visão da Proliferação de BlackEnergy ao redor do mundo. • Proliferação do BlackEnergy em diferentes indústrias; • Manifestações em diferentes variantes do Malware • Alastramento Geográfico • “Tags” de categorização do malware e colaboração da indústria para compartilhamento de informações; • Análise forense do ciclo de vida do Malware: Propriedades de rotinas e chamadas a variáveis de ambientes operativos.
  • 50. Desafio – Redes conectadas não mais isoladas Necessidade de maior segmentação e controle de acesso Acesso externo granular e segmentação interna Necessário enforcement do “role-based access control” e conceito “zero-trust Prevenção de incidents cibernéticos. Industrial Control System Business Network Partners Other Plants/Facilities 3rd Party Support
  • 51. ISA 95/Purdue Enterprise Reference Architecture (PERA)-A HistorianHMI Engineering HMI Application File Server Level 3 Web Services Data Center Corporate Workstations Level 4 Business Logistics/Enterprise DMZ Manufacturing Operations Systems Control Systems Intelligent Devices Process Email Business Workstation Patch WebJump Level 3.5 Historian Copy Historian Engineering HMI Application Level 2 Level 1 PLC/RTU PLC/RTU PLC/RTU Level 0 HMI EngineeringEngineering
  • 52. Zero-Trust Model All resources are accessed in a secure manner regardless of location. Access control is on a “need-to-know” basis and is strictly enforced. Verify and never trust. Inspect and log all traffic. The network is designed from the inside out. Source: Forrester Research 52 | ©2015, Palo Alto Networks
  • 53. Arquitetura de Referencia: Layer 3 High Availability (HA) SCADA PLC DMZ(L3.5)BUSINESS ICS Business Network Remotes • WorkstationREMOTE Internet Corporate Data Center MPLS • HMI • Engineering Sta. • Appl. Server • Email • File Server • Historian • Patch Server • HMI • Jump Server Level 3.5 Level 3.5 Level 2 Level 1Level 2 Level 0 Level 4 Level 4 Level 2 Level 4 HA
  • 54. Estudo de Caso Cenários de empresas na América Latina apresentados no roundtable de indústrias do Palo Alto Networks Ignite 2016
  • 55. Case 1 for Network Segmentation Issues – Steel Mill company • Problem: • ICS external Vendors and contractors spreading virus and bad applications to OT environments through VPN connections: • VPN connection provides encryption but what for security controls, threat and app visibility? • Consequences: - Undesirable and Bad applications found due 0.0.0.0/0 routing • Default gateway for VPN tunnel sometimes = end of tunnel = OT enviorment (config fault) • End of tunnel is a port/protocol Firewall acting as a VPN concentrator.  Lack of app visibility and known/unknown threats Apps found: Dropbox, Bittorrent, Skype  DNS Suspicious Query indicating C2 botnet activity  Conficker worm spreading through network (network overhead/flood – a concern for OT) • Do you know Conficker can stop an entire industrial plant? It happened with our client. A huge impact on Steel production was reported
  • 56. • Solution: Creation of a Third- Party Access Zone (LEVEL 4) “Rather than place third-party vendor access in the DMZ, where there is still the possibility of exposing workstations and servers housed there to external threats, the ideal deployment would be to create a separate zone just for remote vendor/support access” • Level 4 Third Party Zone created to provide total visibility into traffic entering and leaving your production network with the ability to alert or block known and unknown malware, APTs and zero-day exploits. • Restrict access based on user or user groups. • Restrict access based on schedules. • Restrict protocols to only those necessary for support and maintenance. • Define enforcement levels on a per-vendor, per-person, or per-user group basis. External ICS Vendors Client to Site VPN Case 1 for Network Segmentation Issues – Steel Mill company
  • 57. Case 2 for Network Segmentation Issues – Energy Sector company • Problem: • Attacks spreading trough Government Energy Sector company MPLS networks • Government Agency company gathers production real time data from Energy Sector Companies production using IEC 60870-5-104 protocol:  Pooling Supervisory Systems to live info on production capacity;  Pooling Energy Substations directly; • Consequences: - Ingress ACL on routers being applied and standard port/protocol Firewall behind do not stop application level attacks and threats: • IEC 60870-5-104 protocol architecture: It does not rely on fixed standard ports it´s a dynamic protocol allocating random ports.  Many ports Opened:  BruteForce Attacks found against supervisory systems - (Incident reported due password discovery).  Several virus and worms (conficker) spotted;
  • 58. • Solution: Creation of a BUSINESS Zone (LEVELS 4) “From a reference point of view, the Business zone, as it stands in relation to the industrial controls network, as a potential threat and inspected.” should be treated like the Internet and with the same level of concern. All traffic coming from this zone should be treated • Treat IEC 60870-5- 104 with native Application layer intelligence allowing only base protocol and its sub functions to cross network boundaries to lower levels (L3-L2-L1) • Total visibility into traffic entering and leaving your business zone with the ability to alert or block known and unknown malware, APTs and zero-day exploits Case 2 for Network Segmentation Issues – Energy Sector company MPLS supporting a business requirement for Supervisory Pooling from external organization
  • 59. Case 3 for Network Segmentation Issues – Energy Sector company • Problem: • Unauthorized PLC/RTU management from unknown sources • RTU restart issued with no apparent reason/cause; • DNP3 sub functions commands (dnp3-operate/direct- operate/read/write) spotted from unknown sources during PoC. • Consequences: • Incident reported as Loss of View and Loss of Control due unexpected RTU restart • Possibility of sabotage and fraud due lack of proper network segmentation between L0, L1 and Upper Levels
  • 60. • Solution: Creation of PLC (LEVEL 1) Control Devices Zone “Devices placed in this zone are items like Programmable Logic Controllers, Remote Terminal Units and programmable relays”. • The creation of Level1 zone enforces protection against unauthorized access intending to reprogram PLC devices. • It grants the proper visibility and control allowing only trusted sources (Supervisory systems) to connect to PLCs in order to send read and write PLC commands. Case 3 for Network Segmentation Issues – Energy Sector company MPLS supporting a business requirement for Supervisory Pooling from external organization
  • 61. Arquitetura de Referência Topologia modelo para Redes de Automação
  • 62. Palo Alto Networks: Arquitetura Top-Down de Referência para Redução de Riscos em Redes SCADA/ICS Zona Operadores HMIs Historian Business DEV Zone Zona de Engenharia TI-TA Zona DMZ Jump Patch Web Site/CellZone Process-specific L0 L1 L2 L3 L3.5 L4 Zona Servidores SCADA Zona PLC/IED/RTUS Zona TI Corporativa Historian Replica Traps Segurança de EndpointTraps TrapsTrapsTraps Traps Traps Traps Traps Traps TrapsTrapsTraps Wildfire – Proteção Malware Moderno Public Cloud Private Cloud Panorama Visibilidade Segmentação Prevenção de Ameaças Gerencia Centralizada (Panorama and ESM) ESM Wildfire Appliance Acesso Remoto: Jump Server ou VPN Remote Engineer Access Zona PLC/IED/RTUS
  • 63. Next-generation Security para SCADA/ICS 1 Download do Solution Brief de SCADA/ICS go.secure.paloaltonetworks.com/secureics 2 Saiba mais sobre uso de sua rede e ameaças Control Network Application Visibility and Risk Report (AVR) at: http://connect.paloaltonetworks.com/AVR Demo OnLine de segurança das soluções Palo Alto Networks para SCADA/ICS http://events.paloaltonetworks.com/?event_type=632
  • 64. Why Palo Alto Networks? Prevention Zero-Day Reduce Risk Policy Visibility Remediation Detection Endpoint Data Center Mobility BYOD Management Vulnerability Responsive Exploit Anti-Malware Forensics Automation Private Cloud Public Cloud Performance Scalability Platform Segmentation Applications Users Control Agile Perimeter Integrated Support Web Security Command-&-Control Virtualization Ecosystem Context Correlation Services People Culture Safe Enablement Application
  • 65. Alexandre Freire Sales Engineer Enterprise Accounts afreire@paloaltonetworks.com