SlideShare uma empresa Scribd logo

Antivírus e proteção de redes industriais

TI Safe
TI Safe

O documento discute a eficácia de soluções de antivírus na proteção de redes industriais contra ameaças maliciosas. Ele apresenta os resultados de testes realizados em 16 amostras de malware usando diferentes antivírus. A maioria das amostras não foi detectada corretamente, sugerindo que antivírus podem não ser suficientes sozinhos para proteger redes industriais.

1 de 39
Baixar para ler offline
ANTIVIRUS É EFICIENTE PARA A PROTEÇÃO DE REDES INDUSTRIAIS? Marcelo Branquinho & Jan Seidl Novembro de 2012
Apresentação Marcelo Branquinho Jan Seidl (marcelo.branquinho@tisafe.com) (jan.seidl@tisafe.com) • Diretor executivo da TI Safe. • Coordenador técnico da TI Safe. Membro sênior da ISA e Especialista em análise de riscos integrante do comitê da norma em sistemas de automação e ANSI/ISA-99. Pesquisador em pesquisador na área de tecnologias de segurança para engenharia de Malware. proteção de infraestruturas críticas.
Siga a TI Safe nas Redes Sociais • Twitter: @tisafe • SlideShare: www.slideshare.net/tisafe • Facebook: www.facebook.com/tisafe • Flickr: http://www.flickr.com/photos/tisafe
Não precisa copiar... http://www.slideshare.net/tisafe
Agenda • Malware em redes de automação • Demonstração de infecção em planta química • Objetivo do trabalho • Metodologia utilizada • Ataques desenvolvidos • Resultados dos testes • Conclusão • Treinamento e conscientização
Malware em redes de automação
Malware • Malware, ou software malicioso, é um termo relativamente novo para o mundo da tecnologia da informação. • Agrupa todo software ou programa criado com a intenção de abrigar funções para: – penetrar em sistemas – quebrar regras de segurança – servir de base para operações ilegais e/ou prejudiciais
Exemplos de Malware • Virus – Funções de cópia e dispersão • Worms – Propagam independente das ações do usuário • Trojans – Fingem executar uma tarefa, enquanto executam outra, indesejada • Zumbis DDoS / BOTs – Abrem o computador para processar por terceiros • Spyware e Adware – Originalmente, suportavam o desenvolvimento de programas • Pranks – “Implicam” com o usuário
Vetores de infecção • Exploits • Mídias removíveis (Pen Drives, HD Externos) • Compartilhamentos na rede • Redes externas (conexões com redes de outras empresas) • Redes 3G • VPNs • Funcionários insatisfeitos • Falta de perícia do usuário (clicar no anexo...)
Usuário “Clicador Feliz” Acho que tenho que clicar em “sim”!
Incidentes no Brasil Incidentes # Casos Malware 5 • Na maioria dos casos de Erro Humano 14 Falhas em dispositivos 7 contaminações que observamos Outros 4 em nossos clientes existia uma solução de antivírus instalada na rede que foi infectada. • Esta solução não foi capaz de detectar e impedir o Figura: Incidentes em sistemas de alastramento da infecção por automação no Brasil (TI Safe Knowledge toda a rede. Base)
Demonstração de infecção em planta química
Ataques por vírus a uma indústria química Utilizando a plataforma TSSS, serão apresentados dois ataques em sequência através de infecção por vírus: 1)No primeiro ataque a visibilidade da IHM será cortada e o operador não conseguirá mais receber dados do campo. 2)No segundo ataque a programação dos set points das bombas hidráulicas será alterada pelo vírus provocando o transbordamento do tanque químico.
Objetivo do trabalho
Objetivo do Trabalho • Análises de soluções de antivírus encontradas na Internet e em revistas especializadas avaliam a efetividade na prevenção de contaminação em computadores pessoais ou de redes corporativas, mas não são adequadas para serem usadas como base para a escolha de soluções para redes SCADA. • Buscando orientar melhor os nossos clientes sobre qual a melhor solução de antivírus a ser usada em uma planta de automação, resolvemos investigar de forma independente e sem nenhuma influência de qualquer fabricante, até que ponto as soluções de antivírus de mercado são eficazes na detecção e combate de ameaças. • Este trabalho apresenta uma série de testes realizados em nossos laboratórios visando medir a eficácia de cada solução de antivírus contra ataques de baixo e médio nível de complexidade utilizando ferramentas de ataque baixadas da Internet.
Metodologia utilizada
A rede virtual de testes
Metodologia dos testes A metodologia empregada para a realização dos testes obedece à sequencia de passos detalhada abaixo: a) Configuração da máquina vítima com a solução de antivírus a ser testada: A partir da máquina virtual em seu 'Estado Inicial', instalamos e configuramos a solução de antivírus a ser testada. Após a instalação, registro da licença (quando disponível) e completa atualização da base de assinaturas da solução de antivírus, foi obtido um novo snapshot da máquina chamado de 'Estado Protegido'. b) Execução de ataque: a máquina vítima em 'Estado Protegido' é submetida ao primeiro ataque da lista e são anotados os resultados. c) Restauração da máquina vítima: após o ataque ter sido testado, é restaurado o snapshot da máquina vítima em 'Estado Protegido' e o próximo ataque é realizado. Esta sequência é repetida até que todos os ataques tenham sido realizados com o antivírus em testes. Finalizados os testes para este antivírus a sequência é repetida para o próximo antivírus.
Soluções de antivírus testadas • McAfee Antivirus Plus 2012 • F-Secure Antivirus 2012 • Kaspersky Antivirus 2012 • avast! Pro Antivirus 6 • Panda Antivirus Pro 2012 • AVG Anti-Virus FREE 2012 • Trend Titanium Maximum • Sophos Anti-Virus 7 Security 2012 • Microsoft Security Essentials • Norton Antivirus 2012 • E-SET NOD32 Antivirus 5 Todos os softwares de antivírus testados (excetuando-se os gratuitos) foram obtidos a partir dos websites de seus fabricantes em suas versões para avaliação em versões 32 bits e em idioma inglês. Todos foram instalados na opção 'Recomendada'.
Ataques realizados
Descrição dos ataques As amostras de malware utilizadas nos testes foram em parte geradas pelo Metasploit Framework através da árvore oficial Subversion (SVN), parte injetada por vetores web, parte utilizada de injetores de código open source e parte fabricada internamente pela equipe de segurança SCADA da TI Safe. As 16 amostras de malware utilizadas nos testes foram as seguintes: 1)“EICAR”: Arquivo de testes de Antivírus EICAR.. 2)“Metasploit EXE Default Template (no encryption)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template de binário padrão, sem criptografia de payload.
Descrição dos ataques 3) “Metasploit EXE Default Template (shikata_ga_nai)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template de binário padrão e criptografia de payload shikata_ga_nai. 4) “Metasploit EXE Notepad Template (no encryption)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template do Bloco de Notas (notepad.exe) original do Windows 7 Turco, sem criptografia de payload.
Descrição dos ataques 5) “Metasploit EXE Notepad Template (shikata_ga_nai)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template do Bloco de Notas (notepad.exe) original do Windows 7 Turco e criptografia de payload shikata_ga_nai. 6) “Metasploit EXE SkypePortable Template (shikata_ga_nai)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template do instalador do Skype Portable (SkypePortable_online.paf.exe), com criptografia de payload shikata_ga_nai. 7) “Metasploit LOOP-VBS Default Template (no encryption)”: Script VBS gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF), sem criptografia de payload.
Descrição dos ataques 8) “Metasploit LOOP-VBS Default Template (shikata_ga_nai)”: Script VBS gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF), com criptografia de payload. 9) “Shellcodexec Default w/ VBS launcher”: Injetor de código ShellcodeExec5 com launcher em VBS e payload alfanumérico gerado pelo MSF. O injetor de código ShellCodeExec funciona recebendo o payload alfanumérico como argumento na linha de comando. 10) “TI Safe Modded Shellcodeexec (w/ VBS launcher)”: Injetor de código ShellcodeExec modificado pela TI Safe com launcher em VBS e payload alfanumérico gerado pelo MSF.
Descrição dos ataques 11) “TI Safe Modded Shellcodeexec (Custom EXE w/ embedded payload)”: Injetor de código ShellcodeExec modificado pela TI Safe com payload alfanumérico gerado pelo MSF embutido. 12) “TI Safe Custom Payload Launcher”: Injetor de código criado em laboratório pela equipe da TI Safe com payload alfanumérico gerado pelo MSF embutido e sistema rudimentar de evasão de máquinas virtuais de softwares antivirus. 13) “Metasploit PDF (adobe_utilprintf)”: Meterpreter embutido em exploit de PDF adobe_util.printf6
Descrição dos ataques 14) “Metasploit PDF (adobe_pdf_embedded_exe)”: Meterpreter embutido em exploit de PDF adobe_pdf_embedded_exe7 15) “Metasploit PDF (adobe_pdf_embedded_exe_nojs)”: Meterpreter embutido em exploit de PDF adobe_pdf_embedded_exe_nojs8 16) “Metasploit Java Applet”: Meterpreter embutido em Java Applet via ataque Web. Utilizamos o SET (Social Engineering Toolkit) para gerar um ataque web clonando um website existente. A descrição técnica completa e o as-built de todos os ataques poderá ser obtida a partir do trabalho técnico que faz parte dos anais do congresso.
Resultados dos testes
Matriz de resultados Soluções de Antivirus Testadas McAfee Antivirus Plus Kaspersky Antivirus Panda Antivirus Pro Trend Titanium AVG Anti-Virus FREE Microsoft Security Ataques Executados Norton Antivirus 2012 F-Secure Antivirus 2012 avast! Pro Antivirus 6 Sophos Anti-Virus 7 E-SET NOD32 Antivirus 5 2012 2012 2012 Maximum Security 2012 Essentials 1 EICAR EICAR test file EICAR-Test-File EICAR-AV-TEST-FILE Eicar_test_file EICAR Test String Trojan.Generic.6567028 EICAR Test-NOT virus!!! EICAR_Test EICAR-AV-Test DOS/EICAR_Test_File Eicar test file Metasploit EXE Default Template (no a variant of Win32/Rozena.AA 2 Swrort.f Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/EncPk-ACE Trojan.Win32/Swrort.A encryption) trojan Metasploit EXE Default Template a variant of Win32/Rozena.AH 3 Swrort.d Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Metasploit EXE Notepad Template (no a variant of Win32/Rozena.AA 4 Swrort.f Trojan.Win32.Generic Trj/Genetic.gen - - Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A encryption) trojan Metasploit EXE Notepad Template a variant of Win32/Rozena.AH 5 Swrort.d Trojan.Win32.Generic Trj/Genetic.gen - - Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Metasploit EXE SkypePortable Template a variant of Win32/Rozena.AH 6 Swrort.d Trojan.Win32.Generic - - - Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Metasploit LOOP-VBS Default Template a variant of Win32/Rozena.AA 7 Swrort.f Trojan.Win32.Generic Script Blocked TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A (no encryption) trojan Metasploit LOOP-VBS Default Template a variant of Win32/Rozena.AH 8 Swrort.f Trojan.Win32.Generic Script Blocked TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Trojan.Win32.Genome Win32/ShellcodeRunner.A 9 Shellcodexec Default w/ VBS launcher Generic.tfr!i Trj/CI.A - Trojan.Gen Trojan.Generic.6567028 Win32:Malware-gen Trojan Generic22.KPM Mal/Generic.L - .vrrg trojan TI Safe Modded Shellcodeexec (w/ VBS 10 - - Script Blocked - - - - - - - - launcher) TI Safe Modded Shellcodeexec (Custom 11 - - - - - Backdoor.Shell.AC - Trojan Generic22.SND - Trojan.Win32/Swrort.A - EXE w/ embedded payload) 12 TI Safe Custom Payload Launcher - - - - - - - - Mal/FakeAV-FS - - Bloodhound.Exploit.21 13 Metasploit PDF (adobe_utilprintf) Exploit.PDF.bk.gen Exploit.JS.Pdfka.cil - HEUR_PDFEXP.B Exploit.PDF-JS.Gen JS:Pdfka-gen Script/Exploit Troj/PDFJs-B Trojan.Win32/Swrort.A JS/Exploit.Pdfka.NOO trojan 3 Metasploit PDF 14 Swrort.f Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Bloodhound.PDF.24 Exploit.PDF-Dropper.Gen Win32:SwPatch Exploit.PDF Mal/Swrort-C Trojan.Win32/Swrort.A PDF/Exploit.Pidief.PFW trojan (adobe_pdf_embedded_exe) Metasploit PDF 15 Swrort.f Trojan.Win32.Generic Suspicious File TROJ_PIDIEF.SMEO Bloodhound.PDF.24 Exploit.PDF-Dropper.Gen PDF:Launchr-C Exploit Mal/Swrort-C Trojan.Win32/Swrort.A PDF/Exploit.Pidief.PFT trojan (adobe_pdf_embedded_exe_nojs) 16 Metasploit Java Applet - - - - - - - - - - -
Análise de resultados A partir da análise da matriz de resultados foi possível observar que: •A grande maioria das detecções foi baseada em heurística. •A grande maioria das soluções de antivírus não foi capaz de detectar a ameaça na memória. •Apenas duas soluções reagiram por comportamento. •Nenhuma solução que conseguiu detectar um ataque foi capaz de pará-lo. •Nenhuma das soluções conseguiu a nota máxima. •Nenhuma das soluções conseguiu detectar mais de uma amostra de malware criada em laboratório pela equipe da TI Safe (ataques 10,11 e 12). •Em termos de heurística, há soluções comerciais que tiveram desempenho inferior a soluções gratuitas e outras que tiveram desempenho equivalente. •Todos os candidatos falharam em prevenir o ataque pelo applet Java (ataque 16).
Infecções e detecções por tipo de Malware
Taxas de detecção e de infecção
Ranking das soluções testadas # Produto Score F-Secure Antivírus 2012 1 13 Sophos Antivírus 7 McAfee Antivírus Plus 2012 Kaspersky Antivírus 2012 2 avast! Pro Antivírus 6 12 Microsoft Security Essentials E-SET NOD32 Antivírus 5 3 Panda Antivírus Pro 2012 11 Norton Antivírus 2012 4 9 AVG Antivírus FREE 2012 5 Trend Titanium Maximum Security 8
Conclusão
Conclusão • Nossos testes mostraram que quando o malware é um pouco mais sofisticado ou explora vulnerabilidades Windows desconhecidas (zero- day), os antivírus de mercado são muito pouco eficientes para a proteção. • Podemos afirmar que nenhuma solução de antivírus de mercado é capaz de fornecer completa proteção às redes de automação e levam as empresas a terem uma “falsa sensação de segurança”. • Soluções de antivírus são recomendáveis, mas não fornecem toda a segurança necessária em sistemas de controle de uma planta de automação. É necessário o uso de controles complementares.
Conclusão • Recomendamos as seguintes práticas de segurança em complemento ao uso do antivírus: – Segmentar a rede de automação segundo o que recomenda a norma ANSI/ISA-99 em seu modelo de zonas e conduítes. Na entrada de cada zona de segurança deve haver equipamento de segurança de borda como Firewalls e sistemas de detecção e prevenção de intrusões (IDPSs) com assinaturas contra ataques SCADA. – Revisão periódica da configuração das regras dos firewalls que protegem a rede de automação orientada pelas melhores práticas do mercado. – O Rígido controle sobre qualquer dispositivo que seja conectado à rede SCADA (laptops de terceiros, mídias removíveis, modems e outros) e a inspeção profunda de novos programas antes de eles serem instalados pode aumentar e muito o nível de segurança e evitar infecções. – Não permitir o uso de e-mail e acesso à web de dentro da rede de automação e, na medida do possível, atualizar os patches de segurança dos computadores mais críticos.
Conclusão • Além da prevenção as empresas devem estar preparadas para o pior e possuir um plano de contingência para o caso de tudo dar errado e a planta de automação ser infectada. • É essencial ter ferramentas de backup automatizado instaladas além de redundância nos servidores críticos da rede de automação. • Nossa experiência mostra que o processo de desinfecção de uma rede de automação contaminada é bastante oneroso, complexo e depende da colaboração dos fabricantes para o sucesso, o que torna o processo lento. • Incentivamos a comunidade internacional a criar um guia de boas práticas para a desinfecção de plantas de automação que possa servir como linha base para orientar as empresas que estejam passando por este problema a retomar o controle sobre seus sistemas de controle e supervisão de uma forma planejada e preferencialmente rápida.
Treinamento e conscientização
Formação em segurança de automação industrial • Aulas ministradas nas instalações da TI Safe ou na • Baseada na norma ANSI/ISA-99 empresa (mínimo de 10 alunos) • Escopo: • Alunos recebem material didático em formato digital • Introdução às redes Industriais e SCADA • Formação com 20h de duração • Infraestruturas Críticas e Cyber-terrorismo • Instrutor membro da ISA Internacional e integrante do • Normas para segurança em redes industriais comitê da norma ANSI/ISA-99, com anos de • Introdução à análise de riscos experiência em segurança de automação industrial • Análise de riscos em redes industriais • Objetiva formar profissionais de TI e TA: • Malware em redes industriais e ICS Apresenta, de forma teórica e prática, • Desinfecção de redes industriais contaminadas aplicações reais da segurança de acordo com o por Malware CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99 • Uso de firewalls e filtros na segurança de redes industriais Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas • Uso de Criptografia em redes industriais empresas brasileiras • Segurança no acesso remoto à redes • Calendário com próximas turmas disponível em industriais http://www.tisafe.com/solucoes/treinamentos/ • Implementando o CSMS (ANSI/ISA-99) na prática
Dúvidas? Marcelo.branquinho@tisafe.com Jan.seidl@tisafe.com (21) 2173-1159 / (11) 3040-8656 Twitter: @tisafe Skype: ti-safe

Recomendados

White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?TI Safe
 
2ª Unidade Antivirus
2ª Unidade Antivirus2ª Unidade Antivirus
2ª Unidade AntivirusCleiton Cunha
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsArthur Paixão
 
Trabalho de área de projecto
Trabalho de área de projectoTrabalho de área de projecto
Trabalho de área de projectoDália Pereira
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
virus
virusvirus
virusscorpiontruck
 
Seguranca computacional pessoal
Seguranca computacional pessoalSeguranca computacional pessoal
Seguranca computacional pessoalAndre Peres
 
Virus em Hw
Virus em HwVirus em Hw
Virus em HwEduardo Bregaida
 

Recomendados

White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?White Paper - Antivirus é eficiente para a proteção de redes industriais?
White Paper - Antivirus é eficiente para a proteção de redes industriais?TI Safe
 
2ª Unidade Antivirus
2ª Unidade Antivirus2ª Unidade Antivirus
2ª Unidade AntivirusCleiton Cunha
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsArthur Paixão
 
Trabalho de área de projecto
Trabalho de área de projectoTrabalho de área de projecto
Trabalho de área de projectoDália Pereira
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
virus
virusvirus
virusscorpiontruck
 
Seguranca computacional pessoal
Seguranca computacional pessoalSeguranca computacional pessoal
Seguranca computacional pessoalAndre Peres
 
Virus em Hw
Virus em HwVirus em Hw
Virus em HwEduardo Bregaida
 
Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec Brasil
 
Eduardo Tavares Maio
Eduardo Tavares MaioEduardo Tavares Maio
Eduardo Tavares MaioNelson Sousa
 
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...Marcus Botacin
 
Impress
ImpressImpress
ImpressNeide Ferreira
 
Virus
VirusVirus
Virustiago alves
 
Sistemas Operacionais 14 segurança
Sistemas Operacionais 14 segurançaSistemas Operacionais 14 segurança
Sistemas Operacionais 14 segurançaMauro Duarte
 
Home hacking
Home hackingHome hacking
Home hackingFestival Software Livre
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malwareMarcelo Souza
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho
[CLASS 2014] Palestra Técnica - Marcelo Branquinho[CLASS 2014] Palestra Técnica - Marcelo Branquinho
[CLASS 2014] Palestra Técnica - Marcelo BranquinhoTI Safe
 
Realtime Linux
Realtime LinuxRealtime Linux
Realtime Linuxarmeniocardoso
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresEuler Neto
 
Parametrizacao de-reles-da-sel
Parametrizacao de-reles-da-selParametrizacao de-reles-da-sel
Parametrizacao de-reles-da-selfpfsousa
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Clavis Segurança da Informação
 
Comissionamento de Subestacoes
Comissionamento de SubestacoesComissionamento de Subestacoes
Comissionamento de SubestacoesMarcelo Rodrigues Soares
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Clavis Segurança da Informação
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...SlideShare
 
Antivirus 1A REDES
Antivirus 1A REDESAntivirus 1A REDES
Antivirus 1A REDESMateus Cardoso
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 
Anti-vírus
Anti-vírusAnti-vírus
Anti-vírusL_10 :)
 

Mais conteúdo relacionado

Mais procurados

Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec Brasil
 
Eduardo Tavares Maio
Eduardo Tavares MaioEduardo Tavares Maio
Eduardo Tavares MaioNelson Sousa
 
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...Marcus Botacin
 
Sistemas Operacionais 14 segurança
Sistemas Operacionais 14 segurançaSistemas Operacionais 14 segurança
Sistemas Operacionais 14 segurançaMauro Duarte
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malwareMarcelo Souza
 

Mais procurados (8)

Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: Endpoint
 
Eduardo Tavares Maio
Eduardo Tavares MaioEduardo Tavares Maio
Eduardo Tavares Maio
 
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
Monitoração de comportamento de malware em sistemas operacionais Windows NT 6...
 
Impress
ImpressImpress
Impress
 
Virus
VirusVirus
Virus
 
Sistemas Operacionais 14 segurança
Sistemas Operacionais 14 segurançaSistemas Operacionais 14 segurança
Sistemas Operacionais 14 segurança
 
Home hacking
Home hackingHome hacking
Home hacking
 
Princípios básicos da análise de malware
Princípios básicos da análise de malwarePrincípios básicos da análise de malware
Princípios básicos da análise de malware
 

Destaque

[CLASS 2014] Palestra Técnica - Marcelo Branquinho
[CLASS 2014] Palestra Técnica - Marcelo Branquinho[CLASS 2014] Palestra Técnica - Marcelo Branquinho
[CLASS 2014] Palestra Técnica - Marcelo BranquinhoTI Safe
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresEuler Neto
 
Parametrizacao de-reles-da-sel
Parametrizacao de-reles-da-selParametrizacao de-reles-da-sel
Parametrizacao de-reles-da-selfpfsousa
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Clavis Segurança da Informação
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Clavis Segurança da Informação
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...SlideShare
 

Destaque (8)

[CLASS 2014] Palestra Técnica - Marcelo Branquinho
[CLASS 2014] Palestra Técnica - Marcelo Branquinho[CLASS 2014] Palestra Técnica - Marcelo Branquinho
[CLASS 2014] Palestra Técnica - Marcelo Branquinho
 
Realtime Linux
Realtime LinuxRealtime Linux
Realtime Linux
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de Computadores
 
Parametrizacao de-reles-da-sel
Parametrizacao de-reles-da-selParametrizacao de-reles-da-sel
Parametrizacao de-reles-da-sel
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
 
Comissionamento de Subestacoes
Comissionamento de SubestacoesComissionamento de Subestacoes
Comissionamento de Subestacoes
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010
 
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...
 

Semelhante a Antivírus e proteção de redes industriais

Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 
Anti-vírus
Anti-vírusAnti-vírus
Anti-vírusL_10 :)
 
06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptx06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptxEduardoHernandes9
 
Manutenção Aula 21 vírus e malware
Manutenção Aula 21 vírus e malwareManutenção Aula 21 vírus e malware
Manutenção Aula 21 vírus e malwareMarcos Basilio
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)leolemes
 
Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança
Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança
Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança Hermom2
 
Aula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoAula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoLucasMansueto
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Trabalho sobre Software malicioso
Trabalho sobre Software maliciosoTrabalho sobre Software malicioso
Trabalho sobre Software maliciosojhonatan calefi
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 

Semelhante a Antivírus e proteção de redes industriais (20)

Antivirus 1A REDES
Antivirus 1A REDESAntivirus 1A REDES
Antivirus 1A REDES
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-seguranca
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013
 
Anti-vírus
Anti-vírusAnti-vírus
Anti-vírus
 
Anti-Vírus
Anti-VírusAnti-Vírus
Anti-Vírus
 
06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptx06 FTI Vírus de Computador.pptx
06 FTI Vírus de Computador.pptx
 
Anti Virus
Anti VirusAnti Virus
Anti Virus
 
Manutenção Aula 21 vírus e malware
Manutenção Aula 21 vírus e malwareManutenção Aula 21 vírus e malware
Manutenção Aula 21 vírus e malware
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)
 
Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança
Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança
Ciber - Capitulo 2 - Parte 1 - Vulnerabilidades de Segurança
 
Seguranca Cap09 Tanenbaum
Seguranca Cap09 TanenbaumSeguranca Cap09 Tanenbaum
Seguranca Cap09 Tanenbaum
 
Anti vírus
Anti vírusAnti vírus
Anti vírus
 
Aula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoAula 5 - Segurança da informação
Aula 5 - Segurança da informação
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
 
Trabalho sobre Software malicioso
Trabalho sobre Software maliciosoTrabalho sobre Software malicioso
Trabalho sobre Software malicioso
 
Softwares Maliciosos
Softwares Maliciosos Softwares Maliciosos
Softwares Maliciosos
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 

Mais de TI Safe

CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...TI Safe
 
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...TI Safe
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...TI Safe
 
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...TI Safe
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...TI Safe
 
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...TI Safe
 
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...TI Safe
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...TI Safe
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...TI Safe
 
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...TI Safe
 
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...TI Safe
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...TI Safe
 
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...TI Safe
 
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...TI Safe
 
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...TI Safe
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...TI Safe
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...TI Safe
 
Retrospectiva
RetrospectivaRetrospectiva
RetrospectivaTI Safe
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1TI Safe
 

Mais de TI Safe (20)

CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
 
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
 
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
 
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
 
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
 
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
 
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
 
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
 
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
 
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
 
Retrospectiva
RetrospectivaRetrospectiva
Retrospectiva
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
 

Antivírus e proteção de redes industriais

  • 1. ANTIVIRUS É EFICIENTE PARA A PROTEÇÃO DE REDES INDUSTRIAIS? Marcelo Branquinho & Jan Seidl Novembro de 2012
  • 2. Apresentação Marcelo Branquinho Jan Seidl (marcelo.branquinho@tisafe.com) (jan.seidl@tisafe.com) • Diretor executivo da TI Safe. • Coordenador técnico da TI Safe. Membro sênior da ISA e Especialista em análise de riscos integrante do comitê da norma em sistemas de automação e ANSI/ISA-99. Pesquisador em pesquisador na área de tecnologias de segurança para engenharia de Malware. proteção de infraestruturas críticas.
  • 3. Siga a TI Safe nas Redes Sociais • Twitter: @tisafe • SlideShare: www.slideshare.net/tisafe • Facebook: www.facebook.com/tisafe • Flickr: http://www.flickr.com/photos/tisafe
  • 4. Não precisa copiar... http://www.slideshare.net/tisafe
  • 5. Agenda • Malware em redes de automação • Demonstração de infecção em planta química • Objetivo do trabalho • Metodologia utilizada • Ataques desenvolvidos • Resultados dos testes • Conclusão • Treinamento e conscientização
  • 6. Malware em redes de automação
  • 7. Malware • Malware, ou software malicioso, é um termo relativamente novo para o mundo da tecnologia da informação. • Agrupa todo software ou programa criado com a intenção de abrigar funções para: – penetrar em sistemas – quebrar regras de segurança – servir de base para operações ilegais e/ou prejudiciais
  • 8. Exemplos de Malware • Virus – Funções de cópia e dispersão • Worms – Propagam independente das ações do usuário • Trojans – Fingem executar uma tarefa, enquanto executam outra, indesejada • Zumbis DDoS / BOTs – Abrem o computador para processar por terceiros • Spyware e Adware – Originalmente, suportavam o desenvolvimento de programas • Pranks – “Implicam” com o usuário
  • 9. Vetores de infecção • Exploits • Mídias removíveis (Pen Drives, HD Externos) • Compartilhamentos na rede • Redes externas (conexões com redes de outras empresas) • Redes 3G • VPNs • Funcionários insatisfeitos • Falta de perícia do usuário (clicar no anexo...)
  • 10. Usuário “Clicador Feliz” Acho que tenho que clicar em “sim”!
  • 11. Incidentes no Brasil Incidentes # Casos Malware 5 • Na maioria dos casos de Erro Humano 14 Falhas em dispositivos 7 contaminações que observamos Outros 4 em nossos clientes existia uma solução de antivírus instalada na rede que foi infectada. • Esta solução não foi capaz de detectar e impedir o Figura: Incidentes em sistemas de alastramento da infecção por automação no Brasil (TI Safe Knowledge toda a rede. Base)
  • 12. Demonstração de infecção em planta química
  • 13. Ataques por vírus a uma indústria química Utilizando a plataforma TSSS, serão apresentados dois ataques em sequência através de infecção por vírus: 1)No primeiro ataque a visibilidade da IHM será cortada e o operador não conseguirá mais receber dados do campo. 2)No segundo ataque a programação dos set points das bombas hidráulicas será alterada pelo vírus provocando o transbordamento do tanque químico.
  • 15. Objetivo do Trabalho • Análises de soluções de antivírus encontradas na Internet e em revistas especializadas avaliam a efetividade na prevenção de contaminação em computadores pessoais ou de redes corporativas, mas não são adequadas para serem usadas como base para a escolha de soluções para redes SCADA. • Buscando orientar melhor os nossos clientes sobre qual a melhor solução de antivírus a ser usada em uma planta de automação, resolvemos investigar de forma independente e sem nenhuma influência de qualquer fabricante, até que ponto as soluções de antivírus de mercado são eficazes na detecção e combate de ameaças. • Este trabalho apresenta uma série de testes realizados em nossos laboratórios visando medir a eficácia de cada solução de antivírus contra ataques de baixo e médio nível de complexidade utilizando ferramentas de ataque baixadas da Internet.
  • 17. A rede virtual de testes
  • 18. Metodologia dos testes A metodologia empregada para a realização dos testes obedece à sequencia de passos detalhada abaixo: a) Configuração da máquina vítima com a solução de antivírus a ser testada: A partir da máquina virtual em seu 'Estado Inicial', instalamos e configuramos a solução de antivírus a ser testada. Após a instalação, registro da licença (quando disponível) e completa atualização da base de assinaturas da solução de antivírus, foi obtido um novo snapshot da máquina chamado de 'Estado Protegido'. b) Execução de ataque: a máquina vítima em 'Estado Protegido' é submetida ao primeiro ataque da lista e são anotados os resultados. c) Restauração da máquina vítima: após o ataque ter sido testado, é restaurado o snapshot da máquina vítima em 'Estado Protegido' e o próximo ataque é realizado. Esta sequência é repetida até que todos os ataques tenham sido realizados com o antivírus em testes. Finalizados os testes para este antivírus a sequência é repetida para o próximo antivírus.
  • 19. Soluções de antivírus testadas • McAfee Antivirus Plus 2012 • F-Secure Antivirus 2012 • Kaspersky Antivirus 2012 • avast! Pro Antivirus 6 • Panda Antivirus Pro 2012 • AVG Anti-Virus FREE 2012 • Trend Titanium Maximum • Sophos Anti-Virus 7 Security 2012 • Microsoft Security Essentials • Norton Antivirus 2012 • E-SET NOD32 Antivirus 5 Todos os softwares de antivírus testados (excetuando-se os gratuitos) foram obtidos a partir dos websites de seus fabricantes em suas versões para avaliação em versões 32 bits e em idioma inglês. Todos foram instalados na opção 'Recomendada'.
  • 21. Descrição dos ataques As amostras de malware utilizadas nos testes foram em parte geradas pelo Metasploit Framework através da árvore oficial Subversion (SVN), parte injetada por vetores web, parte utilizada de injetores de código open source e parte fabricada internamente pela equipe de segurança SCADA da TI Safe. As 16 amostras de malware utilizadas nos testes foram as seguintes: 1)“EICAR”: Arquivo de testes de Antivírus EICAR.. 2)“Metasploit EXE Default Template (no encryption)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template de binário padrão, sem criptografia de payload.
  • 22. Descrição dos ataques 3) “Metasploit EXE Default Template (shikata_ga_nai)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template de binário padrão e criptografia de payload shikata_ga_nai. 4) “Metasploit EXE Notepad Template (no encryption)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template do Bloco de Notas (notepad.exe) original do Windows 7 Turco, sem criptografia de payload.
  • 23. Descrição dos ataques 5) “Metasploit EXE Notepad Template (shikata_ga_nai)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template do Bloco de Notas (notepad.exe) original do Windows 7 Turco e criptografia de payload shikata_ga_nai. 6) “Metasploit EXE SkypePortable Template (shikata_ga_nai)”: Binário gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF) com template do instalador do Skype Portable (SkypePortable_online.paf.exe), com criptografia de payload shikata_ga_nai. 7) “Metasploit LOOP-VBS Default Template (no encryption)”: Script VBS gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF), sem criptografia de payload.
  • 24. Descrição dos ataques 8) “Metasploit LOOP-VBS Default Template (shikata_ga_nai)”: Script VBS gerado pelo Metasploit Framework com payload Meterpreter (interpretador nativo do MSF), com criptografia de payload. 9) “Shellcodexec Default w/ VBS launcher”: Injetor de código ShellcodeExec5 com launcher em VBS e payload alfanumérico gerado pelo MSF. O injetor de código ShellCodeExec funciona recebendo o payload alfanumérico como argumento na linha de comando. 10) “TI Safe Modded Shellcodeexec (w/ VBS launcher)”: Injetor de código ShellcodeExec modificado pela TI Safe com launcher em VBS e payload alfanumérico gerado pelo MSF.
  • 25. Descrição dos ataques 11) “TI Safe Modded Shellcodeexec (Custom EXE w/ embedded payload)”: Injetor de código ShellcodeExec modificado pela TI Safe com payload alfanumérico gerado pelo MSF embutido. 12) “TI Safe Custom Payload Launcher”: Injetor de código criado em laboratório pela equipe da TI Safe com payload alfanumérico gerado pelo MSF embutido e sistema rudimentar de evasão de máquinas virtuais de softwares antivirus. 13) “Metasploit PDF (adobe_utilprintf)”: Meterpreter embutido em exploit de PDF adobe_util.printf6
  • 26. Descrição dos ataques 14) “Metasploit PDF (adobe_pdf_embedded_exe)”: Meterpreter embutido em exploit de PDF adobe_pdf_embedded_exe7 15) “Metasploit PDF (adobe_pdf_embedded_exe_nojs)”: Meterpreter embutido em exploit de PDF adobe_pdf_embedded_exe_nojs8 16) “Metasploit Java Applet”: Meterpreter embutido em Java Applet via ataque Web. Utilizamos o SET (Social Engineering Toolkit) para gerar um ataque web clonando um website existente. A descrição técnica completa e o as-built de todos os ataques poderá ser obtida a partir do trabalho técnico que faz parte dos anais do congresso.
  • 28. Matriz de resultados Soluções de Antivirus Testadas McAfee Antivirus Plus Kaspersky Antivirus Panda Antivirus Pro Trend Titanium AVG Anti-Virus FREE Microsoft Security Ataques Executados Norton Antivirus 2012 F-Secure Antivirus 2012 avast! Pro Antivirus 6 Sophos Anti-Virus 7 E-SET NOD32 Antivirus 5 2012 2012 2012 Maximum Security 2012 Essentials 1 EICAR EICAR test file EICAR-Test-File EICAR-AV-TEST-FILE Eicar_test_file EICAR Test String Trojan.Generic.6567028 EICAR Test-NOT virus!!! EICAR_Test EICAR-AV-Test DOS/EICAR_Test_File Eicar test file Metasploit EXE Default Template (no a variant of Win32/Rozena.AA 2 Swrort.f Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/EncPk-ACE Trojan.Win32/Swrort.A encryption) trojan Metasploit EXE Default Template a variant of Win32/Rozena.AH 3 Swrort.d Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Metasploit EXE Notepad Template (no a variant of Win32/Rozena.AA 4 Swrort.f Trojan.Win32.Generic Trj/Genetic.gen - - Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A encryption) trojan Metasploit EXE Notepad Template a variant of Win32/Rozena.AH 5 Swrort.d Trojan.Win32.Generic Trj/Genetic.gen - - Backdoor.Shell.AC Win32:SwPatch Win32/Heur Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Metasploit EXE SkypePortable Template a variant of Win32/Rozena.AH 6 Swrort.d Trojan.Win32.Generic - - - Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Metasploit LOOP-VBS Default Template a variant of Win32/Rozena.AA 7 Swrort.f Trojan.Win32.Generic Script Blocked TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A (no encryption) trojan Metasploit LOOP-VBS Default Template a variant of Win32/Rozena.AH 8 Swrort.f Trojan.Win32.Generic Script Blocked TROJ_SWRORT.SME Packed.Generic.347 Backdoor.Shell.AC Win32:SwPatch - Mal/Swrort-C Trojan.Win32/Swrort.A (shikata_ga_nai) trojan Trojan.Win32.Genome Win32/ShellcodeRunner.A 9 Shellcodexec Default w/ VBS launcher Generic.tfr!i Trj/CI.A - Trojan.Gen Trojan.Generic.6567028 Win32:Malware-gen Trojan Generic22.KPM Mal/Generic.L - .vrrg trojan TI Safe Modded Shellcodeexec (w/ VBS 10 - - Script Blocked - - - - - - - - launcher) TI Safe Modded Shellcodeexec (Custom 11 - - - - - Backdoor.Shell.AC - Trojan Generic22.SND - Trojan.Win32/Swrort.A - EXE w/ embedded payload) 12 TI Safe Custom Payload Launcher - - - - - - - - Mal/FakeAV-FS - - Bloodhound.Exploit.21 13 Metasploit PDF (adobe_utilprintf) Exploit.PDF.bk.gen Exploit.JS.Pdfka.cil - HEUR_PDFEXP.B Exploit.PDF-JS.Gen JS:Pdfka-gen Script/Exploit Troj/PDFJs-B Trojan.Win32/Swrort.A JS/Exploit.Pdfka.NOO trojan 3 Metasploit PDF 14 Swrort.f Trojan.Win32.Generic Suspicious File TROJ_SWRORT.SME Bloodhound.PDF.24 Exploit.PDF-Dropper.Gen Win32:SwPatch Exploit.PDF Mal/Swrort-C Trojan.Win32/Swrort.A PDF/Exploit.Pidief.PFW trojan (adobe_pdf_embedded_exe) Metasploit PDF 15 Swrort.f Trojan.Win32.Generic Suspicious File TROJ_PIDIEF.SMEO Bloodhound.PDF.24 Exploit.PDF-Dropper.Gen PDF:Launchr-C Exploit Mal/Swrort-C Trojan.Win32/Swrort.A PDF/Exploit.Pidief.PFT trojan (adobe_pdf_embedded_exe_nojs) 16 Metasploit Java Applet - - - - - - - - - - -
  • 29. Análise de resultados A partir da análise da matriz de resultados foi possível observar que: •A grande maioria das detecções foi baseada em heurística. •A grande maioria das soluções de antivírus não foi capaz de detectar a ameaça na memória. •Apenas duas soluções reagiram por comportamento. •Nenhuma solução que conseguiu detectar um ataque foi capaz de pará-lo. •Nenhuma das soluções conseguiu a nota máxima. •Nenhuma das soluções conseguiu detectar mais de uma amostra de malware criada em laboratório pela equipe da TI Safe (ataques 10,11 e 12). •Em termos de heurística, há soluções comerciais que tiveram desempenho inferior a soluções gratuitas e outras que tiveram desempenho equivalente. •Todos os candidatos falharam em prevenir o ataque pelo applet Java (ataque 16).
  • 30. Infecções e detecções por tipo de Malware
  • 31. Taxas de detecção e de infecção
  • 32. Ranking das soluções testadas # Produto Score F-Secure Antivírus 2012 1 13 Sophos Antivírus 7 McAfee Antivírus Plus 2012 Kaspersky Antivírus 2012 2 avast! Pro Antivírus 6 12 Microsoft Security Essentials E-SET NOD32 Antivírus 5 3 Panda Antivírus Pro 2012 11 Norton Antivírus 2012 4 9 AVG Antivírus FREE 2012 5 Trend Titanium Maximum Security 8
  • 34. Conclusão • Nossos testes mostraram que quando o malware é um pouco mais sofisticado ou explora vulnerabilidades Windows desconhecidas (zero- day), os antivírus de mercado são muito pouco eficientes para a proteção. • Podemos afirmar que nenhuma solução de antivírus de mercado é capaz de fornecer completa proteção às redes de automação e levam as empresas a terem uma “falsa sensação de segurança”. • Soluções de antivírus são recomendáveis, mas não fornecem toda a segurança necessária em sistemas de controle de uma planta de automação. É necessário o uso de controles complementares.
  • 35. Conclusão • Recomendamos as seguintes práticas de segurança em complemento ao uso do antivírus: – Segmentar a rede de automação segundo o que recomenda a norma ANSI/ISA-99 em seu modelo de zonas e conduítes. Na entrada de cada zona de segurança deve haver equipamento de segurança de borda como Firewalls e sistemas de detecção e prevenção de intrusões (IDPSs) com assinaturas contra ataques SCADA. – Revisão periódica da configuração das regras dos firewalls que protegem a rede de automação orientada pelas melhores práticas do mercado. – O Rígido controle sobre qualquer dispositivo que seja conectado à rede SCADA (laptops de terceiros, mídias removíveis, modems e outros) e a inspeção profunda de novos programas antes de eles serem instalados pode aumentar e muito o nível de segurança e evitar infecções. – Não permitir o uso de e-mail e acesso à web de dentro da rede de automação e, na medida do possível, atualizar os patches de segurança dos computadores mais críticos.
  • 36. Conclusão • Além da prevenção as empresas devem estar preparadas para o pior e possuir um plano de contingência para o caso de tudo dar errado e a planta de automação ser infectada. • É essencial ter ferramentas de backup automatizado instaladas além de redundância nos servidores críticos da rede de automação. • Nossa experiência mostra que o processo de desinfecção de uma rede de automação contaminada é bastante oneroso, complexo e depende da colaboração dos fabricantes para o sucesso, o que torna o processo lento. • Incentivamos a comunidade internacional a criar um guia de boas práticas para a desinfecção de plantas de automação que possa servir como linha base para orientar as empresas que estejam passando por este problema a retomar o controle sobre seus sistemas de controle e supervisão de uma forma planejada e preferencialmente rápida.
  • 38. Formação em segurança de automação industrial • Aulas ministradas nas instalações da TI Safe ou na • Baseada na norma ANSI/ISA-99 empresa (mínimo de 10 alunos) • Escopo: • Alunos recebem material didático em formato digital • Introdução às redes Industriais e SCADA • Formação com 20h de duração • Infraestruturas Críticas e Cyber-terrorismo • Instrutor membro da ISA Internacional e integrante do • Normas para segurança em redes industriais comitê da norma ANSI/ISA-99, com anos de • Introdução à análise de riscos experiência em segurança de automação industrial • Análise de riscos em redes industriais • Objetiva formar profissionais de TI e TA: • Malware em redes industriais e ICS Apresenta, de forma teórica e prática, • Desinfecção de redes industriais contaminadas aplicações reais da segurança de acordo com o por Malware CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99 • Uso de firewalls e filtros na segurança de redes industriais Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas • Uso de Criptografia em redes industriais empresas brasileiras • Segurança no acesso remoto à redes • Calendário com próximas turmas disponível em industriais http://www.tisafe.com/solucoes/treinamentos/ • Implementando o CSMS (ANSI/ISA-99) na prática
  • 39. Dúvidas? Marcelo.branquinho@tisafe.com Jan.seidl@tisafe.com (21) 2173-1159 / (11) 3040-8656 Twitter: @tisafe Skype: ti-safe