O documento discute gerenciamento de vulnerabilidades em sistemas de controle industriais. Apresenta objetivos como mapeamento de redes e monitoramento contínuo para identificar vulnerabilidades e realizar auditorias de segurança. Também aborda problemas como riscos de falhas e danos causados por testes, e apresenta estudos de caso reais de incidentes em infraestruturas críticas.

1. Gerenciamento de
Vulnerabilidades em Sistemas
de Controle Industriais
Clavis Segurança da Informação

2. Características Clavis
• Empresa especializada em Segurança Ofensiva.
• Atuante nas áreas de Consultoria, Treinamento e
Pesquisa.
• Forte atuação em setores como Comércio
Eletrônico, Bancário, Forças Armadas e
Infraestruturas Críticas.

3. • Sócio Diretor Técnico da Clavis Segurança da Informação
• Teste de Invasão em Redes, Sistemas e Aplicações
rafael@clavis.com.br
@rafaelsferreira
rafaelsoaresferreira
Apresentação

4. Agenda
• Objetivos
• Problemas
• Estudos de Caso
• Soluções
• Conclusões

5. ”Industrial control system (ICS) is a general term that
encompasses several types of control systems, including
supervisory control and data acquisition (SCADA) systems,
distributed control systems (DCS), and other control system
configurations such as skid-mounted Programmable Logic
Controllers (PLC) often found in the industrial sectors and
critical infrastructures.”
Fonte: NIST Special Publication 800-82
Sistemas de Controle Industriais

6. • Mapeamento de Redes e de Dispositivos
• Monitoramento pró-ativo e contínuo da rede
• Auditoria de redes e gestão automatizada de vulnerabilidades
Gerenciamento de Vulnerabilidades - Objetivos

7. • Possibilidade de ocorrência de efeitos colaterais de alto
impacto em testes de experimentações por varreduras
• Indisponibilidade, comportamento anômalo e falhas de
operação
• Ações incorretas podem causar perdas financeiras, danos
físicos a equipamentos, ferimentos e até mortes
Gerenciamento de Vulnerabilidades - Problemas

8. Dutos de Gás – União Soviética - Junho de 1982
• Operação da CIA em plena Guerra Fria.
• Espionagem e sabotagem de software exportados.
• Maior explosão não-nuclear da história.
• Mais informações em:
http://www.telegraph.co.uk/news/worldnews/northamerica/
usa/1455559/CIA-plot-led-to-huge-blast-in-Siberian-gas-
pipeline.html
Estudos de Caso

9. Controle de Tráfego Aéreo - Inglaterra – Março de 1997
• Acesso via modem dial-up à rede de telefonia.
• Serviços críticos como torre de controle, policiamento,
brigada de incêndio, meteorologia, logística, iluminação
da pista e até impressão, ficaram incomunicáveis.
• Mais informações em:
http://www.cnn.com/TECH/computing/9803/18/juvenile.hac
ker/ index.html
Estudos de Caso

10. Fornecimento de Gasolina - Estados Unidos - 1999
• Falha no sistema de monitoramento e controle da pressão
nos dutos
• Vazamento de 900 mil litros de gasolina
• Além dos danos patrimoniais, 3 mortes e 8 feridos
• Mais informações em:
http://www.ntsb.gov/news/2002/021008.htm
Estudos de Caso

11. Tratamendo de Lixo – Austrália – Abril de 2000
• Software malicioso instalado previamente por funcionário
• Retaliação motivada por projeto reprovado
• Aproximadamente 1000 litros de lixo despejados em rios e
parques
• Mais informações em:
http://www.theregister.co.uk/2001/10/31/
hacker_jailed_for_revenge_sewage/
Estudos de Caso

12. Usina Nuclear – Estados Unidos – Janeiro de 2003
• Software malicioso infectou servidores de banco de dados
(Microsoft SQL Server) na rede privada da usina
• Monitoramento ficou fora do ar por pelo menos 5 horas
• Os maiores danos foram causados pela grande
quantidade de tráfego gerado pelo worm Slammer
• Mais informações em:
http://www.securityfocus.com/news/6767
Estudos de Caso

13. Sistema de Sinalização – Estados Unidos – Agosto de 2003
• Software malicioso infectou milhões de computadores
• Uma série de composições de trem ficaram
impossibilitadas de trafegar devido a falhas na sinalização
• Mais informações em:
http://www.cbsnews.com/stories/2003/08/21/tech/main569
418.shtml
http://www.informationweek.com/story/showArticle.jhtml?
articleID=13100807
Estudos de Caso

14. Centrífugas Nucleares – Irã – Julho de 2010
• Utilização de software desenvolvido especificamente para
sistemas de controle e automação -> Stuxnet Worm.
• Envolvia desde técnicas clássicas de contaminação até
exploração de vulnerabilidades do tipo zero day
• Mais informações em:
http://www.seginfo.com.br/o-codigo-fonte-do-stuxnet-esta-
disponivel- online/
Estudos de Caso

15. Shodan
• Sinais e Cameras de Trânsito
• Filtros de Piscina
• Equipamentos Hospitalares, Hoteleiros e Domésticos
• Teleférico
• Lava a jato
• Mais infomrações em:
http://money.cnn.com/gallery/technology/security/2013/05/
01/shodan-most-dangerous-internet-searches/9.html
Estudos de Caso

16. Octopus
Gerenciamento de Eventos e
Informações de Segurança
Clavis Segurança da Informação

17. Gerenciamento de Eventos e Informações de
Segurança

18. BART
Baselines, Análises de Risco
e Testes de Segurança
Clavis Segurança da Informação

19. Gestão de Vulnerabilidades

20. Leitura Recomendada

21. • Se algo está errado, você deve ser o primeiro a saber.
• Quanto mais rápida a resposta, melhor!
• Não existe sistema inviolável, é preciso monitorar de
maneira contínua.
• Prepare-se pra tudo!
Conclusões

22. rafael@clavis.com.br
rafaelsoaresferreira
Rafael Soares Ferreira
Muito Obrigado!

23. Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
As iniciativas da ISA
Distrito 4 para a
padronização da segurança
cibernética das redes de
automação brasileiras
Carlos Mandolesi
Vice Presidente - ISA América do Sul
CLASS 2016 – São Paulo
20/Maio/2016

24. Quem é a ISA -
International Society of Automation ?
 Associação sem fins lucrativos
 Fundada em 1945 nos EUA
 Atualmente possui 40.000 membros em todo o
mundo
 Dividida no mundo em:
 14 Distritos (Regiões)
 154 Seções Profissionais
 169 Seções Estudantis
 323 Seções no Total
 Site: www.isa.org

25. VISÃO
VISÃO:
Trabalhar em parceria com os seus membros, clientes e
especialistas no assunto para disseminar informações de
automação em todo o mundo, com qualidade e de forma
imparcial.

26. Sede da ISA nos EUA
• Research Triangle Park (RTP), Durhan / Carolina do Norte / EUA

27. PRESENÇA MUNDIAL DA ISA

28. PRESENÇA NA AMÉRICA DO SUL
Venezuela
Bolivia
Par.
Brasil
Argentina
Chile
Colombia
Eq.
Peru
Trinidad & Tobago
Student Section
20 - Universidad del Cauca
21 - Campos dos Goytacazes School
22 - CEFET - Cubatao - SP
23 - CEFET – Leopoldina - MG
24 - Universidad Federal de Itajuba
25 - Escuela Politecnica Nacional Ecuad
26 - Esc.Politecnica Universidade de SP
27 - Escola Senai de Santos
28 - Institute Tecnologico Sulcre de Quito
29 - Seção Estudanil Gaúcha
30 - Senai-Prof Zerbini
31 - Instituto TECSUP
32 - Sertaozinho Estudantil
33 - Universidade Católica de Minas Gerais
34 - Universidad de los Andes
35 - Universidad Fracisco de Paula Santander
36 - Universidad Nacional Del Callao
37 - Universidad Ricardo Palma
02
09
21
12
17
16
23
27
15
26
04
30
07
13
01
05
37
10
31
08
06
20
34 18
14
22
3303
Seções Estudantis
Seções Profissionais
Escritório da ISA Distrito4
Regular Sections
01 - Argentina
02 - Bahia
03 - Belo Horizonte
04 - Campinas
05 - Chile
06 - Colombia
07 - Curitiba
08 – Ecuador
09 - Espírito Santo
10 - Peru
11 - Recife
12- Rio de Janeiro
13 - Rio Grande do Sul
14 - San Fernando, Trinidad
15 – São Paulo
16 - Sertaozinho
17 - Vale do Paraíba
18- Venezuela Metropolitan
25
24
28
29
11
19
32
36
35

29. Atividades
Realizadas
pela ISA

30. Treinamentos

31. Treinamentos - Laboratórios

32. Certificação Profissional
Certified Automation
Professional® (CAP®) Program
ISA Certified Control Systems
Technician® (CCST®) Program

33. Publicações
• Livros da ISA
– Dezenas de títulos escritos por especialistas da indústria
– Baseados em implementações e uso da tecnologia
– Membros da ISA possuem desconto
• Artigos Técnicos da ISA
– Centenas de artigos publicados nos eventos da ISA
– Download gratuito para membros da ISA
• ISA Transactions
– Jornal internacional para publicações de pesquisa e
desenvolvimento em medição e automação
– Publicação bimestral, indexada pela Elsevier
– Acesso online gratuito para membros
• Base de Dados da ISA
– Diretório online mundial com empresas e fornecedores de
automação

34. • Revista InTech e InTech+
– Publicação bimestral
gratuita para membros
– Soluções práticas para os
desafios da indústria
– Edição impressa ou online
– Intech+ traz conteúdo
diferenciado em aplicativo
para iPad / celulares
Uma pesquisa apontou a
Revista Intech como sendo a
mais lida entre os profissionais
de automação.
Revista Intech

35. • Visualização on-line gratuita de mais
de 150 normas, recomendações
práticas e relatórios técnicos da ISA
– 162 Normas Publicadas
– 133 Comitês e Subgrupos
– Mais de 3.500 profissionais envolvidos
– De mais de 40 países
– Representando mais de 2000
empresas e organizações
• Benefícios da Normatização:
– Simplifica processos
– Melhora segurança e confiabilidade
– Aumento da eficiência e produtividade
Desenvolvimento de Normas Técnicas

36. Alguns exemplos dos
Normas da ISA mais usadas
• Symbols and Diagrams (ISA5): P&IDs, Tagging, Loop Diagrams, Functional
Specifications, etc.
• Electrical Equipment for Hazardous Locations (ISA12)
• Alarm Systems (ISA18)
• Instrumentation Specification Forms (ISA20)
• Electrical Signal Compatibility (ISA50)
• Control Valves (ISA75)
• Functional Safety (ISA84)
• Batch Control (ISA88, formerly “S88”)
• Enterprise Control System Integration (ISA95)
• Valve Actuators (ISA96)
• Personnel Certification, CCST & CAP certifications (ISA98)
• Industrial Automation & Control System Security (ISA99)
• Wireless Systems for Automation (ISA100)
• Procedural Automation (ISA106)
A serem publicadas em breve:
• Human Machine Interfaces (ISA101)
• Commissioning, Loop Checks, FAT and SAT Testing (ISA105)

37. Nosso Site
www.isa.org

38. Como a ISA pode
ajudar sua empresa
na área de
Cyber Segurança?

39. ISA líder mundial em Cybersegurança
 A área de Cybersegurança é um dos focos da ISA
 ISA é Parceira da Casa Branca e do NIST
 A norma ISA 99 foi adotada como padrão mundial através
da IEC 62443
 Oferece treinamentos e certificação de profissionais
 Certificação de equipamentos através do selo ISASecure.

40. Normas sobre Cybersegurança
A ISA 99/IEC 62443
 A ISA 99 é uma Norma
elaborada pela ISA para
estabelecer segurança da
informação em redes
industriais.
 Adotada pelo IEC 62443
 É um conjunto de boas
práticas para minimizar o
risco de redes de
sistemas de controle
sofrerem Cyber-ataques.

41. Normas sobre Cybersegurança
A ISA 99/IEC 62443
 A ISA 99 é dividida em 4 partes

42. Norma sobre Cybersegurança
ISA 99/IEC 62443
 Divisão em Zonas e uso de Conduítes

43. Evento na ISA Campinas
Realização Eventos sobre
Cybersegurança abertos e in-company

44. Painel de Discussões entre Palestrantes
Realização Eventos sobre
Cybersegurança abertos e in-company

45. Conscientização dos Profissionais de Automação
Realização Eventos sobre
Cybersegurança abertos e in-company

46. Conscientização dos Profissionais de Automação
Realização Eventos sobre
Cybersegurança abertos e in-company

47. Feira Internacional da Mecânica 2016
Realização Eventos sobre
Cybersegurança abertos e in-company

48. Realização de Visitas Técnicas

49. Treinamento em Cybersegurança
TRAINING COURSES
• Introduction to Industrial Automation Security and the ISA99 Standards (IC32C)
• Using the ANSI/ISA99 Standard to Secure Your Control System (IC32)
• Industrial Networking and Security (TS12)
• Advanced Industrial Cybersecurity (TS13)
• Assessing the Cybersecurity of New or Existing IACS Systems (IC33)
• Advanced Industrial Networking and Cybersecurity (TS20)
• IACS Cybersecurity Design & Implementation (IC34)
• IACS Cybersecurity Operations & Maintenance (IC37)
ONLINE TRAINING
• Cybersecurity for Automation, Control, and SCADA Systems (IC32E)

50. Certificação em Cybersegurança
ISA/IEC 62443 Cybersecurity Certificate Programs:
- Certificate 1: ISA/IEC 62443 Cybersecurity Fundamentals Specialist
- Certificate 2: ISA/IEC 62443 Cybersecurity Risk Assessment Specialist
- Certificate 3: ISA/IEC 62443 Cybersecurity Design Specialist
- Certificate 4: ISA/IEC 62443 Cybersecurity Maintenance Specialist
- ISA/IEC 62443 Cybersecurity Expert: Individuals who achieve
Certificates 1, 2, 3, and 4 are designated as ISA/IEC 62443 Cybersecurity
Experts.

51. Webinars

52. Livros sobre Cybesgurança

53. Artigos sobre o tema na Revista
Controle & Instrumentação

54. Recursos disponibilizados pela ISA
www.isa.org/cybersecuritybrochure

55. White Paper
“What Executives need to know …”

56. White Paper
“The Industrial Cybersecurity Problem”

57.  Grupo Técnico da ISAAmérica do Sul
 Cooperação com o Comitê do Standard ISA99 nos EUA
 Formado por membros do Brasil, Argentina, Colombia e Peru
 Participam profissionais da indústria, fornecedores e integradores
 Realiza reuniões mensais online em Português e Espanhol
Para participar entre em contato com a ISA.
Grupo Técnico ISA
sobre Cybersegurança e ISA 99
Objetivos do Grupo:
Estudar, promover e criar cultura sobre Cybersegurança
industrial na América do Sul

58. Dados de Contato:
Carlos Mandolesi
+55 (11) 98609-3771
mandolesic
br.linkedin.com/in/mandolesi
carlos.mandolesi@sigmma.com.br
www.facebook.com/ISAD4SouthAmerica