Este documento discute os riscos cibernéticos para a indústria, incluindo ataques ciberfísicos, ransomware e vulnerabilidades nos sistemas de controle industrial. Apresenta estatísticas sobre ataques na América Latina e explica por que as empresas continuam sendo alvo, devido à falta de planejamento de segurança e gestão de patches. Recomenda proteger ambientes industriais com soluções de segurança desenvolvidas especificamente para esses sistemas.

1. Luciano Lima
Head of Presales LatAm
Luciano.lima@Kaspersky.com
CISSP / CSAE / CASP / CEH / CySA+ / Security+ / Cloud Essentials / MCSE Security
INSEGURANÇA NO MUNDO INDUSTRIAL

2. 2
AGENDA
• Ataques Ciber-Físico
• Ataques de Ransomware na Indústria
• Vulnerabilidades no ICS
• Estatísticas de ameaças No ICS
• Por que as empresas continuam sendo atacadas?
• Como podemos proteger o ambiente industrial?

3. ATAQUES CIBER-FÍSICO

4. ,
ATAQUE CIBER-FÍSICO: ÓLEO E GÁS
QUANDO: DEZEMBRO 2012
ONDE: SAUDI ARABIA,
SAUDI ARAMCO.
TEVE 35.000 COMPUTADORES
AFETADOS COM WIPE DOS DISCOS
RÍGIDOS.
IMPACTO: 17 DIAS DE ATRASO NA PRODUÇÃO.
4

5. QUANDO: DEZEMBRO 2015
ONDE: UCRÂNIA
FÍSICO: interruptores de célula de potência
operados, controle remoto desabilitado para
operadores, falta de energia em 7 subestações de
110kV e 23 de 35 kV.
IMPACTO: FALTA DE ENERGIA EM 5 REGIÕES POR 6 HORAS.
BlackEnergy 2.0
CYBER: BlackEnergy 2.0 abriu as portas para esse
tipo de ataque.
ATAQUE CIBER-FÍSICO: ENERGIA
5

6. QUANDO: DEZEMBRO 2016
ONDE: UCRÂNIA, KIEV
SUBESTAÇÃO DIGITAL «NORTE».
IMPACTO: FALTA DE ENERGIA POR 1 HORA E 15 MINUTOS.
A História se repete: CRASHOVERRIDE
CYBER: CRASHOVERRIDE / Plataforma de
malware Industroyer, plugins para IEC
101/104, 61850 e OPC, segundo (após
STUXNET) caso de malware projetado para
atingir sistemas físicos.
ATAQUE CIBER-FÍSICO: ENERGIA
6

7. ATAQUES DE
RANSOMWARE
NA INDÚSTRIA

8. ATAQUES DE RANSOMWARE : OS MAIS POPULARES NO ICS
8

9. ATAQUES DE RANSOMWARE: WANNACRY NA INDÚSTRIA
9

10. 12 a 15 de maio de 2017, mais de 150 países foram atacados.
EMPRESAS QUE REPORTARAM:
• Renault, França
• Gas Natural, Espanha
• NHS, Reino Unido
• Computadores em unidades policiais na Índia
• Empresas em Mumbai, Hyderabad, Bengaluru,
Chennai
• Escolas, Universidades,
• Ferrovias,
• Etc…
ATAQUES DE RANSOMWARE: WANNACRY NA INDÚSTRIA
10

11. OT vs IT+ =
Impacto: Ataques DoS dentro de redes ICS.
ATAQUES DE RANSOMWARE: WANNACRY NA INDÚSTRIA
11

12. VULNERABILIDADES
NO ICS

13. OT vs IT
SCADA vs OS vs OUTRAS VULNERABILIDADES
STUXNET
• CVE-2010-2729, MS10-061
(Print Spooler, RCE,
privilege escalation)
• CVE-2010-2568 , MS10-046
(LNK Vulnerability, RCE)
• MS08-067 (RPC in network
folders)
• MS10-73 (win32.sys
privilege escalation)
ENERGETIC BEAR
• CVE-2011-0611
(Adobe Flash exploit)
• CVE-2013-2465, CVE-
2013-1347, CVE-
2012-1723 (Java 6,/7
IE 7/8, Watering hole
on web sites)
WANNACRY
• CVE-2017-0144,
MS17-010 (SMB v.1)
BLACKENERGY2
• CVE-2014-4114,
MS14-060
(Windows OLE RCE
Exploit)
• CVE-2014-0751 (GE
Simplicity, Directory
traversal
vulnerability)
13

14. ESTATÍSTICAS DE
AMEAÇAS NO ICS

15. ESTATÍSTICAS DE AMEAÇAS NO ICS
0% 10% 20% 30% 40% 50% 60%
Peru
Ecuador
Mexico
Chile
Argentina
Brazil
Colombia
2017-H1
2017-H2
% ICS ataques na região LatAm (2017 H1 vs. H2)
15

16. ESTATÍSTICAS DE AMEAÇAS NO ICS
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
Internet Removable
devices
Email
clients
Windows
restore
Archive
(backups)
Network
folders
Cloud
folders
LatAm
2017-H1 2017-H2
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
Internet Removable
devices
Email
clients
Windows
restore
Archive
(backups)
Network
folders
Cloud
folders
Brasil
2017-H1 2017-H2
Fontes de infecção: Brasil em comparação com a região LatAm (2017 H1 vs. H2)
16

17. Fontes de infecção: clientes de e-mail.
ESTATÍSTICAS DE AMEAÇAS NO ICS
17

18. Fontes de infecção: mídia removível.
ESTATÍSTICAS DE AMEAÇAS NO ICS
18

19. √
KASPERSKY ICS CERT
Ataques em 2017 – em todo o mundo.19

20. POR QUE AS EMPRESAS
CONTINUAM SENDO
ATACADAS?

21. ,
POR QUE AS EMPRESAS CONTINUAM SENDO ATACADAS?
21
• Não é feito um Planejamento de Segurança;
• Não é feito Campanhas de Conscientização de Segurança;
• Não existe um processo de Gerenciamento de Patches;
• Não é realizado uma Análise de Vulnerabilidades;
• Não é realizado Assessment no Ambiente Industrial;
• Não é aplicado a proteção em camadas.

22. COMO PODEMOS
PROTEGER O AMBIENTE
INDUSTRIAL?

23. ,
COMO PODEMOS PROTEGER O AMBIENTE INDUSTRIAL?
23
• Colocar em prática todos os itens mencionados anteriormente e também:
• Utilizar uma proteção de endpoint desenvolvida exclusivamente para proteção
de sistemas industriais.
• Utilizar aplicações baseado em “Whitelisting” para evitar que softwares
maliciosos e programas não autorizados sejam executados;
• Utilizar um sistema anti-cryptor para combater ataques de ransomware e de
novas variantes;
• Utilizar um firewall baseado em host para bloquear ataques que possam vir
pela rede para afetar seus sistemas industriais;
• Utilizar um Controle de Dispositivo para impedir que dispositivos removíveis e
redes wireless não autorizadas sejam utilizadas;
• Utilizar um sistema para verificar a integridade do PLC;

24. Acreditamos que todos - desde
usuários de computadores domésticos
até grandes corporações e governos -
devam ser capazes de proteger o que
mais lhes interessa. Quer se trate de
privacidade, família, finanças, clientes,
sucesso comercial ou infraestrutura
crítica.
Nossa missão é garantir tudo isso.
Eugene Kaspersky
Chairman and CEO, Kaspersky Lab
Eugene Kaspersky
Chairman and CEO, Kaspersky Lab