CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)

© 2007-2018 – TI Safe Segurança da Informação
Todos os direitos reservados www.tisafe.com
ESTABELECENDO PROTEÇÃO IMEDIATA CONTRA ATAQUES
DIRECIONADOS E RANSOMWARE EM REDES DE AUTOMAÇÃO
Marcelo Branquinho, Maio de 2018

• Estudos de caso de Ransomware atingindo infraestruturas críticas:
• Energia
• Águas e Resíduos
• Manufatura, Indústria Farmacêutica
• Saúde
• Algumas Datas importantes
• Ataques Globais em 2017....e os próximos
• Aconteceu comigo: minha rede parou por Ransomware...
• Anatomia do ataque global por Ransomware de 2017 – Análise da linha do tempo do Wannacry
• Momentos de ação do gestor
• Medidas de segurança que poderiam ter evitado a infecção (antes)
• O ataque global em curso (durante)
• Rede infectada, e agora? (depois)
• Proteção Imediata TI Safe
• Dúvidas
Agenda

Este é o Bob

E este é o alimentador inteligente do Bob

E se...
• Um ataque cibernético ou um
Malware fosse capaz de alterar
a programação do
alimentador inteligente
cancelando o fornecimento
de comida em um período em
que não haja ninguém em casa
para dar comida ao Bob?

E se ao invés da comida do Bob fosse a água
que bebemos?
Fonte: https://www.welivesecurity.com/2017/02/15/ransomware-poison-water-supply/
• Prova de conceito de
envenenamento de água por
ataque ransomware
• Pesquisadores descreveram
como um ataque Ransomware
poderia manipular sistemas de
controle de empresas de
águas e envenenar a água,
colocando cidades inteiras
como reféns.
• Já foram documentados
ataques por Ransomware que
paralisaram o bombeamento
de água de cidades por horas.

Ou a Energia?
• Ataque contra a BWL, concessionária de energia elétrica e
águas em Lansing, Michigan, EUA (abril de 2016)
• Um funcionário abriu um anexo de e-mail que continha
Ransomware.
• O ataque bloqueou os sistemas de controle da empresa,
interrompeu o fornecimento a seus clientes e forçou a empresa
a desligar linhas telefônicas de atendimento ao cliente.
• Levou cerca de uma semana para que a empresa se
recuperasse da interrupção, além do pagamento de um resgate
de U$ 25.000 para hackers.
• A BWL teve que limpar 800 máquinas, além de atualizações de
segurança cibernética e indenizações a clientes, com um
prejuízo total na case dos U$ 2,4 milhões.
• E se acontecer o mesmo em uma concessionária de
energia pública Brasileira, quem vai pagar o resgate?
Pregão Eletrônico??
BWL: Empresa de energia e águas em Lansing,
Michigan, EUA.
Fonte:
https://www.lansingstatejournal.com/story/news/lo
cal/2016/09/22/bwl-ransomware-attack-costly-
details-emerging/90826176/

Ou o hospital em um momento de urgência?
• O Centro Médico Presbiteriano de Hollywood pagou
resgate de U$ 17 mil em bitcoins a um hacker que
assumiu o controle dos sistemas de computadores do
hospital e só devolveria o acesso quando o dinheiro
fosse pago, disse o presidente-executivo do hospital.
• O ataque ao hospital ocorreu em 5/2/16, quando um
ataque Ransomware infectou a rede da instituição,
impedindo que funcionários pudessem trabalhar.
• O hospital alertou as autoridades e conseguiu recuperar
o controle de todos os sistemas de computadores até
segunda-feira seguinte. O atendimento aos pacientes
nunca foi comprometido, nem os registros hospitalares.
• Um ataque por Ransomware a um hospital pode
interromper cirurgias, desligar equipamentos vitais
e colocar vidas em risco, além do prejuízo financeiro
causado.
Hollywood Presbyterian Medical Center: Hospital
em Los Angeles, California, EUA
Fonte:
http://www.latimes.com/business/technology/la-
me-ln-hollywood-hospital-bitcoin-20160217-
story.html

Quem se lembra desta data?
12/05/2017

Aconteceu comigo: minha rede parou por
Ransomware..
Azar ou
Negligência?

Aconteceu comigo: minha rede parou por
Ransomware..
Resposta: Negligência
Os ataques por
Ransomware são totalmente
previsíveis e o pior poderia
ter sido evitado em vários
momentos e de várias
formas!

Anatomia do ataque global por Ransomware em 2017
Análise da linha do tempo do Wannacry
• O ataque ocorreu no dia 12 de Maio de 2017
Fonte: ftp://ftp.registro.br/pub/gts/gts29/02-Nominum-WannaCry.pdf

Momentos de ação do gestor
• Existem 3 momentos em que o gestor pode agir contra ataques por
Ransomware. São eles:
• Antes – Executando gestão de riscos e medidas preventivas para não
ter sua rede infectada.
• Durante – Responder rapidamente ao ataque e não sofrer suas
consequências.
• Depois – Tentar recuperar a rede da infecção e voltar à atividade
normal.

Gestão de Riscos - Medidas de segurança que
poderiam ter evitado a infecção (Antes)
• Treinamento e capacitação: o pessoal da
TA precisa ser treinado para reconhecer e
evitar os vetores de ataque por
Ransomware.
• Implantação de Políticas e
Procedimentos: os usuários devem saber
quais atividades são permitidas na rede.
Eles devem saber como reconhecer
atividades suspeitas e para quem elas
deverão ser relatadas.
Implementar uma estratégia de defesa em
camadas para retardar o adversário e
detectar a sua presença em tempo para
reagir à intrusão.

Como implementar defesa em camadas sem parar a
rede de automação?
• Para implementar o modelo de defesa em camadas são necessários mecanismos de proteção e
sistemas de detecção próprios para redes industriais, além de um sistema de inteligência de
segurança que seja capaz de alertar e bloquear as ameaças em tempo real.
• Mas como implementar novas soluções de segurança em uma rede de automação que prima pela
disponibilidade e que quase nunca pode parar?
• A TI Safe possui metodologia própria desenvolvida ao longo de 10 anos para implementar
soluções de segurança cibernética industrial sem afetar a disponibilidade dos sistemas de
controle:

Etapas do
Análise
de Riscos
Plano de Segurança
Cibernética Industrial
Soluções
de Proteção
Monitoramento e
Inteligência Industrial

Análise de Riscos
Análise
de Riscos
Plano de Segurança
Soluções
de Proteção
Monitoramento e
Análise
Estática
Análise
Dinâmica
Auditoria de segurança
física e lógica da rede de
automação baseada nas
normas IEC 62443, NIST
SP 800-82 e ISO 27001.
Coleta de dados em
camada de aplicação de
modo não intrusivo e em
tempo real.

Plano de Segurança Cibernética Industrial
Análise
de Riscos
Plano de Segurança
Soluções
de Proteção
Monitoramento e
Diagnóstico Objetivos Projetos Cronograma
Documento que sintetiza a
análise de riscos,
estabelece objetivos de
segurança e estrutura
Project charters para a
implantação de controles de
segurança industrial.

Soluções de Proteção
Análise
de Riscos
Plano de Segurança
Soluções
de Proteção
Monitoramento e
Governança e
Monitoramento
Segurança
de Borda
Proteção da
Rede Industrial
Controle
de Malware
Segurança
de Dados
Academia
TI Safe

O Ataque em curso (Durante)
• Centros de inteligência em segurança cibernética já alertavam para o ataque horas antes dele
chegar ao Brasil.
• Uma rápida resposta ao ataque global em curso poderia ter evitado a infecção.
• No caso de indústrias, um time de resposta a incidentes trabalhando dentro de um SOC (interno ou
terceirizado) e conectado a centros de inteligência globais seria o ideal para esta rápida resposta.
Uma resposta
proativa de um
SOC poderia
ter evitado
infecção

Resposta rápida a incidentes com monitoramento e
inteligência industrial: ICS-SOC
O ICS-SOC da TI Safe integra funções
de monitoramento de segurança
cibernética associados aos processos
industriais.
É uma estrutura preparada equipada
para antecipar, prevenir, defender e
responder aos ataques cibernéticos
contra infraestruturas críticas.
Monitoramento
contínuo
Gestão de
Riscos
Inteligência

Níveis de Serviço do ICS-SOC
A TI Safe oferece cinco níveis de serviço, com capacidades cumulativas, divididos em duas
categorias:
Monitoramento Inteligência Industrial
1 2 3 4 5
Gestão de
equipamentos
Relatórios de
segurança
Coleta de logs
Monitoramento de
ocorrências
Correlação de
eventos
Monitoramento
industrial
Resposta a
incidentes
Gestão de
vulnerabilidades
Inteligência Artificial
Investigação digital
8x5
Atendimento 24x7

ICS-SOC - Arquitetura de Segurança Adaptativa
ICS-SOC
Central de Comando, Controle,
Monitoramento e Inteligência
Firewall
ICS-SOCInfraestrutura Cliente
Rede
operativa
CMI-I2
Firewall TI Safe
(VPN e Análise
Dinâmica)
Servidor de
logs
Consoles de
Soluções de
Proteção
SIEM
Monitor de
processos
Industriais
Gestão de
Vulnerabilidades
Inteligência
Artificial
Infraestrutura Cliente
Monitoramento
Rede
operativa
CMI-M
Firewall TI Safe
(VPN e Análise
Dinâmica)
Servidor de
logs
Consoles de
Soluções de
Proteção
A CMI (Central de Monitoramento Interno) consolida e
integra todas as informações de segurança cibernética
necessárias para o trabalho do ICS-SOC.
Em duas versões:M (Monitoramento) e
I2 (Inteligência Industrial), as CMIs são configuradas
de acordo com o nível de serviço contratado.

Rede infectada, e agora? (depois)
• Se todas as estratégias de segurança preventiva falharem, é fundamental considerar
todas as possíveis respostas a um ataque Ransomware. São elas:
• Acionar o plano de recuperação de desastres e a equipe preparada para executá-lo,
caso sua empresa tenha um: a equipe deverá seguir o procedimento para caso de ataque
por Ransomware detalhado no plano de recuperação de desastres. A equipe deverá também
notificar as autoridades e órgãos reguladores pois estes ataques são crimes prescritos em lei.
• Tentar recuperar as informações e aplicações perdidas: o backup e recuperação de dados são
a única solução efetiva para reverter ataques por ransomware. Ter backups atualizados de
informações e sistemas de controle é vital em casos de perdas de dados críticos. Neste
caso, bastará realizar uma recuperação destes backups e implementar controles de segurança
de borda e controle de malware para voltar à atividade normal da empresa.

Rede infectada, e agora? (depois)
• Uma Solução Hibrida: inclui esforços simultâneos para levantar o dinheiro para o pagamento
do enquanto a equipe interna tenta restaurar os sistemas a partir de backups confiáveis.
Organizações optam por esta estratégia quando o tempo de inatividade do sistema é ainda mais
crítico que as consequências do pagamento do resgate.
• Em último caso, pagar o resgate: uma solução desesperada e que não possui garantias de êxito
pois:
• O atacante pode receber o pagamento e deliberadamente não fazer nada, ou
• O atacante pode receber o pagamento e enviar um aplicativo para decifragem dos dados que
não funcione (com bug), ou
• O atacante pode receber o pagamento e enviar um aplicativo para decifragem dos dados que
funcione, mas que também instale um rootkit na máquina abrindo as portas para um novo
ataque. Este é o pior caso pois a empresa passa a ter a sensação que o problema está
resolvido quando na verdade ele está só começando...

Não há mais espaço para a negligência
• Após incidentes gravíssimos como o vazamento da barragem de Mariana (MG) e do vazamento de
petróleo no Golfo do México, a legislação ficou mais dura contra gestores negligentes.
• Lei 10406 de 2002, Artigo 1.016: os administradores respondem solidariamente perante a
sociedade e aos terceiros prejudicados, por culpa no desempenho de suas funções, seja por
imperícia, imprudência ou negligência.
• A empresa possui direito de regresso. Portanto pode acionar judicialmente o executivo responsável
pelo setor / área envolvido na origem do incidente de segurança.
• As Infraestruturas críticas globais devem investir imediatamente em soluções de segurança
cibernética e em aumentar o nível de maturidade de suas defesas cibernéticas atuais, de
acordo com as boas práticas de normas internacionais de segurança cibernética como a
ANSI/ISA-99 e IEC-62433, ou serão vítimas de novos e poderosos ataques Ransomware que
estão por vir.

Proteção Imediata
1. ANÁLISE
DE RISCOS
2. PSCI 3. SOLUÇÕES
DE
PROTEÇÃO
4. MONITORAMENTO
E INTELIGÊNCIA
INDUSTRIAL
GOVERNANÇA E
MONITORAMENTO
SEGURANÇA DE
BORDA
PROTEÇÃO DA
REDE INDUSTRIAL
CONTROLE
DE MALWARE
SEGURANÇA
DE DADOS
ACADEMIA
TI SAFE
MONITORAMENTO
CONTÍNUO
INTELIGÊNCIA
INDUSTRIAL
GESTÃO
DE
RISCOS
• Política de segurança de TA
• Revisão da arquitetura de
segurança da rede de TA
• Revisão da configuração de
soluções de segurança existentes
• Monitoramento de logs via ICS-
SOC
• Revisão de práticas de
continuidade de negócios
• Capacitação de gestores e equipe
técnica de automação
• Planejamento de treinamento e
conscientização corporativos

Obrigado!
Rio de Janeiro
Estrada do Pau Ferro 480, B1 Loja R
+55 (21) 3576-4861
São Paulo
Rua Dr. Guilherme Bannitz, 126, 2º andar, cj 21
+55 (11) 3040-8656
Salvador
Av. Tancredo Neves 450, 16º andar
+55 (71) 3340-0633
@tisafe

CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)

Mais conteúdo relacionado

Mais procurados

Semelhante a CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)

Mais de TI Safe

CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)