O documento discute ameaças cibernéticas a sistemas de controle industrial e infraestruturas críticas, destacando vários ataques históricos, como Stuxnet e BlackEnergy. Também aborda vetores de ataque, perfis de atacantes, e a importância de proteger as redes operacionais e de controle através de segmentação, prevenção de ameaças e soluções de segurança especializadas.

1. ©2016 Check Point Software Technologies Ltd. 1©2016 Check Point Software Technologies Ltd.©2016 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
Prevenindo a cadeia de ataques para
Sistemas de Controles Industriais (ICS) /
SCADA
SEGURANÇA PARA AMBIENTES DE
INFRAESTRUTURA CRITICA E
AUTOMAÇÃO INDUSTRIAL
Thiago Mourão
Security Engineer

2. Sistemas de controle industrial (ICS)/SCADA estão ao
nosso redor
… e nos confiamos neles todos os dias para nossas funções e necessidades básicas.
Automação Industrial Controle de TráfegoServiços Emergenciais
Tratamento de água Energia Transportes
[Internal Use] for Check Point employees

3. [Internal Use] for Check Point employees​
E também confiamos nas conveniências
modernas

4. ©2016 Check Point Software Technologies Ltd. 4
Fatos e Realidade
[Internal Use] for Check Point employees©2016 Check Point Software Technologies Ltd.
Jun 2014
Grupo hacker conhecido Energetic Bear cria malware direcionado para
o setor de energia e compromete website e ferramentas de fabricante
de ICS
Jun 2010
Instalação Nuclear Iraniana foi alvo de ataque cibernético chamado
Stuxnet (também conhecido como: OG – Olympic Games)
Dez 2014
Fábrica de aço Alemã foi hackeada por um ataque de Spear Phishing –
Dano enorme à fábrica

5. ©2016 Check Point Software Technologies Ltd. 5
Junho de 2010: Stuxnet
[Protected] Non-confidential content
[Internal Use] for Check Point employees
Malware se
propaga e chega a
Rede Operativa
Danos maciços
nas centrífugas
Atraso
Significativo ao
programa
nuclear
Enviado comandos
fora do range
padrão para os PLC
das centrífugas
Unidade de disco
USB infectada

6. ©2016 Check Point Software Technologies Ltd. 6
Fatos e Realidade
[Internal Use] for Check Point employees©2016 Check Point Software Technologies Ltd.
Jun 2014
Grupo hacker conhecido Energetic Bear cria malware direcionado para
o setor de energia e compromete website e ferramentas de fabricante
de ICS
Jun 2010
Instalação Nuclear Iraniana foi alvo de ataque cibernético chamado
Stuxnet (também conhecido como: OG – Olympic Games)
Dez 2014
Fábrica de aço Alemã foi hackeada por um ataque de Spear Phishing –
Dano enorme à fábrica

7. ©2016 Check Point Software Technologies Ltd. 7
Junho de 2014: Energetic Bear
[Internal Use] for Check Point employees​
Malware
infectou website e
software dos
fabricantes
Espionadas
centenas de
redes de
operação em 9
países
Software
infectado foi
usando para
realizar upgrade
no ambiente
SCADA
Ataque de Spear
phishing para
fabricantes de ICS

8. ©2016 Check Point Software Technologies Ltd. 8
Fatos e Realidade
[Internal Use] for Check Point employees©2016 Check Point Software Technologies Ltd.
Jun 2014
Grupo hacker conhecido Energetic Bear cria malware direcionado para
o setor de energia e compromete website e ferramentas de fabricante
de ICS
Jun 2010
Instalação Nuclear Iraniana foi alvo de ataque cibernético chamado
Stuxnet (também conhecido como: OG – Olympic Games)
Dez 2014
Fábrica de aço Alemã foi hackeada por um ataque de Spear Phishing –
Dano enorme à fábrica

9. ©2016 Check Point Software Technologies Ltd. 9[Internal Use] for Check Point employees
Dezembro de 2014: Uma usina siderúrgica Alemã
Danos
significativo à
fábrica
Incapaz de
desligar um dos
Auto-forno
O malware
comprometeu o
sistema de
controle das
caldeiras
Ataque de Spear
phishing por
email
https://ics.sans.org/media/ICS-CPPE-case-Study-2-German-Steelworks_Facility.pdf

10. ©2016 Check Point Software Technologies Ltd. 10
Fatos e Realidade
[Internal Use] for Check Point employees©2016 Check Point Software Technologies Ltd.
Jan 2016
O memo ataque do malware BlackEnergy atinge o Sistema Elétrico da
Ucrânia
Dez 2015
Blackout em todo o oeste da Ucrânia devido ao ataque de malware
BlackEnergy Spear Phishing (E novamente em 19 de janeiro)
Mar 2016 Os hackers violaram o sistema de controle de uma empresa de água e
alteraram os níveis de produtos químicos usados para tratar a água da
torneira (Kemuri Water Company)

11. ©2016 Check Point Software Technologies Ltd. 11
Fatos e Realidade
[Internal Use] for Check Point employees​​©2016 Check Point Software Technologies Ltd.
Dez 2017 Triton Malware - Afetando S.E. Triconex Safety Controllers, que são
amplamente utilizados em infraestruturas críticas. Os atacantes
implantaram malware capaz de manipular sistemas de desligamento de
emergência
(Schneider Electric)
Jul 2017 A campanha de hackers do setor de energia teve como alvos mais de 15
empresas dos EUA
(Cyberscoop)
Jun 2017
NotPetya Ransomware atinge a empresa de distribuição de energia da
Ucrânia, a Mearsk e a infra-estrutura OT de outras empresas

12. Quem é alvo?
Fonte: ICS-CERT Responses 2013

13. Resposta à Incidentes / Coordenação de
Vulnerabilidade em 2014
ICS-CERT_Monitor_Sep2014-Feb2015
• Acesso não autorizado e exploração de
dispostivos ICS/Supervisory Control and
Data Acquisition (SCADA) com acesso a
internet
• Exploração de vulnerabilidades de dia zero
em dispositivos e software do sistema de
controle
• Infecções por malware em redes de
sistemas de controle acionados pelo ar
(air-gapped barrel)
• SQL injection via exploração de
vulnerabilidades de aplicativos da Web
• Varredura e Sondagem de Rede
• Movimento lateral entre zonas de rede
• Campanhas específicas de spear-phishing
• Sites estratégicos comprometidos
(watering hole attacks).

14. Fonte de informação – ICS-CERT

15. O que é um incidente cibernético em ICS?
• Comunicações eletrônicas entre
sistemas e / ou pessoas que
afetam Confidencialidade,
Integridade e / ou Disponibilidade
(CID)
̶ Falta de segurança
• Incidentes que aparentemente não
são mal-intencionados podem
realmente ser mal-intencionados
15

16. Resposta à Incidentes / Coordenação de
Vulnerabilidade em 2014

17. ©2016 Check Point Software Technologies Ltd. 17[Internal Use] for Check Point employees​
Dec 2014: A German Steel Mill
ISSO
PODERIA
ACONTECER
COM VOCÊ?

18. ©2016 Check Point Software Technologies Ltd. 18[Internal Use] for Check Point employees​
NÃO É UMA QUESTÃO DE
SE
E SIM UMA QUESTÃO
DE QUANDO

19. ©2016 Check Point Software Technologies Ltd. 19[Internal Use] for Check Point employees​
Ataques a usinas nucleares
“There are hundreds of attacks taking place against the
nuclear industry every day. There is this non-stop
badgering of the system by hackers who are hoping that
one day the system will crack.”
E.J. Hilbert
former FBI agent in the cybercrime
and counterterrorism field

20. ©2016 Check Point Software Technologies Ltd. 20[Internal Use] for Check Point employees​
“… we have seen a huge increase in demand from utility
companies … worried about their reliance on computer
systems … the majority of applicants were turned away
because their cyber-defenses were lacking.”
Laila Khudari
Global Underwriter for International
Cyber Risk, Kiln Syndicate, UK
source: http://www.bbc.com/news/technology-26358042
O risco cibernético impede a
cobertura de seguro

21. ©2016 Check Point Software Technologies Ltd. 21
[Restricted] ONLY for designated groups and individuals
[Internal Use] for Check Point employees​
O risco cibernético impede os
governos
“This is not theoretical.
This is something real that is impacting
our nation and those of our allies and
friends
every day.” - Admiral Mike Rogers
NSA Director
Nov 2014

22. ©2016 Check Point Software Technologies Ltd. 22
[Restricted] ONLY for designated groups and individuals
[Internal Use] for Check Point employees​
“Our National Grid is coming under cyber-attack not just
day-by-day but minute-by-minute.”
James Arbuthnot
Former Chairman of the
Defence Select Committee, UK
source: http://www.bloomberg.com/news/articles/2015-01-09/power-grid-under-cyber-attack-every-minute-sees-u-k-up-defenses
Risco cibernético impede sistemas
elétricos

23. ©2016 Check Point Software Technologies Ltd. 23
Quem são os
ATACANTES?
EXAMPLES OF
INDUSTRY ATTACKS
OVER THE
PAST YEARS
Ativistas
Operation Green Rights
Internos
Maroochy County Sewage
Adolescentes
Lodz Tram
Energetic Bear, Stuxnet
Nações
[Internal Use] for Check Point employees​​©2016 Check Point Software Technologies Ltd.

24. Quem são os responsáveis pelos ataques?
Havex/Energetic Bear
Government Actors
Maroochy Water System Attack
Disgruntled Contractor
Tram Derailing
Teenagers

25. ©2016 Check Point Software Technologies Ltd. 25
Havex/Energetic Bear
Governo/Nação
Maroochy Water System Attack
Empregado insatisfeito
Tram Derailing
Adolescentes
Quem são os responsáveis pelos ataques?

26. Por que esses ataques são possíveis?
[Internal Use] for Check Point employees​
Sistemas legados Configuração
Padrão
Pouco/Nenhum
Update
Pouco/Nenhuma
Criptografia
Políticas &
Procedimentos
Pouca/Nenhuma
Segmentação
Preocupações com
latência

27. Os dispositivos SCADA não foram
projetados para segurança e são
vulneráveis
Por que esses ataques são possíveis?
1
Programmable Logic
Controller

28. PLC Vulnerability Example
Published by Digital Bond in January 2012
Firmware
Best Config
Web
Fuzzing
Exhaustion
Undoc Features
Backdoors
Ladder Logic
N/A N/A
"x" indicates the vulnerability is present in
the system and is easily exploited
“!” indicates the vulnerability
exists but exploit is not available
“v” indicates the system lacks this
vulnerability.

29. O PLC lê entrada digital / analógica, executa um programa lógico definido (escrito em “ladder”) e grava em saída
digital / analógica.
[Restricted] for designated teams ​

30. • HMI é a interface de front-end que é usada pelos operadores para interagir com o sistema de
supervisão
• Essas interações incluem controlar e monitorar os processos de automação
[Restricted] for designated teams ​

31. Um Data Historian (também conhecido como Process Historian ou
Operational Historian) é um programa de software que registra e recupera
dados de produção e de processo por tempo; armazena as informações em um
banco de dados
[Restricted] for designated teams ​
• PI Server/System
• OPC Server
• E muito mais….

32. Os sistemas SCADA usam diferentes protocolos para se comunicar
• Modbus
• Modbus TCP
• Profitnet (Profibus)
• S7 (Step 7 Simantic Siemnes)
• BACNet
• OPC
• DNP3
• DCP1
• MMS
• IEC-60870-5-104
• IEC 60870-6 (ICCP)
• IEC 61850
• ANSI X3.28
• BBC 7200
• CDC Type 1 and 2
• Conitel
• 2020/2000/3000
• Vencomm
• Gedac 7020
• IBM3707
• Landis & Gyr 8979
• Pert
• PG&E
• QEI Micro ||
• Redac 70H
• Rockwell
• SES 91
• Tejas3 and 5
• TRW 9550
• And more…
[Restricted] for designated teams ​

33. Sistema SCADA e fornecedores de equipamentos:
• Siemens
• Honeywell
• Tecnomatix (USDATA)
• ABB
• Tibbo Systems (AggreGate SCADA/HMI)
• Schneider Electric (Wonderware, Televent Citect, Etc..)
• Survalent Technology Company (STC)
• Rockwell Automation
• Open Systems International
• Micro-Comm (SCADAVIEW CSX)
• Emerson Process Management
• Endress & Hauser
• ReLab Software
[Restricted] for designated teams ​

34. Source: Idaho
National Lab, 2011

35. [Protected] Distribution or modification is subject to approval ​
Supervisory Control and Data Acquisition (SCADA)
Control network
Data Historian

36. Os dispositivos SCADA não foram
projetados para segurança e são
vulneráveis
Dispositivos SCADA e redes são mais
acessíveis do que se parece
Por que esses ataques são possíveis?
2
1

37. As redes de TI e SCADA estão interconectadas
Levantamento de centenas de ambientes do setor de energia mostra uma média
de 11 conexões diretas e até 250 em alguns casos! (US National Cybersecurity and Communications
Integration Center, 2011)
Business Intelligence
Sistemas de Informação
Geográfica
Mercado de Energia
Sistema de Gerenciamento de
Faltas
Manutenção Remota
Backup
Billing / ERP

38. ©2016 Check Point Software Technologies Ltd. 38
Vetores de ataque atingindo a rede OT
Rede de Visitantes
Acessos
Desprotegidos
Vulnerabilidades
nos Softwares
Midia
removivel
Email de Phishing e
anexos por email
Técnicos
Remotos
[Internal Use] for Check Point employees​

39. ©2016 Check Point Software Technologies Ltd. 39
Como uma infra-estrutura crítica pode ser atacada?
[Internal Use] for Check Point employees​
• Identifique o alvo – google
• Encontre funcionários –
LinkedIn
̶ Identifique os Cargos
̶ Identifique os fornecedores da rede
de automação
• Encontre a solução do
fornecedor
̶ Procure por vulnerabilidades
conhecidas
• Selecione o vetor de ataque
̶ Spear Phishing
̶ USB
̶ Outros
• Entregue o payload malicioso
• Execute o ataque
Reconhecimento
Se Armamento + Atacando

40. ©2016 Check Point Software Technologies Ltd.
COMO PODEMOS DE FORMA
SEGURA E CONFIÁVEL
NOS PROTEGER?
[Internal Use] for Check Point employees​

41. [Internal Use] for Check Point employees​
Melhores Práticas para Proteger a Rede de OT
Proteja ambos
os Ambientes
de OT e IT
Proteja a TI com tecnologias
avançadas de prevenção contra
ameaças
Segmentação clara entre OT e IT /
Internet
Implantar tecnologias de segurança
especializadas para ICS / SCADA

42. Aparelhos robustos
para ambientes
agressivos?
Prevenção de
Ameaças para
ambientes SCADA
Controle do
Tráfego
ICS/SCADA
Soluções de Segurança
para Sistemas de Controle Industrial / SCADA
CHECK POINT’S
C Y B E R D E F E N S E
Visibilidade do
Tráfego ICS /
SCADA
[Restricted] ONLY for designated groups and individuals​

43. Visibilidade
Monitoramento de rede SCADA / ICS em tempo real
Dispositivos de
campo
Controladores (PLC/RTU)
Dados de Sensores Pressure Flow Temp. Voltage State
Analise o tráfego
da rede ICS
Rede de Controle
Centro de Controle
Network
Traffic
[Internal Use] for Check Point employees​
SCADA
Historian / PI
Segmentação IT/OT
Nível 0
Nível 3
Nível 1
Nível 2
Modelo de
Referência Purdue
SCADA/HMI/DCS

44. • Quais recursos você tem na rede?
• Como os ativos estão se
comunicando e quem os acessa?
• Descubra problemas de
configuração e ativos vulneráveis
Aprimote a Visibilidade da Rede OT
• Endereço IP e MAC
• Fabricante do dispositivo
• Tipo do Dispositivo (PLC, HMI,
Estação de trabalho de engenharia,
Switch, etc.)
• Nome do dispotivo, modelo e nº de
série
• Versão de Firmware
• Dados físicos (slots de rack)
• Protocolos & Comandos
• Conexões dos ativos dentro do
ecossistema
• Protocolos abertos / proprietários
Mapeamento
de Rede
Informação de
Comunicação
Informação
de Ativos

45. Visibilidade por protocolos e comandos SCADA
[Internal Use] for Check Point employees​​
Mais de 1000 comandos SCADA e IoT no Check Point
Application Control
MMS
DNP3
Siemens
Step7
IEC 60870-5-104
IEC 61850
ICCP
OPC
DA & UA
Profinet
CIP
IoT
MQTT MODBUS
And many more…..
BACNET
Updated list: appwiki.checkpoint.com

46. Informações de ativos
[Internal Use] for Check Point employees​
Informação detalhada do ativo – Tipo, Fabricante, Firmware and muito mais

47. Visualização de ativos - por mapa em camadas
[Internal Use] for Check Point employees​
Visualização em camadas de ativos de acordo com o modelo Perdue, com várias opções de
visualização como ativos vizinhos, direção de comunicação, linha de base ARP e ocultar ativos
sem comunicação

48. Aparelhos robustos
para ambientes
agressivos?
Prevenção de
Ameaças para
ambientes SCADA
Visibilidade do
Tráfego ICS /
SCADA
Soluções de Segurança
para Sistemas de Controle Industrial / SCADA
CHECK POINT’S
C Y B E R D E F E N S E
[Restricted] ONLY for designated groups and individuals​
Controle do
Tráfego
ICS/SCADA

49. Controle
• Fase de aprendizagem - Descubra
automaticamente ativos e
comunicação
• Análise de Comportamento
Baseada em Anomalias
• Gerar modelo de linha de base de
alta fidelidade
• Gerar mapa de ameaças de
segurança e processos
• Fase de aprendizado - tráfego de
rede e registro
• Configuração manual da linha de
base de comandos do SCADA
• Políticas para Comandos Específicos
• Políticas para Valores Específicos
• Políticas para Dia/Hora e Padrões de
Tráfego
Políticas pré-
definidas
Detecção de
Anomalia
Aplicação Combinada de
Análise pré-definida + baseada em anomalia

50. Análise forense detalhada
Para investigações de
incidentes
Definindo a linha de base
Registro em nível granular do tráfego SCADA –
DETALHADO
AGRUPADO
ANALISADO
por
Check Point
SMARTLOG &
SMARTEVENT
[Internal Use] for Check Point employees​

51. [Internal Use] for Check Point employees​
Configuração manual da linha de base de
comandos do SCADA
• Fase de aprendizado - registro do tráfego de rede
• Definindo a linha de base dos comandos do SCADA
• Políticas de Comando Específicas
• Política ativa (alerta) ou opcional Ativa (bloqueio)

52. Alertas por análise de comportamento
[Internal Use] for Check Point employees​
Janela de alertas com recursos de filtragem e árvore de alertas de acordo com a integridade do
processo e eventos de segurança

53. Visibilidade do
Tráfego ICS /
SCADA
Aparelhos robustos
para ambientes
agressivos?
Controle do
Tráfego
ICS/SCADA
Soluções de Segurança
para Sistemas de Controle Industrial / SCADA
CHECK POINT’S
C Y B E R D E F E N S E
Prevenção de
Ameaças para
ambientes SCADA
[Restricted] ONLY for designated groups and individuals​

54. Sistemas legados freqüentemente não possuem correção
[Internal Use] for Check Point employees​​

55. [Internal Use] for Check Point employees​
PROTEGIDO
por
Check Point
IPS
Virtual patching
Mais de 300 assinaturas IDS / IPS dedicadas
NSS Labs
Highest Rating
Interrompe explorações de
vulnerabilidades conhecidas
e detecte tráfego anômalo

56. Prevenção de
Ameaças para
ambientes SCADA
Controle do
Tráfego
ICS/SCADA
Visibilidade do
Tráfego ICS /
SCADA
Soluções de Segurança
para Sistemas de Controle Industrial / SCADA
CHECK POINT’S
C Y B E R D E F E N S E
Aparelhos robustos
para ambientes
agressivos?
[Restricted] ONLY for designated groups and individuals​

57. • Gateway de segurança Check Point completo
[Internal Use] for Check Point employees​​
• Em conformidade com os regulamentos mais rigorosos:
IEC 61850-3 and IEEE 1613
• 6x1GbE portas e throughput de de 2 Gbps
• Design compacto sem ventoinha, sem partes móveis; faixa
de temperatura de -40 ° C a 75 ° C
• Pode ser usado nos modos In-line ou Tap (Mirror)
• Roteamento e Rede (BGP, OSPF, IPsec, etc.)
Check Point 1200R
Novo dispositivo de gateway de segurança robusto e com finalidade específica

58. ©2016 Check Point Software Technologies Ltd.
MELHORES PRATICAS
[Internal Use] for Check Point employees​

59. ©2016 Check Point Software Technologies Ltd. 59
TOP 10

60. ©2016 Check Point Software Technologies Ltd. 60
TOP 10 – Vulnerabilities and Threats

61. ©2016 Check Point Software Technologies Ltd. 61
TOP 10 – Vulnerabilities and Threats

62. ©2016 Check Point Software Technologies Ltd. 62
Protecting ICS and SCADA

63. ©2016 Check Point Software Technologies Ltd. 63
When Securing Your ICS/SCADA Environment
Consider the Following:

64. ©2016 Check Point Software Technologies Ltd. 64
When Securing Your ICS/SCADA Environment
Consider the Following:

65. ©2016 Check Point Software Technologies Ltd. 65

66. ©2016 Check Point Software Technologies Ltd. 66©2016 Check Point Software Technologies Ltd.©2016 Check Point Software Technologies Ltd.
Com Videos
ICS/SCADA DEMO

67. ©2016 Check Point Software Technologies Ltd.
DEMO INTRO
01

68. ©2016 Check Point Software Technologies Ltd. 68
Water Tower Intro

69. ©2016 Check Point Software Technologies Ltd. 69
Water Tower Intro

70. ©2016 Check Point Software Technologies Ltd. 70
High Level Demo Architecture
HMI
Check Point
SmartDashboard
(Management)
Check Point
Smart Event
Attacker
Water Valve Water Valve Water Sensors Water Pump
PLC

71. ©2016 Check Point Software Technologies Ltd. 71
Industrial Security Process
Define Baseline (Known / Unknown / Not Allowed)
Identify Deviations and Attacks
Alert / Prevent
Independently log all SCADA activity

72. ©2016 Check Point Software Technologies Ltd.
LEARNING PHASE

73. ©2016 Check Point Software Technologies Ltd. 73
Learning Phase

74. ©2016 Check Point Software Technologies Ltd. 74
Learning Phase

75. ©2016 Check Point Software Technologies Ltd.
FUZZING ATTACK

76. ©2016 Check Point Software Technologies Ltd. 76
What is a Fuzzing Attack
• Attempting to cause a program or network to fail by
feeding it randomly generated data
• Sometimes referred to as “fuzz testing”

77. ©2016 Check Point Software Technologies Ltd. 77
Fuzzing Attack

78. ©2016 Check Point Software Technologies Ltd. 78
Fuzzing Attack

79. ©2016 Check Point Software Technologies Ltd.
VALUE
MODIFICATION
ATTACK

80. ©2016 Check Point Software Technologies Ltd. 80
Burn The Pump

81. ©2016 Check Point Software Technologies Ltd. 81
Burn The Pump

82. ©2016 Check Point Software Technologies Ltd. 82©2016 Check Point Software Technologies Ltd.©2016 Check Point Software Technologies Ltd.
OBRIGADO