O documento discute gerenciamento de vulnerabilidades em sistemas de controle industriais. Apresenta objetivos como mapeamento de redes e monitoramento contínuo para identificar vulnerabilidades e realizar auditorias de segurança. Também aborda problemas como riscos de falhas e danos causados por testes, e apresenta estudos de caso reais de incidentes em infraestruturas críticas.
2. Características Clavis
• Empresa especializada em Segurança Ofensiva.
• Atuante nas áreas de Consultoria, Treinamento e
Pesquisa.
• Forte atuação em setores como Comércio
Eletrônico, Bancário, Forças Armadas e
Infraestruturas Críticas.
3. • Sócio Diretor Técnico da Clavis Segurança da Informação
• Teste de Invasão em Redes, Sistemas e Aplicações
rafael@clavis.com.br
@rafaelsferreira
rafaelsoaresferreira
Apresentação
5. ”Industrial control system (ICS) is a general term that
encompasses several types of control systems, including
supervisory control and data acquisition (SCADA) systems,
distributed control systems (DCS), and other control system
configurations such as skid-mounted Programmable Logic
Controllers (PLC) often found in the industrial sectors and
critical infrastructures.”
Fonte: NIST Special Publication 800-82
Sistemas de Controle Industriais
6. • Mapeamento de Redes e de Dispositivos
• Monitoramento pró-ativo e contínuo da rede
• Auditoria de redes e gestão automatizada de vulnerabilidades
Gerenciamento de Vulnerabilidades - Objetivos
7. • Possibilidade de ocorrência de efeitos colaterais de alto
impacto em testes de experimentações por varreduras
• Indisponibilidade, comportamento anômalo e falhas de
operação
• Ações incorretas podem causar perdas financeiras, danos
físicos a equipamentos, ferimentos e até mortes
Gerenciamento de Vulnerabilidades - Problemas
8. Dutos de Gás – União Soviética - Junho de 1982
• Operação da CIA em plena Guerra Fria.
• Espionagem e sabotagem de software exportados.
• Maior explosão não-nuclear da história.
• Mais informações em:
http://www.telegraph.co.uk/news/worldnews/northamerica/
usa/1455559/CIA-plot-led-to-huge-blast-in-Siberian-gas-
pipeline.html
Estudos de Caso
9. Controle de Tráfego Aéreo - Inglaterra – Março de 1997
• Acesso via modem dial-up à rede de telefonia.
• Serviços críticos como torre de controle, policiamento,
brigada de incêndio, meteorologia, logística, iluminação
da pista e até impressão, ficaram incomunicáveis.
• Mais informações em:
http://www.cnn.com/TECH/computing/9803/18/juvenile.hac
ker/ index.html
Estudos de Caso
10. Fornecimento de Gasolina - Estados Unidos - 1999
• Falha no sistema de monitoramento e controle da pressão
nos dutos
• Vazamento de 900 mil litros de gasolina
• Além dos danos patrimoniais, 3 mortes e 8 feridos
• Mais informações em:
http://www.ntsb.gov/news/2002/021008.htm
Estudos de Caso
11. Tratamendo de Lixo – Austrália – Abril de 2000
• Software malicioso instalado previamente por funcionário
• Retaliação motivada por projeto reprovado
• Aproximadamente 1000 litros de lixo despejados em rios e
parques
• Mais informações em:
http://www.theregister.co.uk/2001/10/31/
hacker_jailed_for_revenge_sewage/
Estudos de Caso
12. Usina Nuclear – Estados Unidos – Janeiro de 2003
• Software malicioso infectou servidores de banco de dados
(Microsoft SQL Server) na rede privada da usina
• Monitoramento ficou fora do ar por pelo menos 5 horas
• Os maiores danos foram causados pela grande
quantidade de tráfego gerado pelo worm Slammer
• Mais informações em:
http://www.securityfocus.com/news/6767
Estudos de Caso
13. Sistema de Sinalização – Estados Unidos – Agosto de 2003
• Software malicioso infectou milhões de computadores
• Uma série de composições de trem ficaram
impossibilitadas de trafegar devido a falhas na sinalização
• Mais informações em:
http://www.cbsnews.com/stories/2003/08/21/tech/main569
418.shtml
http://www.informationweek.com/story/showArticle.jhtml?
articleID=13100807
Estudos de Caso
14. Centrífugas Nucleares – Irã – Julho de 2010
• Utilização de software desenvolvido especificamente para
sistemas de controle e automação -> Stuxnet Worm.
• Envolvia desde técnicas clássicas de contaminação até
exploração de vulnerabilidades do tipo zero day
• Mais informações em:
http://www.seginfo.com.br/o-codigo-fonte-do-stuxnet-esta-
disponivel- online/
Estudos de Caso
15. Shodan
• Sinais e Cameras de Trânsito
• Filtros de Piscina
• Equipamentos Hospitalares, Hoteleiros e Domésticos
• Teleférico
• Lava a jato
• Mais infomrações em:
http://money.cnn.com/gallery/technology/security/2013/05/
01/shodan-most-dangerous-internet-searches/9.html
Estudos de Caso
21. • Se algo está errado, você deve ser o primeiro a saber.
• Quanto mais rápida a resposta, melhor!
• Não existe sistema inviolável, é preciso monitorar de
maneira contínua.
• Prepare-se pra tudo!
Conclusões
23. Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
As iniciativas da ISA
Distrito 4 para a
padronização da segurança
cibernética das redes de
automação brasileiras
Carlos Mandolesi
Vice Presidente - ISA América do Sul
CLASS 2016 – São Paulo
20/Maio/2016
24. Quem é a ISA -
International Society of Automation ?
Associação sem fins lucrativos
Fundada em 1945 nos EUA
Atualmente possui 40.000 membros em todo o
mundo
Dividida no mundo em:
14 Distritos (Regiões)
154 Seções Profissionais
169 Seções Estudantis
323 Seções no Total
Site: www.isa.org
25. VISÃO
VISÃO:
Trabalhar em parceria com os seus membros, clientes e
especialistas no assunto para disseminar informações de
automação em todo o mundo, com qualidade e de forma
imparcial.
26. Sede da ISA nos EUA
• Research Triangle Park (RTP), Durhan / Carolina do Norte / EUA
28. PRESENÇA NA AMÉRICA DO SUL
Venezuela
Bolivia
Par.
Brasil
Argentina
Chile
Colombia
Eq.
Peru
Trinidad & Tobago
Student Section
20 - Universidad del Cauca
21 - Campos dos Goytacazes School
22 - CEFET - Cubatao - SP
23 - CEFET – Leopoldina - MG
24 - Universidad Federal de Itajuba
25 - Escuela Politecnica Nacional Ecuad
26 - Esc.Politecnica Universidade de SP
27 - Escola Senai de Santos
28 - Institute Tecnologico Sulcre de Quito
29 - Seção Estudanil Gaúcha
30 - Senai-Prof Zerbini
31 - Instituto TECSUP
32 - Sertaozinho Estudantil
33 - Universidade Católica de Minas Gerais
34 - Universidad de los Andes
35 - Universidad Fracisco de Paula Santander
36 - Universidad Nacional Del Callao
37 - Universidad Ricardo Palma
02
09
21
12
17
16
23
27
15
26
04
30
07
13
01
05
37
10
31
08
06
20
34 18
14
22
3303
Seções Estudantis
Seções Profissionais
Escritório da ISA Distrito4
Regular Sections
01 - Argentina
02 - Bahia
03 - Belo Horizonte
04 - Campinas
05 - Chile
06 - Colombia
07 - Curitiba
08 – Ecuador
09 - Espírito Santo
10 - Peru
11 - Recife
12- Rio de Janeiro
13 - Rio Grande do Sul
14 - San Fernando, Trinidad
15 – São Paulo
16 - Sertaozinho
17 - Vale do Paraíba
18- Venezuela Metropolitan
25
24
28
29
11
19
32
36
35
33. Publicações
• Livros da ISA
– Dezenas de títulos escritos por especialistas da indústria
– Baseados em implementações e uso da tecnologia
– Membros da ISA possuem desconto
• Artigos Técnicos da ISA
– Centenas de artigos publicados nos eventos da ISA
– Download gratuito para membros da ISA
• ISA Transactions
– Jornal internacional para publicações de pesquisa e
desenvolvimento em medição e automação
– Publicação bimestral, indexada pela Elsevier
– Acesso online gratuito para membros
• Base de Dados da ISA
– Diretório online mundial com empresas e fornecedores de
automação
34. • Revista InTech e InTech+
– Publicação bimestral
gratuita para membros
– Soluções práticas para os
desafios da indústria
– Edição impressa ou online
– Intech+ traz conteúdo
diferenciado em aplicativo
para iPad / celulares
Uma pesquisa apontou a
Revista Intech como sendo a
mais lida entre os profissionais
de automação.
Revista Intech
35. • Visualização on-line gratuita de mais
de 150 normas, recomendações
práticas e relatórios técnicos da ISA
– 162 Normas Publicadas
– 133 Comitês e Subgrupos
– Mais de 3.500 profissionais envolvidos
– De mais de 40 países
– Representando mais de 2000
empresas e organizações
• Benefícios da Normatização:
– Simplifica processos
– Melhora segurança e confiabilidade
– Aumento da eficiência e produtividade
Desenvolvimento de Normas Técnicas
36. Alguns exemplos dos
Normas da ISA mais usadas
• Symbols and Diagrams (ISA5): P&IDs, Tagging, Loop Diagrams, Functional
Specifications, etc.
• Electrical Equipment for Hazardous Locations (ISA12)
• Alarm Systems (ISA18)
• Instrumentation Specification Forms (ISA20)
• Electrical Signal Compatibility (ISA50)
• Control Valves (ISA75)
• Functional Safety (ISA84)
• Batch Control (ISA88, formerly “S88”)
• Enterprise Control System Integration (ISA95)
• Valve Actuators (ISA96)
• Personnel Certification, CCST & CAP certifications (ISA98)
• Industrial Automation & Control System Security (ISA99)
• Wireless Systems for Automation (ISA100)
• Procedural Automation (ISA106)
A serem publicadas em breve:
• Human Machine Interfaces (ISA101)
• Commissioning, Loop Checks, FAT and SAT Testing (ISA105)
38. Como a ISA pode
ajudar sua empresa
na área de
Cyber Segurança?
39. ISA líder mundial em Cybersegurança
A área de Cybersegurança é um dos focos da ISA
ISA é Parceira da Casa Branca e do NIST
A norma ISA 99 foi adotada como padrão mundial através
da IEC 62443
Oferece treinamentos e certificação de profissionais
Certificação de equipamentos através do selo ISASecure.
40. Normas sobre Cybersegurança
A ISA 99/IEC 62443
A ISA 99 é uma Norma
elaborada pela ISA para
estabelecer segurança da
informação em redes
industriais.
Adotada pelo IEC 62443
É um conjunto de boas
práticas para minimizar o
risco de redes de
sistemas de controle
sofrerem Cyber-ataques.
49. Treinamento em Cybersegurança
TRAINING COURSES
• Introduction to Industrial Automation Security and the ISA99 Standards (IC32C)
• Using the ANSI/ISA99 Standard to Secure Your Control System (IC32)
• Industrial Networking and Security (TS12)
• Advanced Industrial Cybersecurity (TS13)
• Assessing the Cybersecurity of New or Existing IACS Systems (IC33)
• Advanced Industrial Networking and Cybersecurity (TS20)
• IACS Cybersecurity Design & Implementation (IC34)
• IACS Cybersecurity Operations & Maintenance (IC37)
ONLINE TRAINING
• Cybersecurity for Automation, Control, and SCADA Systems (IC32E)
57. Grupo Técnico da ISAAmérica do Sul
Cooperação com o Comitê do Standard ISA99 nos EUA
Formado por membros do Brasil, Argentina, Colombia e Peru
Participam profissionais da indústria, fornecedores e integradores
Realiza reuniões mensais online em Português e Espanhol
Para participar entre em contato com a ISA.
Grupo Técnico ISA
sobre Cybersegurança e ISA 99
Objetivos do Grupo:
Estudar, promover e criar cultura sobre Cybersegurança
industrial na América do Sul
58. Dados de Contato:
Carlos Mandolesi
+55 (11) 98609-3771
mandolesic
br.linkedin.com/in/mandolesi
carlos.mandolesi@sigmma.com.br
www.facebook.com/ISAD4SouthAmerica