CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)
1. Desenhando Arquiteturas de
Segurança Cibernética Centradas na
Prevenção de Sistemas de Controles
Industriais Remotos
Alexandre Freire
Brazil Enterprise & Industrial Cybersecurity Sales Engineer
ww Industrial Control Systems Tiger Team
afreire@paloaltonetworks.com
5. 5
Pergunta 2 : Por que, no passado, não observamos
malware atingindo operações industriais?
Porque todo processo
industrial era controlado
por comunicação serial.
Mas os Processos
precisaram evoluir…
6. Processos Industriais Geograficamente Distribuídos e Interconectados
ICS/SCADA Aplicações baseadas em Protocolo TCP/IP
Control Center East Region
SCADAENGR
RTU / PLC / IED
HIST
OPC
Server
Control Center West Region
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
DNP3: Distributed Network Protocol 3
CIP Ethernet: Common Industrial Protocol Ethernet
OPC: Open Platforms Communication, formerly OLE for Process Control
ICCP: Inter Control Center Protocol
MMS: Manufacturing Message Specification
General
Modbus
DNP3
CIP Ethernet
Electric Utilities
IEC 60870-5-104
IEC 61850-3
/MMS
Synchrophasor
Elcom 90
Bridge/Service
OPC DA/UA
Apps
Cygnet – Oil &
Gas SCADA
PI - Historian
Aplicações e Protocolos para ICS/SCADA surgem
• Protocolos seriais ainda em uso (ex: Serial Modbus)
• Outras implementações customizadas surgindo.
Remote/Sub Stations/Process
Zone
Smarter Interconnected
Devices (Industrial IoT)
10. Benefícios da Plataforma para OT
PARAR O
DESCONHECIDO E
AMEAÇAS
DESCONHECIDAS
COMPLETA,
VISIBILIDADE
DE OT
CONFORMIDADE
COM NORMAS E
REGULAMENTAÇÔES
PLATAFORMA
ESCALÁVEL E
TCO REDUZIDO
INTEGRAÇÃO
SEGURA ENTRE
IT-OT
19. BluePrint Palo Alto Networks com Modelo de Referência ISA 95 Perdue
https://www.paloaltonetworks.com/resources/whitepapers/industrial-
control-blueprint-reference
23. Requerimentos para Inteligência de Ameaças Cibernéticas
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresas de Energia
Contexto sobre
indicadores e incidentes
Resposta rápida
e proativa
Priorização de
Eventos Importantes
Automaticamente exporta
indicadores maliciosos para
soluções de segurança
Previne futuros
ataques
24. Palo Alto Networks AutoFocus
Visão da Proliferação de BlackEnergy ao redor do mundo.
• Proliferação do BlackEnergy em
diferentes indústrias;
• Manifestações em diferentes variantes
do Malware
• Alastramento Geográfico
• “Tags” de categorização do malware e
colaboração da indústria para
compartilhamento de informações;
• Análise forense do ciclo de vida do
Malware: Propriedades de rotinas e
chamadas a variáveis de ambientes
operativos.
25. Estudo de Caso
Exemplos reais de implementações realizadas pela Palo Alto Networks no mundo para
reduzir riscos e aumentar a segurança e resiliencia de ambientes industriais contra
ameaças cibernéticas.
26. Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
• Problema:
• Fornecedores externos de automação disseminando vírus, códigos maliciosos e
aplicações para rede SCADA a partir de conexões de VPN :
• Conexão de VPN provê criptografia mas e sobre controle de segurança, ameaças e visibilidade
de aplicações e protocolos?
• Consequências:
- Aplicações indesejáveis e Maliciosas encontradas devido ao roteamento 0.0.0.0
• Default gateway para túnel de VPN = Ambiente Operativo (falha de configuração)
• Túnel terminando em Firewall de porta/protocolo agindo como concentrador de VPN
▪ Falta de visibilidade de aplicações/protocolos e ameaças
conhecidas/desconhecidas
Aplicações encontradas: Dropbox, Bittorrent e Skype
▪ Atividades suspeitas de DNS indicando máquinas comprometidas (Botnets)
▪ Worm Conficker proliferando na rede (overhead/latência)
• Rede industrial paralizada afetando controle da produção (interrupção de comunicação
entre sistemas supervisórios e PLCs).
27. • Solução: Criação de uma
Zona de Acesso de Terceiros
(LEVEL 4)
“Ao invés de posicionar acesso de
terceiros na DMZ, onde ainda existe a
possibilidade de expor as estações de
trabalho e servidores à ameaças
externas, a implantação ideal seria a
criação de uma zona separada para
suporte de acesso remoto
• Zona de Acesso de
Terceiros (Nível 4) criada
para fornecer total
visibilidade do tráfego
que entra e sai da rede
de produção com a
capacidade de alertar ou
bloquear malware
conhecidos e
desconhecidos
(APT/0Day).
• Restringir o acesso com
base em grupos
(usuários), apliações
administrativas
necessárias (telnet/ssh) e
determinados períodos
(agendamentos)
Fabricantes de automação
VPN Cliente Servidor
Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
28. Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
• Problema:
• Ataques proliferando através de conexões MPLS de redes de parceiros.
• Aquisição de dados em tempo real utilizando protocolo IEC 60870-5-104:
▪ Consultas a sistemas de Supervisão para dados
em tempo real sobre produção;
▪ Consultas diretas às subestações.
• Consequências:
- Listas de Acesso básicas de camada 3 aplicadas
em roteadores (layer3);
- Firewall de controle de porta e protocolo (camada 4)
não bloqueia protocolos e ameaças de camada
de aplicação
• Arquitetura do protocolo IEC 60870-5-104: não
baseia-se em porta fixa são portas dinâmicas alocadas aleatoriamente.
▪ Ataques de força bruta em sistemas supervisórios (incidente reportado a partir de credencial
vazada).
▪ Vírus e worms encontrados na rede (ex: Conficker, Ninda, Blaster).
29. • Solução: Criação da
zona de acessos corporativa
(LEVEL 4)
“Do ponto de vista do modelo de
referência Perdue, a Zona
Business/Enterprise enquanto se
mantém em relação à rede de
controles industriais, como ameaça
potencial, deve ter todo tráfego
rigorosamente inspecionado.
• Tratar o IEC 60870-5-
104 com inteligência
nativa de camada de
aplicação permitindo
somente o protocolo
base e suas sub
funções trafegando
para os níveis
adjascentes (L3-L2-L1).
• Visibilidade total no
tráfego que entra e sai
da zona Business com
a capacidade de
alertar ou bloquear
ataques e ameaças
avançadas
(malware conhecido e
desconhecido).
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
30. • Problema:
• Reprogramação de PLCs/RTUs a partir de origens desconhecidas
• Reinicialização de remotas (subestações) sem causa aparente;
• Comandos DNP3 e sub funções (dnp3-operate/direct-operate/read/write)
disparados de origens desconhecidas.
• Consequencias:
• Incidente reportado devido a Perda de Visão e Controle (Loss of View and Loss
of Control) devido a reinicialização das remotas.
• Possibilidade de sabotagem devido a falta de segmentação entre diferentes
níveis Perdue Model
▪ BlackEnergy = Shutdown subestações através de reprogramação
de remotas (disjuntores desligados).
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
31. • Solução: Criação da Zona de PLC
(LEVEL 1)
“Dispositivos colocados nesta zona são itens
como PLCs, Remotas e relés programáveis”.
Somente Zona dos Sistemas de Supervisão
(ICS) Level 2 podem enviar comandos de leitura
e escrita para zona de PLC (Level 1).
• A criação de Nível 1
zona reforça a
proteção contra
acesso não
autorizado com a
intenção de
reprogramar
dispositivos PLC.
• Concede a
visibilidade
adequada e
controle
restringindo fontes
única confiáveis
(Sistemas de
supervisão) para
leitura e escrita de
PLCs
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
32. • Problema:
• Cópia de arquivo infectado para máquina de operação de Centro de Controle
• Consequências :
• Perda de Visão e Controle da operação devido a proliferação de malware moderno.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
33. • Solução: Proteção de
Endpoint Avançada (TRAPS)
“Necessidade de proteção do legado e de
sistemas que não possuem atualizações
constants ou são impossibilitados de receber
patching de forma constante”.
• TRAPS permite a
proteção do legado
sem uso de
assinaturas.
• Proteção de SOs
descontinuados ou
máquinas sem
patches.
• Inexistência de
scanning no Sistema
operacional.
• Foca nas técnicas
utilizadas por
exploits e integra-se
a nuvem de
inteligencia de
malware Wildfire
para análise de
códigos maliciosos.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
34. Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevenção de Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3
35. Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
• Problema:
• Engenheiro de processos visitando uma instalação industrial de uma empresa de
transmissão de gás com cópias de backup de Código de programação de projetos
infectando a estação de engenharia de uma planta e também o banco de dados de
Historian com o Worm Nimda*
* Nimda pode se auto propagar pelas pastas de rede compartilhadas no Microsoft Windows)
• Consequências:
- Em 10 minutes depois de executar o arquivo “Readme.exe”, cópias dos arquivos
replicadas para outras máquinas da engenharia:
• Sistemas infectados iniciaram probe para outros endereços IP na mesma subnet. O probing
causou o congelamento da PLC e foi necessário um reboot para corrigir.
• Rede degradada comprometendo a comunicação dos sistemas de supervisão e PLCs.
Operadores consideraram ativar a parada de Emergência do processo industrial.
36. ISOLATION
LEVEL 5
Solução: Criação de uma nova VLAN e Zona
para fazer contenção da ameaça e restaurar
as Operações.
A necessidade de desligamento das operações da planta foi
evitada porque a planta tinha adequada segmentação /
zoneamento, bem como monitoramento e um plano de
contingência.
Contramedidas:
• Máquinas infectadas identificadas
• VLAN 666 criada e sistemas infectados desviados para
a mesma.
• Zona com nome “ISOLATION” configurada no NGFW com regras
específicas e controle de whitelhist de aplicações (camada 7)
Tempo de isolamento e recuperação:
Menos de 30 minutos.
Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
42. Palo Alto Networks Value Proposition for ICS
• Visibilidade de camada 7 com contexo específico para
protocolos industriais.
• Grande cobertura de protocolos ICS/SCADA
• Granularidade e conhecimento de sub funções
operacionais, protocolos, aplicações, usuários e
ameaças.
• Visibilidade e Controle dos “Protocolos de Risco”
• Visibilidade e controle de leituras, escritas, reinicialização
entre outros comportamentos de PLC que devem ser
monitorados para segurança dos processos industriais.
• Flexibilidade de segmentação de rede granular
• ISA 62443, Purdue, NERC CIP, NIST e modelos
similares. Controle RBAC.
Provimento de plataforma de next-generation security que prove
capacidades específicas de segurança cibernética para Sistemas de
Controles Industriais na prevenção de ataques visando a manutenção
da disponibilidade, resiliência e da segurança dos processos industriais.
• Alta performance e Arquitetura de Alta Disponibilidade
• Arquitetura única de processamento em
paralelo (single pass).
• Data Plane e Control Planes separados.
• Diferentes deployments - inline (“layer1) sem
reconfiguração da rede, layer2, layer3, TAP.
• Sem scanning e footprint minimo de CPU e
memória para agente de endpoint.
• Prevenção de Ameaças de sistemsa de legado
– Proteção de sistemas vulneráveis e de hosts
sem patch contra ameaças conhecidas e
principalmente desconhecidas (0day) com uso
do Wildfire e Traps (endpoint)
45. PRESTOU ATENÇÃO NA APRESENTAÇÃO?
PARTICIPE DO JOGO PARA GANHAR BRINDES!
AGORA EM NOSSO STAND!!!
1. Baixe o aplicativo Kahoot! para seu dispositivo móvel;
2. Ou acesse https://kahoot.it quando o jogo começar;
3. Entre com o PIN do jogo (fornecido no stand no início da dinâmica)