SlideShare uma empresa Scribd logo
1 de 46
Baixar para ler offline
Desenhando Arquiteturas de
Segurança Cibernética Centradas na
Prevenção de Sistemas de Controles
Industriais Remotos
Alexandre Freire
Brazil Enterprise & Industrial Cybersecurity Sales Engineer
ww Industrial Control Systems Tiger Team
afreire@paloaltonetworks.com
Parceria mundial Siemens & Palo Alto Networks
2 | © 2015, Palo Alto Networks. Confidential and Proprietary.
https://www.siemens.com/press/en/pressrelease/?press=/en/pressrelease/20
18/digitalfactory/pr2018040156dfen.htm&content[]=DF
Go to:
Pergunta 1 :
Ambientes SCADA/ICS são menos
seguros e mais vulneráveis do que
eram há anos atrás?
3 | © 2018, Palo Alto Networks. All Rights Reserved.
2010 2011 2012 2012 2013 2014 2014 2014 2015 2016
Duqu
Coleção de malware de
computador que se
acredita estar
relacionado ao Stuxnet.
Usado para procurar
informações que podem
ser úteis no ataque ao
ICS.
Shamoon
Como Stuxnet, Duqu e Flame,
Shamoon é voltado para
empresas de energia. Ele não
interrompeu serviços como o
Stuxnet ou roubou
informações de negócios como
Flame e Duqu. Em vez disso,
ele removeu e substituiu as
informações do disco rígido.
German Steel Mill
Attack
Segundo caso confirmado em
que um ataque totalmente
digital causou destruição física
de equipamentos.
Ukraine
Attack
BlackEnergy3
O objetivo principal parece
ser a espionagem
cibernética, descobridores
de trojans capazes de
infectar sistemas de Controle
Industrial SCADA podem
significar algo mais nefasto.
Stuxnet
O primeiro caso notável
de uma arma digital
sofisticada lançada contra
sistemas de controle no
Irã.
Flame
Definido como um malware sofisticado
e muito complexo. Capaz de se espalhar
para outros sistemas através de
conexões LAN ou USB. Pode gravar
áudio, capturas de tela, atividade de
teclado e tráfego de rede.
Energetic Bear
Um malware poderoso
que permitia aos seus
operadores monitorar o
consumo de energia em
tempo real ou prejudicar
os sistemas físicos.
Dragonfly
As evidências indicam que
as empresas farmacêuticas
são o principal alvo. O
malware contém um
Industrial Protocol Scanner
usado para localizar
dispositivos normalmente
instalados em embalagens
de bens de consumo.
Malware Impactando Infraestrutura Crítica
Crash Override/
Industroyer
Malware mais avançado do que
as ferramentas de uso geral
usadas para atacar a rede
elétrica da Ucrânia em 2015.
Capacidade de usar os mesmos
protocolos nos quais os
sistemas de rede elétrica
individuais dependem para se
comunicar uns com os outros
2017
Triton/Trisys
O malware é direcionado
aos controladores do
sistema de instrumentos
de segurança Triconex
fabricados pela Schneider e
substitui a lógica de
controladores , uma ação
que pode resultar em
consequências físicas.
4 | © 2018, Palo Alto Networks. All Rights Reserved.
5
Pergunta 2 : Por que, no passado, não observamos
malware atingindo operações industriais?
Porque todo processo
industrial era controlado
por comunicação serial.
Mas os Processos
precisaram evoluir…
Processos Industriais Geograficamente Distribuídos e Interconectados
ICS/SCADA Aplicações baseadas em Protocolo TCP/IP
Control Center East Region
SCADAENGR
RTU / PLC / IED
HIST
OPC
Server
Control Center West Region
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
DNP3: Distributed Network Protocol 3
CIP Ethernet: Common Industrial Protocol Ethernet
OPC: Open Platforms Communication, formerly OLE for Process Control
ICCP: Inter Control Center Protocol
MMS: Manufacturing Message Specification
General
Modbus
DNP3
CIP Ethernet
Electric Utilities
IEC 60870-5-104
IEC 61850-3
/MMS
Synchrophasor
Elcom 90
Bridge/Service
OPC DA/UA
Apps
Cygnet – Oil &
Gas SCADA
PI - Historian
Aplicações e Protocolos para ICS/SCADA surgem
• Protocolos seriais ainda em uso (ex: Serial Modbus)
• Outras implementações customizadas surgindo.
Remote/Sub Stations/Process
Zone
Smarter Interconnected
Devices (Industrial IoT)
A Modernização da Tecnologia de Automação “OT Modernization”
Rede Corporativa
Indústria 4.0
”IT”
Operational Technology ”OT”
7 | © 2017, Palo Alto Networks. Confidential and Proprietary.
Smart ”X” (X = Grid, Factory, Building, Transport)
Industrial IoT
• Unificação da rede IP
• Mais conectividade externa
• “Refresh tecnológico” de OT & IT
• Virtualização, Cloud, Mobile, 4G/5G
PLCs / RTUs
HMI
Estação Remota / Chão de Fábrica
Centro de Controle
Control Servers
SCADA Master
/HMI
Integração IT-OT
Internet
WAN
Poços de Petróleo Digitais
Industrial
Ataques cibernéticos como grande preocupação – Fórum de Davos
PALO ALTO NETWORKS OPERATING SYSTEM PLATFORM
NETWORK SECURITY ADVANCED ENDPOINT PROTECTION CLOUD SECURITY
WildFireThreat Prevention URL Filtering AutoFocus Logging Service MineMeld
SECURITY SERVICES
Magnifier
9 | © 2018, Palo Alto Networks. All Rights Reserved.
Benefícios da Plataforma para OT
PARAR O
DESCONHECIDO E
AMEAÇAS
DESCONHECIDAS
COMPLETA,
VISIBILIDADE
DE OT
CONFORMIDADE
COM NORMAS E
REGULAMENTAÇÔES
PLATAFORMA
ESCALÁVEL E
TCO REDUZIDO
INTEGRAÇÃO
SEGURA ENTRE
IT-OT
Next-generation Firewall – Arquitetura Ùnica
11 | © 2018, Palo Alto Networks. All Rights Reserved.
Segurança de Protocolos
e Aplicações Industriais
Controles de
usuários e grupos
Proteção contra
conteúdo malicioso
• Arquitetura de alta performance,
baixa latência e alta disponibilidade
• Correlação nativa de eventos
App-ID User-ID Content-ID
Next-generation
Firewall
SP3
• Mecanismo único de
processamento em paralelo (SP3)
• Hardware com funções dedicadas
para diferentes funções
App-IDs para Protocolos e Aplicações Industriais
12 | © 2018, Palo Alto Networks. All Rights Reserved.
Protocol / Application Protocol / Application Protocol / Application Protocol / Application Protocol /Application
◼ DNP3 ◼ Modbus ◼ Siemens S7 ◼ Schneider/Wonderware SuiteLink ◼ Fisher-ROC
◼ IEC 60870-5-104 ◼ CIP EtherNet IP ◼ Siemens FactoryLink ◼ Schneider OaSys ◼ Cygnet SCADA
◼ ICCP (IEC 60870-6 / TASE.2) ◼ BACnet ◼ Siemens Profinet IO ◼ Rockwell FactoryTalk ◼ Fanuc-Focas
◼ Synchrophasor (IEEE C.37.118) ◼ OPC UA ◼ ABB Network Manager ◼ GE iFIX ◼ MQTT
◼ Elcom 90 ◼ OPC DA ◼ Honeywell/Matrikon OPC Tunneller ◼ GE EGD ◼ RTCM (GPS/IP)
◼ DLMS / COSEM / IEC 62056 ◼ R-GOOSE ◼ OSIsoft PI Systems ◼ GE-Historian
• Entendimento do protocolo base e subfunções.
• Subfunções de aplicações/protocolos como Modbus, DNP3, ICCP, S7, BACnet,
IEC 60870-5-104
• Custom App-ID Decoders for ICS: Modbus, ICCP, DNP3
• Flexibilidade na criação de novas aplicações/protocolos
(captura de tráfego e PCAPs/solicitação on-line para novos App-IDs.
Serviços de Segurança Nativamente Integrados
13 | © 2018, Palo Alto Networks. All Rights Reserved.
• Acesso seguro à rede para
dispositivos móveis em OT,
Ex: laptops de manutenção,
terceiros, tablets HMIs e
fornecedores.
Global
Protect • Acesso a Internet
Seguro a partir da
automação. Ex: Acesso
a website de fabricante
para download de
patches/firmware
URL
Filtering
• Detectar e bloquear
rapidamente
proliferações de
Malware 0-day
ex: “Os próximos” Black
Energy, CrashOverride,
Wannacry.
• Transforma o
descohecido em
conhecido em apenas 5
minutos.
WildFire
• Proteção de sistemas
sem patches ou que não
podem receber patches
das ameaças conhecidas
ao ambiente industrial
(malware, exploits, C2)
Threat
Prevention
• Monitoramento de
atividades de escrita,
leitura e reinicialização de
PLCs, RTUs e IEDs.
Segmentação de Rede com NGFW e Serviços de Segurança
14 | © 2018, Palo Alto Networks. All Rights Reserved.
• Maximizar a visibilidade de tráfego de OT
• Reduzir a superfície de ataque
• Política Granular entre zonas (L7)
• Secure mobile/internet access as allowed
• Para exploits conhecidos, malware,
Tráfego de Botnets
• Rapidamente Descobrir e parar as
ameaças 0Day.
NGFW as a
Security “Conduit”
(ISA 62443)
Zone
1
Zone
2
Zone
3
15 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.
Manufacturing Operations
Level 3
• Historian
• Process-specific
• Engineer Station
Control Systems
Level 2 • HMI
• Engineer Station
Intelligent Devices
Level 1
• PLC
• RTU
• IED
Process
Level 0
Physical Actuator
DMZ
Level 3.5
• Historian Repl
• Jump Server
• Patch Server
Business
Level 4
• Internet
• Email
• Data Services
Purdue/ISA95Model
Principais pontos de atenção para lembrar ao abordar sistemas legados
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
Process Control Network
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
16 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.
Principais pontos de atenção para lembrar ao abordar sistemas legados
Infraestrutura antiga e melhores
práticas antigas
• Switches não gerenciados
• Todos os dispositivos na
VLAN1
• Falta de segurança devido a
demora introduzida (latência)
• Autenticação
• Simples, fraco ou parcial
• Sistemas de Legado
• Projetados e implantados
há mais de 20 anos
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
Zero-Trust Deployment
17 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
Princípios da Arquitetura de Zero-Trust
• Todos os recursos são acessados ​​de maneira segura,
independentemente da localização
• O controle de acesso está em uma base de "necessidade de
conhecimento" e rigorosamente aplicado
• Inspecionar e logar todo o tráfego
Exemplos de Políticas
18 | © 2018, Palo Alto Networks. All Rights Reserved.
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
3rd Party Modbus
Read Only
3rd Party Any ICS_VEN
DOR_A
ICS PLC Device
Address
Modbus_read_
commands
Allow Threat Prevention
(Modbus Exploits)
Business
(Level 4)
DMZ
(Level
3.5)
3rd Party
(Level 3
or 2)
ICS
(Level 1)
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
Secure Remote
Access
Business IP address of
workstation
Joe
Engineer
DMZ IP Address of
Jump Server
RDP Allow Threat Prevention,
WildFire
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
Historian
Replication
ICS IP address of
primary historian
Any DMZ IP Address of
replicated historian
OSIsoft Pi Allow Threat Prevention,
WildFire
• Políticas de segurança simplificadas e
intuitivas
• Componentes de aplicativos, usuários e
ameaças são vinculados contextualmente
• Reduza significativamente a superfície de
ataque ao ambiente industrial
BluePrint Palo Alto Networks com Modelo de Referência ISA 95 Perdue
https://www.paloaltonetworks.com/resources/whitepapers/industrial-
control-blueprint-reference
20 | © 2018, Palo Alto Networks. All Rights Reserved.
PA-220
PA-800 SERIES
PA-5200 SERIES
PA-7000 SERIES
PA-220R
Plant Perimeter / ICS Core
SCADA Core / Control Center /
PCN / MES
OT
Datacenter
Plant Perimeter /
ICS Core
Industrial Cloud
(AWS, Azure, Google)
VM-Series Virtualized NGFW
Panorama
Network Security
Management
Harsh
Environments
PA-3000 SERIES
Segurança Consistente para Instalações Industriais & Enterprise
Segurança Consistente para Instalações Industriais
Prevenção de ameaças conhecidas e
desconhecidas, incluindo ameaças
específicas de ICS/SCADA
Aplicações/Protocolos específicos de
ICS/SCADA
Suporte a Temperaturas elevadas
Certificações para ambientes
industriais
Design sem ventoinha, sem peças
móveis para maior confiabilidade
Alta disponibilidade e fontes de
alimentação DC duplas para redundância
PA-220ROil & GasWater
Utilities
Electric Transmission
& Distribution
Power
Generation
Manufacturing Transportation
21 | © 2018, Palo Alto Networks. All Rights Reserved.
PA-220R Caso de Uso – Proteção chão de fábrica
22 | © 2015, Palo Alto Networks. Confidential and Proprietary.
• Visibilidade protocolos industriais em
camada 7 e controle de acesso
• Aplicação/Protocolo
• Usuário/Grupos de usuários
• Conteúdo
• Prevenção de Ameaças
• Ameaças conhecidas e
Desconhecidas
• VPN Site-to-site
• Alta Disponibilidade (caso requerido)
• Gerenciamento Centralizado
• Configuração e Política
• Logs e Relatórios
Requerimentos para Inteligência de Ameaças Cibernéticas
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresas de Energia
Contexto sobre
indicadores e incidentes
Resposta rápida
e proativa
Priorização de
Eventos Importantes
Automaticamente exporta
indicadores maliciosos para
soluções de segurança
Previne futuros
ataques
Palo Alto Networks AutoFocus
Visão da Proliferação de BlackEnergy ao redor do mundo.
• Proliferação do BlackEnergy em
diferentes indústrias;
• Manifestações em diferentes variantes
do Malware
• Alastramento Geográfico
• “Tags” de categorização do malware e
colaboração da indústria para
compartilhamento de informações;
• Análise forense do ciclo de vida do
Malware: Propriedades de rotinas e
chamadas a variáveis de ambientes
operativos.
Estudo de Caso
Exemplos reais de implementações realizadas pela Palo Alto Networks no mundo para
reduzir riscos e aumentar a segurança e resiliencia de ambientes industriais contra
ameaças cibernéticas.
Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
• Problema:
• Fornecedores externos de automação disseminando vírus, códigos maliciosos e
aplicações para rede SCADA a partir de conexões de VPN :
• Conexão de VPN provê criptografia mas e sobre controle de segurança, ameaças e visibilidade
de aplicações e protocolos?
• Consequências:
- Aplicações indesejáveis e Maliciosas encontradas devido ao roteamento 0.0.0.0
• Default gateway para túnel de VPN = Ambiente Operativo (falha de configuração)
• Túnel terminando em Firewall de porta/protocolo agindo como concentrador de VPN
▪ Falta de visibilidade de aplicações/protocolos e ameaças
conhecidas/desconhecidas
Aplicações encontradas: Dropbox, Bittorrent e Skype
▪ Atividades suspeitas de DNS indicando máquinas comprometidas (Botnets)
▪ Worm Conficker proliferando na rede (overhead/latência)
• Rede industrial paralizada afetando controle da produção (interrupção de comunicação
entre sistemas supervisórios e PLCs).
• Solução: Criação de uma
Zona de Acesso de Terceiros
(LEVEL 4)
“Ao invés de posicionar acesso de
terceiros na DMZ, onde ainda existe a
possibilidade de expor as estações de
trabalho e servidores à ameaças
externas, a implantação ideal seria a
criação de uma zona separada para
suporte de acesso remoto
• Zona de Acesso de
Terceiros (Nível 4) criada
para fornecer total
visibilidade do tráfego
que entra e sai da rede
de produção com a
capacidade de alertar ou
bloquear malware
conhecidos e
desconhecidos
(APT/0Day).
• Restringir o acesso com
base em grupos
(usuários), apliações
administrativas
necessárias (telnet/ssh) e
determinados períodos
(agendamentos)
Fabricantes de automação
VPN Cliente Servidor
Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
• Problema:
• Ataques proliferando através de conexões MPLS de redes de parceiros.
• Aquisição de dados em tempo real utilizando protocolo IEC 60870-5-104:
▪ Consultas a sistemas de Supervisão para dados
em tempo real sobre produção;
▪ Consultas diretas às subestações.
• Consequências:
- Listas de Acesso básicas de camada 3 aplicadas
em roteadores (layer3);
- Firewall de controle de porta e protocolo (camada 4)
não bloqueia protocolos e ameaças de camada
de aplicação
• Arquitetura do protocolo IEC 60870-5-104: não
baseia-se em porta fixa são portas dinâmicas alocadas aleatoriamente.
▪ Ataques de força bruta em sistemas supervisórios (incidente reportado a partir de credencial
vazada).
▪ Vírus e worms encontrados na rede (ex: Conficker, Ninda, Blaster).
• Solução: Criação da
zona de acessos corporativa
(LEVEL 4)
“Do ponto de vista do modelo de
referência Perdue, a Zona
Business/Enterprise enquanto se
mantém em relação à rede de
controles industriais, como ameaça
potencial, deve ter todo tráfego
rigorosamente inspecionado.
• Tratar o IEC 60870-5-
104 com inteligência
nativa de camada de
aplicação permitindo
somente o protocolo
base e suas sub
funções trafegando
para os níveis
adjascentes (L3-L2-L1).
• Visibilidade total no
tráfego que entra e sai
da zona Business com
a capacidade de
alertar ou bloquear
ataques e ameaças
avançadas
(malware conhecido e
desconhecido).
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
• Problema:
• Reprogramação de PLCs/RTUs a partir de origens desconhecidas
• Reinicialização de remotas (subestações) sem causa aparente;
• Comandos DNP3 e sub funções (dnp3-operate/direct-operate/read/write)
disparados de origens desconhecidas.
• Consequencias:
• Incidente reportado devido a Perda de Visão e Controle (Loss of View and Loss
of Control) devido a reinicialização das remotas.
• Possibilidade de sabotagem devido a falta de segmentação entre diferentes
níveis Perdue Model
▪ BlackEnergy = Shutdown subestações através de reprogramação
de remotas (disjuntores desligados).
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
• Solução: Criação da Zona de PLC
(LEVEL 1)
“Dispositivos colocados nesta zona são itens
como PLCs, Remotas e relés programáveis”.
Somente Zona dos Sistemas de Supervisão
(ICS) Level 2 podem enviar comandos de leitura
e escrita para zona de PLC (Level 1).
• A criação de Nível 1
zona reforça a
proteção contra
acesso não
autorizado com a
intenção de
reprogramar
dispositivos PLC.
• Concede a
visibilidade
adequada e
controle
restringindo fontes
única confiáveis
(Sistemas de
supervisão) para
leitura e escrita de
PLCs
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
• Problema:
• Cópia de arquivo infectado para máquina de operação de Centro de Controle
• Consequências :
• Perda de Visão e Controle da operação devido a proliferação de malware moderno.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
• Solução: Proteção de
Endpoint Avançada (TRAPS)
“Necessidade de proteção do legado e de
sistemas que não possuem atualizações
constants ou são impossibilitados de receber
patching de forma constante”.
• TRAPS permite a
proteção do legado
sem uso de
assinaturas.
• Proteção de SOs
descontinuados ou
máquinas sem
patches.
• Inexistência de
scanning no Sistema
operacional.
• Foca nas técnicas
utilizadas por
exploits e integra-se
a nuvem de
inteligencia de
malware Wildfire
para análise de
códigos maliciosos.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevenção de Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3
Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
• Problema:
• Engenheiro de processos visitando uma instalação industrial de uma empresa de
transmissão de gás com cópias de backup de Código de programação de projetos
infectando a estação de engenharia de uma planta e também o banco de dados de
Historian com o Worm Nimda*
* Nimda pode se auto propagar pelas pastas de rede compartilhadas no Microsoft Windows)
• Consequências:
- Em 10 minutes depois de executar o arquivo “Readme.exe”, cópias dos arquivos
replicadas para outras máquinas da engenharia:
• Sistemas infectados iniciaram probe para outros endereços IP na mesma subnet. O probing
causou o congelamento da PLC e foi necessário um reboot para corrigir.
• Rede degradada comprometendo a comunicação dos sistemas de supervisão e PLCs.
Operadores consideraram ativar a parada de Emergência do processo industrial.
ISOLATION
LEVEL 5
Solução: Criação de uma nova VLAN e Zona
para fazer contenção da ameaça e restaurar
as Operações.
A necessidade de desligamento das operações da planta foi
evitada porque a planta tinha adequada segmentação /
zoneamento, bem como monitoramento e um plano de
contingência.
Contramedidas:
• Máquinas infectadas identificadas
• VLAN 666 criada e sistemas infectados desviados para
a mesma.
• Zona com nome “ISOLATION” configurada no NGFW com regras
específicas e controle de whitelhist de aplicações (camada 7)
Tempo de isolamento e recuperação:
Menos de 30 minutos.
Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
Ecossistema e Integração com
Parceiros Tecnológicos
ECOSSISTEMA DE PARCEIROS ESTRATÉGICOS
38 | © 2017, Palo Alto Networks. All Rights Reserved.
STRATEGIC PARTNERSHIPS
SERVICE PROVIDERSTECHNOLOGY PARTNER ECOSYSTEM GSI
AUTOMATION CLOUD
ENTERPRISE
SECURITY
ICS/ IOT
IDENTITY NETWORKING MOBILITY
SECURITY
ANALYTICS
SD-WAN
THREAT
INTELLIGENCE
VIRTUALIZATION
ECOSSISTEMA DE PARCEIROS EXPANSIVOS
39 | © 2018, Palo Alto Networks. All Rights Reserved.
CLOUD ENTERPRISE SECURITY ICS / IoT
THREAT INTELLIGENCE
VIRTUALIZATION
SD-WAN
IDENTITY& ACCESS MANAGEMENT
NETWORKING
SECURITY ANALYTICS
MOBILITY
ORCHESTRATION & SECURITY
AUTOMATION
INTEGRAÇÃO VIA XML API
40 | © 2018, Palo Alto Networks. All Rights Reserved.
• PAN-OS XML API
• Gerenciar NGFWs e Panorama por meio
de uma API programática baseada em
XML
• Acesse e gerencie seu firewall por meio
de um serviço, aplicativo ou script de
terceiros
• Exemplo de integração da API
• ICS Network Monitoring & Analysis
• Security Analytics, SIEM
• Security Orchestration and Automation
Next-generation
Firewall
Panorama
XML API XML API
ICS Network
Monitoring, Analytics
Security Analytics,
SIEM
Security Orchestration
and Automation
Sumário
Palo Alto Networks Value Proposition for ICS
• Visibilidade de camada 7 com contexo específico para
protocolos industriais.
• Grande cobertura de protocolos ICS/SCADA
• Granularidade e conhecimento de sub funções
operacionais, protocolos, aplicações, usuários e
ameaças.
• Visibilidade e Controle dos “Protocolos de Risco”
• Visibilidade e controle de leituras, escritas, reinicialização
entre outros comportamentos de PLC que devem ser
monitorados para segurança dos processos industriais.
• Flexibilidade de segmentação de rede granular
• ISA 62443, Purdue, NERC CIP, NIST e modelos
similares. Controle RBAC.
Provimento de plataforma de next-generation security que prove
capacidades específicas de segurança cibernética para Sistemas de
Controles Industriais na prevenção de ataques visando a manutenção
da disponibilidade, resiliência e da segurança dos processos industriais.
• Alta performance e Arquitetura de Alta Disponibilidade
• Arquitetura única de processamento em
paralelo (single pass).
• Data Plane e Control Planes separados.
• Diferentes deployments - inline (“layer1) sem
reconfiguração da rede, layer2, layer3, TAP.
• Sem scanning e footprint minimo de CPU e
memória para agente de endpoint.
• Prevenção de Ameaças de sistemsa de legado
– Proteção de sistemas vulneráveis e de hosts
sem patch contra ameaças conhecidas e
principalmente desconhecidas (0day) com uso
do Wildfire e Traps (endpoint)
Saiba mais - OT Modernization Website
▪ Whitepapers ICS cybersecurity
▪ Conceitos Chave
▪ Blueprints de referência
▪ Estudos de Caso técnicos
▪ Estudos de Caso de clientes
▪ Informação de Produtos
▪ Avaliação prática (hands on)
▪ Informação sobre os parceiros de
ICS/SCADA
43 | © 2015, Palo Alto Networks. Confidential and Proprietary.
paloaltonetworks.com/products/innovations/ot-modernization
Go to:
Hands-on na plataforma da Palo Alto Networks
44 | © 2015, Palo Alto Networks. Confidential and Proprietary.
Control Network
Security Lifecycle Review (SLR) ICS Hands-on Workshop
• Laboratórios práticos para segurança
cibernética industrial usando a plataforma
Palo Alto Networks
• Ambiente industrial virtualizado, incluindo
HMIs e PLCs
• Saiba como sua rede de controle está
sendo usada e quais riscos podem existir
• Relatório resumido fornecido como parte
do SLR
• Monitoramento passivo e confidencial
PRESTOU ATENÇÃO NA APRESENTAÇÃO?
PARTICIPE DO JOGO PARA GANHAR BRINDES!
AGORA EM NOSSO STAND!!!
1. Baixe o aplicativo Kahoot! para seu dispositivo móvel;
2. Ou acesse https://kahoot.it quando o jogo começar;
3. Entre com o PIN do jogo (fornecido no stand no início da dinâmica)
Obrigado!
afreire@paloaltonetworks.com

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael Sampaio
 
White Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote AccessWhite Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote Access
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 
[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha
 
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau Branco
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
 
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
CLASS 2018 - Palestra de Paulo Roberto Antunes de Souza Jr. (Gerente de Engen...
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci    por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci    por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação Industrial
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo Cardoso
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
 
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
 
Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"
 
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
 
CLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto EnglerCLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto Engler
 

Semelhante a CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)

Mecanismos de segurança linux
Mecanismos de segurança linuxMecanismos de segurança linux
Mecanismos de segurança linux
Allan Reis
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
mauriciomoda
 
SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...
SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...
SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...
Marcia C. Santos
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3
Ademar Freitas
 

Semelhante a CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks) (20)

Segurança em Sistemas SCADA
Segurança em Sistemas SCADASegurança em Sistemas SCADA
Segurança em Sistemas SCADA
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - Baumier
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo Fernandes
 
Selecionando application procotocols para IoT
Selecionando application procotocols para IoTSelecionando application procotocols para IoT
Selecionando application procotocols para IoT
 
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
 
RelatÓrio Da Palestra Final
RelatÓrio Da Palestra FinalRelatÓrio Da Palestra Final
RelatÓrio Da Palestra Final
 
Desafios do IoT
Desafios do IoTDesafios do IoT
Desafios do IoT
 
Apresentação rerum 26112016 versão final
Apresentação rerum 26112016   versão finalApresentação rerum 26112016   versão final
Apresentação rerum 26112016 versão final
 
Cyberoam USP (PT-BR)
Cyberoam USP (PT-BR)Cyberoam USP (PT-BR)
Cyberoam USP (PT-BR)
 
Trabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesTrabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de Soluções
 
Mecanismos de segurança linux
Mecanismos de segurança linuxMecanismos de segurança linux
Mecanismos de segurança linux
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetro
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
 
Webinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTWebinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoT
 
SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...
SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...
SWBR2014 - Solução Inovadora de Smart Energy com 6LowPan e ZigBee - Artur Pol...
 
Bridges Virtuais
Bridges VirtuaisBridges Virtuais
Bridges Virtuais
 
Cyber Security for Servers in Environment Aggressive
Cyber Security for Servers in Environment AggressiveCyber Security for Servers in Environment Aggressive
Cyber Security for Servers in Environment Aggressive
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 

Mais de TI Safe

Mais de TI Safe (20)

CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
 
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
CLASS 2022 - Júlio Omori (COPEL) e Tânia Marques (consultora independente) - ...
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
 
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
CLASS 2022 - Sergio Sevileanu (Siemens) e Felipe Coelho (Claroty) - Habilitan...
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
 
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
CLASS 2022 - Felipe Jordão (Palo Alto Networks) - Boas práticas de operações ...
 
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
CLASS 2022 - Abilio Franco e Bryan Rivera (Thales) - Privacidade de dados e c...
 
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível ...
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
 
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
Vitor Sena e Daniel Quintão (Gerdau) - Projeto, implantação, gestão e monitor...
 
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
CLASS 2022 - Marty Edwards (Tenable) - O perigo crescente de ransomware crimi...
 
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era...
 
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
CLASS 2022 - Denis Sousa, Abner Bueno e Eduardo Pontes (Norte Energia) - Anál...
 
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
CLASS 2022 - Nycholas Szucko (Nozomi Networks) - Antifragilidade Cibernética ...
 
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
CLASS 2022 - Gustavo Merighi (Energisa) e Alessandro Moretti (Thales) - O Des...
 
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
CLASS 2022 - Marcelo Branquinho (TI Safe) - Ameaças Modernas e Ataques às red...
 
Retrospectiva
RetrospectivaRetrospectiva
Retrospectiva
 
Palestra eb 02 07-19
Palestra eb 02 07-19Palestra eb 02 07-19
Palestra eb 02 07-19
 
Ignite 2019
Ignite 2019Ignite 2019
Ignite 2019
 

Último

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Dirceu Resende
 

Último (6)

Certificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfCertificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdf
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
Apresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfApresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdf
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 

CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)

  • 1. Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Sistemas de Controles Industriais Remotos Alexandre Freire Brazil Enterprise & Industrial Cybersecurity Sales Engineer ww Industrial Control Systems Tiger Team afreire@paloaltonetworks.com
  • 2. Parceria mundial Siemens & Palo Alto Networks 2 | © 2015, Palo Alto Networks. Confidential and Proprietary. https://www.siemens.com/press/en/pressrelease/?press=/en/pressrelease/20 18/digitalfactory/pr2018040156dfen.htm&content[]=DF Go to:
  • 3. Pergunta 1 : Ambientes SCADA/ICS são menos seguros e mais vulneráveis do que eram há anos atrás? 3 | © 2018, Palo Alto Networks. All Rights Reserved.
  • 4. 2010 2011 2012 2012 2013 2014 2014 2014 2015 2016 Duqu Coleção de malware de computador que se acredita estar relacionado ao Stuxnet. Usado para procurar informações que podem ser úteis no ataque ao ICS. Shamoon Como Stuxnet, Duqu e Flame, Shamoon é voltado para empresas de energia. Ele não interrompeu serviços como o Stuxnet ou roubou informações de negócios como Flame e Duqu. Em vez disso, ele removeu e substituiu as informações do disco rígido. German Steel Mill Attack Segundo caso confirmado em que um ataque totalmente digital causou destruição física de equipamentos. Ukraine Attack BlackEnergy3 O objetivo principal parece ser a espionagem cibernética, descobridores de trojans capazes de infectar sistemas de Controle Industrial SCADA podem significar algo mais nefasto. Stuxnet O primeiro caso notável de uma arma digital sofisticada lançada contra sistemas de controle no Irã. Flame Definido como um malware sofisticado e muito complexo. Capaz de se espalhar para outros sistemas através de conexões LAN ou USB. Pode gravar áudio, capturas de tela, atividade de teclado e tráfego de rede. Energetic Bear Um malware poderoso que permitia aos seus operadores monitorar o consumo de energia em tempo real ou prejudicar os sistemas físicos. Dragonfly As evidências indicam que as empresas farmacêuticas são o principal alvo. O malware contém um Industrial Protocol Scanner usado para localizar dispositivos normalmente instalados em embalagens de bens de consumo. Malware Impactando Infraestrutura Crítica Crash Override/ Industroyer Malware mais avançado do que as ferramentas de uso geral usadas para atacar a rede elétrica da Ucrânia em 2015. Capacidade de usar os mesmos protocolos nos quais os sistemas de rede elétrica individuais dependem para se comunicar uns com os outros 2017 Triton/Trisys O malware é direcionado aos controladores do sistema de instrumentos de segurança Triconex fabricados pela Schneider e substitui a lógica de controladores , uma ação que pode resultar em consequências físicas. 4 | © 2018, Palo Alto Networks. All Rights Reserved.
  • 5. 5 Pergunta 2 : Por que, no passado, não observamos malware atingindo operações industriais? Porque todo processo industrial era controlado por comunicação serial. Mas os Processos precisaram evoluir…
  • 6. Processos Industriais Geograficamente Distribuídos e Interconectados ICS/SCADA Aplicações baseadas em Protocolo TCP/IP Control Center East Region SCADAENGR RTU / PLC / IED HIST OPC Server Control Center West Region SCADAENGR HIST OPC Server ICCP MMS Elcom 90 DNP3: Distributed Network Protocol 3 CIP Ethernet: Common Industrial Protocol Ethernet OPC: Open Platforms Communication, formerly OLE for Process Control ICCP: Inter Control Center Protocol MMS: Manufacturing Message Specification General Modbus DNP3 CIP Ethernet Electric Utilities IEC 60870-5-104 IEC 61850-3 /MMS Synchrophasor Elcom 90 Bridge/Service OPC DA/UA Apps Cygnet – Oil & Gas SCADA PI - Historian Aplicações e Protocolos para ICS/SCADA surgem • Protocolos seriais ainda em uso (ex: Serial Modbus) • Outras implementações customizadas surgindo. Remote/Sub Stations/Process Zone Smarter Interconnected Devices (Industrial IoT)
  • 7. A Modernização da Tecnologia de Automação “OT Modernization” Rede Corporativa Indústria 4.0 ”IT” Operational Technology ”OT” 7 | © 2017, Palo Alto Networks. Confidential and Proprietary. Smart ”X” (X = Grid, Factory, Building, Transport) Industrial IoT • Unificação da rede IP • Mais conectividade externa • “Refresh tecnológico” de OT & IT • Virtualização, Cloud, Mobile, 4G/5G PLCs / RTUs HMI Estação Remota / Chão de Fábrica Centro de Controle Control Servers SCADA Master /HMI Integração IT-OT Internet WAN Poços de Petróleo Digitais Industrial
  • 8. Ataques cibernéticos como grande preocupação – Fórum de Davos
  • 9. PALO ALTO NETWORKS OPERATING SYSTEM PLATFORM NETWORK SECURITY ADVANCED ENDPOINT PROTECTION CLOUD SECURITY WildFireThreat Prevention URL Filtering AutoFocus Logging Service MineMeld SECURITY SERVICES Magnifier 9 | © 2018, Palo Alto Networks. All Rights Reserved.
  • 10. Benefícios da Plataforma para OT PARAR O DESCONHECIDO E AMEAÇAS DESCONHECIDAS COMPLETA, VISIBILIDADE DE OT CONFORMIDADE COM NORMAS E REGULAMENTAÇÔES PLATAFORMA ESCALÁVEL E TCO REDUZIDO INTEGRAÇÃO SEGURA ENTRE IT-OT
  • 11. Next-generation Firewall – Arquitetura Ùnica 11 | © 2018, Palo Alto Networks. All Rights Reserved. Segurança de Protocolos e Aplicações Industriais Controles de usuários e grupos Proteção contra conteúdo malicioso • Arquitetura de alta performance, baixa latência e alta disponibilidade • Correlação nativa de eventos App-ID User-ID Content-ID Next-generation Firewall SP3 • Mecanismo único de processamento em paralelo (SP3) • Hardware com funções dedicadas para diferentes funções
  • 12. App-IDs para Protocolos e Aplicações Industriais 12 | © 2018, Palo Alto Networks. All Rights Reserved. Protocol / Application Protocol / Application Protocol / Application Protocol / Application Protocol /Application ◼ DNP3 ◼ Modbus ◼ Siemens S7 ◼ Schneider/Wonderware SuiteLink ◼ Fisher-ROC ◼ IEC 60870-5-104 ◼ CIP EtherNet IP ◼ Siemens FactoryLink ◼ Schneider OaSys ◼ Cygnet SCADA ◼ ICCP (IEC 60870-6 / TASE.2) ◼ BACnet ◼ Siemens Profinet IO ◼ Rockwell FactoryTalk ◼ Fanuc-Focas ◼ Synchrophasor (IEEE C.37.118) ◼ OPC UA ◼ ABB Network Manager ◼ GE iFIX ◼ MQTT ◼ Elcom 90 ◼ OPC DA ◼ Honeywell/Matrikon OPC Tunneller ◼ GE EGD ◼ RTCM (GPS/IP) ◼ DLMS / COSEM / IEC 62056 ◼ R-GOOSE ◼ OSIsoft PI Systems ◼ GE-Historian • Entendimento do protocolo base e subfunções. • Subfunções de aplicações/protocolos como Modbus, DNP3, ICCP, S7, BACnet, IEC 60870-5-104 • Custom App-ID Decoders for ICS: Modbus, ICCP, DNP3 • Flexibilidade na criação de novas aplicações/protocolos (captura de tráfego e PCAPs/solicitação on-line para novos App-IDs.
  • 13. Serviços de Segurança Nativamente Integrados 13 | © 2018, Palo Alto Networks. All Rights Reserved. • Acesso seguro à rede para dispositivos móveis em OT, Ex: laptops de manutenção, terceiros, tablets HMIs e fornecedores. Global Protect • Acesso a Internet Seguro a partir da automação. Ex: Acesso a website de fabricante para download de patches/firmware URL Filtering • Detectar e bloquear rapidamente proliferações de Malware 0-day ex: “Os próximos” Black Energy, CrashOverride, Wannacry. • Transforma o descohecido em conhecido em apenas 5 minutos. WildFire • Proteção de sistemas sem patches ou que não podem receber patches das ameaças conhecidas ao ambiente industrial (malware, exploits, C2) Threat Prevention • Monitoramento de atividades de escrita, leitura e reinicialização de PLCs, RTUs e IEDs.
  • 14. Segmentação de Rede com NGFW e Serviços de Segurança 14 | © 2018, Palo Alto Networks. All Rights Reserved. • Maximizar a visibilidade de tráfego de OT • Reduzir a superfície de ataque • Política Granular entre zonas (L7) • Secure mobile/internet access as allowed • Para exploits conhecidos, malware, Tráfego de Botnets • Rapidamente Descobrir e parar as ameaças 0Day. NGFW as a Security “Conduit” (ISA 62443) Zone 1 Zone 2 Zone 3
  • 15. 15 | © 2018 Palo Alto Networks, Inc. All Rights Reserved. Manufacturing Operations Level 3 • Historian • Process-specific • Engineer Station Control Systems Level 2 • HMI • Engineer Station Intelligent Devices Level 1 • PLC • RTU • IED Process Level 0 Physical Actuator DMZ Level 3.5 • Historian Repl • Jump Server • Patch Server Business Level 4 • Internet • Email • Data Services Purdue/ISA95Model Principais pontos de atenção para lembrar ao abordar sistemas legados Internet MPLSAPN Remote User 3rd Party Support Historians Polling Srv HMI RTU Eng Workstation Process-specific IED Actuator Jump Srv Process Control Network Internet MPLSAPN Remote User 3rd Party Support Historians Polling Srv HMI RTU Eng Workstation Process-specific IED Actuator Jump Srv LEVEL 4 LEVEL 0 LEVEL 3 LEVEL 2 LEVEL 1 Process Control Network
  • 16. 16 | © 2018 Palo Alto Networks, Inc. All Rights Reserved. Principais pontos de atenção para lembrar ao abordar sistemas legados Infraestrutura antiga e melhores práticas antigas • Switches não gerenciados • Todos os dispositivos na VLAN1 • Falta de segurança devido a demora introduzida (latência) • Autenticação • Simples, fraco ou parcial • Sistemas de Legado • Projetados e implantados há mais de 20 anos Internet MPLSAPN Remote User 3rd Party Support Historians Polling Srv HMI RTU Eng Workstation Process-specific IED Actuator Jump Srv LEVEL 4 LEVEL 0 LEVEL 3 LEVEL 2 LEVEL 1 Process Control Network
  • 17. Zero-Trust Deployment 17 | © 2018 Palo Alto Networks, Inc. All Rights Reserved. Internet MPLSAPN Remote User 3rd Party Support Historians Polling Srv HMI RTU Eng Workstation Process-specific IED Actuator Jump Srv LEVEL 4 LEVEL 0 LEVEL 3 LEVEL 2 LEVEL 1 Process Control Network Princípios da Arquitetura de Zero-Trust • Todos os recursos são acessados ​​de maneira segura, independentemente da localização • O controle de acesso está em uma base de "necessidade de conhecimento" e rigorosamente aplicado • Inspecionar e logar todo o tráfego
  • 18. Exemplos de Políticas 18 | © 2018, Palo Alto Networks. All Rights Reserved. SOURCE DESTINATION Rule Zone Address User Zone Address Application Action Security Profile 3rd Party Modbus Read Only 3rd Party Any ICS_VEN DOR_A ICS PLC Device Address Modbus_read_ commands Allow Threat Prevention (Modbus Exploits) Business (Level 4) DMZ (Level 3.5) 3rd Party (Level 3 or 2) ICS (Level 1) SOURCE DESTINATION Rule Zone Address User Zone Address Application Action Security Profile Secure Remote Access Business IP address of workstation Joe Engineer DMZ IP Address of Jump Server RDP Allow Threat Prevention, WildFire SOURCE DESTINATION Rule Zone Address User Zone Address Application Action Security Profile Historian Replication ICS IP address of primary historian Any DMZ IP Address of replicated historian OSIsoft Pi Allow Threat Prevention, WildFire • Políticas de segurança simplificadas e intuitivas • Componentes de aplicativos, usuários e ameaças são vinculados contextualmente • Reduza significativamente a superfície de ataque ao ambiente industrial
  • 19. BluePrint Palo Alto Networks com Modelo de Referência ISA 95 Perdue https://www.paloaltonetworks.com/resources/whitepapers/industrial- control-blueprint-reference
  • 20. 20 | © 2018, Palo Alto Networks. All Rights Reserved. PA-220 PA-800 SERIES PA-5200 SERIES PA-7000 SERIES PA-220R Plant Perimeter / ICS Core SCADA Core / Control Center / PCN / MES OT Datacenter Plant Perimeter / ICS Core Industrial Cloud (AWS, Azure, Google) VM-Series Virtualized NGFW Panorama Network Security Management Harsh Environments PA-3000 SERIES Segurança Consistente para Instalações Industriais & Enterprise
  • 21. Segurança Consistente para Instalações Industriais Prevenção de ameaças conhecidas e desconhecidas, incluindo ameaças específicas de ICS/SCADA Aplicações/Protocolos específicos de ICS/SCADA Suporte a Temperaturas elevadas Certificações para ambientes industriais Design sem ventoinha, sem peças móveis para maior confiabilidade Alta disponibilidade e fontes de alimentação DC duplas para redundância PA-220ROil & GasWater Utilities Electric Transmission & Distribution Power Generation Manufacturing Transportation 21 | © 2018, Palo Alto Networks. All Rights Reserved.
  • 22. PA-220R Caso de Uso – Proteção chão de fábrica 22 | © 2015, Palo Alto Networks. Confidential and Proprietary. • Visibilidade protocolos industriais em camada 7 e controle de acesso • Aplicação/Protocolo • Usuário/Grupos de usuários • Conteúdo • Prevenção de Ameaças • Ameaças conhecidas e Desconhecidas • VPN Site-to-site • Alta Disponibilidade (caso requerido) • Gerenciamento Centralizado • Configuração e Política • Logs e Relatórios
  • 23. Requerimentos para Inteligência de Ameaças Cibernéticas 223.144.191.23 Adversário BlackEnergy Indicadores Relaciondos Conexão: 101.55.121.171:443 DNS: gagalist.net Alvos Governo, Militar, Empresas de Energia Contexto sobre indicadores e incidentes Resposta rápida e proativa Priorização de Eventos Importantes Automaticamente exporta indicadores maliciosos para soluções de segurança Previne futuros ataques
  • 24. Palo Alto Networks AutoFocus Visão da Proliferação de BlackEnergy ao redor do mundo. • Proliferação do BlackEnergy em diferentes indústrias; • Manifestações em diferentes variantes do Malware • Alastramento Geográfico • “Tags” de categorização do malware e colaboração da indústria para compartilhamento de informações; • Análise forense do ciclo de vida do Malware: Propriedades de rotinas e chamadas a variáveis de ambientes operativos.
  • 25. Estudo de Caso Exemplos reais de implementações realizadas pela Palo Alto Networks no mundo para reduzir riscos e aumentar a segurança e resiliencia de ambientes industriais contra ameaças cibernéticas.
  • 26. Caso 1 – Proliferação de vírus via terceiros (Oil and Gas) • Problema: • Fornecedores externos de automação disseminando vírus, códigos maliciosos e aplicações para rede SCADA a partir de conexões de VPN : • Conexão de VPN provê criptografia mas e sobre controle de segurança, ameaças e visibilidade de aplicações e protocolos? • Consequências: - Aplicações indesejáveis e Maliciosas encontradas devido ao roteamento 0.0.0.0 • Default gateway para túnel de VPN = Ambiente Operativo (falha de configuração) • Túnel terminando em Firewall de porta/protocolo agindo como concentrador de VPN ▪ Falta de visibilidade de aplicações/protocolos e ameaças conhecidas/desconhecidas Aplicações encontradas: Dropbox, Bittorrent e Skype ▪ Atividades suspeitas de DNS indicando máquinas comprometidas (Botnets) ▪ Worm Conficker proliferando na rede (overhead/latência) • Rede industrial paralizada afetando controle da produção (interrupção de comunicação entre sistemas supervisórios e PLCs).
  • 27. • Solução: Criação de uma Zona de Acesso de Terceiros (LEVEL 4) “Ao invés de posicionar acesso de terceiros na DMZ, onde ainda existe a possibilidade de expor as estações de trabalho e servidores à ameaças externas, a implantação ideal seria a criação de uma zona separada para suporte de acesso remoto • Zona de Acesso de Terceiros (Nível 4) criada para fornecer total visibilidade do tráfego que entra e sai da rede de produção com a capacidade de alertar ou bloquear malware conhecidos e desconhecidos (APT/0Day). • Restringir o acesso com base em grupos (usuários), apliações administrativas necessárias (telnet/ssh) e determinados períodos (agendamentos) Fabricantes de automação VPN Cliente Servidor Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
  • 28. Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia) • Problema: • Ataques proliferando através de conexões MPLS de redes de parceiros. • Aquisição de dados em tempo real utilizando protocolo IEC 60870-5-104: ▪ Consultas a sistemas de Supervisão para dados em tempo real sobre produção; ▪ Consultas diretas às subestações. • Consequências: - Listas de Acesso básicas de camada 3 aplicadas em roteadores (layer3); - Firewall de controle de porta e protocolo (camada 4) não bloqueia protocolos e ameaças de camada de aplicação • Arquitetura do protocolo IEC 60870-5-104: não baseia-se em porta fixa são portas dinâmicas alocadas aleatoriamente. ▪ Ataques de força bruta em sistemas supervisórios (incidente reportado a partir de credencial vazada). ▪ Vírus e worms encontrados na rede (ex: Conficker, Ninda, Blaster).
  • 29. • Solução: Criação da zona de acessos corporativa (LEVEL 4) “Do ponto de vista do modelo de referência Perdue, a Zona Business/Enterprise enquanto se mantém em relação à rede de controles industriais, como ameaça potencial, deve ter todo tráfego rigorosamente inspecionado. • Tratar o IEC 60870-5- 104 com inteligência nativa de camada de aplicação permitindo somente o protocolo base e suas sub funções trafegando para os níveis adjascentes (L3-L2-L1). • Visibilidade total no tráfego que entra e sai da zona Business com a capacidade de alertar ou bloquear ataques e ameaças avançadas (malware conhecido e desconhecido). MPLS supporting a business requirement for Supervisory Pooling from external organization Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
  • 30. • Problema: • Reprogramação de PLCs/RTUs a partir de origens desconhecidas • Reinicialização de remotas (subestações) sem causa aparente; • Comandos DNP3 e sub funções (dnp3-operate/direct-operate/read/write) disparados de origens desconhecidas. • Consequencias: • Incidente reportado devido a Perda de Visão e Controle (Loss of View and Loss of Control) devido a reinicialização das remotas. • Possibilidade de sabotagem devido a falta de segmentação entre diferentes níveis Perdue Model ▪ BlackEnergy = Shutdown subestações através de reprogramação de remotas (disjuntores desligados). Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
  • 31. • Solução: Criação da Zona de PLC (LEVEL 1) “Dispositivos colocados nesta zona são itens como PLCs, Remotas e relés programáveis”. Somente Zona dos Sistemas de Supervisão (ICS) Level 2 podem enviar comandos de leitura e escrita para zona de PLC (Level 1). • A criação de Nível 1 zona reforça a proteção contra acesso não autorizado com a intenção de reprogramar dispositivos PLC. • Concede a visibilidade adequada e controle restringindo fontes única confiáveis (Sistemas de supervisão) para leitura e escrita de PLCs Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
  • 32. • Problema: • Cópia de arquivo infectado para máquina de operação de Centro de Controle • Consequências : • Perda de Visão e Controle da operação devido a proliferação de malware moderno. Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle Ataque de Ransomware (Empresa de Energia)
  • 33. • Solução: Proteção de Endpoint Avançada (TRAPS) “Necessidade de proteção do legado e de sistemas que não possuem atualizações constants ou são impossibilitados de receber patching de forma constante”. • TRAPS permite a proteção do legado sem uso de assinaturas. • Proteção de SOs descontinuados ou máquinas sem patches. • Inexistência de scanning no Sistema operacional. • Foca nas técnicas utilizadas por exploits e integra-se a nuvem de inteligencia de malware Wildfire para análise de códigos maliciosos. Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle Ataque de Ransomware (Empresa de Energia)
  • 34. Heap Spray Utilizing OS Functions JIT Child Process Unsigned Executable Restricted Location Admin Pre-Set Verdicts Wildfire Known Verdict On Demand Inspection Injection Attempts Blockage Traps Malware Protection Palo Alto Networks Traps Prevenção de Exploits/Malware no Endpoint Delivery Exploitation Download and Execute Execution Restriction 1 Execution Restriction 2 Execution Restriction 3 Local Verdict Check Wildfire Verdict Check Wildfire Inspection Malicious Thread Injection Intelligence and Emulation Traps Exploit Protection Advanced Execution Control Malicious Behavior Protection Memory Corruption Logic Flaws 4 5 6 7 8 9 10 Exploitation Technique 1 Exploitation Technique 2 Exploitation Technique 3 1 2 3
  • 35. Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás) • Problema: • Engenheiro de processos visitando uma instalação industrial de uma empresa de transmissão de gás com cópias de backup de Código de programação de projetos infectando a estação de engenharia de uma planta e também o banco de dados de Historian com o Worm Nimda* * Nimda pode se auto propagar pelas pastas de rede compartilhadas no Microsoft Windows) • Consequências: - Em 10 minutes depois de executar o arquivo “Readme.exe”, cópias dos arquivos replicadas para outras máquinas da engenharia: • Sistemas infectados iniciaram probe para outros endereços IP na mesma subnet. O probing causou o congelamento da PLC e foi necessário um reboot para corrigir. • Rede degradada comprometendo a comunicação dos sistemas de supervisão e PLCs. Operadores consideraram ativar a parada de Emergência do processo industrial.
  • 36. ISOLATION LEVEL 5 Solução: Criação de uma nova VLAN e Zona para fazer contenção da ameaça e restaurar as Operações. A necessidade de desligamento das operações da planta foi evitada porque a planta tinha adequada segmentação / zoneamento, bem como monitoramento e um plano de contingência. Contramedidas: • Máquinas infectadas identificadas • VLAN 666 criada e sistemas infectados desviados para a mesma. • Zona com nome “ISOLATION” configurada no NGFW com regras específicas e controle de whitelhist de aplicações (camada 7) Tempo de isolamento e recuperação: Menos de 30 minutos. Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
  • 37. Ecossistema e Integração com Parceiros Tecnológicos
  • 38. ECOSSISTEMA DE PARCEIROS ESTRATÉGICOS 38 | © 2017, Palo Alto Networks. All Rights Reserved. STRATEGIC PARTNERSHIPS SERVICE PROVIDERSTECHNOLOGY PARTNER ECOSYSTEM GSI AUTOMATION CLOUD ENTERPRISE SECURITY ICS/ IOT IDENTITY NETWORKING MOBILITY SECURITY ANALYTICS SD-WAN THREAT INTELLIGENCE VIRTUALIZATION
  • 39. ECOSSISTEMA DE PARCEIROS EXPANSIVOS 39 | © 2018, Palo Alto Networks. All Rights Reserved. CLOUD ENTERPRISE SECURITY ICS / IoT THREAT INTELLIGENCE VIRTUALIZATION SD-WAN IDENTITY& ACCESS MANAGEMENT NETWORKING SECURITY ANALYTICS MOBILITY ORCHESTRATION & SECURITY AUTOMATION
  • 40. INTEGRAÇÃO VIA XML API 40 | © 2018, Palo Alto Networks. All Rights Reserved. • PAN-OS XML API • Gerenciar NGFWs e Panorama por meio de uma API programática baseada em XML • Acesse e gerencie seu firewall por meio de um serviço, aplicativo ou script de terceiros • Exemplo de integração da API • ICS Network Monitoring & Analysis • Security Analytics, SIEM • Security Orchestration and Automation Next-generation Firewall Panorama XML API XML API ICS Network Monitoring, Analytics Security Analytics, SIEM Security Orchestration and Automation
  • 42. Palo Alto Networks Value Proposition for ICS • Visibilidade de camada 7 com contexo específico para protocolos industriais. • Grande cobertura de protocolos ICS/SCADA • Granularidade e conhecimento de sub funções operacionais, protocolos, aplicações, usuários e ameaças. • Visibilidade e Controle dos “Protocolos de Risco” • Visibilidade e controle de leituras, escritas, reinicialização entre outros comportamentos de PLC que devem ser monitorados para segurança dos processos industriais. • Flexibilidade de segmentação de rede granular • ISA 62443, Purdue, NERC CIP, NIST e modelos similares. Controle RBAC. Provimento de plataforma de next-generation security que prove capacidades específicas de segurança cibernética para Sistemas de Controles Industriais na prevenção de ataques visando a manutenção da disponibilidade, resiliência e da segurança dos processos industriais. • Alta performance e Arquitetura de Alta Disponibilidade • Arquitetura única de processamento em paralelo (single pass). • Data Plane e Control Planes separados. • Diferentes deployments - inline (“layer1) sem reconfiguração da rede, layer2, layer3, TAP. • Sem scanning e footprint minimo de CPU e memória para agente de endpoint. • Prevenção de Ameaças de sistemsa de legado – Proteção de sistemas vulneráveis e de hosts sem patch contra ameaças conhecidas e principalmente desconhecidas (0day) com uso do Wildfire e Traps (endpoint)
  • 43. Saiba mais - OT Modernization Website ▪ Whitepapers ICS cybersecurity ▪ Conceitos Chave ▪ Blueprints de referência ▪ Estudos de Caso técnicos ▪ Estudos de Caso de clientes ▪ Informação de Produtos ▪ Avaliação prática (hands on) ▪ Informação sobre os parceiros de ICS/SCADA 43 | © 2015, Palo Alto Networks. Confidential and Proprietary. paloaltonetworks.com/products/innovations/ot-modernization Go to:
  • 44. Hands-on na plataforma da Palo Alto Networks 44 | © 2015, Palo Alto Networks. Confidential and Proprietary. Control Network Security Lifecycle Review (SLR) ICS Hands-on Workshop • Laboratórios práticos para segurança cibernética industrial usando a plataforma Palo Alto Networks • Ambiente industrial virtualizado, incluindo HMIs e PLCs • Saiba como sua rede de controle está sendo usada e quais riscos podem existir • Relatório resumido fornecido como parte do SLR • Monitoramento passivo e confidencial
  • 45. PRESTOU ATENÇÃO NA APRESENTAÇÃO? PARTICIPE DO JOGO PARA GANHAR BRINDES! AGORA EM NOSSO STAND!!! 1. Baixe o aplicativo Kahoot! para seu dispositivo móvel; 2. Ou acesse https://kahoot.it quando o jogo começar; 3. Entre com o PIN do jogo (fornecido no stand no início da dinâmica)