CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)

Desenhando Arquiteturas de
Segurança Cibernética Centradas na
Prevenção de Sistemas de Controles
Industriais Remotos
Alexandre Freire
Brazil Enterprise & Industrial Cybersecurity Sales Engineer
ww Industrial Control Systems Tiger Team
afreire@paloaltonetworks.com

Parceria mundial Siemens & Palo Alto Networks
2 | © 2015, Palo Alto Networks. Confidential and Proprietary.
https://www.siemens.com/press/en/pressrelease/?press=/en/pressrelease/20
18/digitalfactory/pr2018040156dfen.htm&content[]=DF
Go to:

Pergunta 1 :
Ambientes SCADA/ICS são menos
seguros e mais vulneráveis do que
eram há anos atrás?
3 | © 2018, Palo Alto Networks. All Rights Reserved.

2010 2011 2012 2012 2013 2014 2014 2014 2015 2016
Duqu
Coleção de malware de
computador que se
acredita estar
relacionado ao Stuxnet.
Usado para procurar
informações que podem
ser úteis no ataque ao
ICS.
Shamoon
Como Stuxnet, Duqu e Flame,
Shamoon é voltado para
empresas de energia. Ele não
interrompeu serviços como o
Stuxnet ou roubou
informações de negócios como
Flame e Duqu. Em vez disso,
ele removeu e substituiu as
informações do disco rígido.
German Steel Mill
Attack
Segundo caso confirmado em
que um ataque totalmente
digital causou destruição física
de equipamentos.
Ukraine
Attack
BlackEnergy3
O objetivo principal parece
ser a espionagem
cibernética, descobridores
de trojans capazes de
infectar sistemas de Controle
Industrial SCADA podem
significar algo mais nefasto.
Stuxnet
O primeiro caso notável
de uma arma digital
sofisticada lançada contra
sistemas de controle no
Irã.
Flame
Definido como um malware sofisticado
e muito complexo. Capaz de se espalhar
para outros sistemas através de
conexões LAN ou USB. Pode gravar
áudio, capturas de tela, atividade de
teclado e tráfego de rede.
Energetic Bear
Um malware poderoso
que permitia aos seus
operadores monitorar o
consumo de energia em
tempo real ou prejudicar
os sistemas físicos.
Dragonfly
As evidências indicam que
as empresas farmacêuticas
são o principal alvo. O
malware contém um
Industrial Protocol Scanner
usado para localizar
dispositivos normalmente
instalados em embalagens
de bens de consumo.
Malware Impactando Infraestrutura Crítica
Crash Override/
Industroyer
Malware mais avançado do que
as ferramentas de uso geral
usadas para atacar a rede
elétrica da Ucrânia em 2015.
Capacidade de usar os mesmos
protocolos nos quais os
sistemas de rede elétrica
individuais dependem para se
comunicar uns com os outros
2017
Triton/Trisys
O malware é direcionado
aos controladores do
sistema de instrumentos
de segurança Triconex
fabricados pela Schneider e
substitui a lógica de
controladores , uma ação
que pode resultar em
consequências físicas.

5
Pergunta 2 : Por que, no passado, não observamos
malware atingindo operações industriais?
Porque todo processo
industrial era controlado
por comunicação serial.
Mas os Processos
precisaram evoluir…

Processos Industriais Geograficamente Distribuídos e Interconectados
ICS/SCADA Aplicações baseadas em Protocolo TCP/IP
Control Center East Region
SCADAENGR
RTU / PLC / IED
HIST
OPC
Server
Control Center West Region
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
DNP3: Distributed Network Protocol 3
CIP Ethernet: Common Industrial Protocol Ethernet
OPC: Open Platforms Communication, formerly OLE for Process Control
ICCP: Inter Control Center Protocol
MMS: Manufacturing Message Specification
General
Modbus
DNP3
CIP Ethernet
Electric Utilities
IEC 60870-5-104
IEC 61850-3
/MMS
Synchrophasor
Elcom 90
Bridge/Service
OPC DA/UA
Apps
Cygnet – Oil &
Gas SCADA
PI - Historian
Aplicações e Protocolos para ICS/SCADA surgem
• Protocolos seriais ainda em uso (ex: Serial Modbus)
• Outras implementações customizadas surgindo.
Remote/Sub Stations/Process
Zone
Smarter Interconnected
Devices (Industrial IoT)

A Modernização da Tecnologia de Automação “OT Modernization”
Rede Corporativa
Indústria 4.0
”IT”
Operational Technology ”OT”
Smart ”X” (X = Grid, Factory, Building, Transport)
Industrial IoT
• Unificação da rede IP
• Mais conectividade externa
• “Refresh tecnológico” de OT & IT
• Virtualização, Cloud, Mobile, 4G/5G
PLCs / RTUs
HMI
Estação Remota / Chão de Fábrica
Centro de Controle
Control Servers
SCADA Master
/HMI
Integração IT-OT
Internet
WAN
Poços de Petróleo Digitais
Industrial

Ataques cibernéticos como grande preocupação – Fórum de Davos

PALO ALTO NETWORKS OPERATING SYSTEM PLATFORM
NETWORK SECURITY ADVANCED ENDPOINT PROTECTION CLOUD SECURITY
WildFireThreat Prevention URL Filtering AutoFocus Logging Service MineMeld
SECURITY SERVICES
Magnifier

Benefícios da Plataforma para OT
PARAR O
DESCONHECIDO E
AMEAÇAS
DESCONHECIDAS
COMPLETA,
VISIBILIDADE
DE OT
CONFORMIDADE
COM NORMAS E
REGULAMENTAÇÔES
PLATAFORMA
ESCALÁVEL E
TCO REDUZIDO
INTEGRAÇÃO
SEGURA ENTRE
IT-OT

Next-generation Firewall – Arquitetura Ùnica
Segurança de Protocolos
e Aplicações Industriais
Controles de
usuários e grupos
Proteção contra
conteúdo malicioso
• Arquitetura de alta performance,
baixa latência e alta disponibilidade
• Correlação nativa de eventos
App-ID User-ID Content-ID
Next-generation
Firewall
SP3
• Mecanismo único de
processamento em paralelo (SP3)
• Hardware com funções dedicadas
para diferentes funções

App-IDs para Protocolos e Aplicações Industriais
Protocol / Application Protocol / Application Protocol / Application Protocol / Application Protocol /Application
◼ DNP3 ◼ Modbus ◼ Siemens S7 ◼ Schneider/Wonderware SuiteLink ◼ Fisher-ROC
◼ IEC 60870-5-104 ◼ CIP EtherNet IP ◼ Siemens FactoryLink ◼ Schneider OaSys ◼ Cygnet SCADA
◼ ICCP (IEC 60870-6 / TASE.2) ◼ BACnet ◼ Siemens Profinet IO ◼ Rockwell FactoryTalk ◼ Fanuc-Focas
◼ Synchrophasor (IEEE C.37.118) ◼ OPC UA ◼ ABB Network Manager ◼ GE iFIX ◼ MQTT
◼ Elcom 90 ◼ OPC DA ◼ Honeywell/Matrikon OPC Tunneller ◼ GE EGD ◼ RTCM (GPS/IP)
◼ DLMS / COSEM / IEC 62056 ◼ R-GOOSE ◼ OSIsoft PI Systems ◼ GE-Historian
• Entendimento do protocolo base e subfunções.
• Subfunções de aplicações/protocolos como Modbus, DNP3, ICCP, S7, BACnet,
IEC 60870-5-104
• Custom App-ID Decoders for ICS: Modbus, ICCP, DNP3
• Flexibilidade na criação de novas aplicações/protocolos
(captura de tráfego e PCAPs/solicitação on-line para novos App-IDs.

Serviços de Segurança Nativamente Integrados
• Acesso seguro à rede para
dispositivos móveis em OT,
Ex: laptops de manutenção,
terceiros, tablets HMIs e
fornecedores.
Global
Protect • Acesso a Internet
Seguro a partir da
automação. Ex: Acesso
a website de fabricante
para download de
patches/firmware
URL
Filtering
• Detectar e bloquear
rapidamente
proliferações de
Malware 0-day
ex: “Os próximos” Black
Energy, CrashOverride,
Wannacry.
• Transforma o
descohecido em
conhecido em apenas 5
minutos.
WildFire
• Proteção de sistemas
sem patches ou que não
podem receber patches
das ameaças conhecidas
ao ambiente industrial
(malware, exploits, C2)
Threat
Prevention
• Monitoramento de
atividades de escrita,
leitura e reinicialização de
PLCs, RTUs e IEDs.

Segmentação de Rede com NGFW e Serviços de Segurança
• Maximizar a visibilidade de tráfego de OT
• Reduzir a superfície de ataque
• Política Granular entre zonas (L7)
• Secure mobile/internet access as allowed
• Para exploits conhecidos, malware,
Tráfego de Botnets
• Rapidamente Descobrir e parar as
ameaças 0Day.
NGFW as a
Security “Conduit”
(ISA 62443)
Zone
1
Zone
2
Zone
3

15 | © 2018 Palo Alto Networks, Inc. All Rights Reserved.
Manufacturing Operations
Level 3
• Historian
• Process-specific
• Engineer Station
Control Systems
Level 2 • HMI
• Engineer Station
Intelligent Devices
Level 1
• PLC
• RTU
• IED
Process
Level 0
Physical Actuator
DMZ
Level 3.5
• Historian Repl
• Jump Server
• Patch Server
Business
Level 4
• Internet
• Email
• Data Services
Purdue/ISA95Model
Principais pontos de atenção para lembrar ao abordar sistemas legados
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
Process Control Network
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1

Principais pontos de atenção para lembrar ao abordar sistemas legados
Infraestrutura antiga e melhores
práticas antigas
• Switches não gerenciados
• Todos os dispositivos na
VLAN1
• Falta de segurança devido a
demora introduzida (latência)
• Autenticação
• Simples, fraco ou parcial
• Sistemas de Legado
• Projetados e implantados
há mais de 20 anos
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1

Zero-Trust Deployment
Internet
MPLSAPN
Remote User
3rd Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Princípios da Arquitetura de Zero-Trust
• Todos os recursos são acessados de maneira segura,
independentemente da localização
• O controle de acesso está em uma base de "necessidade de
conhecimento" e rigorosamente aplicado
• Inspecionar e logar todo o tráfego

Exemplos de Políticas
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
3rd Party Modbus
Read Only
3rd Party Any ICS_VEN
DOR_A
ICS PLC Device
Address
Modbus_read_
commands
Allow Threat Prevention
(Modbus Exploits)
Business
(Level 4)
DMZ
(Level
3.5)
3rd Party
(Level 3
or 2)
ICS
(Level 1)
SOURCE DESTINATION
Secure Remote
Access
Business IP address of
workstation
Joe
Engineer
DMZ IP Address of
Jump Server
RDP Allow Threat Prevention,
WildFire
SOURCE DESTINATION
Historian
Replication
ICS IP address of
primary historian
Any DMZ IP Address of
replicated historian
OSIsoft Pi Allow Threat Prevention,
WildFire
• Políticas de segurança simplificadas e
intuitivas
• Componentes de aplicativos, usuários e
ameaças são vinculados contextualmente
• Reduza significativamente a superfície de
ataque ao ambiente industrial

BluePrint Palo Alto Networks com Modelo de Referência ISA 95 Perdue
https://www.paloaltonetworks.com/resources/whitepapers/industrial-
control-blueprint-reference

PA-220
PA-800 SERIES
PA-5200 SERIES
PA-7000 SERIES
PA-220R
Plant Perimeter / ICS Core
SCADA Core / Control Center /
PCN / MES
OT
Datacenter
Plant Perimeter /
ICS Core
Industrial Cloud
(AWS, Azure, Google)
VM-Series Virtualized NGFW
Panorama
Network Security
Management
Harsh
Environments
PA-3000 SERIES
Segurança Consistente para Instalações Industriais & Enterprise

Segurança Consistente para Instalações Industriais
Prevenção de ameaças conhecidas e
desconhecidas, incluindo ameaças
específicas de ICS/SCADA
Aplicações/Protocolos específicos de
ICS/SCADA
Suporte a Temperaturas elevadas
Certificações para ambientes
industriais
Design sem ventoinha, sem peças
móveis para maior confiabilidade
Alta disponibilidade e fontes de
alimentação DC duplas para redundância
PA-220ROil & GasWater
Utilities
Electric Transmission
& Distribution
Power
Generation
Manufacturing Transportation

PA-220R Caso de Uso – Proteção chão de fábrica
• Visibilidade protocolos industriais em
camada 7 e controle de acesso
• Aplicação/Protocolo
• Usuário/Grupos de usuários
• Conteúdo
• Prevenção de Ameaças
• Ameaças conhecidas e
Desconhecidas
• VPN Site-to-site
• Alta Disponibilidade (caso requerido)
• Gerenciamento Centralizado
• Configuração e Política
• Logs e Relatórios

Requerimentos para Inteligência de Ameaças Cibernéticas
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresas de Energia
Contexto sobre
indicadores e incidentes
Resposta rápida
e proativa
Priorização de
Eventos Importantes
Automaticamente exporta
indicadores maliciosos para
soluções de segurança
Previne futuros
ataques

Palo Alto Networks AutoFocus
Visão da Proliferação de BlackEnergy ao redor do mundo.
• Proliferação do BlackEnergy em
diferentes indústrias;
• Manifestações em diferentes variantes
do Malware
• Alastramento Geográfico
• “Tags” de categorização do malware e
colaboração da indústria para
compartilhamento de informações;
• Análise forense do ciclo de vida do
Malware: Propriedades de rotinas e
chamadas a variáveis de ambientes
operativos.

Estudo de Caso
Exemplos reais de implementações realizadas pela Palo Alto Networks no mundo para
reduzir riscos e aumentar a segurança e resiliencia de ambientes industriais contra
ameaças cibernéticas.

Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)
• Problema:
• Fornecedores externos de automação disseminando vírus, códigos maliciosos e
aplicações para rede SCADA a partir de conexões de VPN :
• Conexão de VPN provê criptografia mas e sobre controle de segurança, ameaças e visibilidade
de aplicações e protocolos?
• Consequências:
- Aplicações indesejáveis e Maliciosas encontradas devido ao roteamento 0.0.0.0
• Default gateway para túnel de VPN = Ambiente Operativo (falha de configuração)
• Túnel terminando em Firewall de porta/protocolo agindo como concentrador de VPN
▪ Falta de visibilidade de aplicações/protocolos e ameaças
conhecidas/desconhecidas
Aplicações encontradas: Dropbox, Bittorrent e Skype
▪ Atividades suspeitas de DNS indicando máquinas comprometidas (Botnets)
▪ Worm Conficker proliferando na rede (overhead/latência)
• Rede industrial paralizada afetando controle da produção (interrupção de comunicação
entre sistemas supervisórios e PLCs).

• Solução: Criação de uma
Zona de Acesso de Terceiros
(LEVEL 4)
“Ao invés de posicionar acesso de
terceiros na DMZ, onde ainda existe a
possibilidade de expor as estações de
trabalho e servidores à ameaças
externas, a implantação ideal seria a
criação de uma zona separada para
suporte de acesso remoto
• Zona de Acesso de
Terceiros (Nível 4) criada
para fornecer total
visibilidade do tráfego
que entra e sai da rede
de produção com a
capacidade de alertar ou
bloquear malware
conhecidos e
desconhecidos
(APT/0Day).
• Restringir o acesso com
base em grupos
(usuários), apliações
administrativas
necessárias (telnet/ssh) e
determinados períodos
(agendamentos)
Fabricantes de automação
VPN Cliente Servidor
Caso 1 – Proliferação de vírus via terceiros (Oil and Gas)

Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)
• Problema:
• Ataques proliferando através de conexões MPLS de redes de parceiros.
• Aquisição de dados em tempo real utilizando protocolo IEC 60870-5-104:
▪ Consultas a sistemas de Supervisão para dados
em tempo real sobre produção;
▪ Consultas diretas às subestações.
• Consequências:
- Listas de Acesso básicas de camada 3 aplicadas
em roteadores (layer3);
- Firewall de controle de porta e protocolo (camada 4)
não bloqueia protocolos e ameaças de camada
de aplicação
• Arquitetura do protocolo IEC 60870-5-104: não
baseia-se em porta fixa são portas dinâmicas alocadas aleatoriamente.
▪ Ataques de força bruta em sistemas supervisórios (incidente reportado a partir de credencial
vazada).
▪ Vírus e worms encontrados na rede (ex: Conficker, Ninda, Blaster).

• Solução: Criação da
zona de acessos corporativa
(LEVEL 4)
“Do ponto de vista do modelo de
referência Perdue, a Zona
Business/Enterprise enquanto se
mantém em relação à rede de
controles industriais, como ameaça
potencial, deve ter todo tráfego
rigorosamente inspecionado.
• Tratar o IEC 60870-5-
104 com inteligência
nativa de camada de
aplicação permitindo
somente o protocolo
base e suas sub
funções trafegando
para os níveis
adjascentes (L3-L2-L1).
• Visibilidade total no
tráfego que entra e sai
da zona Business com
a capacidade de
alertar ou bloquear
ataques e ameaças
avançadas
(malware conhecido e
desconhecido).
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Caso 2 – Ataques via VPN S2S de parceiros (Empresa de Energia)

• Problema:
• Reprogramação de PLCs/RTUs a partir de origens desconhecidas
• Reinicialização de remotas (subestações) sem causa aparente;
• Comandos DNP3 e sub funções (dnp3-operate/direct-operate/read/write)
disparados de origens desconhecidas.
• Consequencias:
• Incidente reportado devido a Perda de Visão e Controle (Loss of View and Loss
of Control) devido a reinicialização das remotas.
• Possibilidade de sabotagem devido a falta de segmentação entre diferentes
níveis Perdue Model
▪ BlackEnergy = Shutdown subestações através de reprogramação
de remotas (disjuntores desligados).
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico

• Solução: Criação da Zona de PLC
(LEVEL 1)
“Dispositivos colocados nesta zona são itens
como PLCs, Remotas e relés programáveis”.
Somente Zona dos Sistemas de Supervisão
(ICS) Level 2 podem enviar comandos de leitura
e escrita para zona de PLC (Level 1).
• A criação de Nível 1
zona reforça a
proteção contra
acesso não
autorizado com a
intenção de
reprogramar
dispositivos PLC.
• Concede a
visibilidade
adequada e
controle
restringindo fontes
única confiáveis
(Sistemas de
supervisão) para
leitura e escrita de
PLCs
Caso 3 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico

• Problema:
• Cópia de arquivo infectado para máquina de operação de Centro de Controle
• Consequências :
• Perda de Visão e Controle da operação devido a proliferação de malware moderno.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)

• Solução: Proteção de
Endpoint Avançada (TRAPS)
“Necessidade de proteção do legado e de
sistemas que não possuem atualizações
constants ou são impossibilitados de receber
patching de forma constante”.
• TRAPS permite a
proteção do legado
sem uso de
assinaturas.
• Proteção de SOs
descontinuados ou
máquinas sem
patches.
• Inexistência de
scanning no Sistema
operacional.
• Foca nas técnicas
utilizadas por
exploits e integra-se
a nuvem de
inteligencia de
malware Wildfire
para análise de
códigos maliciosos.
Caso 4 – Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)

Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevenção de Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3

Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)
• Problema:
• Engenheiro de processos visitando uma instalação industrial de uma empresa de
transmissão de gás com cópias de backup de Código de programação de projetos
infectando a estação de engenharia de uma planta e também o banco de dados de
Historian com o Worm Nimda*
* Nimda pode se auto propagar pelas pastas de rede compartilhadas no Microsoft Windows)
• Consequências:
- Em 10 minutes depois de executar o arquivo “Readme.exe”, cópias dos arquivos
replicadas para outras máquinas da engenharia:
• Sistemas infectados iniciaram probe para outros endereços IP na mesma subnet. O probing
causou o congelamento da PLC e foi necessário um reboot para corrigir.
• Rede degradada comprometendo a comunicação dos sistemas de supervisão e PLCs.
Operadores consideraram ativar a parada de Emergência do processo industrial.

ISOLATION
LEVEL 5
Solução: Criação de uma nova VLAN e Zona
para fazer contenção da ameaça e restaurar
as Operações.
A necessidade de desligamento das operações da planta foi
evitada porque a planta tinha adequada segmentação /
zoneamento, bem como monitoramento e um plano de
contingência.
Contramedidas:
• Máquinas infectadas identificadas
• VLAN 666 criada e sistemas infectados desviados para
a mesma.
• Zona com nome “ISOLATION” configurada no NGFW com regras
específicas e controle de whitelhist de aplicações (camada 7)
Tempo de isolamento e recuperação:
Menos de 30 minutos.
Caso 5 – Contenção de Propagação de Vírus/Malware (Utilities – Óleo e Gás)

Ecossistema e Integração com
Parceiros Tecnológicos

ECOSSISTEMA DE PARCEIROS ESTRATÉGICOS
STRATEGIC PARTNERSHIPS
SERVICE PROVIDERSTECHNOLOGY PARTNER ECOSYSTEM GSI
AUTOMATION CLOUD
ENTERPRISE
SECURITY
ICS/ IOT
IDENTITY NETWORKING MOBILITY
SECURITY
ANALYTICS
SD-WAN
THREAT
INTELLIGENCE
VIRTUALIZATION

ECOSSISTEMA DE PARCEIROS EXPANSIVOS
CLOUD ENTERPRISE SECURITY ICS / IoT
THREAT INTELLIGENCE
VIRTUALIZATION
SD-WAN
IDENTITY& ACCESS MANAGEMENT
NETWORKING
SECURITY ANALYTICS
MOBILITY
ORCHESTRATION & SECURITY
AUTOMATION

INTEGRAÇÃO VIA XML API
• PAN-OS XML API
• Gerenciar NGFWs e Panorama por meio
de uma API programática baseada em
XML
• Acesse e gerencie seu firewall por meio
de um serviço, aplicativo ou script de
terceiros
• Exemplo de integração da API
• ICS Network Monitoring & Analysis
• Security Analytics, SIEM
• Security Orchestration and Automation
Next-generation
Firewall
Panorama
XML API XML API
ICS Network
Monitoring, Analytics
Security Analytics,
SIEM
Security Orchestration
and Automation

Palo Alto Networks Value Proposition for ICS
• Visibilidade de camada 7 com contexo específico para
protocolos industriais.
• Grande cobertura de protocolos ICS/SCADA
• Granularidade e conhecimento de sub funções
operacionais, protocolos, aplicações, usuários e
ameaças.
• Visibilidade e Controle dos “Protocolos de Risco”
• Visibilidade e controle de leituras, escritas, reinicialização
entre outros comportamentos de PLC que devem ser
monitorados para segurança dos processos industriais.
• Flexibilidade de segmentação de rede granular
• ISA 62443, Purdue, NERC CIP, NIST e modelos
similares. Controle RBAC.
Provimento de plataforma de next-generation security que prove
capacidades específicas de segurança cibernética para Sistemas de
Controles Industriais na prevenção de ataques visando a manutenção
da disponibilidade, resiliência e da segurança dos processos industriais.
• Alta performance e Arquitetura de Alta Disponibilidade
• Arquitetura única de processamento em
paralelo (single pass).
• Data Plane e Control Planes separados.
• Diferentes deployments - inline (“layer1) sem
reconfiguração da rede, layer2, layer3, TAP.
• Sem scanning e footprint minimo de CPU e
memória para agente de endpoint.
• Prevenção de Ameaças de sistemsa de legado
– Proteção de sistemas vulneráveis e de hosts
sem patch contra ameaças conhecidas e
principalmente desconhecidas (0day) com uso
do Wildfire e Traps (endpoint)

Saiba mais - OT Modernization Website
▪ Whitepapers ICS cybersecurity
▪ Conceitos Chave
▪ Blueprints de referência
▪ Estudos de Caso técnicos
▪ Estudos de Caso de clientes
▪ Informação de Produtos
▪ Avaliação prática (hands on)
▪ Informação sobre os parceiros de
ICS/SCADA
paloaltonetworks.com/products/innovations/ot-modernization
Go to:

Hands-on na plataforma da Palo Alto Networks
Control Network
Security Lifecycle Review (SLR) ICS Hands-on Workshop
• Laboratórios práticos para segurança
cibernética industrial usando a plataforma
Palo Alto Networks
• Ambiente industrial virtualizado, incluindo
HMIs e PLCs
• Saiba como sua rede de controle está
sendo usada e quais riscos podem existir
• Relatório resumido fornecido como parte
do SLR
• Monitoramento passivo e confidencial

PRESTOU ATENÇÃO NA APRESENTAÇÃO?
PARTICIPE DO JOGO PARA GANHAR BRINDES!
AGORA EM NOSSO STAND!!!
1. Baixe o aplicativo Kahoot! para seu dispositivo móvel;
2. Ou acesse https://kahoot.it quando o jogo começar;
3. Entre com o PIN do jogo (fornecido no stand no início da dinâmica)

Obrigado!
afreire@paloaltonetworks.com

CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)

Semelhante a CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks) (20)

Mais de TI Safe

Mais de TI Safe (20)

CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)