Palestra realizada no segundo dia do CLASS 2018.

1. Ferramenta de verificação automática da Segurança
Cibernética de Sistemas de Automação de Energia

2. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 2 EM DG EN A&E
Evolução das redes de energia
1ª geração
Cabeamento padrão
2ª geração
Conexões ponto-a-ponto
Desde 1985
3ª geração
Subestações
digitais
IHM
Controlador
subestação
Conexão serial
Cabeamento paralelo
Bay
Bay
Parallel wiring
Fault recorder
Protection
RTU
Mimic board
Ancient past
Parallel wiring
1st generation:
Standard cabling
RTU
Registrador
Proteção
Cabeamento paralelo
Centro de Controle
IHM Local
Controlador
subestação
Firewall
IEC 61850
GOOSE
IEC 61850
MMSPC Engenharia
Firewall
Virtual Private
Network (VPN)
Zona
confiável
Zona não
confiável

3. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 3 EM DG EN A&E
Tendência de Sistemas do tipo “Air-Gapped” deixarem de existir.

4. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 4 EM DG EN A&E
Ciclo contínuo de aperfeiçoamento do processo
Integração
ITOTDados
Visibilidade
Produtividade
Estratégias

5. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 5 EM DG EN A&E
O conhecimento técnico X sofisticação das ferramentas
Conhecimento técnico
necessário
Alto
Baixo
Toolkits que “produzem” hackers em
pouco tempo.
1980 1985 1990 1995 2000 Presente
Sofisticação das
ferramentas hacker
Password
guessing
Self-replicating
code
Password
checking
Exploiting
known
vulnerabilities
Disabling audits
Back doors
Hijacking sessions
Sweepers and
sniffers
Pocket forging
and spoofing
Stealth diagnostics
OS specific attack tools
DoS buffer overflow,
service overwhelm
VBA, ActiveX, Flash tricks, RDP exploits
Web Browser pop-ups
Zoombie bots
SPAM tools
Linguagens de programação
sólidas e descomplicadas
+
compartilhamento de
informações em repositórios.

6. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 6 EM DG EN A&E
Quais os passos necessários para uma solução holística?
Avaliação da situação de segurança atual do sistema através de serviços de consultoria
• Análise de ameaças e riscos
• Plano de segurança cibernética
• Definição do passo a passo da implementação do plano de segurança cibernética
Mitigações de riscos através da implementação de medidas de segura cibernética
• Produtos seguros
• Integração de sistemas seguros
• Migração para sistemas seguros
Serviços contínuos para manter a segurança cibernética ao longo do tempo
• Gerenciamento de versões de software e firmware
• Treinamentos de Segurança Cibernética

7. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 7 EM DG EN A&E
Arquitetura segura – O ponto de partida seguro
▪ Listar todos os serviços a
serem utilizados.
▪ Privilégios mínimos.
▪ Diminuir todas as
possíveis superfícies de
ataque.

8. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 8 EM DG EN A&E
Normas chaves para segurança cibernética
Smart Grid Coordination
Group / Smart Grid
Information Security
Mandate M/490
Focus: Power Systems Design Details / Technical Aspects
Completeness / Governance & Policy Aspects
Details for
Operations
Focus: Information Systems
Focus: Industrial Automation
Relevance for
Products
• IEC 62443 (System Security)
• IEC 62351 (Communication Security)
• ISO/IEC 27001/27019 (Security Mgmt)
Key Standards
IEC62351
IEC 62443
ISO/IEC 27001/2/19

9. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 9 EM DG EN A&E
Certificação IEC 62443

10. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 10 EM DG EN A&E
Matriz de nível de proteção
SL 4
Capacidade de proteção contra violação intencional usando meios
sofisticados com recursos estendidos, habilidades específicas de IACS e
alta motivação
SL 3
Capacidade de proteger contra a violação intencional usando meios
sofisticados com recursos moderados, habilidades específicas da SIGC
e motivação moderada
Capacidade de proteção contra violações casuais ou coincidentes
Capacidade de proteger contra violação intencional usando meios
simples com baixos recursos, habilidades genéricas e baixa motivaçãoSL 2
SL 1
Níveis de proteção
Avaliação de funcionalidades de segurança
ML 4
Otimizado - Processo medido, controlado e continuamente
aprimorado
ML 3 Definido - Processo caracterizado, implantação proativa
Inicial - Processo imprevisível, mal controlado e reativo.
Gerenciado - Processo caracterizado, reativoML 2
ML 1
Avaliação de processos de segurança
4
3
2
1
Maturidade
2 3 41
Segurança
PL 2
Proteção contra violação intencional usando meios simples com baixos recursos, habilidades
genéricas e baixa motivação
Proteção contra violação intencional usando meios sofisticados com recursos estendidos,
habilidades específicas de IACS e alta motivação
Proteção contra a violação intencional usando meios sofisticados com recursos moderados,
habilidades específicas da SIGC e motivação moderadaPL 3
PL 4
PL 1 Proteção contra violação casual ou coincidente
IEC 62443-3-3 IEC 62443-2-4 e ISO27001

11. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 11 EM DG EN A&E
Questionário disponível da norma IEC 62443

12. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 12 EM DG EN A&E
As medidas de hardening foram corretamente implementadas?
?

13. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 13 EM DG EN A&E
Diversas ferramentas disponíveis para utilização em ambientes de TI
?

14. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 14 EM DG EN A&E
Mundos à parte…
TO x TI – A visão clássica
Disponibilidade
Objetivos da
segurança
cibernética
Sistemas de operação, automação e controle (TO) Sistemas legados de tecnologia da informação (TI)
Confidencialidade Disponibilidade
Objetivos da
segurança
cibernética
IntegridadeIntegridade
Disponibilidade Confidencialidade
Prioridade

15. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 15 EM DG EN A&E
Ferramenta automática de testes - SIESTA
Security Tester Product,
system, solution
configures executes
security tests on
Tool A Tool B
Tool C
SiESTA® test appliances oferece grande diversidade de testes de segurança:
➢ Integra as mais sofisticadas ferramentas e as combinas através de testes específicos para TO;
➢ Fornece templates otimizados com as melhores práticas de normas como IEC 62443;
➢ Disponível apenas para testes de produtos e serviços de clientes finais;
➢ Avaliação automática dos resultados obtidos.

16. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 16 EM DG EN A&E
Exemplo: teste de configuração insegura de porta TLS/SSL
Standards Requirements
(IEC 62443-3-3 excerpt)
SiESTA® Evaluation
Adaptações específicas para os produtos
Recomendações de segurança da Siemens
Automatic
comparison with
test results

17. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 17 EM DG EN A&E
O conhecimento técnico X sofisticação das ferramentas
Test
Cases
Test
Cases
Test
Cases
Test
Cases
Test
Cases
Targets
SIPROTEC
Test
Scenario
Execução
automática
Avaliação
Test
Cases
Targets
Windows
Test
Scenario
DG Configuration Files
DG Configuration Files
FILA DE
TAREFAS
Arquivos de
configuração

18. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 18 EM DG EN A&E
Testes de verificação de Segurança Cibernética
DMZ
Control Center Remote Access
SIPROTEC 4 Relays
Service PC
Roteador
Processo
Switch
Trusted Zone
Station Controller
HMI Serviços disponíveis
Verificações de conformidades
Nível de atualizações
Credenciais padrões
Vulnerabilidades conhecidas
S
P
P
D
V
S
S S S
S
SS
VV D
C
V V
V
V C
P
D
D
D D D
D
Blueprint Secure Architecture
C
V
S
D
P
C

19. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 19 EM DG EN A&E
Mapeamento dos serviços disponíveis
• Listar protocolos de comunicação e
serviços realmente habilitados.
• A utilização do serviço SSH deve ser
preferível ao invés de Telnet.
• Utilização de HTTPS para acesso Web
deve ser preferível ao invés de HTTP.
S

20. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 20 EM DG EN A&E
Políticas de grupo em conformidade com as melhores práticas
• As diretivas de grupo são regras aplicadas ao computador
e aos usuários que protegem o sistema operacional contra
configurações acidentais ou mal intencionadas.
• Diferentes perfis: operadores, mantenedores e
administradores.
• A CIS (Center for Internet Security) recomenda mais de 300
políticas de segurança para o Windows 7.
Diretivas de Grupo
Computador
Operador
Mantenedor
Administrador
A senha deve atender aos requisitos
de complexidade.
X X X X
Não mostrar o nome do último
usuário na tela de login.
X X X X
Desativar conta de "Convidado" X X X X
Renomear conta de "Administrador"
e "Convidado"
X X X X
Acesso ao painel de controle X X
Acesso à prompt de comando X X
Instalar/Remover drivers restrito
apenas aos Administradores
X
Desabilitar auto execução X X X
C

21. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 21 EM DG EN A&E
Verificação de credenciais padrões
• Os fabricantes de equipamentos restringem
minimamente o acesso às configurações dos
dispositivos com senha padrões que podem ser
facilmente encontradas em seus manuais de
operação e manutenção.
• Sites como Pastebin e GitHub fornecem
dicionários com diversas senhas padrões dos
equipamentos.
D

22. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 22 EM DG EN A&E
Verificação de vulnerabilidades conhecidas
• Testar os dispositivos da rede contra os CVE conhecidos e publicados no MITRE.
V

23. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 23 EM DG EN A&E
Inventário de ativos para Patch Management
• A falta de procedimentos em relação ao inventário dos dispositivos da rede de automação dificulta a conferência das
revisões de softwares e firmwares instalados, levando o sistema a níveis incertos de segurança.
A execução do teste seria sugestionada a:
A. Numerar todos os dispositivos da rede identificados como “Online”. O método de descobrimento pode ter
variações mais ou menos profundas de execução, que podem impactar a disponibilidade da troca de informações.
B. Obter dados de revisões dos softwares e firmwares instalados através de varreduras via protocolos
conhecidos sob os dispositivos descobertos, armazenando os resultados em banco de dados;
C. Cruzar os dados obtidos no item anterior com as versões recomendadas pelos fabricantes
P

24. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 24 EM DG EN A&E
Inventário de ativos para Patch Management
Substation
Automation &
Protection
Assets
Remote
Monitoring
and Analysis
Monitoring and analysis platform EnergyIP™
Protection relay Substation PC RTU Router/Switch …
EnergyIP™ ISDM – Local Collector
Advanced Device Management …EnergyIP™SDM
Connection to
SVM DB (CERT)
Enterprise Private
Cloud
On premise
Protocols: IEC 61850, SNMP, WMI
Substation Data (Version information)
ISDM runs on:
Siemens Private
Cloud
P

25. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 25 EM DG EN A&E
Relatório Final
• Relatório unificado
• Artifícios visuais
• Sugestões de mitigações

26. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 26 EM DG EN A&E
Quais os passos necessários para uma solução holística?
Avaliação da situação de segurança atual do sistema através de serviços de consultoria
• Análise de ameaças e riscos
• Plano de segurança cibernética
• Definição do passo a passo da implementação do plano de segurança cibernética
Mitigações de riscos através da implementação de medidas de segura cibernética
• Produtos seguros
• Integração de sistemas seguros
• Migração para sistemas seguros
Serviços contínuos para manter a segurança cibernética ao longo do tempo
• Gerenciamento de versões de software e firmware
• Treinamentos de Segurança Cibernética
•Definição do passo a passo da implementação do plano de segurança cibernética
•Migração para sistemas seguros

27. Restricted © Siemens AG 2017 All rights reserved.
14-06-2017Page 27 EM DG EN A&E
Muito obrigado!
Alexandre Fernandes Onça
Application Engineer
RC-BR EM DG EN A&E
Mobile: +55 (11) 97460 5467
E-mail: alexandre.onca@siemens.com
Paulo Roberto Antunes de Souza Jr.
Application Engineer
RC-BR EM DG EN A&E
Mobile: +55 (11) 97460 4615
E-mail: paulo.antunes@siemens.com
siemens.com