O documento discute a convergência entre Operational Technology (OT) e Information Technology (IT) e como proteger sistemas cibernéticos conectados à internet. Ele aborda a evolução dos sistemas de controle industrial, padrões como a ISA/IEC 62443 para segurança cibernética e desafios como ataques crescentes a sistemas industriais de controle.
Convergência OT e TI, proteção total em sistemas cibernéticos
1. “Convergência de OT
e TI, proteção total
em sistemas
cibernéticos"
Claudio Makarovsky
Diretor de Indústrias de Energia
Membro do Conselho Executivo
da ISA
2. Agenda
A evolução dos Sistemas de Controle Industrial
OT&IT- da ISA S95 para sistemas físicos cibernéticos.
Como proteger os sensores IIOT conectados diretamente à nuvem
pública?
A praticidade do ISA/IEC 62351/62443
11. Ataques cibernéticos do ICS acelerando
“Neste mundo nada é certo, exceto morte, impostos e ataques cibernéticos”
• Número de indivíduos com habilidades de hacking aumentando
• Ferramentas que simplificam o hacking (Metasploit e outros) prontamente disponíveis
- Código de violação bem-sucedido está disponível na internet
- Grande parte do arsenal de cibersegurança da NSA nas mãos dos adversários
• Vulnerabilidades relatadas do ICS em ascensão1
• Ransomware é uma indústria bilionária
•
Dados de mercado
• 54% of ICS companies suffered at least one cyberattack in the last 12 months2
• 69% dos profissionais de segurança do ICS sentem que a ameaça aos sistemas ICS é severa/crítica3
• EUA alertam público sobre ataques à energia, empresas industriais Sources
1NCCIC/ICS-Cert Vulnerability Coordination Report – 2015
2Kaspersky Labs State of Industrial Cybersecurity Survey, 2017
3Securing Industrial Control Systems, SANS 2017
- Ben Franklin, 1789
23. Padrões-chave
Page 23
Confidential Property of Schneider Electric |
IEC Standard Overview Equipment Vendor Systems Integrator
IEC 62443-2-4 System integrator -
Policies and process
IEC 62443-4-1 Vendor - Secure
development lifecycle
IEC 62443-4-2 Vendor – Component
specification
IEC 62443-3-3 Vendor/Integrator –
System specification
25. Security Level Skills Motivation Means Resources
SL1
Employee, Contractor
No Attack Skills Mistakes Non-intentional Individual
SL2
Cybercrime, Hacker
Generic Low Simple Low
(Isolated Individuals)
SL3
Hacktivist, Terrorist
ICS Specific Moderate Sophisticated
(attack)
Moderate
(Hacker Groups)
SL4
Nation State
ICS Specific High Sophisticated
(campaign)
Extended
(Multi-disciplinary Teams)
IEC 62443 Security Assurance Levels
26. Requisitos amostrais
IEC 62443-4-2 Component Identification and Authentication Control
Feature SL1 SL2 SL3 SL4
Identify and authenticate human users X X X X
Component shall enable the management of accounts X X X X
Component shall support the management of identifiers X X X X
Component shall support authenticator management X X X X
Password based authentication with defined password strength X X X X
Obscure authentication feedback during authentication process X X X X
Enforce unsuccessful login attempt limit, lock account X X X X
Provide warning message to individuals attempting to access the system X X X X
Uniquely identify and authenticate all human users X X X
Software process and device identification and authentication X X X
When PKI is used, the component shall integrate with PKI infrastructure X X X
When PKI is used, the component shall check validity of certificates X X X
Support for symmetric key based authentication X X X
Unique software process and device identification and authentication X X
Authenticators shall be protected by hardware mechanisms X X
Prevent password reuse for configurable number of generations human users X X
Protection of public key via hardware X X
Protection of symmetric key data via hardware X X
Multifactor authentication for all interfaces X
Prevent password reuse for configurable number of generations software process or device X
27. Uma organização sem fins lucrativos criada para facilitar as certificações padrão
IEC62443
• Composto por representantes de usuários finais, agências governamentais, fornecedores,
consultores e laboratórios de certificação
• Chevron é um membro fundador
Certificação desde 2010
Laboratórios de certificação credenciados
Certificações EDSA – Mais de 22 produtos de mais de 11 empresas diferentes
ISASecure® Certification Scheme
28. Por que certificar produtos de prateleira?
1. Os recursos de segurança são avaliados e certificados
independentemente por especialistas em laboratórios credenciados
do lSASecure
2. Reduz o esforço do usuário final para validar e verificar os recursos
de segurança. (escassez de talentosos conhecimentos em segurança
cibernética)
3. Métrica objetiva para recursos de segurança com base nos padrões
do setor. (centenas de anos de PME e conhecimento codificado em
IEC 62443-x-x de centenas de participantes do comitê.)
Uma especificação, uma marca de serviço, uma avaliação
29. Three ISASecure® certifications available
1. Embedded Device Security Assurance (EDSA) product certification
• IEC 62443-4-2
• IEC 62443-4-1
• Vulnerability Identification Test
• + Communication Robustness Test
2. System Security Assurance (SSA) product certification
• IEC-62443-3-3
• IEC 62443-4-1
• IEC 62443-4-2
• Vulnerability Identification Test
• + Communication Robustness Test
3. Security Development Lifecycle Assurance (SDLA) process certification
• IEC-62443-4-1
30. Status de conformidade de segurança cibernética
Lento, ganhando impulso
Compliance na indústria impulsionado por quatro forças
• Usuários finais exigem conformidade para novas ordens – Requisitos limitados no momento
• Regulamentos exigem testes de conformidade – Alguns países propondo normas
• Fornecedores certificam soluções para diferenciação – Os fornecedores certificam pequena
porcentagem de faixas de oferta
• Mudança de força de eventos principais
31. Perspectiva do usuário final
Uma grande empresa de energia percebe a importância de integrar a
cibersegurança no início do processo de aquisição
A certificação baseada em padrões permite:
• Análise alternativa eficiente durante o planejamento de projetos
• Uso de linguagem de conformidade comum com funcionários internos, fornecedores e parceiros
ONG
O conceito de nível de segurança ISA/IEC 62443 dá aos usuários finais a capacidade
de selecionar soluções para fechar lacunas de segurança
A certificação garante que os recursos de segurança cibernética estão disponíveis e
reduz o ônus da conformidade da implantação pós-projeto
32. Benefícios e Valor para Usuário Final
• Simplifica o processo de especificação de aquisição
• Os usuários finais entendem os recursos de segurança cibernética de
produtos baseados em padrões
• Recursos validados independentemente por entidade externa
• Confiança de que os recursos de segurança evoluirão com o tempo
• O ISCI fornece um fórum onde os usuários finais podem garantir que
• As normas ISA/IEC 62443 são implementadas conforme o planejado
• Fórum onde um usuário final pode incluir requisitos específicos de
sua empresa em especificações de certificação
33. Acelere a transformação
digital protegendo seus
dispositivos OT e IoT com o
Microsoft Defender para IoT
Maiko Oliveira
Senior Technical Specialist
34. Missão de Segurança da Microsoft:
Criar um mundo mais seguro que permita que as organizações transformem
digitalmente
• A Microsoft Security agora é um negócio de US$ 10 bilhões com 3.500
funcionários e Líder em 5 relatórios do Gartner Magic Quadrant e 7 Forrester
Wave.
• As recentes aquisições de segurança incluem CyberX, ReFirm Labs, RiskIQ e
CloudKnox.
• Quadruplicando nosso investimento em segurança cibernética para US$ 20
bilhões nos próximos cinco anos.
•
35. O número de dispositivos
IoT/OT não gerenciados está
aumentando
Sua área de superfície de ataque já cresceu 3x nos
últimos anos, e continuará crescendo em 22%.
Os dispositivos totais de ~12B em 2021 crescerão
para 27B em 20251, enquanto outros tipos de
dispositivos experimentarão um crescimento
incremental lento.
1. https://iot-analytics.com/number-connected-iot-devices/
Produção
Backoffice
Cadeia de suprimentos
38. Princípios arquitetônicos
Cloud
Em toda a empresa
Solução unificada de IoT/OT
Monitoramento e
aprendizado contínuos
Corporate
Fácil implantação
e manutenção
Sem agente
Abordagem integrada de
IoT/OT
Descobrir
Cobertura completa e visibilidade
focada em dispositivos IoT/OT
Avaliar
Análise de risco para qualquer
dispositivo e segmento em todas
as redes
Detectar
Análise comportamental e TI
construída para se adaptar à
velocidade do atacante
Responder
Identifique rapidamente ataques em
vários estágios em TI/IoT/OT e
atenue com cartilhas automáticas
39. Arquitetura de alto nível da solução
Fontes de
dados
Engines Capacidades
Integrations
40. Arquitetura de alto nível da solução: fontes de dados
Fontes de
dados
Engines Capacidades
Integrations
41. Ampla cobertura de diversas fontes de dados
Visibilidade em todos os
segmentos
Sem agente Immediate value
Defender for IoT
SPAN port/Network
Análise de Tráfego (NTA)
Defender for IoT
sensor de rede
Visão unificada da segurança IoT/OT
Inventário de ativos
Avaliações de vulnerabilidade
Monitoramento contínuo de ameaças
IT or IoT
Network
Ambiente de TI
corporativo
Defender for
Endpoint
OT
Network
OT
environment
Third-party sources
Passivo
42. Arquitetura de alto nível da solução: Engines
Fontes de
dados
Engines Capacidades
Integrations
43. Detecção alimentada por ML para dispositivos IoT
Atributos de hardware
Atributos de software
Atributos de rede
Atributos
comportamentais
ML engine
Banco de
dados de
dispositivos
Avaliação
do risco
Modelo
comportamental
Network map
Dispositivos
Device classification
• Type
• Subtype
Device hardware
• Vendor
• Model
• Serial
NIC
• Vendor
• IP
• MAC
• VLAN
Device software
• Firmware
• OS
• Applications
Enrichment
• Source
• Site and Zone
• Onboarding
status
• Classification
confidence
… many more
44. Arquitetura de alto nível da solução: Capacidades
Fontes de
dados
Engines Capacidades
Integrations
45. Uma solução de
segurança unificada para
IoT e OT
Descubra, classifique, contextualize
todos os seus dispositivos IoT e OT
para que você possa proteger os
dispositivos que acessam sua rede e
recursos.
46. Inventário integrado de ativos
no Microsoft 365 Defender
Visualize seu inventário completo de
TI/IoT junto com o resto de seus
dispositivos de TI (estações de
trabalho, servidores e dispositivos
móveis) em uma única exibição
unificada.
47. Gerenciamento integrado de
vulnerabilidades no Microsoft
365 Defender
Identifique e priorize
vulnerabilidades e configurações
erradas e use fluxos de trabalho
integrados para trazer dispositivos
para um estado mais seguro.
48. Incidentes Integrados no
Microsoft 365 Defender
Veja incidentes priorizados que
incluem dispositivos de TI/IoT
envolvidos, tudo em um único
painel para reduzir confusão,
desordem, tempos de investigação
e fadiga de alerta.
49. Experiência de ameaça de classe mundial para IoT/OT
Seção 52 e equipes de
pesquisa mais amplas
aproveitam o intelecto de
ameaça mais rico do mundo
Resultados: #1 em cobertura de
visibilidade de detecção em
MITRE ATT&CK® para avaliação
do ICS
Section 52
IoT/OT Security
Research Team
Microsoft Security
Response Center
Microsoft Detection
and Response Team
Microsoft Threat
Intelligence Center
Microsoft Cyber Defense
Operations Center
Dados
Cientistas de dados
e pesquisadores
Machine
learning
24 trillion signals
Scanned devices
Cloud and
network logs
Detected alerts
Scanned
URLs
Descubra vulnerabilidades de
IoT/OT, monitorando campanhas e
criando detecções exclusivas
50. Arquitetura de alto nível da solução: Integrações
Fontes de
dados
Engines Capacidades
Integrations
51. Solução de monitoramento de ameaças IoT/OT para
Sentinel
SIEM/SOAR nativo da nuvem, profundamente integrado com o Defender para IoT
Telemetria contextual profunda obtida
do Defender para IoT
→ Alertas
→ Detalhes do ativo
→ Detalhes de conexão de rede
Inteligência de ameaças através da
equipe de pesquisa da Seção 52
conteúdo específico do OT
→ Regras de análise
→ Dashboards (workbooks)
→ SOAR playbooks
52. Por que a
Microsoft?
Solução unificada para IoT e OT corporativo
Opções flexíveis de sensores: MDE, network sensor, 3rd
party
Proteção sem agente sem impacto de
desempenho, rapidamente implantada
(normalmente <1 dia por site)
Detecção contínua de ativos, gerenciamento de
vulnerabilidades e monitoramento de ameaças
Maior organização de pesquisa de segurança de IoT/OT
do mundo
Integrado com soluções Microsoft SIEM/XDR e SOC
de terceiros