O documento discute a convergência entre Operational Technology (OT) e Information Technology (IT) e como proteger sistemas cibernéticos conectados à internet. Ele aborda a evolução dos sistemas de controle industrial, padrões como a ISA/IEC 62443 para segurança cibernética e desafios como ataques crescentes a sistemas industriais de controle.

1. “Convergência de OT
e TI, proteção total
em sistemas
cibernéticos"
Claudio Makarovsky
Diretor de Indústrias de Energia
Membro do Conselho Executivo
da ISA

2. Agenda
 A evolução dos Sistemas de Controle Industrial
 OT&IT- da ISA S95 para sistemas físicos cibernéticos.
 Como proteger os sensores IIOT conectados diretamente à nuvem
pública?
 A praticidade do ISA/IEC 62351/62443

3. A evolução

4. Então as redes invadem o chão da loja...
... e os sensores ganham IP+Antenna

5. Rede Industrial

6. ISA/ANSI
S 95

10. E agora ?
Quem coloca a mão?
Ti ou Automação?

11. Ataques cibernéticos do ICS acelerando
“Neste mundo nada é certo, exceto morte, impostos e ataques cibernéticos”
• Número de indivíduos com habilidades de hacking aumentando
• Ferramentas que simplificam o hacking (Metasploit e outros) prontamente disponíveis
- Código de violação bem-sucedido está disponível na internet
- Grande parte do arsenal de cibersegurança da NSA nas mãos dos adversários
• Vulnerabilidades relatadas do ICS em ascensão1
• Ransomware é uma indústria bilionária
•
Dados de mercado
• 54% of ICS companies suffered at least one cyberattack in the last 12 months2
• 69% dos profissionais de segurança do ICS sentem que a ameaça aos sistemas ICS é severa/crítica3
• EUA alertam público sobre ataques à energia, empresas industriais Sources
1NCCIC/ICS-Cert Vulnerability Coordination Report – 2015
2Kaspersky Labs State of Industrial Cybersecurity Survey, 2017
3Securing Industrial Control Systems, SANS 2017
- Ben Franklin, 1789

13. ISA99
Committee
Industrial Automation and Controls
Systems Cybersecurity
The ISA99 Committee and
the 62443 Standards
November 2021 Copyright © ISA All Rights Reserved #

14. ISA99
Committee
Desenvolvimento Colaborativo
• ISA-62443 (and IEC 62443); uma série de padrões
desenvolvidos principalmente pela ISA e publicados
por dois grupos:
– ISA99 → ANSI/ISA-62443
– IEC TC65/WG10 → IEC 62443
• Em consulta com:
– ISO/IEC JTC1/SC27 → ISO/IEC 2700x
November 2021 Copyright © ISA All Rights Reserved
14

15. ISA99
Committee
Status dos documentos
November 2021 Copyright © ISA All Rights Reserved
15
#

16. ISA99
Committee
Setores tradicionais de aplicação
• Chemical and Process Industries (CPI)
– Chemical Processing
– Refining
• Pipelines
• Manufacturing
• Energy
• Transportation (Rail)
November 2021 Copyright © ISA All Rights Reserved
16

17. ISA99
Committee
Elementos do programa de segurança
• SPE 1 – Organizational security measures (ORG)
• SPE 2 – Configuration management (CM)
• SPE 3 – Network and communications security (NET)
• SPE 4 – Component security (COMP)
• SPE 5 – Protection of data (DATA)
• SPE 6 – User access control (USER)
• SPE 7 – Event and incident management (EVENT)
• SPE 8 – System integrity and availability (AVAIL)
November 2021 Copyright © ISA All Rights Reserved
17

18. ISA99
Committee
Conceitos de Segurança de Operações
• Requisitos Fundamentais
• Elementos do programa de segurança (SPE)
• Agrupamento de elementos de segurança
• Taxonomia do Sistema
• Zonas e Conduítes
• Níveis de segurança
• Níveis de Maturidade
• Esquema e Classificação de Proteção de Segurança
• Segurança e Segurança Funcional
• Segurança, integridade, disponibilidade, confidencialidade
November 2021 Copyright © ISA All Rights Reserved
Source: ISA-62443-1-1, 2nd Edition (Under development)
18

19. ISA99
Committee
Requisitos Fundamentais
• FR 1 – Controle de identificação & autenticação
• FR 2 – Controle de uso
• FR 3 – Integridade do sistema
• FR 4 – Confidencialidade de dados
• FR 5 – Fluxo restrito de dados
• FR 6 – Resposta oportuna aos eventos
• FR 7 – Disponibilidade de recursos
November 2021 Copyright © ISA All Rights Reserved
19

20. ISA99
Committee
Níveis de segurança
#
November 2021 Copyright © ISA All Rights Reserved
Proteção contra...
20

21. ISA99
Committee
Níveis de Maturidade
• Um meio de avaliar a capacidade
• Um conceito em evolução nos padrões
• Níveis progressivos de realização
– Initial
– Managed
– Practiced
– Improving
November 2021 Copyright © ISA All Rights Reserved
21

22. ISA99
Committee
Zonas e Conduítes
• Um meio para definir…
– Como diferentes sistemas interagem
– Onde as informações fluem entre
sistemas
– Que forma essa informação toma
– Quais dispositivos se comunicam
– Como dispositivos se comunicam
– As diferenças de segurança entre os
componentes do sistema
• A tecnologia ajuda, mas a arquitetura
é mais importante
November 2021 Copyright © ISA All Rights Reserved
22

23. Padrões-chave
Page 23
Confidential Property of Schneider Electric |
IEC Standard Overview Equipment Vendor Systems Integrator
IEC 62443-2-4 System integrator -
Policies and process
IEC 62443-4-1 Vendor - Secure
development lifecycle
IEC 62443-4-2 Vendor – Component
specification
IEC 62443-3-3 Vendor/Integrator –
System specification

24. IEC 62443 Standards Family

25. Security Level Skills Motivation Means Resources
SL1
Employee, Contractor
No Attack Skills Mistakes Non-intentional Individual
SL2
Cybercrime, Hacker
Generic Low Simple Low
(Isolated Individuals)
SL3
Hacktivist, Terrorist
ICS Specific Moderate Sophisticated
(attack)
Moderate
(Hacker Groups)
SL4
Nation State
ICS Specific High Sophisticated
(campaign)
Extended
(Multi-disciplinary Teams)
IEC 62443 Security Assurance Levels

26. Requisitos amostrais
IEC 62443-4-2 Component Identification and Authentication Control
Feature SL1 SL2 SL3 SL4
Identify and authenticate human users X X X X
Component shall enable the management of accounts X X X X
Component shall support the management of identifiers X X X X
Component shall support authenticator management X X X X
Password based authentication with defined password strength X X X X
Obscure authentication feedback during authentication process X X X X
Enforce unsuccessful login attempt limit, lock account X X X X
Provide warning message to individuals attempting to access the system X X X X
Uniquely identify and authenticate all human users X X X
Software process and device identification and authentication X X X
When PKI is used, the component shall integrate with PKI infrastructure X X X
When PKI is used, the component shall check validity of certificates X X X
Support for symmetric key based authentication X X X
Unique software process and device identification and authentication X X
Authenticators shall be protected by hardware mechanisms X X
Prevent password reuse for configurable number of generations human users X X
Protection of public key via hardware X X
Protection of symmetric key data via hardware X X
Multifactor authentication for all interfaces X
Prevent password reuse for configurable number of generations software process or device X

27. Uma organização sem fins lucrativos criada para facilitar as certificações padrão
IEC62443
• Composto por representantes de usuários finais, agências governamentais, fornecedores,
consultores e laboratórios de certificação
• Chevron é um membro fundador
Certificação desde 2010
Laboratórios de certificação credenciados
Certificações EDSA – Mais de 22 produtos de mais de 11 empresas diferentes
ISASecure® Certification Scheme

28. Por que certificar produtos de prateleira?
1. Os recursos de segurança são avaliados e certificados
independentemente por especialistas em laboratórios credenciados
do lSASecure
2. Reduz o esforço do usuário final para validar e verificar os recursos
de segurança. (escassez de talentosos conhecimentos em segurança
cibernética)
3. Métrica objetiva para recursos de segurança com base nos padrões
do setor. (centenas de anos de PME e conhecimento codificado em
IEC 62443-x-x de centenas de participantes do comitê.)
Uma especificação, uma marca de serviço, uma avaliação

29. Three ISASecure® certifications available
1. Embedded Device Security Assurance (EDSA) product certification
• IEC 62443-4-2
• IEC 62443-4-1
• Vulnerability Identification Test
• + Communication Robustness Test
2. System Security Assurance (SSA) product certification
• IEC-62443-3-3
• IEC 62443-4-1
• IEC 62443-4-2
• Vulnerability Identification Test
• + Communication Robustness Test
3. Security Development Lifecycle Assurance (SDLA) process certification
• IEC-62443-4-1

30. Status de conformidade de segurança cibernética
Lento, ganhando impulso
Compliance na indústria impulsionado por quatro forças
• Usuários finais exigem conformidade para novas ordens – Requisitos limitados no momento
• Regulamentos exigem testes de conformidade – Alguns países propondo normas
• Fornecedores certificam soluções para diferenciação – Os fornecedores certificam pequena
porcentagem de faixas de oferta
• Mudança de força de eventos principais

31. Perspectiva do usuário final
Uma grande empresa de energia percebe a importância de integrar a
cibersegurança no início do processo de aquisição
A certificação baseada em padrões permite:
• Análise alternativa eficiente durante o planejamento de projetos
• Uso de linguagem de conformidade comum com funcionários internos, fornecedores e parceiros
ONG
O conceito de nível de segurança ISA/IEC 62443 dá aos usuários finais a capacidade
de selecionar soluções para fechar lacunas de segurança
A certificação garante que os recursos de segurança cibernética estão disponíveis e
reduz o ônus da conformidade da implantação pós-projeto

32. Benefícios e Valor para Usuário Final
• Simplifica o processo de especificação de aquisição
• Os usuários finais entendem os recursos de segurança cibernética de
produtos baseados em padrões
• Recursos validados independentemente por entidade externa
• Confiança de que os recursos de segurança evoluirão com o tempo
• O ISCI fornece um fórum onde os usuários finais podem garantir que
• As normas ISA/IEC 62443 são implementadas conforme o planejado
• Fórum onde um usuário final pode incluir requisitos específicos de
sua empresa em especificações de certificação

33. Acelere a transformação
digital protegendo seus
dispositivos OT e IoT com o
Microsoft Defender para IoT
Maiko Oliveira
Senior Technical Specialist

34. Missão de Segurança da Microsoft:
Criar um mundo mais seguro que permita que as organizações transformem
digitalmente
• A Microsoft Security agora é um negócio de US$ 10 bilhões com 3.500
funcionários e Líder em 5 relatórios do Gartner Magic Quadrant e 7 Forrester
Wave.
• As recentes aquisições de segurança incluem CyberX, ReFirm Labs, RiskIQ e
CloudKnox.
• Quadruplicando nosso investimento em segurança cibernética para US$ 20
bilhões nos próximos cinco anos.
•

35. O número de dispositivos
IoT/OT não gerenciados está
aumentando
Sua área de superfície de ataque já cresceu 3x nos
últimos anos, e continuará crescendo em 22%.
Os dispositivos totais de ~12B em 2021 crescerão
para 27B em 20251, enquanto outros tipos de
dispositivos experimentarão um crescimento
incremental lento.
1. https://iot-analytics.com/number-connected-iot-devices/
Produção
Backoffice
Cadeia de suprimentos

36. Desafios com
soluções existentes
Firewalls
NAC
Vulnerability
scanners
Agents
Somente proteção
de perímetro
Configuração
complexa
e manutenção
Visibilidade
limitada
Entendimento
de IoT limitado
Incapaz de
detectar ameaças
emergentes

37. Microsoft Defender for IoT

38. Princípios arquitetônicos
Cloud
Em toda a empresa
Solução unificada de IoT/OT
Monitoramento e
aprendizado contínuos
Corporate
Fácil implantação
e manutenção
Sem agente
Abordagem integrada de
IoT/OT
Descobrir
Cobertura completa e visibilidade
focada em dispositivos IoT/OT
Avaliar
Análise de risco para qualquer
dispositivo e segmento em todas
as redes
Detectar
Análise comportamental e TI
construída para se adaptar à
velocidade do atacante
Responder
Identifique rapidamente ataques em
vários estágios em TI/IoT/OT e
atenue com cartilhas automáticas

39. Arquitetura de alto nível da solução
Fontes de
dados
Engines Capacidades
Integrations

40. Arquitetura de alto nível da solução: fontes de dados
Fontes de
dados
Engines Capacidades
Integrations

41. Ampla cobertura de diversas fontes de dados
Visibilidade em todos os
segmentos
Sem agente Immediate value
Defender for IoT
SPAN port/Network
Análise de Tráfego (NTA)
Defender for IoT
sensor de rede
Visão unificada da segurança IoT/OT
Inventário de ativos
Avaliações de vulnerabilidade
Monitoramento contínuo de ameaças
IT or IoT
Network
Ambiente de TI
corporativo
Defender for
Endpoint
OT
Network
OT
environment
Third-party sources
Passivo

42. Arquitetura de alto nível da solução: Engines
Fontes de
dados
Engines Capacidades
Integrations

43. Detecção alimentada por ML para dispositivos IoT
Atributos de hardware
Atributos de software
Atributos de rede
Atributos
comportamentais
ML engine
Banco de
dados de
dispositivos
Avaliação
do risco
Modelo
comportamental
Network map
Dispositivos
Device classification
• Type
• Subtype
Device hardware
• Vendor
• Model
• Serial
NIC
• Vendor
• IP
• MAC
• VLAN
Device software
• Firmware
• OS
• Applications
Enrichment
• Source
• Site and Zone
• Onboarding
status
• Classification
confidence
… many more

44. Arquitetura de alto nível da solução: Capacidades
Fontes de
dados
Engines Capacidades
Integrations

45. Uma solução de
segurança unificada para
IoT e OT
Descubra, classifique, contextualize
todos os seus dispositivos IoT e OT
para que você possa proteger os
dispositivos que acessam sua rede e
recursos.

46. Inventário integrado de ativos
no Microsoft 365 Defender
Visualize seu inventário completo de
TI/IoT junto com o resto de seus
dispositivos de TI (estações de
trabalho, servidores e dispositivos
móveis) em uma única exibição
unificada.

47. Gerenciamento integrado de
vulnerabilidades no Microsoft
365 Defender
Identifique e priorize
vulnerabilidades e configurações
erradas e use fluxos de trabalho
integrados para trazer dispositivos
para um estado mais seguro.

48. Incidentes Integrados no
Microsoft 365 Defender
Veja incidentes priorizados que
incluem dispositivos de TI/IoT
envolvidos, tudo em um único
painel para reduzir confusão,
desordem, tempos de investigação
e fadiga de alerta.

49. Experiência de ameaça de classe mundial para IoT/OT
Seção 52 e equipes de
pesquisa mais amplas
aproveitam o intelecto de
ameaça mais rico do mundo
Resultados: #1 em cobertura de
visibilidade de detecção em
MITRE ATT&CK® para avaliação
do ICS
Section 52
IoT/OT Security
Research Team
Microsoft Security
Response Center
Microsoft Detection
and Response Team
Microsoft Threat
Intelligence Center
Microsoft Cyber Defense
Operations Center
Dados
Cientistas de dados
e pesquisadores
Machine
learning
24 trillion signals
Scanned devices
Cloud and
network logs
Detected alerts
Scanned
URLs
Descubra vulnerabilidades de
IoT/OT, monitorando campanhas e
criando detecções exclusivas

50. Arquitetura de alto nível da solução: Integrações
Fontes de
dados
Engines Capacidades
Integrations

51. Solução de monitoramento de ameaças IoT/OT para
Sentinel
SIEM/SOAR nativo da nuvem, profundamente integrado com o Defender para IoT
Telemetria contextual profunda obtida
do Defender para IoT
→ Alertas
→ Detalhes do ativo
→ Detalhes de conexão de rede
Inteligência de ameaças através da
equipe de pesquisa da Seção 52
conteúdo específico do OT
→ Regras de análise
→ Dashboards (workbooks)
→ SOAR playbooks

52. Por que a
Microsoft?
Solução unificada para IoT e OT corporativo
Opções flexíveis de sensores: MDE, network sensor, 3rd
party
Proteção sem agente sem impacto de
desempenho, rapidamente implantada
(normalmente <1 dia por site)
Detecção contínua de ativos, gerenciamento de
vulnerabilidades e monitoramento de ameaças
Maior organização de pesquisa de segurança de IoT/OT
do mundo
Integrado com soluções Microsoft SIEM/XDR e SOC
de terceiros

53. © Copyright Microsoft Corporation. All rights reserved.
Obrigado