Título da Palestra: Os Desdobramentos técnicos e legais de um incidente de segurança industrial

1. Os Desdobramentos Técnicos e Legais de um
Incidente de Segurança Industrial
#CLASS2014
Rio de Janeiro, Novembro de 2014
Leonardo Cardoso

2. • A Lei e seus desdobramentos
• Caso prático
• Forense Industrial
• Desafios à forense em ambientes de T.A.
• Incidente Criminal
• Monitoramento Contínuo
• Incidente Marco Zero
• Melhores Práticas
Agenda
#CLASS2014

3. 22000022
11..001166
AArrtt..
ddoo CCóóddiiggoo CCiivviill
LLeeii 1100440066 ddee

4. • Art. 1.016. Os administradores respondem solidariamente perante a sociedade e aos
terceiros prejudicados, por culpa no desempenho de suas funções.
IImmppeerríícciiaa IImmpprruuddêênncciiaa NNeegglliiggêênncciiaa
Seja por:
• A empresa possui direito de regresso. Portanto pode acionar judicialmente o
executivo responsável pelo setor / área envolvido na origem do incidente de
segurança.
Podendo atingir:
Lei 10406 de 2002

5. CCaassoo pprrááttiiccoo -- vvííddeeoo

6. Na prática - vídeo
Vídeo
Fonte: RJTV

7. Alguém sabe a
causa deste incidente?
Aparentemente NÃO!

8. Numa época em que…
Isto ocorreu
na semana
passada!
28/10/2014

9. Alvos de ataque hacker SCADA: IHM, PLC, RTU, BDs
Mascarar o que o operador está vendo
Induzir ao erro
Geralmente só dá tempo de correr…
Alvos de um ataque

10. IHM

11. IHM

12. RTU

13. PLC

14. Forense Industrial

15. O desafio da Forense na
indústria

16. Desafios à forense em
ambiente de T.A.
A maioria dos dispositivos e sistemas de controle não possuem tecnologia capaz de coletar e
armazenar dados que venham a ser utilizados logo após um sinistro ou incidente de
segurança.
O rito tradicional de uma perícia forense não é suficiente para endereçar os eventos de uma
planta de automação industrial.
Arquiteturas industriais não utilizam firewall, IPS/IDS e nem uma solução unificada de
guarda e interpretação de logs (SIEM). O fator tempo é crucial!
Há a dependência do envolvimento do fabricante em análises dos eventos e
incidentes de segurança.

17. Demanda-se então:

18. DDooccuummeennttaaççããoo ddee ssiisstteemmaass
Melhores práticas de respostas a incidentes de segurança
Especificações técnicas do ambiente SCADA
Categorização das tecnologias empregadas na planta
Definir as singularidades dos sistemas de controle
Coleta e métodos de análise
Manter capacidade técnica para a realização de forense
Documentar os requerimentos de controles de processos
Base de processos forenses
Sistema de Controle Forense

19. Incidente e
Ocorrência Criminal

20. Preservação da cena do crime
A realidade industrial versa sobre cenários com ciclos de produção previstos para meses
e anos.
As paradas programadas são poucas e oferecem reduzidas janelas de manutenção.
Ao contrário de um ambiente de T.I., não podemos simplesmente parar tudo para fazer a
custódia de HDs. A preservação de evidências é impossível em alguns cenários.

21. Preservação da cena do crime
Como provar o crime considerando que a IHM, PLC, RTU ou BD sofreram ataque
hacker e foram comprometidos?
Deve-se levar em consideração que autômatos como PLCs e RTUs também são
passíveis de ataques e comandos externos.
O ambiente de automação deve estar configurado de forma a manter e a preservar o
monitoramento contínuo e respectivos logs de todos os ativos da planta industrial que
sejam passíveis disto.
Usar software SIEM para gerir trilhas de auditoria forense.
O SIEM deve analisar e correlacionar logs de firewalls, switches, máquinas, etc.
Configurado para alarmar por tipo de incidente e ocorrência.
Nunca deve ser reativo!

22. CCoonntteemmppllaarr::
Monitoramento Contínuo
Protocolos industriais que trafegam dados em tempo real.
Monitoramento de todos os processos supervisórios e também da latência da rede
comparados aos padrões operacionais normais.
Ponto fora da curva - Comparar anormalidade imediatamente com a IHM.
Alarmes deverão ser disparados a todos os envolvidos na operação e
manutenção.
Os logs deverão ser imediatamente analisados e já contemplados em
política de backup e storage externo.

23. Monitoramento Contínuo

24. Monitoramento Contínuo

25. Monitoramento Contínuo
Estado da arte: geração de trilhas de auditoria forense

26. Análise de Log
Análise do log com destaque para
os pacotes 154, 156 e 162.
115544 - o atacante enviou um comando de
parametrização IOA 4821 para 50.354%
para a remota.
115566 – A RTU atendeu o comando.
116622 – A remota informa que o comando
foi realizado com sucesso e que as
comportas do reservatório foram abertas.
AA PPLLAANNTTAA FFOOII
IINNVVAADDIIDDAA EE
CCOOMMAANNDDAADDAA PPOORR UUMM
AAGGEENNTTEE EEXXTTEERRNNOO

27. Baixem o White Paper TI SAFE
http://pt.slideshare.net/tisafe/white-paper-detectando-problemas-em-redes-industriais-atravs-
de-monitoramento-contnuo
Dicas
Visitem o ICS Village e vejam as soluções
em funcionamento em uma planta
industrial.

28. Incidente
Forense
Perícia de Marco Zero

29. Caso Real – Marco Zero
Planta industrial paralisada por vários dias em decorrência de infecção por vírus onde este
interferia nos comandos dos CLPs e degradava a velocidade de rotação dos autômatos por
eles comandados. Então o que fazer neste caso?
Necessário retirar todos os computadores da rede local, desinfectá-los um a um, realizar
uma varredura completa em seus logs de sistemas identificando qual máquina originou e
deu início a toda a infecção e assim por diante
Somente sob a certeza de que todas as máquinas estavam isentas de
pragas virtuais é que estas voltaram à operação normal em rede.
Diante deste quadro urge que sejam implementadas melhores práticas
forenses em ambientes industriais informatizados.

30. 1. Como saber se há invasão
2. Decidir o que consertar primeiro
3. Perícia em equipamentos de campo
4. Acesso físico
Melhores Práticas

31. 1. Como saber se há invasão?
Melhores Práticas
a. Os ataques podem parecer problemas anormais ou até mesmo problemas corriqueiros
no seu painel de controle. Mas assim mesmo devem ser investigados.
b. Procure por indicadores como mudanças bruscas em diversos sinais de mal
funcionamento, persistência e telas azuis de dumping de memória.
c. Investigue no campo os indicadores e os compare com os apresentados na
tela do painel de controle do monitoramento contínuo.
d. Compare as leituras dos sistemas de segurança com as leituras dos
sistemas de controle
e. Logs a serem analisados – firewall, DNS, Proxy, IPS/IDS, routers e
switches, tráfego de rede, acessos físicos,…

32. 2. Decidir o que consertar primeiro
a. Definir as prioridades processuais para o retorno da operação. Ambiente mínimo.
b. Pode ser perda de tempo tentar restaurar tudo ao mesmo tempo.
c. Use o mínimo recomendado para mode ON.
d. Tentar operar manualmente sistemas auxiliares.
e. Religar sistema primário com a certeza que não serão reinfectados.
f. Tenha sempre HW backup como PLCs, routers, etc..
Melhores Práticas

33. 3. Perícia em equipamentos de campo
a. Ainda usa modem? Cheque as linhas e LSS – line sharing switch. Mantenha os logs do
PABX. Ative logs de I/O. #war #dialing
b. Cheque por evidências de alteração em configurações operacionais. #SETUP
i. Setup padrão x fabricante (reset) x suspeito
c. Analise o #firmware encontrado no equipamento suspeito através da
comparação de HASH. Ou ainda comparar os binários.
d. Tentar operar manualmente sistemas auxiliares.
e. Religar sistema primário com a certeza que não serão reinfectados.
f. Tenha sempre HW backup como PLCs, routers, etc..
Melhores Práticas

34. 4. Acesso físico
a. Cheque CFTV
b. Cheque acessos a setores, elevadores, catracas e portas.
c. Analise alarmes.
d. Registro de visitantes.
Melhores Práticas

35. Concluindo

36. Concluindo

37. leonardo.cardoso@tisafe.com