Adicionar à colecção (s) Adicionar a salvo
  1. Ciência
  2. Ciências da saúde
  3. Doenças infecciosas

LEVEL 1 - TI Energia 2016

Propaganda 
ANATOMIA DE SEGURANÇA DAS REDES DE
AUTOMAÇÃO NA AMÉRICA LATINA – CASOS REAIS
Alexandre Freire
Brazil Enterprise Accounts Sales Engineer
WW Industrial Control Systems Tiger Team
[email protected]
Estudo de Caso
Cenários de empresas na América Latina apresentados no roundtable de
indústrias do Palo Alto Networks Ignite 2016
ISA 95/Purdue Enterprise Reference Architecture (PERA)-A
Level 4
Web Services
Business Logistics/Enterprise
Corporate Workstations
Data Center
Level 3.5
DMZ
Business
Workstation
Email
Manufacturing Operations Systems
Historian Copy
Jump
Patch
Web
Level 3
HMI
Level 2
HMI
Historian
Application
Engineering
File Server
HMI
Application
Control Systems
Historian
Level 1
Intelligent Devices
Process
Engineering
PLC/RTU
Level 0
Engineering
Engineering
HMI
PLC/RTU
PLC/RTU
Modelo de Referência ISA 95/Purdue Architecture (PERA)-A
Splunk Application for Palo Alto Networks
Caso 1 – Proliferação de vírus via terceiros – Siderurgia com Subestações
•
Problema:
• Fornecedores externos de automação disseminando vírus, códigos maliciosos e
aplicações para rede SCADA a partir de conexões de VPN :
• Conexão de VPN provê criptografia mas e sobre controle de segurança, ameaças e visibilidade
de aplicações e protocolos?
•
Consequências:
- Aplicações indesejáveis e Malciosas encontradas devido ao roteamento 0.0.0.
• Default gateway para túnel de VPN = Ambiente Operativo (falha de configuração)
• Túnel terminando em Firewall de porta/protocolo agindo como concentrador de VPN
 Falta de visibilidade de aplicações/protocolos e ameaças conhecidas/desconhecidas
Aplicações encontradas: Dropbox, Bittorrent e Skype
 Atividades suspeitas de DNS indicando máquinas comprometidas (Botnets)
 Worm Conficker proliferando na rede (overhead/latência)
•
Rede industrial paralizada afetando controle da produção (interrupção de comunicação entre
sistemas supervisórios e PLCs).
Caso 1 – Proliferação de vírus via terceiros – Siderurgia com Subestações
Fabricantes de automação
VPN Cliente Servidor
•
Solução: Criação de uma
Zona de Acesso de Terceiros
(LEVEL 4)
“Ao invés de posicionar acesso de
terceiros na DMZ, onde ainda existe a
possibilidade de expor as estações de
trabalho e servidores à ameaças
externas, a implantação ideal seria a
criação de uma zona separada para
suporte de acesso remoto
• Zona de Acesso de
Terceiros (Nível 4) criada
para fornecer total
visibilidade do tráfego
que entra e sai da rede
de produção com a
capacidade de alertar ou
bloquear malware
conhecidos e
desconhecidos
(APT/0Day).
• Restringir o acesso com
base em grupos
(usuários), apliações
administrativas
necessárias (telnet/ssh) e
baseado em
determinados períodos
(agendamentos)
Caso 2 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
•
Problema:
• Reprogramação de PLCs/RTUs a partir de origens desconhecidas
• Reinicialização de remotas (subestações) sem causa aparente;
• Comandos DNP3 e sub funções (dnp3-operate/direct-operate/read/write)
disparados de origens desconhecidas.
•
Consequencias:
• Incidente reportado devido a Perda de Visão e Controle (Loss of View and Loss
of Control) devido a reinicialização das remotas.
• Possibilidade de sabotagem devido a falta de segmentação entre diferentes
níveis Perdue Model
Caso 2 – Reprogramação Indevida de PLCs – Empresa Setor Elétrico
• A criação de Nível 1
zona reforça a
proteção contra
acesso não
autorizado com a
intenção de
reprogramar
dispositivos PLC.
•
Solução: Criação da Zona de PLC
(LEVEL 1)
“Dispositivos colocados nesta zona são itens
como PLCs, Remotas e relés programáveis”.
• Concede a
visibilidade
adequada e
controle
restringindo fontes
única confiáveis
(Sistemas de
supervisão) para
leitura e escrita de
PLCs
Caso 3 – Sequestro de Centro de Controle – Ataque de Ransomware
•
Problema:
• Cópia de arquivo infectado para máquina de operação de Centro de Controle
•
Consequencias:
• Perda de Visão e Controle da operação devido a proliferação de malware moderno
Caso 3 – Sequestro de Centro de Controle – Ataque de Ransomware
Solução: Adoção de
proteção de
endpoint contra
Malware Avançado
6
Quarentena de
Malware
5
Override de
Políticas
Administrativas
4
1
Inspeção &
Análise
Dinâmica
Prevenção
Malware
Múltiplos
Métodos
Identificação
de Autores
Confiáveis
Análise
Estática
Machine
Learning
2
3
Restrição de
Execução
Arquitetura de Referência
Topologia modelo para Redes de Automação
Arquitetura Top-Down de Referência para Redução de Riscos em
Redes SCADA/ICS
Public
Cloud
Visibilidade
Segmentação
Prevenção de Ameaças
L3.5
Zona TI
Corporativa
Wildfire – Proteção Malware Moderno
TI-TA Zona
DMZ
Traps
Traps
Historian Replica
L3
Zona
Servidores
SCADA
Traps
Jump
Patch
Traps
Historian Process-specific
Traps
Web
Private
Cloud
Traps
Traps
Traps
Traps
Business
Traps
DEV Zone
Traps
Wildfire Appliance
Zona Operadores HMIs
L0
Zona
PLC/IED/RTUS
Panorama
Remote
Engineer
Access
Traps
Traps
L2
L1
Acesso Remoto:
Jump Server ou VPN
ESM
Zona de Engenharia
Zona
PLC/IED/RTUS
Site/Cell Zone
L4
Segurança de Endpoint
Gerencia Centralizada
(Panorama and ESM)
Splunk: The Platform for Machine Data
Badging
records
Ad hoc
search
Data Loss
Prevention
Smartphones
and Devices
Web
Proxy
Storage
Desktops
File
servers
Firewall
VPN
Packaged
Applications
Vuln
scans
Databases
DNS/
DHCP
Authentication
Report
and
analyze
Real-Time
Custom
dashboards
Developer
Platform
Endpoint
External Lookups
IDS
Custom
Applications
Anti
malware
Monitor
and alert
Real-Time
Cloud
Infrastructure
Email
servers
Threat Network Segments / Data
Asset Employee /
Honeypots
Intelligence
& CMDB HR Info
Stores
Beneficios da Arquitetura de Integração com Splunk
Defesa em
Camadas com
dados
correlacionados
Análise apurada de
ameaças
modernas com
deteções e
correlações de
anomalias
Visualização de dashboards com
dados em tempo real a partir de
indicadores customizáveis
Obrigado!!
Application
Mobility Correlation
Users
Remediation
Perimeter
Services
Private Cloud
Scalability
Data Center
Forensics
Applications
Web Security
Platform
Integrated
Anti-Malware
Performance
Command-&-Control
Vulnerability
Management
Agile
Prevention
Virtualization
Segmentation
Zero-Day
Responsive
People Detection
Control
Policy
Reduce Risk
Visibility
BYOD
Public Cloud
Exploit
Support
Endpoint
Automation
Safe Enablement
Context
Ecosystem
Culture
Documentos relacionados
Monyke Strzelecki
Monyke Strzelecki
- Palo Alto Networks
- Palo Alto Networks
(TRAPS) ou febre familiar hiberniana
(TRAPS) ou febre familiar hiberniana
(TRAPS) ou febre familiar da hibernia
(TRAPS) ou febre familiar da hibernia
PC em segurança sem gastar dinheiro
PC em segurança sem gastar dinheiro
Redes Sociais
Redes Sociais
Considerações a respeito do PLC 138/2010 - CONRE-3
Considerações a respeito do PLC 138/2010 - CONRE-3
5º ANO - Cermac
5º ANO - Cermac
Introdução
Introdução
Slides De apresentação Do artigo
Slides De apresentação Do artigo
Traps - IC
Traps - IC
Leia_problemas
Leia_problemas
A nossa Missão A nossa Visão O nosso Compromisso
A nossa Missão A nossa Visão O nosso Compromisso
Segurança no computador
Segurança no computador
PDF - Livros Digitais
PDF - Livros Digitais
Estudo dos PLC
Estudo dos PLC
Download
Propaganda