Em automação industrial utilizamos Redes SCADA, que são utilizadas em infraestrutura crítica para controlar o smart grid, oleodutos, estações de tratamento de água, fábricas de produtos químicos, infraestrutura de energia, farmacêuticas, industriais de alimentos e bebidas e tudo onde haja um alto nível de automação.
Assim como no universo de TI a ameaça de hackers e a exploração de vulnerabilidades estão no set list das preocupações, já que a indisponibilidade de um serviço de automação custará milhões de dólares e até mesmo vidas humanas, no caso de plataformas por exemplo.
Vamos demonstrar algumas das melhores práticas e os problemas de segurança em rede SCADA, incluindo a análise pragmática das varreduras de vulnerabilidades, incluindo monitoramento de rede passiva.
Mapear todas as conexões da rede SCADA.
Assim como na rede de TI devemos realizar uma análise de risco completa para avaliar o risco e necessidade de cada conexão com a rede SCADA.
Para o público de TI que não conhece o universo de Automação, é importante frisar que naturalmente que redes de automação são segregadas e possuem poucas conexões. Entretanto é uma prática comum não serem remodeladas.
O motivo é bem simples, paralizar uma planta fabril por causa de uma medida de segurança mal escrita não é algo razóavel em termos de riscos para se aceitar tão facilmente.
Portanto é necessário desenvolver uma compreensão abrangente de todas as conexões com a rede SCADA, e como essas conexões são protegidas.
Identificar e avaliar os seguintes tipos de conexão:
- Interna área local, redes de longa distância, incluindo redes de negócios. (Modelo ISA 99).
- Conexões com a internet.
- Dispositivos de rede sem fio, RFID`s e Asset management.
- Modem ou conexões dial-up não inventariadas
- As ligações para parceiros de negócios, fornecedores ou agências reguladoras.
- Portas USB
Para garantir a segurança dos sistemas SCADA é necessário isolar a mesma de outras redes e conexões. Qualquer ligação coma outra rede introduz riscos de segurança, particularmente se a ligação cria uma conexão para a Internet.
O isolamento da rede SCADA deve ser o objetivo principal, sempre!
Estratégias como a utilização de “zonas desmilitarizadas” (DMZs) e armazenamento de dados são premissas básicas (Modelo ISA 88 e ISA 95).
Pensar criteriosamente no como, aonde e porque da transferência de dados da rede SCADA para a camada de negócios deve fazer parte do mapeamento e ciclo PDCA da segurança. No entanto, eles devem ser concebidas e implementadas corretamente para evitar a introdução de riscos adicionais ou indisponibilidade de serviços através de uma configuração incorreta.
Avaliar e fortalecer a segurança de todas as conexões restantes à rede SCADA.
Realizar testes de penetração ou análise de vulnerabilidade de quaisquer conexões restantes à rede SCADA para avaliar a postura de proteção associado a estas vias. Use essas informações em conjunto com risco
Assim com em TI a rede SCADA é tão segura quanto o seu elo mais fraco, é essencial a implementação de firewalls, sistemas de detecção de intrusão (IDSs), e outras medidas de segurança.
Implementar regras de firewall para proibir ou garantir o acesso limpo de/para a rede SCADA, e ser o mais específico possível ao permitir conexões aprovadas. Por exemplo, pensar no fluxo dos parceiros de negócios ou engenheiros de manutenção de outros escritórios que tenham que acessar a planta remotamente.
Hardening na rede SCADA para remover ou desabilitar serviços desnecessários.
Servidores de controle SCADA construídos em sistemas operacionais comerciais ou open-source podem estar expostos a ataques através de serviços de rede padrão. Até porquê raramente a atualização de patchs ocorre nessas máquinas, muitos são sistemas legados bastante antigos.
Então devemos remover ou desativar serviços não utilizados para reduzir o risco de ataque direto. Isto é particularmente importante quando as redes são interligadas com a rede SCADA, conforme vimos acima no framework da ISA 88 e ISA 99.
Nunca permitir um serviço ou recurso em uma rede SCADA sem uma avaliação rigorosa dos riscos das suas consequências.
Os serviços a serem removidos em redes SCADA incluem:
Leitura do automatizada de medidores e sistemas de faturamento remotos, serviços de e-mail e acesso à Internet.
Não confie em protocolos proprietários para proteger seu sistema.
Alguns sistemas SCADA utilizam protocolos exclusivos, patenteados para as comunicações entre dispositivos e servidores de campo.
Muitas vezes, a segurança de sistemas SCADA é baseada unicamente no sigilo destes protocolos. Infelizmente os mesmos são obscuros e fornecem pouca segurança “real”.
Não confiar em protocolos proprietários ou configuração padrão de fábrica para proteger seu sistema é uma prática salutar.
Implementar os recursos de segurança prestados por fornecedores de dispositivos e sistemas.
A maioria dos sistemas SCADA mais velhos (a maioria dos sistemas em uso) não têm recursos de segurança.
Proprietários de sistemas SCADA devem insistir que seus fornecedores implementem recursos de segurança sob de novos produtos ou atualizações.
Alguns dispositivos SCADA mais recentes já vêm com recursos básicos de segurança, mas estes são geralmente desativado para garantir facilidade de instalação e evitar problemas na rede.
Analise cada dispositivo SCADA para determinar se os recursos de segurança estão presentes. Além disso, o padrão de fábrica das configurações de segurança (como firewalls) são muitas vezes criados para proporcionar o máximo de usabilidade, mas mínima segurança. Defina todos os recursos de segurança para fornecer o nível máximo de segurança. Permitir configurações abaixo da máxima segurança somente após uma avaliação exaustiva dos riscos das conseqüências da redução do nível de segurança.
Implementar sistemas internos e externos de detecção de intrusão e estabelecer 24 horas por dia monitoramento incidentes.
Para sermos capazes de responder de forma eficaz a ataques cibernéticos, é necessário estabelecer uma estratégia de detecção de intrusão, que inclui uma estrutura de monitoramento ativo.
Monitoramento do sistema de intrusão e detecção é essencial que seja 24 horas por dia.
Além disso, os procedimentos de resposta a incidentes devem estar no bem escritas para permitir uma resposta eficaz a qualquer ataque.
Para complementar o monitoramento de rede, habilitar o registro em todos os sistemas da trilha de auditoria.
Realizar auditorias técnicas de dispositivos SCADA e redes, e qualquer outro dispositivo ligado para identificar problemas de segurança.
Auditorias técnicas dos dispositivos SCADA são essenciais para a eficácia de segurança em andamento.
Existem muitas ferramentas de segurança de código aberto que permitem que os administradores de sistema realizarem auditorias de seus ativos e sistemas a fim de verificar vulnerabilidades comuns.
O uso dessas ferramentas não vai resolver os problemas sistêmicos, mas vai eliminar os “caminhos de menor resistência” que um invasor pode explorar.
Analisar as vulnerabilidades identificadas para determinar o seu significado, e tomar ações corretivas, conforme apropriado.
Vistorias de segurança física.
Avaliar todos os sites remotos conectados ao SCADA
Qualquer lugar que tenha uma conexão com a rede SCADA é um alvo, especialmente estações não tripuladas ou subterrâneas.
Realizar um levantamento de segurança e de inventário físico nos pontos em cada estabelecimento que tem uma conexão remota para o sistema SCADA. Identificar e avaliar qualquer fonte de informações, incluindo rede de telefone / computador remoto / cabos de fibra óptica que poderiam ser aproveitadas, links de rádio e de microondas que são exploráveis, terminais de computador que podem ser acessados; pontos de rede de área local sem fios.
Identificar e eliminar os pontos únicos de falha.
A segurança do local deve ser adequada para detectar ou impedir o acesso não autorizado.
Criar times específicos de segurança em redes de automação para identificar e avaliar os possíveis cenários de ataque.
Estabelecer um “Team Red” a fim de identificar potenciais situações de ataque e avaliar as vulnerabilidades potenciais do sistema.
A equipe deve ser multidisciplinar. Uma variedade de pessoas pode fornecer insights sobre os pontos fracos da rede global, sistemas SCADA, sistemas físicos, e controles de segurança. As pessoas que trabalham no sistema todos os dias tem uma grande visão sobre as vulnerabilidades de sua rede SCADA e devem ser consultadas ao identificar cenários de ataque em potencial e possíveis consequências.
Além disso, garantir que o risco de um insider malicioso é uma possibilidade sempre, uma vez que esta representa uma das as maiores ameaças para uma organização. Alimente as informações resultantes da avaliação “Red Team” em risco de processos de gestão para avaliar as informações e estabelecer estratégias de proteção adequados.
Definir claramente as funções de segurança cibernética, responsabilidades e autoridades para os gestores, administradores de sistema e usuários.
Documentar de arquitetura de rede e identificar os sistemas que servem as funções críticas ou que contenham informações confidenciais que exigem níveis adicionais de proteção.
Desenvolver e documentar uma robusta arquitetura de segurança da informação como parte de um processo para estabelecer a efetiva estratégia de proteção. É essencial que as organizações projetem suas redes com a segurança em mente e continuem com a forte compreensão que a sua arquitetura de rede possui um seu ciclo de vida.
Sem essa compreensão, o risco não pode ser devidamente avaliado e estratégias de proteção podem não serem suficientes.
Documentar a arquitetura de segurança da informação e de componentes é fundamental para a compreensão da estratégia de proteção global, e identificando os pontos únicos de falha.
Estabelecer uma estratégia de proteção de rede com base no princípio da defesa em profundidade.
Um princípio fundamental que deve fazer parte de qualquer estratégia de proteção de rede é de defesa em profundidade.
Essa filosofia deve ser considerada no início da fase de concepção do processo de desenvolvimento, e deve ser uma consideração integrante em todas as tomadas de decisões técnicas associadas à rede.
Utilizar os controles técnicos e administrativos para reduzir as ameaças de riscos identificados.
Os pontos de falha devem ser evitados, e a defesa de segurança cibernética deve ser em camadas para limitar e conter o impacto da quaisquer incidentes de segurança. Além disso, cada camada tem de ser protegida contra outros sistemas na mesma camada (VLAN´s agressivas).
Por exemplo, para proteger contra a ameaça interna, restringir os usuários a acessar somente os recursos necessários para executar suas funções de trabalho.
Estabelecer processos eficazes de gerenciamento de configuração.
Criar e manter um processo de gestão da configuração de ativos é fundamental para manter uma rede segura.
O gerenciamento de configuração deve abranger ambas as configurações de hardware e software. Alterações de hardware ou software podem facilmente introduzir vulnerabilidades que comprometem a segurança da rede. Os processos são necessários para avaliar e controlar qualquer mudança para assegurar que a rede continue a ser segura.
O ITIL e o Cobit podem ajudar as equipes de automação nessa função.
Realizar auto-avaliações de rotina.
Processos de avaliação de desempenho são necessárias para fornecer às organizações feedback sobre a eficácia da política de segurança cibernética e sua execução técnica.
Um sinal de uma organização madura é aquela que é capaz de versionar suas regras de segurança em edições anuais.
Processos de auto-avaliação normalmente são parte de um programa eficaz de segurança cibernética e incluem a digitalização da rotina em busca de vulnerabilidades, de auditoria automatizada da rede, e auto-avaliações do desempenho organizacional e desempenho individual.
Estabelecer backups do sistema e planos de recuperação de desastres.
Estabelecer um plano de recuperação de desastres que permite a recuperação rápida de qualquer emergência (incluindo um ataque cibernético).
Backups do sistema são uma parte essencial de qualquer plano e permitir a reconstrução rápida da rede. Rotineiramente exercer recuperação de desastres e testar os planos para assegurar que eles trabalham e que o pessoal estará familiarizado com eles.
Estabelecer políticas e realizar o treinamento
A fim de criar a cultura de segurança treinar e capacitar os colaboradores a não divulgarem de forma inadvertida informações confidenciais a respeito do sistema SCADA, seja de design, seja de operações, ou dos controles de segurança.
Os dados relacionados com a rede SCADA devem ser apenas em um público restrito.
Dividir por papeis e advertir os mecanismos da “Engenharia Social”.
As práticas acima mencionadas são comuns no universo da TI mas ainda pouco empregadas no universo da Automação.
Quanto mais avançamos sobre o cenário das fábricas 3.0 e suas facilidades com a internet das coisas, mais torna-se preciso unir os times de automação e TI e convergirem esforços no assunto de segurança.