Palestra - Segurança de redes de automação

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Introdução à Segurança em Redes Industriais e SCADA

Junho de 2012

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


Sobre a TI Safe

• Missão� Fornecer produtos e serviços

de qualidade para a Segurança da Informação

• Visão� Ser referência de excelência

em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado


Siga a TI Safe nas Redes Sociais

• Twitter: @tisafe

• SlideShare: www.slideshare.net/tisafe

• Facebook: www.facebook.com/tisafe

• Flickr: http://www.flickr.com/photos/tisafe


Não precisa copiar...

http://www.slideshare.net/tisafe


Agenda

• Introdução às redes industriais e SCADA

• Ameaças aos sistemas SCADA

• Ataques documentados

• Normas para Segurança em Redes Industriais

• Soluções para segurança de redes industriais

• Treinamento e conscientização

• Conclusão


Introdução às redes industriais e SCADA


O que são infraestruturas críticas?

São sistemas de infraestrutura para os quais a continuidade é tão importante que a perda, interrupção significativa ou degradação dos serviços poderia ter graves consequências sociais ou à segurança nacional.

Exemplos:�Geração e distribuição de eletricidade; �Telecomunicações;�Fornecimento de água;�Produção de alimentos e distribuição;�Aquecimento (gas natural, óleo combustível);�Saúde Pública;�Sistemas de Transportes;�Serviços financeiros;�Serviços de Segurança (polícia, exército)


Sistemas SCADA

• Os sistemas SCADA são utilizados em processos industriais, como na produção de aço, produção de energia (convencional e nuclear), distribuição de energia, metalomecânica, indústria química, estações de tratamento de águas, etc.

• Em Indústrias, as soluções baseadas na arquitetura SCADA são as mais usadas (Fix, Factory Link, CIMPLICITY, e outras soluções de mercado).

SCADA = Supervisory Control And Data Acquisition


Arquitetura básica

• Um sistema SCADA é composto por:

� Instrumentação de campo.

� Autômatos Programáveis.

� Rede de comunicações.

� Sistemas Supervisórios


Instrumentação de Campo

• Dispositivos que estão ligados ao equipamento ou máquinas a serem monitoradas e controladas pelo sistema SCADA:

� Sensores para monitorar alguns parâmetros;

� Atuadores para controlar alguns módulos do sistema.

• Estes dispositivos convertem os parâmetros físicos (i.e. fluxo, velocidade, nível, etc.) em sinais elétricos que serão acessados pelas estações remotas.

• As saídas podem ser analógicas ou digitais.

• As saídas em tensão são utilizadas quando os sensor es são instalados perto dos controladores; em corrente quando os sensores estão longe dos controladores.

• As entradas podem ser analógicas ou digitais.

� Entradas digitais podem ser utilizadas para ligar/d esligar equipamento;

� Entradas analógicas são usadas para controlar a vel ocidade de um motor ou a posição de uma válvula motorizada.


Autômatos Programáveis

• Instalados na planta e controlados pela entidade central.

• A instrumentação de campo é ligada aos autômatos

programáveis, que recolhem a informação do equipamento e a

transfere para o sistema SCADA central.

• Os autômatos programáveis são frequentemente utilizados em

sistemas SCADA devido à sua flexibilidade e boa capacidade

de programação.

• Tipos:

� CLP: Controlador Lógico Programável (PLC em Inglês)

� RTU: Também chamados de remotas (do inglês, Remote

Terminal Units)

� IED: dispositivos controladores comumente utilizados em

empresas de energia elétrica.


Topologias de redes SCADA

*FEP = Front End Processor


A Pirâmide da AutomaçãoA Pirâmide da AutomaçãoA Pirâmide da AutomaçãoA Pirâmide da Automação


Redes Industriais

• Integram todo ou parte do conjunto de informações presentes em uma indústria• Sistema distribuído eficaz no compartilhamento de informações e recursos

dispostos por um conjunto de máquinas processadoras• Vários usuários podem trocar informações em todos os níveis dentro da fábrica• Vários protocolos de comunicação para redes SCADA foram desenvolvidos por

diferentes fabricantes de equipamentos industriais


Protocolos Industriais - Padrões Fieldbus

• Fieldbus é um termo genérico empregado para descrever tecnologias de comunicação industrial para controle em tempo real;

• O termo Fieldbus abrange diferentes protocolos para redes industriais

• Atualmente há uma vasta variedade de padrões Fieldbus. Alguns dos mais usados são:� AS-Interface (ASI)� CAN Bus� DeviceNet � Data Highway� LonWorks � Modbus � Profibus


Protocolo OLE for Process Control (OPC)

• OPC (OLE for Process Control) é um padrão industrial publicado para interconectividade de sistemas

• Seu funcionamento é baseado no OLE (Objetc Linking and Embedding) de componentes orientados a objeto, por meio das tecnologias COM e DCOM da Microsoft que permitem que aplicações troquem dados que podem ser acessados por um ou mais computadores que usam uma arquitetura cliente/servidor, mesmo que essas aplicações trabalhem sobre sistemas que utilizem protocolos diferentes.

• O OPC unifica o padrão de comunicação de dados de controle de processo e a permite que diferentes produtos sejam interfaceados com uma única tecnologia, promovendo interações dos sistemas de operação e integração de vários processos em um só sistema, isso com custo e tempo de implementação reduzidos

• O OPC permite a “integração vertical” entre os diferentes sistemas dentro de uma organização. Consiste em um programa servidor, geralmente disponibilizado pelo próprio fabricante do PLC, que se comunica com o PLC através do protocolo proprietário e disponibiliza os dados no padrão OPC.

• O cliente, ao invés de precisar ter um driver do protocolo proprietário, necessita ter apenas o driver OPC client instalado.


Supervisão e Controle de Processos

• A supervisão e o controle de processos produtivos são tarefas fundamentais na automação industrial, suportando os operadores para a gestão de aplicações bastante complexas.

• A supervisão e controle assume-se como uma plataforma crucial à gestão, visualização e processamento de informação em ambiente industrial.

• Existem dois tipos de supervisão e controle:� IHM: Interface Homem Máquina, para supervisão e controle distribuído.

� Sistemas Supervisórios : para supervisão e controle centralizado.


IHM – Interface Homem Máquina

• Dispositivos que permitem a interação direta entre o usuário e o controlador (de um

dado processo).

• Permite supervisionar e controlar, de uma forma distribuída, o processo.

• São muito utilizados como dispositivos de processamento de informação com

capacidades de comunicação para suportar processos de decisão relativos ao

processo a serem controlados.


Sistemas Supervisórios


Ameaças às Redes de Automação


Os primeiros sistemas SCADA eram assim....

NÍVEL DECAMPO

NÍVEL DECONTROLE

NÍVEL DEPLANTA

Rede de Controle

SupervisãoBanco de

Dados

Rede de Planta ou Gerenciamento

Rede deCampo

• Ilhas de Automação


Evolução – Integração de sistemas

Integração de Sistemas

Transacional

Tempo Real

Contínuo

Seqüencial

Discreto

Medição

Gerência Corporativa

Gerência de Produção

Tempo Real

Transacional

Controle

Gerência Industrial


Evolução – Sistemas Supervisórios

• No início os sistemas supervisórios eram desenvolvidos em plataformas operacionais caríssimas, baseadas em sistemas Unix like e máquinas poderosas como os Digital Vax e Alpha.

• Desenvolver aplicativos para estas plataformas era algo extremamente caro

• Com isto, supervisórios passaram a ser desenvolvidos para plataformas Windows, cujo processo de desenvolvimento era muito mais rápido e os custos globais do projeto eram bastante reduzidos


Vulnerabilidades no Sistema Operacional Windows

http://www.microsoft.com/brasil/technet/security/bulletin/ms07-032.mspx


Vulnerabilidades e Exploits para SW SCADA

http://www.frsirt.com/english/advisories/2008/0306


Tipos de Vulnerabilidades

• Vulnerabilidades dos Protocolos

• Vulnerabilidades no Projeto dos Produtos

• Vulnerabilidades das Implementações

• Vulnerabilidades de Configurações Inadequadas


Cracking de senhas em PLCs• É possível monitorar a comunicação entre o Supervisório e o PLC através da porta COM e obter as senhas (Principal e Master) do PLC


Vulnerabilidades típicas em sistemas SCADA


Vulnerabilidades comuns em SCADA

Arquitetura de rede insegura� Configuração de servidores de FTP, web e email de maneira inadvertida ou sem

necessidade fornecem acesso à rede interna da empresa� Conexões de rede com parceiros de negócios não protegidas por Firewalls, IDS

ou VPN são portas de entrada para invasões� Modems permanentemente habilitados, sem mecanismos fortes de controle de

acesso� Firewalls e outros dispositivos de segurança de rede não implementados

internamente, deixando pouca ou nenhuma separaração entre as redes corporativa e de automação

� Redes sem fio configuradas sem segurança adequada � PLCs não requerem autenticação para serem usados� Softwares de IHM possuem vulnerabilidades publicadas na Internet� Protocolo OPC, usado na maioria dos sistemas de automação, é baseado na

tecnologia OLE / DCOM da Microsoft que é extremamente vulnerável. Existem inúmeros exploits para invasão de servidores OPC na Internet.


Vulnerabilidades comuns em SCADA (Cont.)

Falta de monitoramento em tempo real� LOGs de equipamentos de segurança não são analisados, impedindo o pessoal de

segurança de redes de reconhecer ataques individuais� Empresas não utilizam software especialista para gestão de logs e incidentes

Bombas Lógicas � Pedaços de código intencionalmente inseridos em um sistema de software que irá

executar uma função maliciosa quando condições específicas forem atingidas.

Falta de Conhecimento e crença em mitos � “Nossa rede de automação não está conectada à Internet, então não temos nenhum

problema”� “Nossos funcionários são 100% confiáveis”


Como os atacantes entram…

a) Laptops de terceiros infectados com Malware e conectados diretamente à rede de automação

b) Conexões 3G não autorizadas e redes sem sem fio, ou através da rede corporativa

c) Atos intencionais de funcionários insatisfeitosd) Conexões via modeme) VPNs

Internet Directly17%

VPN Connection7%

Dial-up modem7%

Trusted 3rd Party Connection

10%

Telco Network7%

Wireless System3%

Via Corprate WAN & Business Network

49%


Tipos de Incidentes – 2002 a 2007

• Malware responde por 2/3 dos incidentes externos em sistemas de controle.

• Aparentemente vai de encontro aos incidentes de segurança de TI

• Entretanto, há uma quantidade surpreendente de eventos de sabotagem

DoS6%

Sabotage13%

Malware68%

System Penetration

13%


Literatura HackerLiteratura HackerLiteratura HackerLiteratura Hacker

• A criticidade do uso e o impacto provocado por ataques a redes de automação aumentou o interesse de hackers em realizar ataques. Já existem livros ensinando como atacar uma rede industrial.


Shodan

• Hackers estão usando o site de busca Shodan para encontrar computadores de sistemas SCADA que utilizam mecanismos potencialmente inseguros para autenticação e autorização.

http://www.shodanhq.com


Oleoduto rompe e deixa vítimas

• 01/06/1999

• Falhas no SCADA resultaram na ruptura do Oleoduto

• Gasolina atingiu dois rios nas cidades de Bellingham e Washington� Explosão matou 3 pessoas e feriu outras 8� Causou dano de propriedade significativo� Liberou aproximadamente ¼ milhões de

galões de gasolina, causando danos substanciais ao meio ambiente


Apagão na Unidade 3 da Usina Nuclear de Browns Ferry

• Notícia liberada em 17/04/07

• Bombas de recirculação dos reatores 3A e 3B se desligaram após as variáveis de frequência de operação das bombas terem sido colocadas em um estado inoperante

• O PLC controlador do condensador de desmineralização também falhou no mesmo momento

• Todas as 3 falhas foram atribuídas aos controladores das conexões Ethernet para as redes ICS (“Integrated Computer System”) das plantas, e tráfego excessivo nesta rede


Ataque à planta de Energia Nuclear de Davis-Besse

• Janeiro de 2003

• Um Worm penetrou em uma rede privada de computadores na planta nuclear de Davis-Besse, em Ohio (EUA)

• Desabilitou o sistema de monitoramento de segurança por aproximadamente 5 horas

• Planta de energia era protegida por um Firewall

• Em 1998 a mesma planta havia sido atingida por um tornado (desastre natural)


Hackers atacam e deixam cidades sem luz, diz CIA

• De acordo com Tom Donahue, oficial da CIA, hackers recentemente tentaram se infiltrar em redes de distribuição de energia elétrica fora dos Estados Unidos. Em pelo menos um dos casos de ataque, diversas cidades ficaram sem luz, segundo a Forbes.

• As autoridades não divulgaram muitos detalhes sobres os ataques, como identidade, onde ou quando aconteceram. Se sabe que os ataques foram feitos via Internet e que os Sistemas de Controle e Supervisão (SCADA) estão desatualizados.


Ataque ao sistema de Águas de Maroochy Shire

• 31/10/2001

• Ataque ao sistema de controle de tratamento de resíduos de Maroochy Shire em Queensland, Austrália.

• A Planta passou por uma série de problemas: bombas não acionavam quando comandadas, alarmes não estavam sendo reportados, e havia uma perda de comunicações entre o centro de controle e as estações de bombas.

• Estes problemas causaram o alagamento do terreno de um hotel próximo, um parque, e um rio com milhões de litros de resíduos


Outros Ataques (somente em 2008)

• Hackers penetrate South Korean missile manufacturer (1/10/08) -http://www.theregister.co.uk/2008/10/01/missile_manufacturer_hacked/

• Study: Vast number of cyber attacks 'Made in the USA' (23/09/08) -http://www.theregister.co.uk/2008/09/23/us_based_cyber_attacks/

• Minister warns of national grid hack threat (26/08/08) -http://www.theregister.co.uk/2008/08/26/uk_minister_grid_hacker_warning/

• Bear prints found on Georgian cyber-attacks (14/08/08) -http://www.theregister.co.uk/2008/08/14/russia_georgia_cyberwar_latest/

• US Air Force halts plans to establish a Cyber Command (14/08/08) -http://www.theregister.co.uk/2008/08/14/usaf_cyber_command_halted/

• Russian cybercrooks turn on Georgia (11/08/08) –

• http://www.theregister.co.uk/2008/08/11/georgia_ddos_attack_reloaded/

• DDoS attack floors Georgia prez website (21/07/08) –

• http://www.theregister.co.uk/2008/07/21/georgia_presidential_site_ddos/

• Panic attack brings down Russian nuke pages (2/06/08) -http://www.theregister.co.uk/2008/06/02/russian_emergency_nuke_site_autopsy/


O Worm Stuxnet - 2010

• Também conhecido como W32.Temphid e Rootkit.TmpHider

• Worm desenvolvido para tirar vantagem de vulnerabilidade existente em todas as versões do sistema Windows.

• O Stuxnet foi desenvolvido para atingir qualquer sistema usando a plataforma Siemens WinCC.

• O Objetivo do Malware parece ser espionagem industrial (roubo de propriedade intelectual de sistemas de controles de processos SCADA)

• Existem patches liberados para cada plataforma Windows e também alguns ajustes provisórios (workarounds)


Ataque à ETA de South Houston (EUA)

• 18/11/2011

• Hacker invadiu e

publicou em blog

imagens das IHMs do

SCADA da ETA de

South Houston,

provando que poderia

ter operado a planta

• http://pastebin.com/Wx

90LLum


Ataque à ETA de South Houston (Cont.)Retirado de post feito pelo Hacker em http://pastebin.com/Wx90LLum


Aurora Generator Test (Março/2007)Pesquisadores do Idaho National Laboratories simularam um cyber-ataque contra uma rede de energia, danificando uma turbina geradora.

http://therunagatesclub.blogspot.com/2007/09/aurora-cyber-attack-destroyed-million.html


Normas para Segurança em Redes Industriais


Normas para segurança de infraestruturas críticas

• ANSI/ISA-99 ( www.isa.org )

• NIST 800-82 (http://csrc.nist.gov/publications/PubsDrafts.html )

• Guia de referência para a segurança das infraestruturas críticas da

informação - Portaria 45 DSIC GSI

( http://dsic.planalto.gov.br/documentos/publicacoes/2_Guia_SICI.pdf )


A norma ANSI/ISA 99

• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais

• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques


Relatórios Técnicos da ISA 99

• ANSI/ISA-TR99.00.01-2007 – “Security Technologies for Industrial Automation and Control Systems”� Fornece métodos para avaliação e auditoria de tecnologias de cybersegurança, métodos para mitigação, e

ferramentas que podem ser aplicadas para proteger os sistemas de controle de automação industriais (IACS) de invasões e ataques.

• ANSI/ISA-TR99.00.02-2004 – “Integrating Electronic Security into the Manufacturing and Control Systems Environment”� Framework para o desenvolvimento de um programa de segurança para sistemas de controle

� Fornece a organização recomendada e a estrutura para o plano de segurança.

� O Framework está integrado no que é chamado de CSMS (Cyber Security Management System)

� Os elementos e requerimentos estão organizados em 3 categorias principais:

• Análise de Riscos

• Endereçando os riscos com o CSMS

• Monitorando e melhorando o CSMS


ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----TR99.00.01TR99.00.01TR99.00.01TR99.00.01----2007: 2007: 2007: 2007: Tecnologias de segurança para sistemas de controle e automação industrial

• O propósito é analisar a aplicabilidade de ferramentas tecnológicas de segurança aos sistemas de controle de automação industriais

• As ferramentas tecnológicas são distribuídas em categorias abstratas:� Filtragem/Bloqueio/Equipamentos de controle de acesso

� Tecnologias de criptografia e validação de dados

� Ferramentas para auditoria, medições, monitoramento e detecção

� Software para computadores

� Controles de segurança física

� Segurança de pessoal

• Cada categoria de ferramenta tecnológica é analisada nos seguintes aspectos:� Vulnerabilidades de segurança endereçadas por esta ferramenta

� Implantação típica

� Problemas e fraquezas conhecidas

� Modo de uso em ambientes de automação

� Diretivas futuras

� Recomendações e guia

� Fontes de informação e material de referência


ANSI/ISAANSI/ISAANSI/ISAANSI/ISA----TR99.00.02TR99.00.02TR99.00.02TR99.00.02----2004200420042004: Estabelecendo um programa de segurança de sistemas de controle e automação industrial

Categoria 1

Categoria 2

Categoria 3

Elementgroup

Element

Relacionamento de categorias

Análise de RiscosIdentificação, classificação e análise de riscos

Racional do Negócio

Endereçando riscos com o CSMSPolítica de Segurança, organização e treinamento

Escopo do CSMS

Segurança Organizacional Treinamento de segurança da equipe

Plano de continuidade de negócios

Políticas de segurança e procedimentos

Contramedidas de segurança selecionadas

Segurança Pessoal

Segurança física e ambiental

Segmentação da rede

Controle de acesso: gestão de contas

Controle de Acesso: autenticação

Implementação

Gestão do risco e implementaçãoDesenvolvimento de sistemas e manutenção

Informação e gestão de documentos

Planejamento e resposta a incidentes

Monitorando e melhorando o CSMS

ComplianceRevisar, melhorar e manter o CSMS

Elemento

Grupos de elementos

*Cyber SecurityManagement System

Controle de Acesso: autorização


As Etapas para a implementação do CSMS

1. Análise de Riscos� Racional do negócio, identificação de riscos, classificação e análise

2. Endereçando riscos com o CSMS� Política de Segurança, Organização e Treinamento

� Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de negócios, políticas e procedimentos

� Selecionar contramedidas de segurança� Segurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e

autorização

� Implementação� Gerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da

informação e documentos, planejamento de incidentes

3. Monitorando e melhorando o CSMS� Compliance

� Revisar, melhorar e manter o CSMS


A norma NIST 800-82

• Norma elaborada pelo NIST• O documento é um guia para o

estabelecimento de sistemas de controle de segurança para indústrias (ICS).

• Estes sistemas incluem controle supervisório e aquisição de dados em sistemas SCADA, sistemas de controle distribuídos (DCS), e outras configurações de sistema para PLCs.

http://csrc.nist.gov/publications/drafts/800-82/dra ft_sp800-82-fpd.pdf


Guia para infraestruturas críticas (2010)

• Desenvolvido pelo CGSI (Comitê

Gestor da Segurança da Informação),

órgão ligado à presidência da república

e instituído através da portaria 45 DSIC

GSI

• O Guia visa garantir a segurança das

infraestruturas críticas da informação

no Brasil


Editais com referência à norma ANSI/ISA-99

• O primeiro edital que claramente

apresenta referências à norma

ANSI/ISA-99 no Brasil foi o da

Petrobrás para a licitação do

COMPERJ (Complexo

Petroquímico do Rio de Janeiro)

• Este edital, publicado em Maio

de 2009 possuía um caderno

somente para as especificações

de segurança cibernética


Soluções para segurança de redes industriais


Análise de Riscos para redes industriaisAnálise de Riscos para redes industriaisAnálise de Riscos para redes industriaisAnálise de Riscos para redes industriais

• Baseado nas normas ANSI/ISA-99, NIST SP 800-30 (Risk Management Guide for Information Technology Systems) e NIST 800-82 (Guide to Industrial Control Systems Security)

• Atividades realizadas

� Inventário da rede de automação

� Entrevistas com os gestores

� Levantamento de vulnerabilidades e ameaças

� Análise qualitativa ou quantitativa

� Estimativa de impacto no negócio

� Definição de contramedidas e resposta a incidentes

� Avaliação do risco residual

� Plano de tratamento de riscos

� Manutenção e gestão continuada

Serviços executados com o auxílio do Módulo Risk Manager, com base de conhecimento para segurança industrial (ANSI/ISA-99)


Gap Assessment Gap Assessment Gap Assessment Gap Assessment para adequação à ANSIpara adequação à ANSIpara adequação à ANSIpara adequação à ANSI----ISA 99ISA 99ISA 99ISA 99

• O Gap Assessment é uma análise realizada na rede de automação da indústria que define as mudanças e implementações necessárias para que o ambiente esteja em conformidade com o que preconiza a norma ANSI/ISA-99

• Fornece uma direção clara sobre o trabalho necessário para cumprir com as diretrizes da norma.

• Atividades realizadas

� Inventário da rede de automação

� Especificação de modelo de Zonas e Conduítes e modelo de defesa em profundidade

� Avaliação de controles e políticas de segurança existentes e níveis de segurança atuais

� Recomendações de segurança para compliance com a ANSI-ISA 99

� Elaboração de relatório de conformidade, documento que descreve os objetivos globais de segurança de cada zona e conduíte visando a compatibilidade com norma ANSI/ISA-99 e indica as principais contramedidadas de segurança a serem aplicadas


Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA Análise de Vulnerabilidades e SCADA PentestPentestPentestPentest

• Análise de vulnerabilidades em servidores SCADA e OPC� Escaneamento seguro de servidores com ferramentas específicas para redes industriais� Geração de relatório com as vulnerabilidades encontradas e contramedidas indicadas � Mentoring para Hardening de servidores SCADA� Mentoring para Hardening de servidores OPC

• SCADA Pentest� Testes de SQL injection em IHMs locais e acessos remotos� Testes de invasão com ataques de Brute Force, XSS e execução de códigos maliciosos contra

aplicativos SCADA� Geração de relatório com os testes efetuados e seus resultados

� Mentoring para hardening de aplicativos e correção de códigos de aplicativos vulneráveis


Domínio de segurança para redes de automaçãoDomínio de segurança para redes de automaçãoDomínio de segurança para redes de automaçãoDomínio de segurança para redes de automação

• Implementação de procedimentos de governança para redes de automação

� Revisão / implementação de Política de Segurança específicas para áreas de automação

� Especificação de política de controle de acesso (grupos, recursos, direitos)

• Implementação de domínio para área de automação

� Baseado em Microsoft Active Directory

� Integração com login de plataformas UNIX like

� Implementação de login transparente

� Relação de confiança com domínio corporativo

� Ativação de GPOs específicas para segurança de redes industriais

� Implementação de ACLs para acesso restrito a CLPs e remotas

� Registros (Logs) de atividades de usuários na rede de automação


TI Safe SRA TI Safe SRA TI Safe SRA TI Safe SRA ---- Acesso Remoto Seguro Acesso Remoto Seguro Acesso Remoto Seguro Acesso Remoto Seguro

• Solução composta por itens de consultoria aliados à solução Check Point GO, que cria

um desktop virtual totalmente seguro e fornece segundo fator de autenticação em

acessos a sistemas SCADA, independente da máquina que o usuário estiver usando.

• Com a solução TI Safe SRA a rede de automação fica totalmente livre do risco de

infecção por malware e do roubo das credenciais durante o acesso remoto,

• Serviços de consultoria incluídos na solução:

� Implementação da solução Check Point GO dentro da rede de automação

� Definição e implantação de políticas de segurança no acesso remoto.

� Especificação de controles de segurança para uso de Modems na rede de automação.

� Revisão de segurança do acesso remoto da rede de automação de acordo com as boas

práticas da norma ANSI/ISA-99.

� Testes integrados e startup da solução.


Defesa em profundidade Defesa em profundidade Defesa em profundidade Defesa em profundidade –––– SuiteSuiteSuiteSuite TofinoTofinoTofinoTofino

A TI Safe é o único VAR da Byres Security autorizado para prestar consultoria e serviços no Brasil (http://www.tofinosecurity.com/buy/Tofino-Certified-VARs)

Serviços prestados• Treinamentos Técnicos

� Formação em Segurança de Automação Industrial (20h)� Certificação oficial da Suíte Tofino (12h)

• Implantação� Análise de Riscos e Gap Analisys segundo a norma ANSI/ISA-99� Modelo de Zonas e Conduítes segundo a norma ANSI/ISA-99� Segmentação de redes de automação e implantação de domínio� Implantação da Suite Tofino

• Pós-venda� Monitoramento 24X7 das soluções de segurança� Suporte de Segurança de Automação


Suporte de segurança para plantas industriaisSuporte de segurança para plantas industriaisSuporte de segurança para plantas industriaisSuporte de segurança para plantas industriais

• Centro de operações : Rio de Janeiro

• Portal do cliente : sistema web de Service Desk

acessado pelos especialistas da TI Safe e do

cliente

• Suporte remoto com SLA : acesso remoto

seguro à rede do cliente buscando a solução

imediata dos problemas de segurança e a

manutenção preventiva do seu ambiente

operacional.

• Suporte local: Nos casos em que não for

possível resolver o incidente remotamente a TI

Safe deslocará especialistas em segurança para

o atendimento local.

• Relatório mensal de suportes: a equipe da TI

Safe envia para seus clientes um relatório mensal

sobre os atendimentos realizados

• Serviços executados remotamente

� Gestão de IPS para segurança de borda

� Gestão de Firewalls da rede interna

� Gestão de solução de backup

� Gestão de solução de controle de

acesso reforçado

� Gestão de solução DLP

�Gestão de sofware SIEM

�Monitoramento de performance de

servidores e tráfego da rede de automação


Revenda de soluções com valor agregadoRevenda de soluções com valor agregadoRevenda de soluções com valor agregadoRevenda de soluções com valor agregado

• Venda, instalação, configuração e treinamento em soluções IBM, Tofino, Check Point e Lumension para redes industriais � Único VAR da Byres Security atendendo no Brasil� Único parceiro IBM no Brasil com expertise em segurança SCADA

• Soluções equivalentes em plataforma Open Source para projetos com investimento reduzido


Treinamento e Conscientização


Academia TI Safe

• Certificação CASE

� Prova presencial de 60 questões a ser realizada em 90 minutos. Aprovação com 70% de acertos ou superior

� Importante diferencial no mercado.

• Security Day

� Evento dentro da empresa cliente com até 8 horas de duração.

� Apresentações técnicas baseadas nas normas ISO/IEC 27001/27002, BS 25999 e ANSI/ISA-99.

� Apostila em formato digital.

• Formação em segurança de automação industrial (20h)

• Formação em Fundamentos de Guerra e Defesa Cibernética (24h)

� Treinamentos em turmas regulares ou on-site (mínimo de 10 alunos)

� Alunos recebem material didático em formato digital

� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras


Formação em segurança de automação industrial

• Baseada na norma ANSI/ISA-99

• Escopo:

• Introdução às redes Industriais e SCADA

• Infraestruturas Críticas e Cyber-terrorismo

• Normas para segurança em redes industriais

• Introdução à análise de riscos

• Análise de riscos em redes industriais

• Malware em redes industriais e ICS

• Desinfecção de redes industriais contaminadas por Malware

• Uso de firewalls e filtros na segurança de redes industriais

• Uso de Criptografia em redes industriais

• Segurança no acesso remoto à redes industriais

• Implementando o CSMS (ANSI/ISA-99) na prática

• Aulas ministradas nas instalações da TI Safe ou na empresa (mínimo de 10 alunos)

• Alunos recebem material didático em formato digital

• Formação com 20h de duração

• Instrutor membro da ISA Internacional e integrante do comitê da norma ANSI/ISA-99, com anos de experiência em segurança de automação industrial

• Objetiva formar profissionais de TI e TA:

� Apresenta, de forma teórica e prática, aplicações reais da segurança de acordo com o CSMS (Cyber Security Management System) preconizado pela norma ANSI/ISA-99

� Totalmente em português, adequada ao perfil do profissional de segurança requerido pelas empresas brasileiras

• Calendário com próximas turmas disponível em http://www.tisafe.com/solucoes/treinamentos/


CertificaçãoCertificaçãoCertificaçãoCertificação CASE CASE CASE CASE –––– Certified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security EngineerCertified Automation Security Engineer

A certificação CASE abrange os seguintes domínios de conhecimento:

• Introdução às redes Industriais e sistemas SCADA.• Infraestruturas Críticas e Cyber-terrorismo.• Governança para redes industriais.• Políticas e padrões de segurança industrial.• Introdução à análise de riscos.• Análise de riscos em redes industriais e sistemas SCADA.• Malware em redes industriais e sistemas de controle.• Desinfecção de redes industriais contaminadas por Malware.• Segurança de perímetro em redes de automação.• Criptografia em redes industriais.• Controle de acesso em sistemas SCADA.• Implantando o CSMS (ANSI/ISA-99) na prática.

• Prova presencial composta de 60 perguntas de múltipla escolha que devem ser resolvidas em 90 minutos.

• As questões têm pesos diferentes e o aluno será aprovado caso obtenha quantidade de acerto igual ou superior a 70% do valor total dos pontos atribuídos ao exame.

• Em caso de aprovação o aluno receberá o certificado CASE por e-mail e seu nome poderá ser verificado em listagem no site da TI Safe.

• Os certificados tem 2 anos (24 meses) de validade a partir de sua data de emissão.

• Guia de estudos, simulado e calendário com próximas provas disponível em (aba “Certificação CASE”): http://www.tisafe.com/solucoes/treinamentos/


• Eventos com 8 horas de duração destinados à criação de

consciência de segurança em empresas.

• Realizados dentro da empresa (normalmente em auditório)

e sem limite de número de alunos.

• Utiliza estratégias de divulgação e elaboração em formato

de palestras com apostila personalizada, atingindo a todos

os níveis de colaboradores da organização.

• Palestras técnicas baseadas nas normas ISO/IEC 27001,

ISO/IEC 27002, BS 25999 e ANSI/ISA-99

• Escolha as palestras técnicas para o Security Day em sua

empresa em nossa base de conhecimento disponível em

http://www.slideshare.net/tisafe

Security Day


Contato