Últimas do Blog

As redes SCADA em sua origem foram projetadas para maximizar funcionalidades, com pouca atenção voltada para a segurança. Como resultado, performance, confiabilidade, fliexibilidade dos sistemas SCADA são robustas, enquanto os controles de segurança são fracos, o que torna redes SCADA potencialmente vulneráveis à interrupção de serviços, redirecionamento de processos ou manipulação de dados operacionais que podem resultar em problemas de segurança pública ou sérias paradas de produção nas empresas.

O primeiro passo para o estabelecimento de segurança em redes de automação é a implantação de políticas para governança industrial. Conheça nossas soluções.

(PSA) POLÍTICA DE SEGURANÇA DE AUTOMAÇÃO

A Política de Segurança de Automação (PSA) é um instrumento elaborado a fim de estabelecer regras para uso, controle e proteção adequada do ambiente de automação e dos ativos que compõe esse ambiente, preservando sua disponibilidade, integridade e confidencialidade e assegurando a continuidade e competitividade do negócio.

Composta por um conjunto de documentos com normas e diretrizes técnicas de segurança de automação industrial que tratam dos aspectos estratégicos da organização e sua diretiva a respeito de assuntos fundamentais para a governança, a PSA detalha controles de segurança para itens fundamentais como o controle de acesso lógico e físico, segregação de funções, uso da internet, uso do correio eletrônico, segurança em aplicações e outros temas que sejam pertinentes. 

Figura: Fluxo de criação de uma Política de Segurança de Automação – PSA

A PSA deve estar alinhada com o planejamento estratégico da empresa e em conformidade com as normas e melhores práticas vigentes, como a ANSI/ISA-99 e a NIST 800-82.

Os consultores da TI Safe entendem que cada cliente tem suas necessidades, particularidades únicas, sendo assim, cada política é elaborada em conjunto com os responsáveis pela planta de automação de forma a manter-se alinhada com a visão da empresa.

Consulte-nos para o desenvolvimento e implantação da política de segurança de automação para sua planta.

Análise de Riscos em Redes Industriais

Com sistemas altamente complexos e distribuídos, organizações provedoras de infraestruturas críticas se veem diante de um desafio crescente. Proteger as infraestruturas de ataques e  riscos de naturezas diversas. Essa não é uma tarefa simples, pois além de envolver a participação de diversos atores da organização, desde gerentes industriais à equipe de Tecnologia da Informação (TI), requer o conhecimento dos riscos e das vulnerabilidades específicas do sistema quem podem afetar a continuidade dos serviços prestados.

O projeto de análise de riscos SCADA é composto de duas etapas:

  • Análise estática da rede: nesta análise são verificados diagramas da rede, vistoriado o ambiente e respondidos questionários de auditoria de segurança física e lógica da rede de automação alinhados com as boas práticas das normas ANSI/ISA-99 e NIST 800-82.
  • Análise dinâmica da rede: Análise de Riscos automatizada suportada por um Firewall de próxima geração que será configurado em modo TAP (não intrusivo) e coletará informações da rede a nível de aplicação (camada 7).

 Foto AR

Relatórios entregues (em português):

  • Relatório de Análise Estática de Riscos (RAER)
  • Relatório de Análise de Segurança Física (RASF)
  • Relatório de Visibilidade de Aplicativos e Riscos (RVAR)

SIEM INDUSTRIAL

Uma planta industrial possui um grande quantidade de equipamentos e logs de segurança que devem ser permanentemente monitorados. Faz-se necessária a consolidação dos dados para análise e verificação de trilhas de ataques, ameaças e incidentes através de uma ferramenta de SIEM (Security Information and Event Management) customizada para uso em indústrias, o que a TI Safe denomina SIEM Industrial.

A solução IBM Q-Radar permite maior visibilidade sobre o comportamento normal de rede de automação e sobre atividades anormais que podem sugerir ameaças à segurança. As informações dos alertas de segurança dos equipamentos da rede industrial tais como o Firewalls, IPSs, solução de prevenção de malware, informações de trafego de rede, informações de vulnerabilidades, informações de acesso a bancos de dados, logs do sistema operacional (SysLog) e informações de atividades de usuários são correlacionadas com informações de inteligência de ameaças para uma capacidade única de prevenção. Isto simplifi­ca a investigação de um incidente com melhoria signifi­cativa na efi­ciência para identi­ficação e resolução de incidentes.

O SIEM industrial é capaz de identi­ficar múltiplos eventos como um único ataque a partir de regras de correlação de eventos e tráfego de rede.

Figura: Arquitetura de Funcionamento do SIEM IBM Q-Radar

As principais funcionalidades de inteligência de segurança fornecidas pelo SIEM Industrial são:

  • Monitoramento de ameaças e resposta à incidentes de segurança alertados pelas soluções de segurança implementadas na planta segura.
  • Segurança interna e monitoramento de ameaças internas.
  • Agregação de logs e análises de diferentes padrões tecnológicos e fabricantes com a geração de relatórios executivos que permitem visibilidade total do cenário de segurança da planta segura.
  • Auditoria, relatórios e conformidade com as medidas de segurança detalhadas pela política de segurança de automação (PSA) da empresa.
  • Detecção e priorização de incidentes de segurança com base nas características do ambiente da planta tais como risco e criticidade dos diversos sistemas, reduzindo falsos-positivos e otimizando o trabalho das equipes de monitoração de segurança e resposta a incidentes, garantindo foco nos incidentes mais críticos para o negócio.

ANÁLISE E VISIBILIDADE

As organizações não percebem as atividades de criminosos cibernéticos, hacktivistas e nações devido ao fato de que malwares avançados e direcionado e os ataques de dia zero não são detectados nem pelas empresas mais preparadas.

Essas APTs (Advanced Persistent Threats, ameaças persistentes avançadas) comprometem um alvo em minutos ou mesmo segundos, mas demora semanas, meses ou anos até que sejam descobertas. 

Figura: Funcionalidades da plataforma Security Analytics, da Blue Coat.

Com o Security Analytics Platform da Blue Coat é possível reduzir riscos corporativos possibilitando que as organizações detectem e se protejam contra ameaças conhecidas, analisem e mitiguem qualquer nova ameaça e investiguem e resolvam cuidadosamente brechas de qualquer rede corporativa ou até mesmo ambientes de infraestrutura crítica como sistemas SCADA.

Suporte

A Segurança em redes de automação é um tema relativamente novo em empresas brasileiras. A implementação do CSMS (Cyber Security Management System) definido pela norma ANSI/ISA-99 demanda investimentos em novas contramedidas de segurança e a formação de uma equipe interna para monitorar e responder aos incidentes de segurança detectados por estas soluções.

Na grande maioria das vezes as empresas não possuem mão de obra qualificada e disponível para estes serviços. Contratar novas pessoas para estas funções foge ao objetivo das empresas e em muitas vezes é melhor terceirizar a administração das soluções de segurança das plantas industriais para empresas especializadas nestes serviços.

A TI Safe oferece o suporte de segurança, conjunto de serviços de suporte para segurança de redes de automação.

suporte

Baseado no Rio de Janeiro e com atendimento via sistema web de service desk e telefone, especialistas da TI Safe auxiliam na gestão do ambiente da rede SCADA, controle de performance e gestão de segurança. Nos casos em que não for possível resolver o incidente remotamente a TI Safe deslocará  especialistas em segurança para o atendimento local.

Serviços que podem ser executados através da contratação de suporte de segurança:

  • Monitoramento remoto da rede e seus principais servidores
  • Monitoramento remoto de solução de backup corporativo
  • Monitoramento remoto de equipamentos de segurança de borda da rede SCADA
  • Monitoramento remoto de firewalls industriais usados na segurança da rede interna
  • Monitoramento remoto de soluções de NAC, DLP e Whitelisting
  • Gestão e correlação de eventos de segurança
  • Geração de relatórios para acompanhamento de incidentes e compliance