Últimas do Blog

Gestores de redes de automação ainda acreditam que ao configurar firewalls para isolar a rede de automação de outras redes externas estarão totalmente protegidos. Enganam-se, muitas vezes as ameaças entram diretamente na rede de automação através de notebooks, midias removíveis e VPNs, ignorando completamente as soluções de defesa de perímetro.

Uma rede de automação segura deve proteger não somente seu perímetro como também sua rede interna. A TI Safe é a primeira empresa brasileira a fornecer soluções específicas para a segurança interna de redes industriais através de profissionais provenientes da área de automação, com reconhecimento técnico e certificações internacionais para arquitetura de segurança de sistemas SCADA (CSSA).

Segmentação por Zonas e Conduítes

É necessário segmentar a rede interna e isolar seus pontos mais críticos com um esquema de segurança em camadas (defesa em profundidade). A norma ANSI/ISA-99 define o modelo de zonas e conduítes onde a rede interna é dividida logicamente em zonas de segurança que por sua vez são interligadas por segmentos de rede denominados conduítes.

segment

Esta norma também orienta que nos conduítes devem ser implantadas soluções de segurança para as zonas da rede interna. É fundamental ressaltar que, para este caso, os equipamentos usados em redes de T.I. não serão adequados pois são incapazes de bloquear ameaças em protocolos industriais como DNP3, Modbus, etc. São necessários equipamentos específicos e soluções específicas para segurança de redes internas.

A TI Safe oferece serviços específicos para a segmentação da rede interna, específicas para a proteção de zonas e gerenciamento de tráfego em redes de automação:

  • Inventário de ativos da rede de automação.
  • Especificação da arquitetura da rede de acordo com o modelo de zonas e conduítes.
  • Segmentação da rede interna através de configuração de VLANs (Redes Locais Virtuais).
  • Especificação de modelos de firewalls industriais específicos para uso nos conduítes.

Implementação de Domínio

Ao longo das últimas décadas as Indústrias nacionais têm implantado sistemas para controle e supervisão de aplicativos de automação baseados nas mais variadas tecnologias. Estes sistemas em grande parte foram implantados em plataformas Windows das mais diversas (desde Windows 95 às versões mais recentes) e, em muitos casos, configurados para executar sempre com o usuário que possui mais privilégios (normalmente “Administrador”) e sem restrições de autenticação no boot, visando tornar possível a reinicialização em caso de anormalidades por parte da equipe de operação.

No entanto, com a evolução dos crimes digitais, faz-se necessário repensar este esquema e implantar mecanismos que permitam um melhor controle sobre os usuários que utilizam estes sistemas e também sobre o perfil destes usuários, reduzindo os privilégios a apenas os necessários para suas funções e também agregando funcionalidades para restrição de acesso e desativação de serviços não usados pelos sistemas, para que não possam ser usados como brechas de segurança para invasores.

Um esquema de domínio seguro visa implantar procedimentos de governança para redes de automação baseados nas diretrizes de grupo e listas de controle de acesso do Microsoft Active Directory (AD).

dominio

O Active Directory é um controlador de domínio que atua em diversas camadas. Ele é um banco de dados de objetos LDAP (variante) onde são guardadas informações sobre o usuário como nome, login, senha, horários de acesso etc. Ele é um servidor de autenticação Kerberos que permite autenticação segura por troca de tickets entre as máquinas que estão explicitamente permitidas negociar autenticação (estar no domínio) e que tem sua identidade garantida por segredo compartilhado (shared secret), a keytab. Durante a implantação de um projeto de domínio seguro em uma indústria são realizadas as seguintes atividades:

  • Especificação de política de controle de acesso para a rede de automação.
  • Implantação de domínio para área de automação baseado no Microsoft Active Directory (esquema de autenticação centralizada ou distribuída).
  • Integração com login de plataformas UNIX like e login transparente.
  • Estabelecimento de relação de confiança com domínio corporativo.
  • Ativação de GPOs específicas para segurança de redes industriais.
  • Registros (Logs) de atividades de usuários na rede de automação.

Firewalls Industriais

Módulos de Segurança Siemens SCALANCE S

Os módulos de segurança da família Siemens SCALANCE S são fornecidos especialmente para uso em automação, e ainda se conectam diretamente com as estruturas de segurança do escritório e do mundo de TI. Eles fornecem segurança e atendem às necessidades especiais de engenharia de automação, como a simples atualização dos sistemas existentes, a instalação simples e com paradas minimizadas em caso de falhas. Várias medidas de segurança podem ser combinadas, dependendo dos requisitos de segurança da planta.

scalance

Características

Proteção dos dispositivos sem funcionalidades próprias de segurança

Dispositivos de automação são assegurados sem a necessidade de as suas próprias funções de segurança. Não é tecnicamente viável e, certamente, não é economicamente viável para equipar todos os dispositivos de automação com as suas funcionalidades próprias de segurança. O conceito de célula, no entanto, é uma maneira muito eficiente de proteger redes existentes.

Proteção simultânea de vários dispositivos

Módulos de segurança são capazes de proteger a vários dispositivos ao mesmo tempo. Isso significa redução de custos para o usuário e gastos consideravelmente menores para a configuração.

 Segurança em tempo real

Capacidade em tempo real e segurança são requisitos conflitantes. Com base em regras ou configurações, cada mecanismo de segurança deve verificar se certas conexões ou acessos são permitidos ou não. Isto consome tempo e desempenho. Dentro da célula, no entanto, o tráfego de dados em tempo real pode ser executado sem ser influenciado pelos mecanismos de segurança.

Aumento da disponibilidade da planta

O C-PLUG (plugue de configuração): meio de armazenamento para a substituição rápida de unidade sem necessidade de reprogramá-la (opcional).

Serviços profissionais

A TI Safe é a única revenda brasileira certificada pela Siemens e juntamente com a venda das soluções também realiza diversos serviços como:

  • Revisão da arquitetura da rede de automação para adequação ao modelo de zonas e conduítes (Padrão ANSI/ISA-99).
  • Dimensionamento, instalação e configuração de equipamentos Scalance S.
  • Suporte de Segurança da solução implantada.

Informações técnicas

Para obter informações técnicas detalhadas sobre os produtos da família SCALANCE S, por favor baixe os folhetos abaixo:

Gateways de Segurança

Sistemas SCADA são usados para controlar e monitorar operações remotas em infraestruturas críticas e incluem dispositivos de automação distribuídos em vários locais remotos, gerenciados a partir de supervisórios em centros de controle.

A maioria das aplicações SCADA utilizam uma rede operacional dedicada (rede de TA) que é separada das redes de TI (corporativa e internet). No entanto, uma vez que o atacante ganhe acesso à rede de TA a partir de qualquer local, não existem medidas de segurança que o impeçam de acessar toda a rede causando danos a quaisquer ativos ligados localmente ou em locais remotos.

Em muitas utilities, os elos mais fracos, em termos de segurança, são as subestações remotas que estão localizadas em áreas pouco povoadas e com pouca segurança física. Conectar com a rede de um site remoto fornece acesso ilimitado local e para outros sites.

Figura: Comunicação segura entre plantas usando Gateway de segurança RADiFlow

As soluções de segurança da RADiFlow são baseadas em gateways de segurança que fornecem funcionalidades que identificam ameaças na rede, isolam atividades maliciosas, e evitam a disseminação de ameaças em toda a rede. Estas soluções lidam tanto com sessões de tráfego M2M quanto H2M, cada uma com ferramentas específicas.

Conte com o expertise da TI Safe para garantir a segurança nas comunicações remotas de sua rede de automação.