Últimas do Blog

A Segurança do borda tem como objetivo impedir acesso não autorizado e manter a integridade das informações que fluem de e para a rede de automação. Para atingir este objetivo é necessário o uso de ferramentas e a adoção de políticas e procedimentos específicos.

Há diversas opções de tecnologia que atendem a diferentes tipos de infraestrutura e é necessário que se entenda, então, o cenário para melhor selecionar as melhores proteções. A TI Safe trabalha com soluções integradas e centralizadas que utilizam as mais modernas tecnologias para garantir e monitorar a segurança da borda da rede de automação da sua empresa.

Conheça nossas soluções.

Projeto de Segurança de Borda da Rede SCADA

É uma prática comum em infraestruturas críticas brasileiras confiar a segurança da borda da rede de automação em um único firewall e mais nada, ou seja, se um atacante conseguir passar por este equipamento, ou se ele vier a falhar, toda a rede de automação ficará exposta. É preciso pensar em um esquema de segurança de perímetro em camadas, com múltiplas soluções de segurança redundantes operando simultaneamente.

A TI Safe oferece a seus clientes um completo projeto de segurança de perímetro da rede SCADA baseado nas boas práticas do modelo de zonas e conduítes descrito na norma ANSI/ISA-99.

firewall

Nosso projeto recomenda a utilização de soluções de segurança de perímetro específicas para redes SCADA que implementam segurança sem perda da disponibilidade, e outros efeitos indesejáveis como aumento de latência na rede de tempo real, sobrecarga de processamento nas máquinas, desligamento repentino e outros incidentes imprevisíveis.

Em um projeto de segurança do perímetro da  rede de automação executamos as seguintes atividades:

  • Análise da topologia da rede de automação e conectividade com redes externas (corporativa, parceiros externos, organismos de regulamentação, etc).
  • Especificação da topologia da rede de automação segura, identificando, classificando e segregando logicamente os ativos de acordo com o modelo de zonas e conduítes (ANSI/ISA-99).
  • Especificação de soluções para segurança de perímetro da rede de automação (Firewall de perímetro, IPS de rede, VPN, etc).
  • Implantação de DMZ (Demilitarized Zone) para hospedar servidores comuns à rede de automação e outras redes (corporativa e externas).
  • Treinamento e capacitação da equipe gestora da rede de automação.

Next Generation Firewall

A plataforma de firewall de próxima geração da Palo Alto Networks veio ao mercado rompendo com a forma de funcionamento dos que os firewalls funcionam desde sua existência, através de uma tecnologia que permite a inspeção de todo o tráfego, de todos os usuários, de todas as aplicações em todas as plataformas.
No coração desta plataforma existe um algoritmo sofisticado de classificação e filtragem de dados que trabalha com atributos únicos tais como App-Id, User-Id e Content-Id. Estas funcionalidades permitem ao equipamento classificar o tráfego de acordo com a aplicação, o usuário e o tipo de conteúdo:

  • App-Id: Identifica todas as aplicações em todas as portas o tempo todo (ao contrário do comum em firewalls porta/protocolo).
  • User-Id: Identifica usuários ou grupos de usuários (ao contrário do comum endereço IP).
  • Content-Id: Escaneia o conteúdo do tráfego buscando dados estruturados, arquivos, ameaças, URL´s, etc.

perimetro

Atributos únicos dos firewalls de próxima geração

Utilizando-se destas funcionalidades, a plataforma oferece visibilidade do que esta sendo trafegado permitindo o controle e bloqueio de qualquer tráfego de dado, de qualquer aplicação, de qualquer usuário, de qualquer conteúdo, conhecido ou desconhecido, suportando de forma nativa o controle de ameaças, funções que equipamentos tradicionais de firewall não possuem.
Na arquitetura Palo Alto, uma proteção fim-a-fim é dada ao sistema, que combina as assinaturas conhecidas com um sistema único na nuvem para análise de ameaças não conhecidas. Esta infraestrutura na nuvem chamada WildFire, onde o firewall está permanentemente conectado para se manter atualizado. Desta forma o dispositivo possui a habilidade de manter-se atualizado em tempo real sobre as mais recentes ameaças e/ou bloquear e reportar ameaças não conhecidas. Desta forma, ameaças 0-day podem ser evitadas, tais como recentes variações do Stuxnet, entre outros.
Adicional a assinaturas tradicionais de antivírus e antispyware de TI, o banco de dados WildFire contém assinaturas para exploits específicos para aplicações de TA tais como IHMs, SCADAs, supervisórios, historians, PIMS e outras aplicações industriais, ou de protocolos específicos tais como Modbus, DNP3 e ICCP.
A solução pode ser replicada e sua arquitetura pode envolver todos os locais e segmentos envolvidos em uma ou várias plantas, estendendo a proteção para pontos remotos (estações remotas, plantas remotas, UTRs, redes de terceiros, etc.), passando pela rede de campo (com ou sem fio), centros de controle, escritórios de engenharia, escritórios remotos em obras e projetos e outras redes de dispersas, em uma configuração distribuída com gerenciamento central. Nesta situação todos os firewalls estarão ligados na nuvem e uma nova assinatura criada em um ponto será replicada para toda a rede de proteção em tempo real.

perimetro2

Arquitetura distribuida

Em sistemas SCADA, as políticas de segurança da informação são normalmente bastante distintas das políticas utilizadas na área de TI corporativa. Soma-se a isto o fato de que em instalações distribuídas, cada local normalmente tem políticas também distintas, tais como em um centro de controle e uma instalação remota de coleta de dados.
Para solucionar esta questão a solução adotada traz uma plataforma de gerenciamento central chamada Panorama, onde é possível resolver estas questões através de:

  • Configuração e ativação centralizada de políticas e configurações de T.I./T.A. distintas em equipamentos dispersos geograficamente.
  • Apoio a administração baseada em categorias para maior segurança do sistema.
  • Fornecimento de poderosos relatórios personalizados que facilitam o trabalho forense e a certificação de conformidade com normas tais como NERC, CIP e CFATS.
  • Integração com os principais SIEMs do mercado para gerar novos níveis de visibilidade dos eventos.

Vale lembrar que a integração dos firewalls com o sistema Panorama é nativa, não necessitando qualquer trabalho extra de personalização.
Apesar do sistema Palo Alto poder trabalhar com assinaturas personalizadas, o que ajuda muito no caso de equipamentos específicos para alguns setores de mercado, o sistema já possui reconhecimento de assinaturas para os principais protocolos e aplicações industriais:

perimetro3

Assinaturas do sistema Palo Alto para SCADA

Adicionalmente a plataforma apresenta capacidade de controle de funções que permitem o monitoramento e o controle de sub-funções (tais como leitura e escrita) em protocolos industriais específicos tais como o Modbus e o IEC 60870-5-104.

perimetro4

Assinatura de sub-funções

Assim como na rede de automação, é possível com a arquitetura modular apresentada aplicar as melhores práticas de segmentação descritas nos padrões ANSI/ISA-99 e IEC 62443 através da definição de zonas de segurança. Em seguida, é possível implementar um modelo de controle de rede granular, de ajuste fino, baseado no princípio do menor privilégio. Alguns exemplos de uso são os seguintes:

  • Permitir o uso de aplicações aprovadas no centro de controle.
  • Controlar usuários, conteúdo e aplicar QoS para aplicações específicas.
  • Restringir o uso de aplicações e ferramentas administrativas somente para administradores autorizados (SSH, Telnet, SNMP, FTP, etc.).
  • Controlar o acesso a URLs e aplicações no modelo SaaS.
  • Limitar o tráfego da rede para protocolos de controle industriais a um número limitado de aplicações/protocolos para administração e alarmes.
  • Rastrear todos os pacotes relacionados a comandos por usuário para ajudar no processo de correlação de eventos.
  • Permitir acesso à rede corporativa para usuários e aplicações selecionadas, como por exemplo dados do PIMS para um analista de processos.
  • Monitorar e controlar o uso por terceiros de VPN e acesso por servidor de terminais.
  • Implementar políticas de horário para acesso a aplicações e/ou usuários para limitar exposição.
  • Integrar a segurança de dispositivos e aplicações móveis ao sistema.

Em caso de necessidade de hardware com proteção específica, é possível implementar o sistema com todas as suas funcionalidades valendo-se de máquina virtual em hardwares específicos (embarcado, classificado, a prova de explosão, choque, água, etc.)

Finalmente, com relação a desempenho, fator crítico em redes de TA, os seguintes cuidados estão integrados na arquitetura da plataforma Palo Alto:

  • Tecnologia Single-pass e arquitetura de processamento paralelo (SP3), que realiza as funções de classificação em uma única passagem para cada pacote.
  • Plano de controle e plano de dados separados, o que garante que os processos de controle não irão afetar o fluxo de dados.
  • Appliances com hardware e software específico para processamento paralelo de alta performance.
  • Suporte para alta disponibilidade e redundância garantido QoS adequado.

perimetro5

Arquitetura de alto desempenho

A Palo Alto oferece dispositivos para instalação em pequenos locais (PA-200) com 100Mbps de capacidade até equipamentos para centros de dados (PA-7050) com capacidade de 100Gbps.

perimetro6

Linha de firewalls Palo Alto

Network IPS

Nos últimos anos tem sido notado o uso crescente de armas cibernéticas para o ataque a redes de automação. Ataques por DOS e DDOS, antes limitados às redes de TI, agora são ameaças às redes SCADA.
A família de IPS de Rede IBM Proventia GX é uma solução integrada com monitoramento para detecção e prevenção de intrusões na rede de automação.

ips

Linha GX – IPS de rede da IBM

Principais Características:

  • Alta performance em segurança com bloqueio em tempo real de códigos maliciosos e ameaças hibridas.
  • Protege o perímetro da rede de automação e a perda de informações confidenciais.
  • Possui o recurso “Virtual Patch”, muito importante para que redes não conectadas à internet tenham nível de segurança equivalente às que possuem todos as atualizações em dia.

ips

Gerência integrada da segurança do perímetro da rede de automação

O Sistema de gerência IBM SiteProtector ® ™ oferece uma maneira simples e com boa relação custo-benefício para gerenciar os produtos de segurança da linha GX e facilitar o compliance com normas, proporcionando um ponto de gerenciamento central para controlar a política de segurança, análise e elaboração de relatórios de alertas de segurança.

Informações técnicas

Para obter informações técnicas detalhadas sobre o IPS de Rede que usamos em nossas soluções, por favor acesse o link abaixo:

Gateway Unidirecional

A Tecnologia de gateways de segurança unidirecionais e diodos de dados da Waterfall é compartilhada por todos os seus produtos e soluções. A Tecnologia Waterfall, um sistema único não roteável, é acoplada com agentes por software que mediam sua integração com os mais diversos ambientes, enquanto provê funcionalidade e flexibilidade adicionais. A arquitetura básica Waterfall é a seguinte:

waterfall

Os componentes básicos são:

  • Um agente de software Waterfall TX,residente em um servidor que faz parte da rede de envio. O agente interage com aplicações (por exemplo OSIsoft PI ™, GE Proficy ™) e protocolos (por exemplo, OPC, Modbus) na rede, recebe as informações e intermedia a conexão Waterfall One-Way com a rede enviadora. Dados selecionados são passados, em tempo real, a partir do agente de software TX para o appliance Waterfall TX.
  • Um par de appliances Waterfall composto por::
    • Um appliance Waterfall TX, que transmite informações do agente de software TX através de um único cabo de fibra óptica para o Appliance Waterfall RX.
    • Um appliance Waterfall RX, que recebe informações do appliance Waterfall TX e as transmite para o agente de software Waterfall RX, residente em um servidor que faz parte da rede receptora.
  • Um agente de software Waterfall RX, residente em um servidor que faz parte da rede receptora. O agente recebe os dados do appliance Waterfall RX e intermedia a ligação Waterfall One-Way com a rede receptora e interage como requerido com as aplicações e os nós da rede, passando os dados designados para a rede receptora.

Abrangendo esta tecnologia, o produto Waterfall consiste em uma arquitetura em camadas múltiplas, proporcionando transferência confiável de dados em alta velocidade e em tempo real através de um protocolo proprietário unidirecional, filtragem de conteúdo, mecanismos de garantia de dados e conectores de camada de aplicativo para aplicativos de terceiros e integração de protocolos padrão .

Produtos Waterfall

Os Gateways de segurança unidirecionais e diodos de dados da Waterfall – uma família de produtos, baseada em uma tecnologia comum que permite a comunicação unidirecional baseada em hardware, com suporte inerente para diversas aplicações, protocolos e infraestruturas.

Os produtos da Waterfall permitem a transmissão online de dados: informações, alertas, arquivos, streams de vídeo, etc…, de uma rede para outra e de forma unidirecional – nenhum dado, de nenhum tipo ou natureza, pode passar de volta.

Usando sua tecnologia única e arquitetura de produto de ponta, a Waterfall oferece um conjunto amplo de soluções de segurança, sob medida para as necessidades gerais de transmissão de dados on-line em redes sensíveis, administração e monitoramento remoto em tempo real.

Os produtos da Waterfall são destinados aos seguintes usos:

  • Transferência de dados para redes externas e replicação: em muitos negócios industriais e operacionais, o processo de produção é governado por uma rede interna. Esta rede geralmente não está ligada a qualquer outra rede, e, especificamente, não é ligada à Internet. Isto ocorre devido às exigências regulatórias ou diretrizes de políticas, ou simplesmente por “bom senso”. A necessidade para essa separação é devida à sensibilidade rede de produção ou de operação. A ruptura do modo de operação normal irá causar grandes danos, tanto financeiros quanto relacionados à reputação, e em alguns casos – ainda piores. Uma característica necessária aos sistemas de produção e operacionais é a de ser capaz de informar, em tempo real, sobre o status da produção, informações da planta, ERP / Faturamento de dados, alertas e alarmes, etc … Esta capacidade não está disponível (pelo menos – não em tempo real) para esses sistemas segregados. Ao Implementar Waterfall ®, como o gateway para a Internet (ou para outras redes externas) permite à organização fornecer informações on-line sobre o status da produção, informações sobre o pedido e mais, on-line, para sistemas externos, diretamente aos clientes ou para um site para medições on-line. Waterfall suporta vários protocolos e aplicações que permitem uma integração simples: transferência simples de arquivos, replicação de árvore de pastas, FTP, FTPS, MQ, e muito mais.
  • Replicação de dados históricos: O banco de dados histórico de operação é replicado a partir da rede crítica segura para um banco de dados histórico residente na rede corporativa ou externa. Waterfall realiza esta replicação, aproveitando a API de baixo nível do histórico, a fim de alcançar a máxima performance e alta taxa de transferência em tempo real. Historiadores suportados incluem hoje o OSIsoft PI ™, Proficy da GE e outros. Apesar de todos os dados do historiador estarem prontamente disponíveis para os usuários corporativos, hackers externos não podem alcançar o historiador operacional que reside dentro da rede industrial segura. Hackers podem até ser capazes de impactar a réplica do historiador na rede corporativa, mas os processos operacionais relacionados com o historiador operacional crítico continuarão ilesos.
  • Comunicação segura com outras redes industriais via protocolos SCADA: nesta arquitetura, um Waterfall One-Way™ é usado como um gateway unidirecional que permite a extração e exportação de mensagens, dados e informações a partir de redes industriais, realizado via protocolos industriais, para redes externas. Isto permite a reutilização de telas de IHM e serviços de comunicação, nas redes externas ou públicas, sem o risco de comando e controle. Waterfall suporta protocolos industriais adicionais, como Modbus, DNP3, OPC, ICCP e outros, e realiza o desenvolvimento personalizado de suporte a outros protocolos de acordo com exigências e solicitações específicas dos clientes.
  • Supervisão remota segura: centros de controle frequentemente controlam instalações extremamente sensíveis e infra-estruturas nacionais críticas, tais como usinas nucleares, centrais elétricas, usinas hidrelétricas e dutos de petróleo e gás. Naturalmente, essas instalações são alvos tentadores para atividades hostis, incluindo cyber-terrorismo e cyber-hacking. Tem sido claramente demonstrado que as redes sensíveis que estão conectadas a redes menos sensíveis ou públicas nunca são completamente seguras: brechas de segurança devidas a ataques online continuam a ser um grande risco. Mesmo com o uso de firewalls, sistemas de prevenção de intrusão e detecção, e outros recursos de segurança baseados em software, nunca há uma garantia da proteção integral, pois todas as soluções baseadas em software são penetráveis ​​e vulneráveis​​. A solução Waterfall ® para supervisão remota segura é uma solução única que permite a replicação segura, unidirecional, em tempo real de monitores de missão crítica de redes industriais.

Informações técnicas

Para obter informações técnicas detalhadas sobre o produto de Gateway de Segurança Unidirecional que usamos em nossas soluções, por favor acesse o link abaixo:

Wireless IPS

Tecnologias para comunicação externa com a planta de automação como o acesso remoto e redes sem fio podem expor a rede de automação a diversos riscos que vão desde o roubo de dados à contaminação da rede por Malware, dentre muitos outros. Além disso as conversas através de videoconferência da empresa devem ser protegidas para evitar espionagem industrial. Conheça nossas soluções

Segurança de Redes Sem Fio Industriais

O Uso Industrial de redes sem fio já é uma realidade em plantas de automação. Sensores e autômatos programáveis preparados para comunicação sem fio são hoje a base para soluções integradas em todos os setores e permitem a comunicação, mesmo em áreas difíceis ou impossíveis de alcançar com a tecnologia cabeada. Além da economia com custos de instalação e cabeamento, as redes sem fio ajudam os operadores a coletar dados de campo com mais facilidade, aumentam a vida útil dos ativos através do monitoramento contínuo e melhoram a segurança dos ativos mais importantes, as pessoas. Se por um lado as redes sem fio trazem muitos benefícios, por outro elas geram novas vulnerabilidades. Sem as ferramentas corretas para compreender o que está acontecendo no ambiente sem fio, sua planta fica exposta e a performance da rede comprometida. Os riscos vão desde a invasão das redes e a subtração de dados até poderosos ataques de negação de serviço que podem afetar o throughput e até mesmo paralisar o tráfego de dados na rede. Para tirar proveito da tecnologia sem fio e os benefícios que ela tem para oferecer, as plantas industriais devem adotar políticas sólidas para mitigar riscos e garantir a segurança adequada para os processos e sistemas SCADA. A TI Safe oferece soluções que vão desde a consultoria especializada para hardening de redes sem fio até completas soluções de WIPS (Wireless IPS).

at

A família WIPS AirTight SpectraGuard fornece proteção contínua contra ameaças na rede sem fio industrial, garantindo que a rede somente será usada por equipamentos autorizados e registrados na política de uso da rede sem fio. Todos os outros equipamentos não autorizados pela política terão o sinal da rede sem fio cortado ao entrar no perímetro da rede sem fio, não oferecendo riscos. Principais Benefícios

  • Ganho de visibilidade total do espaço aéreo da rede sem fio industrial.
  • Bloqueia acesso não autorizado e trafego mal-intencionado sem interromper os processos.
  • Localiza os dispositivos de acesso não autorizado em um mapa da planta para remoção rápida.
  • Gerenciamento de desempenho e solução de problemas em redes sem fio industriais.
  • Gerenciamento centralizado para segurança wireless 802.11n, 802.11g, 802.11b e 802.11a.