– root@injetionsec:~#

Implicações de um ataque cibernético em rede elétrica dos EUA

12.07.2015 (5:08 pm) – Filed under: ICS ::

Em 08 de julho de 2015, Lloyd de Londres publicou um excelente relatório Business Blackout – The insurance implications of a cyber attack on the US power grid, este relatório com 65 páginas é uma excelente análise de segurança e impacto econômico sobre os EUA caso ocorra um ataque cibernético .

ICS relatório anual da SANS

30.06.2015 (1:37 pm) – Filed under: ICS ::

SANS ICS

Algumas informações que retirei na leitura.

Este mês, o SANS publicou seu relatório anual sobre a criticidade de ICS hoje.

  • Principais preocupações dos pesquisados ​​incluem:
    • Confiabilidade e disponibilidade (68%)
    • Melhorar a segurança risco (40%)
    • Prevenção de danos (28%)
    • Assegurar a saúde e a segurança (27%)
  • A detecção rápida de incidentes de segurança no ICS é fundamental porque quanto mais tempo as violações permanecerem desconhecidas maior será o impacto.
  • A integração de TI em redes de sistemas de controle foi escolhido por 19% dos entrevistados como o maior vetor de ameaça individual, os três principais vetores de ameaças foram a) ameaça externa, b) ameaça interna,  c) A integração de TI em redes de sistema de controle industrial.
  • 74% dos entrevistados acreditam que suas conexões externas não são totalmente documentadas.Simplesmente identificando e detalhando as conexões e dispositivos conectados em uma rede é um passo fundamental para garantir isso.
  • Outro desafio destacado na pesquisa é a falta de visibilidade dos equipamentos do sistema de controle e atividade de rede.

=)

Certificações/Cursos de Sistemas de Controle Industrial – CyberSecurity

29.06.2015 (1:37 pm) – Filed under: Certificações,ICS ::

cert_erogioasdkj

Galera vamos detalhar alguns certificações/cursos conhecidas no meio industrial, voltado para cibersegurança em sistema de controle industrial, veja abaixo:

»» Certified Automation Security Engineer – CASE 

O exame CASE determina se um profissional possui o conhecimento adequado para assegurar corretamente uma rede industrial com sistemas SCADA. Totalmente em português, a certificação oferece aos administradores de redes industriais e seus gestores uma medida objetiva de competência, bem como um padrão reconhecível de conhecimentos, mais informações 

Conteúdo:

Introdução às redes Industriais e sistemas SCADA,Infraestruturas Críticas e Cyber-terrorismo,Governança para redes industriais,Políticas e padrões de segurança industrial,Introdução à análise de riscos,Análise de riscos em redes industriais e sistemas SCADA,Malware em redes industriais e sistemas de controle,Desinfecção de redes industriais contaminadas por Malware,Segurança de perímetro em redes de automação,Criptografia em redes industriais,Controle de acesso em sistemas SCADA,Implantando o CSMS (ANSI/ISA-99) na prática.

»» ICS410: ICS/SCADA Security Essentials – SANS 

Fornece um conjunto fundamental de habilidades padronizadas e conhecimentos para os profissionais de segurança cibernética industriais. O curso é projetado para assegurar que a força de trabalho envolvida em apoiar e defender os sistemas de controle industrial mantendo o  ambiente operacional seguro, contra ameaças virtuais atuais e emergentes, mais informações

Conteúdo:

Overview of ICS,Field components,Network components,Communications,ICS Application Overview,Industry models,ICS drivers and constraints,Physical Security & Safety Systems,Overview of ICS Attack Surface,Attacks on HMIs and User Interfaces,Attacks on Control Servers,Attacks on Network Communications,Attacks on Remote Devices,ICS Server and Workstation Technologies,ICS Server Operating Systems,System and Security Updates,Enforcing Security Policy,Automation, Auditing, and Forensics,System Processes and Services,Logs and Log Management,ICS System Hardening,Databases and Historians,Network Fundamentals,Lower Layers of TCP/IP,Middle Layers of TCP/IP,Firewalls and Honeypots,Wireless Network Security,Controller and Field Device Security,Cryptography Fundamentals,Information assurance foundations,Computer Security Policies,Contingency and Continuity Planning,Risk assessment and auditing,Password management,Incident Handling,Resources

»» 100W – Operational Security (OPSEC) for Control Systems

Esta formação irá fornecer uma visão geral de segurança operacional (OPSEC), quais informações um adversário pode ver como valioso em sua empresa, esse treinamento ira fornecer as ferramentas para reconhecer potenciais fraquezas em suas operações diárias e técnicas para que você possa fazer algo sobre, mais informações 

»» 210W – Cybersecurity for Industrial Control Systems

Conteúdo:

Differences in Deployments of Industrial Control Systems (ICSs),Influence of Common IT Components on Industrial Control Systems (ICSs),Common Industrial Control System (ICS) Components,Cybersecurity within IT and Industrial Control System (ICS) Domains,Cybersecurity Risk,Current Trends (Threats),Current Trends (Vulnerabilities),Determining the Impacts of a Cybersecurity Incident,Attack Methodologies in IT and ICS,Mapping IT Defense-in-Depth Security Solutions to ICS,mais informações 

»» Certified SCADA Security Architect (CSSA)

A CSSA determina se o candidato possui conhecimentos adequados para sistemas SCADAs, essa certificação é projetada para industriais de energia, petróleo,gás e tratamento de água, mais informações 

Conteúdo:

SCADA security policy development,SCADA security standards and best practices,Access Control,SCADA protocol security issues,Securing field communications,User authentication and authorization,Detecting cyber attacks on SCADA systems,Vulnerability assessment

»» ISA99/IEC 62443 Cybersecurity Certificate Programs 

Como parte dos esforços contínuos da ISA para atender à crescente necessidade de profissionais de sistemas de controle industrial e de expandir seu alcance líder global no domínio de segurança, o ISA tem desenvolve um certificados baseada no conhecimento projetado para aumentar a consciência do padrão ISA99 ANSI, mais informações

»» ENCS Advanced Cyber Security 

Uma certificação voltada para conhecimentos sobre segurança cibernética em infra-estruturas críticas, chamado de “ENCS Advanced Cyber Security course for ICS & Smart Grid”, mais informações

Conteúdo:

IT Security,Hacking tools,Industrial Control Systems,Forensics,Network scanning & password cracking,Intrusion detection systems

»» ICS515: ICS Active Defense and Incident Response

Este curso irá capacitar os alunos a compreender o seu ambiente de ICS, monitorá-lo por ameaças, execução de respostas a incidentes contra ameaças identificadas, e aprender a partir de interações com o adversário melhorar a segurança da rede, mais informaçoes 

»» ICS456: NERC Critical Infrastructure Protection Essentials

Este curso se concentra em explicar a estrutura de regulamentação, termos e definições essenciais para a compreensão, bem como os requisitos e abordagens práticas, o curso também  explora os riscos cibernéticos para a confiabilidade dos sistemas elétricos em massa com laboratórios de simulação, mais informações

»» Global Industrial Cyber Security Professional (GICSP)

Esta certificação será abordado um conjunto  mínimo de conhecimentos e capacidades que os profissionais de segurança devem saber e o  papel que poderia afetar a segurança cibernética de um ambiente ICS, mais informações 

=)

ICS, evolução, e alguns aspectos

18.05.2015 (7:38 pm) – Filed under: ICS ::

Galera abaixo explicou um pouco sobre ICS, evolução, e alguns aspectos

O que seria  ICS (Industrial Control Systens) são comandos e controles de redes e sistemas projetados para apoiar os processos industriais,são responsáveis por monitorar e controlar processos e operações , tais como gás,eletricidade, água,óleo,transporte ferroviário e etc.

* O maior subgrupo do ICS e SCADA, hoje os produtos do ICS são principalmente baseado em padrões embutidos em sistemas de plataformas, aplicados em vários outros dispositivos,tais como roteadores,cabo,modens e etc.No entanto conexões para intranet e comunicações abertas nas redes aumenta a vulnerabilidade de computadores,propiciando assim ataques a essas redes, hoje os sistemas industriais constituem um crescente potencial catastrófico terroristas,onde ataques são lançado em infra-estruturas importantes. Na ultima década esses sistemas tem enfrentado um numero alarmante de incidentes,como o caso do Stuxnet e muitos outros malwares, e incidentes envolvendo o fator ser humano.

 A evolução dos Sistemas de Controles Industriais.

Os primeiros eram simples ponto a ponto (P2P) na rede, onde ligavam o monitoramento no painel ou comandado por um dispositivo remoto sendo sensor ou atuador.Com o tempo foram evoluindo e tornando sistemas mais complexos suportando controle de unidades remotamente,abrangendo distancias maiores em redes longas.Através das ultimas décadas o sistemas ICS passaram por  transformações significativas,essas que são para abrir arquiteturas e padrões de tecnologias interligados na rede.

Cyber Securiy e aspectos da ICS

A comunicação dos protocolos da ICS não foram projetados para segurança ate então, mas essas visão tem mudado no decorrer desses anos, como podemos ver vários incidentes em empresas,muitos desses protocolos foram inicialmente concebido com uma serie de outros protocolos sem autenticação,criptografia, ou integridade da mensagem.

Isso expor as comunicações para um variedade de ataques como o sequestro e a manipulação de sessão proporcionando a espionagem, muitos desses protocolos tem sito integrado com o TCP/IP ou substituindo por padrões abertos como exemplo o OPC . Não apenas a comunicação dos protocolos tem sido modificado ou substituídos por outros padrões,mas operações em sistemas e aplicações em ICS tem sido feito em rede ad-hoc,isto torna mais ainda os sistemas susceptíveis aos mesmos ataques.

=)

Uma Visão Geral de Estratégias de Proteção – Industrial Security Systems

26.05.2014 (2:42 pm) – Filed under: ICS ::

Inicialmente, uma vez que a maioria dos componentes do ICS foram encontrados fisicamente em áreas seguras, e não estavam ligados a sistemas de TI ou em suas redes propriamente dita as ameaças locais eram a única preocupação de segurança.Além disso, a implementação de rede sem fio faz com que as ICS torne a cada vez mais vulnerável aos adversários fisicamente proximais que não têm acesso direto ao equipamento. Portanto, os objetivos de segurança para quaisquer ICS deve seguir a prioridade de disponibilidade, integridade e confidencialidade, nessa ordem.

Um ICS pode enfrentar os seguintes cenários possíveis:

  • A modificação no software ICS ou definições de configuração, ou infecção software ICS com malware.
  • operação de interrupção no ICS  gera assim um atraso ou bloquearam o tráfego através da rede ICS.
  • Alterações não autorizadas aos comandos, instruções ou limites de alarme, o que poderia inutilizar, danificar ou desligar equipamentos, criam impactos ambientais e ate na vida humana tornando um risco eminente.
  • Informações imprecisas enviados aos operadores do sistema, seja para disfarçar alterações não autorizadas.

Uma implementação ICS deve incluir os seguintes objetivos principais de segurança:

  • Restrições de acesso físico à rede e dispositivos ICS. Uma combinação de leitores de cartões, bloqueios e / ou guardas de segurança poderiam ser usados ​​como controles de acesso físico para proteger os componentes do ICS a partir de interrupções de funcionalidade.
  • Proteção individual do ICS e de seus  componente,depois de testar sobe as condições do campo implementar o mais rapidamente possível.Todas as portas e serviços não utilizados devem ser desativados, os privilégios do usuário ICS deve ser restrito a apenas aqueles que são necessários para cada função individual, as auditorias devem ser para rastrear  e monitorados,  controles de segurança, tais como software antivírus e software de verificação de integridade de arquivos deve ser usado sempre é tecnicamente viável para prevenir, detectar, impedir e mitigar malware.
  • Restrições de acesso lógico à rede ICS e atividade de rede. Para evitar que o fluxo de informações diretamente entre o ICS e criar DMZ, redes com firewalls podem ser usada, junto com mecanismos de autenticação separados e credenciais para o ICS e usuários da rede corporativa. Além disso, uma topologia de rede com múltiplas camadas pode ser implementada.
  • Restauração do sistema após um incidente,plano de segurança eficaz com rapidez de restauração depois de um incidente, trabalhar em conjunto para avaliar e reduzir o possível risco para o ICS. Esta equipe deve no mínimo de  incluir um membro da equipe de TI da empresa, um operador de sistema de controle, um engenheiro de controle, um especialista em rede e um especialista em segurança de sistema, um membro da equipe de gestão, e um membro do departamento de segurança física. Além disso, a consistência, a equipe de segurança cibernética deve consultar com o fornecedor do sistema de controle,e importante ter um programa de segurança cibernética eficaz de ICS  concentrando em uma estratégia de “defesa em profundidade”, que camadas os mecanismos de segurança para minimizar o impacto de uma falha em qualquer um dos referidos mecanismos.

A estratégia de defesa em profundidade em qualquer ICS típicos,requer:

  • Restrições de acesso físico à rede e qualquer dispositivos ICS.
  • A tecnologias modernas, como cartões inteligentes  para a verificação de identidade pessoal
  • A aplicação de uma topologia de rede em camadas.
  • A implementação de uma arquitetura de rede DMZ para evitar o tráfego entre o ICS e redes corporativas.
  •  O estabelecer uma  separação lógica entre as redes corporativas e ICS (ex.: firewall de inspeção stateful (s) entre as redes).
  • A implementação de mecanismos de autenticação,credenciais para os usuários da rede corporativa e a rede ICS.
  • A aplicação de controle de acesso baseado em função, configuração de cada função individual com base no princípio do menor privilégio, o que significa restringir os privilégios do usuário ICS de acordo com que é necessário para cada trabalho.
  • Software de detecção de intrusão(IPS/IDS), antivírus e software de verificação de integridade de arquivos, sempre que seja tecnicamente viável, para prevenir, impedir, detectar e mitigar a introdução, exposição e propagação de software malicioso para, no prazo, e das ICS .
  • A implementação de técnicas de segurança, como hashes criptográficas e / ou criptografia para armazenamento de dados ICS e comunicações, quando adequado.
  • A rápida implementação de patches de segurança depois de testar todos os patches em condições de campo, antes da instalação nas ICS.
  • Rastreamento, monitor fazendo auditoria em áreas críticas dos ICS.
  • Garantir que os componentes críticos são redundantes e estão em redes redundantes.
  • O projeto de sistemas críticos para a degradação graciosa no caso tolerante a falhas.
  • O desenvolvimento de políticas de segurança, procedimentos, treinamento e material educativo que são especificamente aplicáveis ​​ao ICS.
  • Levando-se em conta as políticas e procedimentos de segurança ICS.

Essas são algumas das precauções que devemos tomar em sistemas industriais,podem ser visto mais coisa no guia para sistemas de controle industrial (ICS) de segurança por NIST. =]

Componentes da rede ICS

13.11.2013 (5:31 pm) – Filed under: ICS ::

A topologia da rede ICS varia de acordo com a estrategia de integração,controle de redes permitem que operadores,administradores,engenheiros possam monitorar e controlar sistemas que estão na rede, a seguinte lista dos principais componentes da rede do ICS:

* Rede Fieldbus : essa rede e utilizada para ligações de sensores e outros dispositivos PLCs, a utilização dessa teconologia elimina a necessidade de ponto-a-ponto entre o dispositivo e outro,as mensagens enviadas entre os sensores e os controladores são exclusivamente identificada em cada sensor

* Controle de Rede : os controles são para a conecção e supervisão de controle de nivel entre outros.

* Comunicação dos Roteadores: Um roteador e a comunicação entre um dispositivos , onde transfere as mensagens entre duas redes, são usados para conectar rede LAN para WAN e conexões MTU e UTRs para longa distancia e media de rede SCADA

* Firewall: Monitora,controla atraves de politicas de filtragens.

* Modens: E usado para converter sinais digitais dos dados para trnasmissão de um ou mais dispositivos para se comunicarem,os modens muitas vezes são usados para permitir a comunicação de longa distancia de sistemas SCADA, são usados para ganhar acesso remoto de DCSs, PLCs para fazer diagnosticos dentre outras operações

* Pontos de acesso remoto : Esses pontos são distintos em áreas e locais podendo controlar a rede remotamente atrvez da configuração correta do sistema, podemos citar como exemplo o PDA acessando em rede LAN com acesso sem fio , usando assim um notebook e modem de conexão para acessar remotamente o sistema ICS

 

Principais Componentes de Controle do ICS

13.11.2013 (5:21 pm) – Filed under: ICS ::

* Servidor de Controle : Esse servidor hospeda o DCS ou PLCs , projetados para comunicar com em baixo nivel com os dispositivos,esse servidor acessa os modulos subordinados de mais de uma rede de ICS

* Servidor SCADA ou master terminal unico (MTU) : Esse servidor SCADA e um dispositivo que atua junto com master de outro sistema SCADA em terminais remotos com dispositivos de PLCs localizados geralmente remotamente e são slaves

* Terminal Remoto Unico (RTU) : tem como especial proposito a aquisição de dados e controle de unidade projetada para suportar estações remotas SCADA, oa dispossitivos usados em redes wireless, e interface de radio.

* PLCs : e um pequeno computador projetado para executar funções eletricas no hardware como reles,switch, temporizadores,contadores,sao usados em sistemas SCADA e DCSs

* IED (Intelligent Electronic Devices ): e uma IDE inteligente com sendores/atuadores contendo contendo a inteligencia adequada para adquirir os dados para comunicação de dispositivos e processamento de dados e controle,combinando sensores analogicos de saida de baixo nivel de capacidade,utilizadso em sistemas SCADA e DCS pormitindo o controle de alguns dispositivos locais

* HMI : interface homem maquina, e um software que porminte que os operadores possão monitorar , controlar,modificar,mudar qualquer coisa de emergencia caso ocorra,exibindo também informaçoes como historico de informações ,relatorios,administrações,informações para operadores,pode ser deficado em uma plataforma de controle com LAN ou wireless ou um navegador qualquer ligado al sistema de internet

* Dados historicos: servem para registrar as informações de todos os processos em um banco de dados dos processos do ICS, estas informações são acessadas pelo banco de dados e depois podem ser analisadas,para assim fazer um planejamento que necessitar

* Servidor de Input/ Output (I/O) : Responsável por coletar informações de componentes, e processar essas informações para PLCs,UTRs, IEDs,podendo estar separdados em uma sala ou plataforma.

 

Componentes de operação do ICS

12.11.2013 (4:55 pm) – Filed under: ICS ::

Controle de Loop : um circuito consiste de sensores de medição,controle de hardware,tais como PLCs, atuadores,valvulas,disjuntores,interruptores,motores,variaveis de comunicação,o controlador interpretas os sinhas e gera variaveis manipuladas correspondentes com base no ponto que ele transmite para os atuadores,

HMI (interface homem maquina): como o proprio nome já diz serve para configurar,controlar e ajustar o parametros de um controlador por eventuais operdores, engenheiros e etc.

Diagnósticos remotos e manutenção de utilitários: são serviços que são usados para previnir,identificar e recuperar uma falha.

9qw3

Vemos acima um diagrama de operção de ICS com esses componentes apresentados como citamos acima galera.