pten

As redes SCADA em sua origem foram projetadas para maximizar funcionalidades, com pouca atenção voltada para a segurança. Como resultado, a performance, confiabilidade e flexibilidade dos sistemas SCADA são robustas, enquanto os controles de segurança são fracos, o que torna redes SCADA potencialmente vulneráveis à interrupção de serviços, redirecionamento de processos ou manipulação de dados operacionais que podem resultar em problemas de segurança pública ou sérias paradas de produção nas empresas.

O primeiro passo para o estabelecimento de segurança em redes de automação é a implantação de políticas para governança industrial. Conheça nossas soluções.

A Política de Segurança de Automação (PSA) é um instrumento elaborado a fim de estabelecer regras para uso, controle e proteção adequada do ambiente de automação e dos ativos que compõe esse ambiente, preservando sua disponibilidade, integridade e confidencialidade e assegurando a continuidade e competitividade do negócio.

Figura: Fluxo de criação de uma Política de Segurança de Automação – PSA

Composta por um conjunto de documentos com normas e diretrizes técnicas de segurança de automação industrial que tratam dos aspectos estratégicos da organização e sua diretiva a respeito de assuntos fundamentais para a governança, a PSA detalha controles de segurança para itens fundamentais como o controle de acesso lógico e físico, segregação de funções, uso da internet, uso do correio eletrônico, segurança em aplicações e outros temas que sejam pertinentes. 

A PSA deve estar alinhada com o planejamento estratégico da empresa e em conformidade com as normas e melhores práticas vigentes, como a ANSI/ISA-99 e a NIST 800-82.

Os consultores da TI Safe entendem que cada cliente tem suas necessidades, particularidades únicas, sendo assim, cada política é elaborada em conjunto com os responsáveis pela planta de automação de forma a manter-se alinhada com a visão da empresa.

Consulte-nos para o desenvolvimento e implantação da política de segurança de automação para sua planta.

Uma planta industrial possui uma grande quantidade de equipamentos e logs de segurança que devem ser permanentemente monitorados. Faz-se necessária a consolidação dos dados para análise e verificação de trilhas de ataques, ameaças e incidentes através de uma ferramenta de SIEM (Security Information and Event Management) customizada para uso em indústrias, o que a TI Safe denomina SIEM Industrial.

Figura: Arquitetura de Funcionamento do SIEM IBM Q-Radar

A solução IBM Q-Radar permite maior visibilidade sobre o comportamento normal de rede de automação e sobre atividades anormais que podem sugerir ameaças à segurança. As informações dos alertas de segurança dos equipamentos da rede industrial tais como o Firewalls, IPSs, solução de prevenção de malware, informações de trafego de rede, de vulnerabilidades, de acesso a bancos de dados, de logs do sistema operacional (SysLog) e de atividades de usuários são correlacionadas com informações de inteligência de ameaças para uma capacidade única de prevenção. Isto simplifi­ca a investigação de um incidente com melhoria signifi­cativa na efi­ciência para identi­ficação e resolução de incidentes.

O SIEM industrial é capaz de identi­ficar múltiplos eventos como um único ataque a partir de regras de correlação de eventos e tráfego de rede.

 As principais funcionalidades de inteligência de segurança fornecidas pelo SIEM Industrial são:

  • Monitoramento de ameaças e resposta à incidentes de segurança alertados pelas soluções de segurança implementadas na planta segura.
  • Segurança interna e monitoramento de ameaças internas.
  • Agregação de logs e análises de diferentes padrões tecnológicos e fabricantes com a geração de relatórios executivos que permitem visibilidade total do cenário de segurança da planta segura.
  • Auditoria, relatórios e conformidade com as medidas de segurança detalhadas pela política de segurança de automação (PSA) da empresa.
  • Detecção e priorização de incidentes de segurança com base nas características do ambiente da planta tais como risco e criticidade dos diversos sistemas, reduzindo falsos-positivos e otimizando o trabalho das equipes de monitoração de segurança e resposta a incidentes, garantindo foco nos incidentes mais críticos para o negócio.

 

Proteja suas redes de controle de ataques cibernéticos e interrupções operacionais com o Nozomi SCADAguardian. A Solução detecta rapidamente ameaças cibernéticas e anomalias em processos, proporcionando visibilidade operacional sem precedentes. O SCADAguardian descobre automaticamente os ativos da rede industrial, incluindo seus componentes, conexões e topologia. Ele também desenvolve perfis de segurança e de processos, além de monitorar o sistema em tempo real para qualquer alteração.

O SCADAguardian fornece exclusivamente: Detecção abrangente e híbrida de ameaças a ICSs, combinando regras baseadas em comportamento, assinaturas e análise de inteligência artificial. Captura de incidentes e ferramentas forenses superiores. Fácil integração e compartilhamento de informações sobre ICS e cibersegurança com ambientes TI / TA. Escalabilidade de classe empresarial quando implementada com sua Console de Gerenciamento Central.

  

Figura: Arquitetura da Solução SCADAguardian

 

Módulos da solução:

  • Visualização e Modelagem da Rede: melhora a conscientização do sistema e de processos com uma interface de visualização que mostra todos os ativos e links da rede.
  • Detecção de ameaças e anomalias do ICS: detecta rapidamente ameaças à segurança cibernética, riscos e anomalias nos processos; A detecção de ameaças híbrida combina a melhor detecção de anomalias baseada em comportamento com detecção de ameaças baseada em regras (YaraRules, Packet Rules e Assertions) e análise de inteligência artificial; Detecta intrusões: ataques de varredura e MITM · ataques complexos ou de dia zero · arquivos ou pacotes de malware conhecidos e muito mais; Detecta comportamentos não autorizados: acesso remoto · Configurações · Downloads · Mudanças na lógica do controlador · Edições para projetos de PLC e mais; Detecta estados de preocupação: Configurações erradas · Senhas fracas · Atualizações perdidas · Portas abertas · Falhas de comunicação e mais.
  • Inventário de ativos: auto-descoberta de ativos economiza tempo e está sempre atualizado; A visibilidade de ativos tornam mais fácil visualizar, encontrar e detalhar informações sobre os mesmos.
  • Avaliação de vulnerabilidades: identificação automatizada de vulnerabilidades de dispositivos economiza tempo e melhora a resiliência cibernética
  • Painéis e relatórios : painéis personalizados, relatórios detalhados e consultas ad hoc fornecem visibilidade em tempo real que melhoram a segurança cibernética e a eficiência operacional.

 

A TI Safe é uma provedora de serviços gerenciados de segurança (MSS) consolidada no mercado, possuindo contratos vigentes com grandes empresas de infraestrutura crítica brasileiras.

O ICS-SOC é uma estrutura construída no Rio de Janeiro e que opera em regime 24x7x365 para gerenciar a segurança cibernética de redes que não podem parar.

Foto: ICS-SOC TI Safe

Como diferenciais do ICS-SOC TI Safe podemos citar a qualificação e experiência de seus profissionais e a experiência da gestão da segurança cibernética tanto nas áreas de TI quanto nas redes industriais e TA, fundamentais para a continuidade operacional de ambientes de produção de redes de controle.

Dentre os serviços oferecidos pelo ICS-SOC TI Safe, destacamos:

  • Monitoramento de Segurança : monitoramento de logs relevantes de segurança de dispositivos do cliente, tais como IPS, firewalls, sistemas de controle de malware, etc. Fornecemos análise de logs para detecção de anomalias e ataques.
  • Auditoria e Compliance : oferecemos auditoria permanente e acompanhamento de compliance com normas tais como ISO 270001/27002, ANSI ISA-99 e NIST SP800-82.
  • Análise de Vulnerabilidades :  utilizamos ferramenta automatizada líder de mercado para realizar varreduras controladas de redes de TI em intervalos programados e geração de relatórios de vulnerabilidades. Pode incluir serviços de patching e atualização remota de software.
    OBS: A TI Safe não oferta serviços de análise de vulnerabilidades para redes de TA por ser não recomendada sua realização em ambientes críticos de produção operacional
  • Serviços Gerenciados de Rede : monitoramento do desempenho de rede, resposta a falhas de funcionamento e ataques de DoS (Denial of Service). Pode incluir gerenciamento das redes VPN do cliente, backups, hospedagem e outros serviços de rede principais.
  • E-mail Gerenciado : gerenciamento do e-mail com foco em redução de malware, junk e-mail e spam.
  • Gerenciamento de Malware : gerenciamento da infraestrutura de antivírus e de segurança de endpoint, garantindo que os clientes estejam sempre atualizados, com detecção e escalonamento de incidentes.
  • Armazenamento Gerenciado e Coleta de Logs : serviços de coleta e armazenamento de logs de sistemas específicos, muitas vezes necessários ou obrigatórios em determinadas operações. Opção por offsite backup e recuperação de desastres.
  • Inteligência de Ameaças (Threat Intelligence) : análise avançada de ameaças relevantes e emergentes. Pode incluir capacidade de detectar ataques zero-day e trabalhar com sistemas em Sandboxing.
  • Escaneamento e monitoramento Web : escaneamento e análise permanente de aplicações Web.
  • Gerenciamento de Identidades : gerenciamento de identidades em sistema de provisionamento e deprovisionamento de usuários, privilégios e recursos (exemplo: gerenciamento de Active Directory).

Copyright © 2007-2017 - TI Safe Segurança da Informação - Todos os direitos reservados.