pten

As redes industriais em sua origem foram projetadas para maximizar funcionalidades, com pouca atenção voltada para a segurança cibernética. Como resultado, a performance, confiabilidade e flexibilidade dos sistemas SCADA são robustas, enquanto os controles de segurança são fracos, o que torna estas redes potencialmente vulneráveis à interrupção de serviços, redirecionamento de processos ou manipulação de dados operacionais que podem resultar em sérias paradas de produção nas empresas.

A Análise de Riscos é a principal forma de entender as ameaças de segurança cibernética e as necessidades de controles. Essa atividade normalmente é realizada com foco em uma instalação específica, uma vez que, além do ambiente lógico, o físico também é analisado. A análise de riscos pode ser conduzida em plantas em funcionamento (Brownfield) ou em fase de projeto (Greenfield). Quando os riscos e ameaças são identificados prematuramente, os controles são assimilados com menor custo e máxima eficiência.

 

A análise de riscos de redes de automação segue as seguintes etapas:

Análise de Riscos Estática

  • Nesta etapa da análise de riscos são verificados diagramas da rede, vistoriado o ambiente operacional (datacenter) e respondidos questionários de auditoria de segurança física e lógica da rede de automação alinhados com as boas práticas das normas ANSI/ISA-99 , ISA-IEC 62443, NIST 800-82 e ISOs 27001/27002. As visitas às instalações do cliente permitem que nossos consultores identifiquem os controles ou contramedidas de segurança física e lógica já existentes nas redes, avaliando, na medida do possível, as condições nas quais os controles se encontram instalados e em uso e a adequação às necessidades. A avaliação será realizada mediante o preenchimento de formulários com uma lista de controles que compõem as bases de conhecimento de riscos das normas acima descritas.

 

Análise de Riscos Dinâmica

  • Nesta etapa será feita coleta automatizada de pacotes de dados da rede de automação em modo TAP (não intrusivo), a nível de aplicação. No início da análise dinâmica a arquitetura de cada rede de automação do cliente será analisada e será elaborado um planejamento para conceder visibilidade de tráfego e ameaças provenientes da Internet, bem como demais perímetros como fronteiras com redes corporativas, sistemas de controle (para a rede de automação), datacenter e rede de processos, assim como links com terceiros e conexões externas de VPN ou entidades regulamentadoras.   

 

Relatório de Análise de Riscos

  • Os dados coletados pela análise estática serão processados segundo critério qualitativo, com escalas de probabilidade e impacto qualitativos. Para cada conjunto ameaça/vulnerabilidade será atribuída, a partir de informações coletadas em entrevistas com o time local, uma probabilidade de ocorrência e um impacto (em função das consequências). De forma complementar, os dados advindos da análise dinâmica realizarão a comprovação e gerarão evidências das informações provenientes da análise estática de riscos. O resultado da união das informações das análises estática e dinâmica será consolidado no Relatório da Análise de Riscos a ser entregue ao cliente. O relatório será entregue em língua portuguesa e servirá como base para a elaboração do Planejamento de Segurança Cibernética Industral (PSCI).

O Plano de Segurança Cibernética Industrial (PSCI) é o instrumento elaborado com o propósito de orientar, definir objetivos e prazos relativos aos procedimentos de implementação de controles de segurança cibernética para redes industriais da planta de automação analisada.

Considerando a realidade do cliente, o plano descreve as soluções tecnológicas e de processo e os passos de implementação para atender as necessidades de segurança do escopo analisado. O horizonte de tempo do PSCI é de 3 anos e nele está descrito a correlação de todos os dados levantados, das análises estáticas e dinâmicas, em um planejamento coerente para que o cliente aumente seu grau de conformidade com as normas consideradas para o projeto.

A governança industrial deve ser implementada de acordo com as boas práticas da norma IEC 62443. O primeiro passo para estabelecer governança é o desenvolvimento e implantação de uma política de segurança específica para a área de automação. A Política de Segurança de Automação é um instrumento elaborado a fim de estabelecer regras para uso, controle e proteção adequada do ambiente de automação e dos ativos que compõe esse ambiente, preservando sua disponibilidade, integridade e confidencialidade e assegurando a continuidade e competitividade do negócio.

Composta por um conjunto de documentos com normas e diretrizes técnicas de segurança de automação industrial que tratam dos aspectos estratégicos da organização e sua diretiva a respeito de assuntos fundamentais para a governança, a política detalha controles de segurança para itens fundamentais como a segurança de borda, a proteção da rede industrial, a segurança de dados, o combate ao malware e a educação de usuários sobre segurança cibernética.. A política deve estar alinhada com o planejamento estratégico da empresa e em conformidade com as normas e melhores práticas vigentes, como a IEC 62443 e a NIST 800-82. Os consultores da TI Safe entendem que cada cliente tem suas necessidades, particularidades únicas, sendo assim, cada política é elaborada em conjunto com os responsáveis pela planta de automação de forma a manter-se alinhada com a visão da empresa.

A TI Safe é uma provedora de serviços gerenciáveis de segurança focados em ambientes industriais consolidada no mercado, possuindo contratos vigentes com grandes empresas de infraestrutura crítica brasileiras.

Estes serviços são fornecidos através do ICS-SOC, Centro de Operações de Segurança Cibernética em infraestruturas críticas que opera 24x7x365 e conta com recursos, tecnologia e processos de ponta para o gerenciamento, prevenção, detecção e resposta a incidentes em redes que não podem parar.

Foto: ICS-SOC TI Safe

O ICS-SOC da TI Safe oferece cinco níveis de serviços gerenciados, com capacidades cumulativas, divididos em duas categorias principais, Monitoramento e Gerenciamento (níveis 1 e 2) e Inteligência Industrial (níveis 3, 4 e 5).

Figura: Níveis de serviços oferecidos pelo TI Safe ICS-SOC

MONITORAMENTO & GERENCIAMENTO

Nível 1: Gestão de equipamentos e relatórios de segurança

  •  Gerenciamento de equipamentos de segurança (Firewalls, IPS, e outros) localizados na planta do cliente.
  • Monitoramento do estado do funcionamento dos equipamentos e correção de problemas que estejam impedindo o seu correto funcionamento.
  •  Parametrização permanente dos equipamentos.
  •  Cadastro de acesso via VPN para novos usuários autorizados.
  •  Atualizações de software, sistema operacional, patches, etc.
  •  RMA de equipamentos (substituição no local, sendo a caixa RMA enviada pelo fabricante conforme prazo de contrato)
  •  Fornecimento de relatórios diários e semanais sobre ameaças cibernéticas detectadas e bloqueadas pelos equipamentos. Outros relatórios customizados poderão ser desenvolvidos de acordo com a demanda do cliente.

 

Nível 2: (Serviços do Nível 1) + Coleta de Políticas e Monitoramento de Ocorrências

  • Atendimentos realizados de acordo com solicitações realizadas via sistema de controle de atendimentos de suporte (SCAS) e aprovados de acordo com rotinas de gestão de mudanças do cliente.
  • Atendimento a alterações de configurações de segurança (portas, segmentos, zonas de segurança, etc.).
  • Atendimento a políticas de segurança (adição, alteração ou remoção de políticas).
  • Otimização de regras e políticas existentes.
  • Monitoramento ativo das soluções de segurança (ataques, malwares, APTs, 0 day, vulnerabilidades, etc.).
  • Investigação e informe de eventos detectados pelas soluções de segurança (ex: informe de presença de malware, tráfego suspeito).

 

INTELIGÊNCIA INDUSTRIAL

Nível 3: (Serviços do Nível 2) + Correlação de eventos e Monitoramento Industrial

      • Utilização de ferramenta de SIEM com análises de logs em tempo real para fins de detecção de ameaças.
      • Correlação de eventos para que possíveis relacionamentos entre eles sejam identificados, indicando a ocorrência potencial de incidentes.
      • Gerenciamento centralizado de informações de segurança cibernética.
      • Utilização de IPS industrial para Monitoramento de variáveis de controle críticas em tempo real da rede operativa.
      • Geração de relatórios de conformidade.
      • Gestão de casos de incidentes e emissão de tickets de serviços para o cliente.

 

Nível 4: (Serviços do Nível 3) + Resposta a Incidentes e Gestão de Vulnerabilidades

      • Gestão de Vulnerabilidades:  utilização de ferramenta automatizada líder de mercado para realizar varreduras controladas de equipamentos previamente selecionados na rede de TA em intervalos programados. Uma vez detectada uma vulnerabilidade, seu impacto é avaliado, as medidas corretivas são identificadas e, quando autorizadas, executadas. Seu status é rastreado e relatado até o fechamento.
      • Geração de relatórios de vulnerabilidades periódicos.
      • Resposta controlada a incidentes de segurança cibernética industrial, em parceria com a equipe do cliente.

 

Nível 5: (Serviços do Nível 4) + Inteligência Artificial e Investigação Digital

    • Análise de segurança de big data: análise de grande quantidade de dados para descobrir ameaças e, em seguida, apresentar e visualizar os resultados.
    • Integração entre as bases de dados de eventos locais e inteligência de ameaças sobre ataques globais.
    • Enriquecimento de dados através do uso de fontes, como dados geográficos, dados de DNS, integração de controle de acesso à rede e serviço de reputação de IP e domínio.
    • Forense e identificação de brechas na rede de automação.

Copyright © 2007-2018 - TI Safe Segurança da Informação - Todos os direitos reservados.