[CLASS 2014] Palestra Técnica - Cesar Oliveira
-
Upload
ti-safe-seguranca-da-informacao -
Category
Technology
-
view
126 -
download
2
description
Transcript of [CLASS 2014] Palestra Técnica - Cesar Oliveira
![Page 1: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/1.jpg)
CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO DE SEGURANÇA DA INFORMAÇÃO PARA AUTOMAÇÃO
Cesar Oliveira, CISMRio de Janeiro, 7 de Novembro de 2014 Informação Pública
![Page 2: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/2.jpg)
A VALE
![Page 3: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/3.jpg)
Informação Pública
Somos a Vale
• Mineradora global com sede no Brasil
• Líder mundial na produção de minério de ferro e pelotas e o segundo maior produtor de níquel
• Também produzimos cobre, carvão metalúrgico, fertilizantes, manganês, ferroligas, cobalto e metais do grupo da platina
• Investimos em logística e energia
Em
preg
ados
da
Val
e em
Itab
ira /
MG
Ren
ato
Sto
ckle
r da
s N
eves
Filh
o / A
gênc
ia V
ale
![Page 4: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/4.jpg)
Informação Pública
2013Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e escritórios estão presentes nos cinco continentes.
![Page 5: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/5.jpg)
Informação Pública
MissãoTransformar recursos naturais em prosperidade e desenvolvimento sustentável
VisãoSer a empresa de recursos naturais global número um em criação de valor de longo prazo, com excelência, paixão pelas pessoas e pelo planeta
ValoresA vida em primeiro lugarValorizar quem faz a nossa empresaCuidar do nosso planetaAgir de forma corretaCrescer e evoluir juntosFazer acontecer
Com
plex
o P
ortu
ário
Sul
–C
PB
S /
RJ
Már
cio
Dan
tas
Val
ença
/ A
gênc
ia V
ale
![Page 6: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/6.jpg)
Informação Pública
195 mil
Empregados e prestadores de serviço
50 mil
Usuários de TI
Faturamento Líquido em 2013
46 bilhões de dólares
![Page 7: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/7.jpg)
Informação Pública
O CENÁRIO ATUAL DE AMEAÇAS E SEGURANÇA DOS SISTEMAS DE AUTOMAÇÃO INDUSTRIAL
![Page 8: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/8.jpg)
Informação Pública7
Cenário de ameaças em Sistemas de AutomaçãoIndustrial
![Page 9: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/9.jpg)
Informação Pública
Conhecimento (capacidade)
Motivação (intenção) Oportunidade
Possível Ataque de Sucesso
Fórmula para um ataque de sucesso…
![Page 10: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/10.jpg)
Informação Pública
Segurança para Sistemas de Automação Industrial –Verdadeiro ou Falso?
( ) Cuidar apenas de segurança física e ataques externos é suficiente;
( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não estádisponível para qualquer usuário;
( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito;
( ) Os Sistemas de Automação Industrial não são vulneráveis;
( ) Malwares não podem infectar os Sistemas de Automação;
( ) Não existe tecnologia disponível para combater ameaças específicas para osambientes de Automação;
( ) A solução é isolar totalmente a Rede de Automação.
![Page 11: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/11.jpg)
Informação Pública
Segurança para Sistemas de Automação Industrial –Verdadeiro ou Falso?
( F ) Cuidar apenas de segurança física e ataques externos é suficiente;
( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não estádisponível para qualquer usuário;
( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é restrito;
( F ) Os Sistemas de Automação Industrial não são vulneráveis;
( F ) Malwares não podem infectar os Sistemas de Automação;
( F ) Não existe tecnologia disponível para combater ameaças específicas para osambientes de Automação;
( F ) A solução é isolar totalmente a Rede de Automação.
![Page 12: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/12.jpg)
Informação Pública
Sofisticação de ataque vs. Conhecimento técnico necessário
Intruders
High
Low
1980 1985 1990 1995 2000
IntruderKnowledge
AttackSophistication
Cross site scripting
password guessing
self-replicating code
password cracking
exploiting known vulnerabilities
disabling audits
back doors
hijacking sessions
sweepers
sniffers
packet spoofing
GUIautomated probes/scans
denial of service
www attacks
Tools
“stealth” / advanced scanning
techniques
burglaries
network mgmt. diagnostics
distributedattack tools
Staged
Auto Coordinated
2005 2013
Zombies
BotnetHactivism
![Page 13: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/13.jpg)
Informação Pública
AdvancedIntrudersDiscover NewVulnerability
CrudeExploit Tools
Distributed
Novice IntrudersUse Crude
Exploit Tools
AutomatedScanning/ExploitTools Developed
Widespread Use of Automated Scanning/Exploit Tools
Intruders Begin Using New Types of Exploits
Ciclo de exploração de vulnerabilidades – tendência de aceleração para Sistemas de Ambientes Industriais
![Page 14: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/14.jpg)
Informação Pública
AVALIAÇÃO DE RISCOS E PLANEJAMENTO DE AÇÕES
![Page 15: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/15.jpg)
Informação Pública
Avaliação de Riscos e Planejamento de Ações de Segurança
Objetivos
- Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado;
- DefPlanejamento de Ações para cada Área Operacional prior izada por probabilidade e severidade
- Criação de um Business Case para o estabelecimento de u m Programa Integrado de Cyber Security.
- inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas
Áreas Operacionais
- Definir um
Benefícios
- Dar visibilidade sobre os riscos de segurança da informa ção existentes nos ambientes de Sistemas de
Automação e promover a discussão sobre o tratamento adequ ado aos riscos considerando as variáveis
levantadas e o negócio enolvido, além de promover o esta belecimento de um Programa Completo de Gestão
de Segurança em SIStemas de Automação Industrial.
Entregáveis
- Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação;
- Resultado da Análise de Riscos
- Resultado da avaliação dos Controles de Segurança exist entes
- Plano de Ações para cada Área Operacional priorizada por n ível de risco (probabilidade e severidade)
Participantes
- Áreas Operacionais
- Tecnologia de Automação da TI
- Information Security Office
- Global IT Security Services
- Comitê de Segurança da Informação
- Comitê de Liderança de Manutenção
![Page 16: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/16.jpg)
Informação Pública
Análise de RiscoAnálise dos Controles de Segurança
Nomes com Controles mínimos
Realização de
Treinamento
Roadmap de Implantação
- Revisão de padrões e boas práticas existentes como insumos para determinar oscontroles mínimos necessários para serem aplicados em todas as Áreas Operacionais;
- Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida peloGoverno Americano (US-Department of Homeland Security) e tendo como padrão a norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”;
- Questionário com 172 questões divididas em categorias
Avaliação de Riscos e Planejamento de Ações de Segurança
http://ics-cert.us-cert.gov/Assessments
![Page 17: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/17.jpg)
Informação Pública
• Process Control and SCADA Security Guides
NISCC/CNPI
• Security Guidelines for the Petroleum Industry
API
ISA-SP99 ISA-SP100 NIST SP 800ISA 100/11ª• Wireless Systems
for Industrial Automation (cap 8)
US-CERT
• ANSI/ISA TR96.01.02-2007 – Security Technologies for industrial automation and control systems.
• ANSI/ISA-99.01.01-2007 – Termiinologyconcepts and models
• ANSI/ISA-99.02.01-2009 – Estabilshing na industrial Automation and Control Systems Security Program.
• ISA-99.02.02 (em desenvolvimento) –Operating and Industrial Automation and Control Systems Security Program
• ISA-99.03.02 (em desenvolvimento) –Target Security Levels.
• ISA-99.03.03 – System Security compliance Metrics (em desenvolvimento).
• ISA-99.01.03 (em desenvolvimento) –System Security Requirements and Security Assurance Levels.
• ISA-TR99.02.03 (em desenvolvimento) –Patch Management .
• ISA 99.04 Series (em desenvolvimento) –Derived Requirements.
IEC 62443
SP800-82• Guide to industrial Control Systems (ICS)
Security
• Catalog of (controlSystem Security . Recomendations for Standards Developers.
• Creating Cyber Forensics Plans for Control System.
• Cyber Security Response to physicalSecurity Breaches.
• Control Systems Cyber Security Defense in Depth Strategies
• CPI-002 Critical Cyber Asset Idetification• CIP-003 Security Management Controls• CIP-004 Personnel & Training• CIP-005 Electronic Security Perimeter(s)• CIP-006 Physical Security of Critical Cyber
Assets• CIP-007 Systems Security Management • CIP-008 Incident Reporting and Response
Pianning• CIP-009 Recovery Plans for Critical Cyber
Assets
NERC CIP
Padrões específicos existentes que podem ser usados como base da ferramenta CSET
Avaliação de Riscos e Planejamento de Ações de Segurança
![Page 18: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/18.jpg)
Informação Pública
Avaliação de Riscos
- Envolver todos os Stakeholders para criar consenso quanto às definições de probabilidade e severidade das ameaças é fator crítico de sucesso;
- Treinamentos de conscientização e reuniões de análise de riscos e definiçãode ameaças existentes e potenciais em cada Área Operacional.
![Page 19: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/19.jpg)
Informação Pública
CONCEPÇÃO E DESENHO DE PROGRAMA INTEGRADO
![Page 20: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/20.jpg)
Informação Pública
Planejamento de Ações de Segurança
- Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações de Segurança para cada Área é essencial;
- Priorização de implementação de controles seguindo os seguintes critérios:• Controles que mitigam mais riscos e com maior efetividade;• Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR);• Ações com menor duração tendem a ser priorizadas;• Menor dependência de envolvimento de outras áreas internas da organização.
![Page 21: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/21.jpg)
Informação Pública
Estabelecendo um Programa Completo
Como resultado do trabalho, foi criado um Business Case para a implantação do Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na ISA-99.02.01, seguindo suas recomendações que na prática são:
• Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos operacionais;
• Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment )• Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a
integração entre as áreas operacionais;• Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...);• Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como
mecanismo de sensibilização para o investimento no Programa Integrado e Completo.• Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas.
![Page 22: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/22.jpg)
Informação Pública
Estabelecendo um Programa Completo
Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no
monitoramento de maneira a assegurar a evolução homogênea.
Além disto, a observação constante dos fatores organizacionais são determinantes para esta evolução.
ConscientizaçãoCapacitaçãoContratação
PolíticasNormas e Instruções de Trabalho
Planos de ContinuidadePlanos de Resposta a Incidentes
FirewallVPN
Segregação de RedesSistemas de Controle de Acesso Físico
Sistemas de Controle de Versão
![Page 23: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/23.jpg)
Informação Pública
Fatores críticos de sucesso
Com
plex
o P
ortu
ário
Sul
–C
PB
S /
RJ
Már
cio
Dan
tas
Val
ença
/ A
gênc
ia V
ale
![Page 24: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/24.jpg)
Informação Pública
Equilíbrio entre o CUSTO e RISCO
Custo Risco
Segurança Ideal
Custo de evitar o risco vs Custo de um incidente
Fatores críticos de sucesso
![Page 25: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/25.jpg)
Informação Pública
A evolução da Tecnologia traz melhorias e Segurança é cada vez mais fator crítico nos negócios
• Aplicativo GetAroundde aluguel de carros no sistema “rent yourcar”;
• Inovação e risco: a chave do carro é um sinal emitido pelo seu smartphone;
• Segurança é fator crítico de sucesso.
![Page 26: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/26.jpg)
Informação Pública
A Tecnologia a favor dos negócios... com Segurança
![Page 28: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/28.jpg)
Informação Pública
RessalvaEsta apresentação pode incluir declarações que apresentem expectativas da Vale sobreeventos ou resultados futuros. Todas as declarações quando baseadas em expectativasfuturas, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não podegarantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluemfatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá,(b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e suadependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau decompetição global nos mercados onde a Vale opera. Para obter informações adicionaissobre fatores que possam originar resultados diferentes daqueles estimados pela Vale,favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, naAutorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission –SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidosnas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20Fda Vale.”.
Esta apresentação não pode ser distribuída sem a autorizaçã o da Vale.
![Page 29: [CLASS 2014] Palestra Técnica - Cesar Oliveira](https://reader033.fdocument.pub/reader033/viewer/2022052906/558c0273d8b42ab25b8b4600/html5/thumbnails/29.jpg)