O que eu aprendi ao acessar as redes OT

1. Identificando riscos de segurança 

Ao ver sua rede OT, os clientes sempre nos perguntam: "O que você acredita que são nossos riscos de segurança?"  

Ainda temos dificuldade de responder a essa pergunta, apesar de nossos muitos anos de conhecimento de cibersegurança de rede de energia e 20 anos de experiência em automação de utilitários de energia e redes SCADA. 

Para encontrar respostas satisfatórias, nós passamos três anos (de 2017 a 2020) avaliando centrais elétricas e subestações em todos os continentes, da Suíça a Índia, passando pelos Estados Unidos e Namíbia. A experiência em cibersegurança e o monitoramento funcional que adquirimos nos ajudaram a desenvolver uma nova abordagem de segurança no ambiente OT, pois proteger redes de automação de utilitários de energia não é apenas sobre cibersegurança

A segurança funcional e uma operabilidade contínua também desempenham um papel fundamental no conceito geral de segurança. Apenas com a cobertura combinada de todos os fatores envolvidos na operação correta do SCADA e da sincronização de tempo (SAS) é possível criar um conceito geral de segurança e, mais importante, sustentá-lo.  

Hoje, temos orgulho de falar que o StationGuard é nosso produto. Ele é um Sistema de detecção de invasão (IDS) que não apenas nos permite manter a cibersegurança de control centers e SASs, mas também avaliar a segurança da rede OT com um nível de precisão e usabilidade sem precedentes. 

A seguir, eu explicarei  

  • por que oferecemos avaliações de segurança para redes de control centers, centrais elétricas e subestação;  
  • por que as oferecemos gratuitamente; e  
  • quais são as descobertas mais interessantes. 
  •  

2. Avaliação de segurança para a rede OT  

Antes de adicionar o StationGuard em nosso portfólio, os engenheiros da OMICRON testaram e avaliaram muitas redes de SASs, centrais elétricas e control centers: Realizamos testes de penetração que ajudaram a desenvolver arquiteturas de rede seguras, oferecemos suporte a procedimentos de engenharia OT seguros para subestações e realizamos avaliações de risco em centrais elétricas, apenas para citar alguns. O conhecimento obtido foi usado para desenvolver nosso StationGuard IDS.  

Com sua ajuda, as avaliações de segurança são simples, fáceis de entender e descomplicadas. Os problemas mais importantes referentes à cibersegurança de um ambiente de OT, que regularmente se converge com a rede de TI do utilitário, podem ser completamente revelados. 

No final de 2020, eu fui contatado por alguém que pediu a criação de um relatório de avaliação de segurança para um de nossos clientes usando o StationGuard. Eu recebi os arquivos de engenharia do cliente e estava familiarizado com a arquitetura de rede do utilitário. Esses documentos sempre são a base convencional de uma avaliação de segurança antes de prosseguirmos com a avaliação no local.  

No final do período de avaliação, nós apresentamos nossas descobertas para nossos clientes. Em nossas avaliações de segurança, nós normalmente entregamos: 

  • um inventário de ativos abrangente de todos os dispositivos que se comunicam na rede;  
  • uma lista de serviços "não usuais" observados na rede; e  
  • uma lista de problemas funcionais encontrados no sistema de automação ou SCADA. 
  •  

Os dados da minha primeira avaliação de segurança foram altamenteinesperados para os engenheiros da subestação e para os especialistas de TI. Entre os riscos revelados por nossa avaliação, estavam diversas conexões externas não percebidas, dispositivos inesperados na rede, firmware desatualizado, operações de RTU mal-sucedidas, erros de configuração e problemas com a rede e seus protocolos de redundância (RSTP). 

Desde então, colegas e eu conduzimos (e aprimoramos) muitas avaliações de segurança em todo o mundo, não apenas em subestações, mas também em centrais elétricas e control centers, incluindo utilitários com IEC 61850, IEC 60870-5-104, DNP3, Modbus TCP/IP e muitos outros protocolos de TI.  

As descobertas de nossas avaliações de segurança sempre são muito interessantes e, às vezes, alarmantes

3. Descobertas de nossas avaliações de segurança 

IEDs (Dispositivos eletrônicos inteligentes), que colegas e eu nos referimos, brincando, como "ativos emocionais", podem reagir erroneamente a consultas inesperadas com RTUs, erros de configuração e problemas de comunicação. 

Em nossas avaliações de segurança, nós geralmente encontramos diversos riscos de segurança na rede da central. Aqui você encontra alguns dos mais frequentes: 

  • conexões externas não documentadas que acessam IEDs e switches de rede diretamente; 
  • firmware desatualizado com vulnerabilidades conhecidas; 
  • serviços não usados; e 
  • acesso não autorizado. 
  •  

Geralmente, esses problemas de segurança são estimulados por problemas funcionais, como: 

  • problemas de configuração em IEDs, RTUs e switches de rede; 
  • falhas de sincronização de tempo; e 
  • problemas de redundância de rede. 
  •  

Em minha experiência, a maioria dos control centers e redes de centrais funcionam sem problemas após o comissionamento, mas encontram problemas após alguns anos ou até mesmo meses. Podem haver problemas estruturais, mesmo em um sistema de automação ou SCADA que, aparentemente, está funcionando bem.  

Por exemplo, nós vimos redes que se reconfiguram sozinhas a cada 10 segundos devido a problemas na configuração de redundância Rapid Spanning Tree. Isso pode causar problemas sérios durante uma falha da rede, quando é necessária mais largura de banda. Futuramente, esses problemas podem causar erros e representam um risco para falhas e ataques cibernéticos. 

A seguir, eu mencionarei alguns riscos frequentes que encontrei nos últimos anos. 

 

3.1. Serviços não usados 

Se você apenas olhar a interface do usuário de um PC, IED ou RTU, nunca saberá qual comunicação está ocorrendo na rede até que você monitore a rede. Serviços não usados/abertos oferecem um aumento desproporcional de oportunidades para hackers para atacar seu sistema de automação ou SCADA. Felizmente, nós podemos detectar facilmente esses serviços não usados que se comunicam com a rede: 

Aqui estão alguns serviços não usados comuns que encontramos: 

  • IPv6: Geralmente ativado em PCs, mas, às vezes, também em IEDs. O IPv6 nunca foi realmente usado, mas oferece diversos vetores de ataque na rede. 
  • Compartilhamento de arquivo do Windows: O serviço de compartilhamento de arquivo sempre estava ativado em PCs e Gateways e RTUs baseados em Windows, mas não é usado. 
  • Serviços de licenciamento de software: Eles são executados com as permissões de administrador em PCs e gateways baseados em Windows, mas não fazem sentido em uma rede de central isolada. Sim, eles estão pré-instalados com ferramentas de engenharia e algum software HMI. Ocorreram diversas vulnerabilidades críticas conhecidas para este serviço. 
  • Servidor de Gateway CoDeSys, um serviço para o ambiente de desenvolvimento de programa PLC disponível 24/7 em IEDs críticos em centrais elétricas e subestações. Também ocorreram diversas vulnerabilidades críticas conhecidas para este serviço. 
  • PTPv2: Ele é habilitado por padrão em alguns switches de rede industriais, mesmo se nunca tiver sido usado.  
  •  

Simplesmente desativar esses serviços diminuirá o número de riscos cibernéticos de seus ativos. 


3.2. Conexões externas 

Centrais elétricas e control centers com conexões remotas de rede de TI corporativa sempre têm o risco mais alto de ataques cibernéticos. Vamos considerar o exemplo de uma rede de subestação na América do Sul, que eu avaliei em 2021. 

Nessa avaliação de segurança, nós capturamos a atividade de diversos clientes com endereços de IP externos que estavam usando os serviços Web dos IEDs e switches de rede na subestação. Esse utilitário permitiu que seus engenheiros se conectassem e configurassem IEDs de suas casas usando uma conexão remota (túneis VPN).  

Uma descoberta que preocupou os agentes de segurança de TI foi que os endereços IP e MAC não foram reconhecidos ou documentados pelos membros de sua equipe. Por fim, fomos capazes de rastrear o endereço IP e descobrir de onde essa conexão se originou e bloquear o acesso ao sistema. 

Mesmo com todas as medidas de segurança modernas que a subestação oferecia, como Túneis VPN, Firewalls, RBAC etc., ainda restava um risco de segurança considerável: Além das preocupações de arquitetura, simplesmente, havia muitas conexões, inclusive não documentadas. Nós as tornamos visíveis por meio de nossa avaliação de segurança e o utilitário reestruturou as conexões. 


3.3. Firmware desatualizado com vulnerabilidades conhecidas

Em TODAS as avaliações de segurança, eu encontrei versões desatualizadas de firmware nos utilitários.  

Como parte da nossa avaliação, nós fornecemos para os engenheiros do utilitário e para os especialistas de TI um inventário de ativo descoberto passivamente. Ao importar os arquivos de engenharia, como arquivos de projeto IEC 61850 SCL e listas de inventário CSV, nós aumentamos as informações do ativo com detalhes como a versão de software, configuração de hardware e números de série. Esse inventário de ativo é, então, uma boa base para realizar análises de risco e vulnerabilidade. 


3.4. Erros de configuração e comunicação SCADA

Configuração incorreta de dispositivos RTU e SCADA pode resultar em eventos críticos no local que não são transmitidos para o control center e atrasam a comunicação. 

Em uma subestação europeia que visitamos, por exemplo, existiam erros na configuração do Relatório MMS. Os relatórios estavam configurados para serem enviados para um endereço de IP incorreto do cliente.  

Após resolver esses erros de configuração, a velocidade da comunicação dos IEDs melhorou de modo que pode ser verificado. O problema não era apenas a ameaça de segurança, mas a obstrução na velocidade de comunicação representava um risco operacional e poderia impedir os processos de resposta. 


3.5. Detecção de mudanças de configuração 

Há mais de uma forma de detectar mudanças de configuração em ativos importantes no ambiente de OT. 

Em uma subestação, nós detectamos um erro de configuração de mensagens de GOOSE. Esse problema ocorreu porque os dispositivos foram configurados por duas pessoas diferentes. Por sua vez, essa falta de comunicação entre os engenheiros causou problemas de comunicação entre esses dispositivos OT.  

Nós descobrimos que determinadas atividades de comando remotas na subestação não funcionavam corretamente devido às condições de intertravamento que não eram válidas. Isso significa que eles não conseguiam operar seus quadros de distribuição remotamente em casos urgentes. O que os assustou foi o fato de que eles nem sabiam da existência deste problema até ele ser revelado na avaliação de segurança. 

Esse exemplo abriu meus olhos também. Ele me mostrou que problemas pequenos na comunicação de GOOSE poderiam causar problemas maiores na central.  

Portanto, para aprofundar nosso conhecimento e entrar em contato com outros funcionários das centrais elétricas, subestações e control centers, nós ainda oferecemos essas avaliações básicas de segurança gratuitamente.   

4. Benefícios de nossa avaliação de segurança gratuita 

Se você for um(a) agente de segurança cibernética, um(a) engenheiro(a) de controle e proteção, um(a) engenheiro(a) de rede, um(a) gerente, um(a) integrador(a) de sistema ou alguém que trabalha no control center, na central elétrica ou na subestação, eu gostaria de apresentar mais motivos que explicam por que uma avaliação de segurança definitivamente compensa.

 

4.1. Usuários terceirizados em sua rede OT 

Não é um segredo que muitas empresas terceirizadas estão muito envolvidas no comissionamento (e na manutenção) de SASs e outras redes OT. Como mencionado acima, ter diferentes grupos de engenharia no local pode criar desafios quando se trata de manter o sistema OT sustentável.  

Eu ouvi muitas reclamações de terceiros que configuraram incorretamente sistemas e deixaram as conexões abertas. Um utilitário que funciona corretamente depende do gerenciamento desse caos e, ao mesmo tempo, cuida da operabilidade contínua do sistema. Geralmente, o gerenciamento desses fatores de risco é demorado, caro e um desperdício de recursos. 

Nossa avaliação de segurança identifica com eficiência os ativos e riscos e auxilia as operações do utilitário lidando com empresas terceirizadas para evitar custos de longo prazo. 


4.2. Uma forma simples para os agentes de TI entenderem o mundo de OT 

Infelizmente, soluções clássicas de TI para IDS não podem avaliar os protocolos e eventos de OT. Abordagens de IDS baseadas em aprendizado precisam de muito conhecimento de OT para avaliar inicialmente quais atividades devem ser permitidas e quais devem ser proibidas.  

Além disso, agentes de segurança de TI não conhecem o ambiente OT e seus princípios de funcionamento para tomar essas decisões. Isso se provou um desafio no que se refere ao gerenciamento de incidentes de OT e à introdução de processos de segurança em OT. 

Nosso produto StationGuard oferece a solução: ele fornece dados fáceis de entender para os engenheiros de OT e TI. Nossa avaliação de segurança com o StationGuard pode unir esses dois mundos e criar uma base para o entendimento comum. 


4.3. Olhe os padrões de sua rede 

Como mencionado anteriormente, as redes OT possuem muitas surpresas e complexidades. 

É sempre melhor tomar contramedidas hoje a respeito de possíveis problemas que podem surgir amanhã: pode ser que encontremos o motivo de um problema crônico em sua rede? Talvez haja um problema não descoberto que precise ser encontrado? 

Muitas coisas ainda precisam ser descobertas, mas uma coisa é certa: Qualquer risco que pode violar sua operação em um ambiente crítico será custoso. 

5. Solicite uma avaliação de segurança para sua subestação 

Nós oferecemos uma avaliação de segurança gratuita em todo o mundo para nossos clientes em potencial! 

Você é um(a) gerente/agente de TI que deseja saber mais sobre OT de sua organização? Deseja saber mais sobre os riscos de segurança em sua rede OT? 

Você é um(a) gerente/engenheiro de sincronização de tempo e deseja descobrir (ou resolver) seus problemas de funcionamento ou verificar sua comunicação de rede?  

De qualquer forma, solicite uma avaliação de segurança! 

Para solicitar uma avaliação de segurança, envie uma mensagem com o assunto "SG Free Assessment" (Avaliação SG gratuita) para o e-mail: info@omicronenergy.com (Devido a nossas políticas de privacidade, não será fornecido meu e-mail pessoal aqui. No entanto, pode ficar tranquilo que todos os e-mails serão encaminhados diretamente para mim.) 

Obrigado por ler meu relatório! 

Atenciosamente,  
Ozan Dayanc (OT Security Engineer)

Descubra mais OMICRON Coverstories

Ouça nossos podcasts

You are using an outdated browser version.
Please upgrade your browser or use another browser to view this page correctly.
×