CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Engineer - Palo Alto Networks)
tisafe
299 views
46 slides
May 28, 2018
Slide 1 of 46
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
About This Presentation
Palestra realizada no primeiro dia do CLASS 2018.
Slide Content
Desenhando Arquiteturas de
Segurança Cibernética Centradas na
Prevenção de Sistemas de Controles
Industriais Remotos
Alexandre Freire
Brazil Enterprise & Industrial Cybersecurity Sales Engineer
ww Industrial Control Systems Tiger Team
[email protected]
Segurança Cibernética Centradas na
Prevenção de Sistemas de Controles
Industriais Remotos
Alexandre Freire
Brazil Enterprise & Industrial Cybersecurity Sales Engineer
ww Industrial Control Systems Tiger Team
[email protected]
Parceria mundial Siemens & Palo Alto Networks
2| © 2015,Palo Alto Networks. Confidential and Proprietary.
https://www.siemens.com/press/en/pressrelease/?press=/en/pressrelease/20
18/digitalfactory/pr2018040156dfen.htm&content[]=DF
Go to:
2| © 2015,Palo Alto Networks. Confidential and Proprietary.
https://www.siemens.com/press/en/pressrelease/?press=/en/pressrelease/20
18/digitalfactory/pr2018040156dfen.htm&content[]=DF
Go to:
Pergunta1 :
AmbientesSCADA/ICS sãomenos
segurose maisvulneráveisdo que
eramháanosatrás?
3| © 2018,Palo Alto Networks. All Rights Reserved.
AmbientesSCADA/ICS sãomenos
segurose maisvulneráveisdo que
eramháanosatrás?
3| © 2018,Palo Alto Networks. All Rights Reserved.
2010 2011 2012 2012 2013 2014 2014 2014 2015 2016
Duqu
Coleção de malwarede
computador que se
acredita estar
relacionado ao Stuxnet.
Usado para procurar
informações que podem
ser úteis no ataque ao
ICS.
Shamoon
Como Stuxnet, Duque Flame,
Shamooné voltado para
empresas de energia. Ele não
interrompeu serviços como o
Stuxnetou roubou
informações de negócios como
Flame e Duqu. Em vez disso,
ele removeu e substituiu as
informações do disco rígido.
German Steel Mill
Attack
Segundo caso confirmado em
que um ataque totalmente
digital causou destruição física
de equipamentos.
Ukraine
Attack
BlackEnergy3
O objetivo principal parece
ser a espionagem
cibernética, descobridores
de trojanscapazes de
infectarsistemas de Controle
Industrial SCADA podem
significar algo mais nefasto.
Stuxnet
O primeiro caso notável
de uma arma digital
sofisticada lançada contra
sistemas de controle no
Irã.
Flame
Definido como um malwaresofisticado
e muito complexo. Capaz de se espalhar
para outros sistemas através de
conexões LAN ou USB. Pode gravar
áudio, capturas de tela, atividade de
teclado e tráfego de rede.
Energetic Bear
Um malwarepoderoso
que permitia aos seus
operadores monitorar o
consumo de energia em
tempo real ou prejudicar
os sistemas físicos.
Dragonfly
As evidências indicam que
as empresas farmacêuticas
são o principal alvo. O
malwarecontém um
Industrial ProtocolScanner
usado para localizar
dispositivos normalmente
instalados em embalagens
de bens de consumo.
Malware ImpactandoInfraestruturaCrítica
Crash Override/
Industroyer
Malwaremais avançado do que
as ferramentas de uso geral
usadas para atacar a rede
elétrica da Ucrânia em 2015.
Capacidade de usar os mesmos
protocolos nos quais os
sistemas de rede elétrica
individuais dependem para se
comunicar uns com os outros
2017
Triton/Trisys
O malwareé direcionado
aos controladores do
sistema de instrumentos
de segurança Triconex
fabricados pela Schneider e
substitui a lógica de
controladores , uma ação
que pode resultar em
consequências físicas.
4| © 2018,Palo Alto Networks. All Rights Reserved.
Duqu
Coleção de malwarede
computador que se
acredita estar
relacionado ao Stuxnet.
Usado para procurar
informações que podem
ser úteis no ataque ao
ICS.
Shamoon
Como Stuxnet, Duque Flame,
Shamooné voltado para
empresas de energia. Ele não
interrompeu serviços como o
Stuxnetou roubou
informações de negócios como
Flame e Duqu. Em vez disso,
ele removeu e substituiu as
informações do disco rígido.
German Steel Mill
Attack
Segundo caso confirmado em
que um ataque totalmente
digital causou destruição física
de equipamentos.
Ukraine
Attack
BlackEnergy3
O objetivo principal parece
ser a espionagem
cibernética, descobridores
de trojanscapazes de
infectarsistemas de Controle
Industrial SCADA podem
significar algo mais nefasto.
Stuxnet
O primeiro caso notável
de uma arma digital
sofisticada lançada contra
sistemas de controle no
Irã.
Flame
Definido como um malwaresofisticado
e muito complexo. Capaz de se espalhar
para outros sistemas através de
conexões LAN ou USB. Pode gravar
áudio, capturas de tela, atividade de
teclado e tráfego de rede.
Energetic Bear
Um malwarepoderoso
que permitia aos seus
operadores monitorar o
consumo de energia em
tempo real ou prejudicar
os sistemas físicos.
Dragonfly
As evidências indicam que
as empresas farmacêuticas
são o principal alvo. O
malwarecontém um
Industrial ProtocolScanner
usado para localizar
dispositivos normalmente
instalados em embalagens
de bens de consumo.
Malware ImpactandoInfraestruturaCrítica
Crash Override/
Industroyer
Malwaremais avançado do que
as ferramentas de uso geral
usadas para atacar a rede
elétrica da Ucrânia em 2015.
Capacidade de usar os mesmos
protocolos nos quais os
sistemas de rede elétrica
individuais dependem para se
comunicar uns com os outros
2017
Triton/Trisys
O malwareé direcionado
aos controladores do
sistema de instrumentos
de segurança Triconex
fabricados pela Schneider e
substitui a lógica de
controladores , uma ação
que pode resultar em
consequências físicas.
4| © 2018,Palo Alto Networks. All Rights Reserved.
5
Pergunta2 : Porque, no passado, nãoobservamos
malware atingindooperaçõesindustriais?
Porquetodoprocesso
industrial era controlado
porcomunicação serial.
Mas osProcessos
precisaramevoluir…
Pergunta2 : Porque, no passado, nãoobservamos
malware atingindooperaçõesindustriais?
Porquetodoprocesso
industrial era controlado
porcomunicação serial.
Mas osProcessos
precisaramevoluir…
ProcessosIndustriaisGeograficamenteDistribuídos e Interconectados
ICS/SCADA AplicaçõesbaseadasemProtocoloTCP/IP
Control Center East Region
SCADAENGR
RTU / PLC / IED
HIST
OPC
Server
Control Center West Region
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
DNP3: Distributed Network Protocol 3
CIP Ethernet: Common Industrial Protocol Ethernet
OPC: Open Platforms Communication, formerly OLE for Process Control
ICCP: Inter Control Center Protocol
MMS: Manufacturing Message Specification
General
Modbus
DNP3
CIP Ethernet
Electric Utilities
IEC 60870-5-104
IEC 61850-3
/MMS
Synchrophasor
Elcom 90
Bridge/Service
OPC DA/UA
Apps
Cygnet –Oil &
Gas SCADA
PI -Historian
Aplicaçõese ProtocolosparaICS/SCADA surgem
•Protocolosseriaisaindaemuso(ex: Serial Modbus)
•Outrasimplementaçõescustomizadassurgindo.
Remote/Sub Stations/Process
Zone
Smarter Interconnected
Devices (Industrial IoT)
ICS/SCADA AplicaçõesbaseadasemProtocoloTCP/IP
Control Center East Region
SCADAENGR
RTU / PLC / IED
HIST
OPC
Server
Control Center West Region
SCADAENGR HIST
OPC
Server
ICCP
MMS
Elcom 90
DNP3: Distributed Network Protocol 3
CIP Ethernet: Common Industrial Protocol Ethernet
OPC: Open Platforms Communication, formerly OLE for Process Control
ICCP: Inter Control Center Protocol
MMS: Manufacturing Message Specification
General
Modbus
DNP3
CIP Ethernet
Electric Utilities
IEC 60870-5-104
IEC 61850-3
/MMS
Synchrophasor
Elcom 90
Bridge/Service
OPC DA/UA
Apps
Cygnet –Oil &
Gas SCADA
PI -Historian
Aplicaçõese ProtocolosparaICS/SCADA surgem
•Protocolosseriaisaindaemuso(ex: Serial Modbus)
•Outrasimplementaçõescustomizadassurgindo.
Remote/Sub Stations/Process
Zone
Smarter Interconnected
Devices (Industrial IoT)
A Modernização da Tecnologia de Automação “OT Modernization”
Rede Corporativa
Indústria 4.0
”IT”
Operational Technology ”OT”
7| © 2017,Palo Alto Networks. Confidential and Proprietary.
Smart ”X” (X = Grid, Factory, Building, Transport)
Industrial IoT
•Unificação da rede IP
•Mais conectividade externa
•“Refresh tecnológico” de OT & IT
•Virtualização, Cloud, Mobile, 4G/5G
PLCs / RTUs
HMI
Estação Remota / Chão de Fábrica
Centro de Controle
Control Servers
SCADA Master
/HMI
Integração IT-OT
Internet
WAN
Poços de Petróleo Digitais
Industrial
Rede Corporativa
Indústria 4.0
”IT”
Operational Technology ”OT”
7| © 2017,Palo Alto Networks. Confidential and Proprietary.
Smart ”X” (X = Grid, Factory, Building, Transport)
Industrial IoT
•Unificação da rede IP
•Mais conectividade externa
•“Refresh tecnológico” de OT & IT
•Virtualização, Cloud, Mobile, 4G/5G
PLCs / RTUs
HMI
Estação Remota / Chão de Fábrica
Centro de Controle
Control Servers
SCADA Master
/HMI
Integração IT-OT
Internet
WAN
Poços de Petróleo Digitais
Industrial
Ataques cibernéticos como grande preocupação –Fórum de Davos
PALO ALTO NETWORKS OPERATING SYSTEM PLATFORM
NETWORK SECURITY ADVANCED ENDPOINT PROTECTION CLOUD SECURITY
W ildFireThreat PreventionURL Filtering AutoFocus Logging Service MineMeld
SECURITY SERVICES
Magnifier
9| © 2018,Palo Alto Networks. All Rights Reserved.
NETWORK SECURITY ADVANCED ENDPOINT PROTECTION CLOUD SECURITY
W ildFireThreat PreventionURL Filtering AutoFocus Logging Service MineMeld
SECURITY SERVICES
Magnifier
9| © 2018,Palo Alto Networks. All Rights Reserved.
Benefícios da Plataforma para OT
PARAR O
DESCONHECIDO E
AMEAÇAS
DESCONHECIDAS
COMPLETA,
VISIBILIDADE
DE OT
CONFORMIDADE
COM NORMAS E
REGULAMENTAÇÔES
PLATAFORMA
ESCALÁVEL E
TCO REDUZIDO
INTEGRAÇÃO
SEGURA ENTRE
IT-OT
PARAR O
DESCONHECIDO E
AMEAÇAS
DESCONHECIDAS
COMPLETA,
VISIBILIDADE
DE OT
CONFORMIDADE
COM NORMAS E
REGULAMENTAÇÔES
PLATAFORMA
ESCALÁVEL E
TCO REDUZIDO
INTEGRAÇÃO
SEGURA ENTRE
IT-OT
Next-generation Firewall –Arquitetura Ùnica
11| © 2018,Palo Alto Networks. All Rights Reserved.
Segurança de Protocolos
e Aplicações Industriais
Controles de
usuários e grupos
Proteção contra
conteúdo malicioso
•Arquitetura de alta performance,
baixa latência e alta disponibilidade
•Correlação nativa de eventos
App-ID User-ID Content-ID
Next-generation
Firewall
SP3
•Mecanismo único de
processamento em paralelo (SP3)
•Hardware com funções dedicadas
para diferentes funções
11| © 2018,Palo Alto Networks. All Rights Reserved.
Segurança de Protocolos
e Aplicações Industriais
Controles de
usuários e grupos
Proteção contra
conteúdo malicioso
•Arquitetura de alta performance,
baixa latência e alta disponibilidade
•Correlação nativa de eventos
App-ID User-ID Content-ID
Next-generation
Firewall
SP3
•Mecanismo único de
processamento em paralelo (SP3)
•Hardware com funções dedicadas
para diferentes funções
App-IDs para Protocolos e Aplicações Industriais
12| © 2018,Palo Alto Networks. All Rights Reserved.
Protocol/ Application Protocol/ Application Protocol/ Application Protocol/ Application Protocol /Application
◼DNP3 ◼Modbus ◼Siemens S7 ◼Schneider/WonderwareSuiteLink ◼Fisher-ROC
◼IEC60870-5-104 ◼CIP EtherNet IP ◼Siemens FactoryLink ◼Schneider OaSys ◼Cygnet SCADA
◼ICCP (IEC60870-6 / TASE.2) ◼BACnet ◼Siemens Profinet IO ◼Rockwell FactoryTalk ◼Fanuc-Focas
◼Synchrophasor (IEEE C.37.118) ◼OPC UA ◼ABB NetworkManager ◼GE iFIX ◼MQTT
◼Elcom 90 ◼OPC DA ◼Honeywell/Matrikon OPC Tunneller◼GE EGD ◼RTCM (GPS/IP)
◼DLMS / COSEM / IEC 62056 ◼R-GOOSE ◼OSIsoftPI Systems ◼GE-Historian
•Entendimentodo protocolobase e subfunções.
•Subfunçõesde aplicações/protocoloscomoModbus, DNP3, ICCP, S7, BACnet,
IEC 60870-5-104
•Custom App-ID Decoders for ICS: Modbus, ICCP, DNP3
•Flexibilidade na criação de novas aplicações/protocolos
(captura de tráfego e PCAPs/solicitação on-line para novos App-IDs.
12| © 2018,Palo Alto Networks. All Rights Reserved.
Protocol/ Application Protocol/ Application Protocol/ Application Protocol/ Application Protocol /Application
◼DNP3 ◼Modbus ◼Siemens S7 ◼Schneider/WonderwareSuiteLink ◼Fisher-ROC
◼IEC60870-5-104 ◼CIP EtherNet IP ◼Siemens FactoryLink ◼Schneider OaSys ◼Cygnet SCADA
◼ICCP (IEC60870-6 / TASE.2) ◼BACnet ◼Siemens Profinet IO ◼Rockwell FactoryTalk ◼Fanuc-Focas
◼Synchrophasor (IEEE C.37.118) ◼OPC UA ◼ABB NetworkManager ◼GE iFIX ◼MQTT
◼Elcom 90 ◼OPC DA ◼Honeywell/Matrikon OPC Tunneller◼GE EGD ◼RTCM (GPS/IP)
◼DLMS / COSEM / IEC 62056 ◼R-GOOSE ◼OSIsoftPI Systems ◼GE-Historian
•Entendimentodo protocolobase e subfunções.
•Subfunçõesde aplicações/protocoloscomoModbus, DNP3, ICCP, S7, BACnet,
IEC 60870-5-104
•Custom App-ID Decoders for ICS: Modbus, ICCP, DNP3
•Flexibilidade na criação de novas aplicações/protocolos
(captura de tráfego e PCAPs/solicitação on-line para novos App-IDs.
Serviços de Segurança Nativamente Integrados
13| © 2018,Palo Alto Networks. All Rights Reserved.
•Acesso seguro à rede para
dispositivos móveis em OT,
Ex: laptops de manutenção,
terceiros, tablets HMIs e
fornecedores.
Global
Protect
•Acesso a Internet
Seguro a partir da
automação. Ex: Acesso
a website de fabricante
para download de
patches/firmware
URL
Filtering
•Detectare bloquear
rapidamente
proliferaçõesde
Malware 0-day
ex: “Ospróximos” Black
Energy, CrashOverride,
Wannacry.
•Transformao
descohecidoem
conhecidoemapenas5
minutos.
WildFire
•Proteção de sistemas
sem patches ou que não
podem receber patches
das ameaças conhecidas
ao ambiente industrial
(malware, exploits, C2)
Threat
Prevention
•Monitoramento de
atividades de escrita,
leitura e reinicialização de
PLCs, RTUs e IEDs.
13| © 2018,Palo Alto Networks. All Rights Reserved.
•Acesso seguro à rede para
dispositivos móveis em OT,
Ex: laptops de manutenção,
terceiros, tablets HMIs e
fornecedores.
Global
Protect
•Acesso a Internet
Seguro a partir da
automação. Ex: Acesso
a website de fabricante
para download de
patches/firmware
URL
Filtering
•Detectare bloquear
rapidamente
proliferaçõesde
Malware 0-day
ex: “Ospróximos” Black
Energy, CrashOverride,
Wannacry.
•Transformao
descohecidoem
conhecidoemapenas5
minutos.
WildFire
•Proteção de sistemas
sem patches ou que não
podem receber patches
das ameaças conhecidas
ao ambiente industrial
(malware, exploits, C2)
Threat
Prevention
•Monitoramento de
atividades de escrita,
leitura e reinicialização de
PLCs, RTUs e IEDs.
Segmentaçãode Rede com NGFW e Serviçosde Segurança
14| © 2018,Palo Alto Networks. All Rights Reserved.
•Maximizara visibilidadede tráfegode OT
•Reduzira superfíciede ataque
•PolíticaGranular entre zonas (L7)
•Secure mobile/internet access as allowed
•Para exploits conhecidos, malware,
Tráfegode Botnets
•RapidamenteDescobrire pararas
ameaças0Day.
NGFW as a
Security “Conduit”
(ISA 62443)
Zone
1
Zone
2
Zone
3
14| © 2018,Palo Alto Networks. All Rights Reserved.
•Maximizara visibilidadede tráfegode OT
•Reduzira superfíciede ataque
•PolíticaGranular entre zonas (L7)
•Secure mobile/internet access as allowed
•Para exploits conhecidos, malware,
Tráfegode Botnets
•RapidamenteDescobrire pararas
ameaças0Day.
NGFW as a
Security “Conduit”
(ISA 62443)
Zone
1
Zone
2
Zone
3
15| © 2018Palo Alto Networks, Inc. All Rights Reserved.
Manufacturing Operations
Level 3
•Historian
•Process-specific
•Engineer Station
Control Systems
Level 2
•HMI
•Engineer Station
Intelligent Devices
Level 1
•PLC
•RTU
•IED
Process
Level 0
Physical Actuator
DMZ
Level 3.5
•Historian Repl
•Jump Server
•Patch Server
Business
Level 4
•Internet
•Email
•Data Services
Purdue/ISA
95
Model
Principais pontos de atenção para lembrar ao abordar sistemas legados
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
Process Control Network
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
Manufacturing Operations
Level 3
•Historian
•Process-specific
•Engineer Station
Control Systems
Level 2
•HMI
•Engineer Station
Intelligent Devices
Level 1
•PLC
•RTU
•IED
Process
Level 0
Physical Actuator
DMZ
Level 3.5
•Historian Repl
•Jump Server
•Patch Server
Business
Level 4
•Internet
•Data Services
Purdue/ISA
95
Model
Principais pontos de atenção para lembrar ao abordar sistemas legados
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
Process Control Network
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
16| © 2018Palo Alto Networks, Inc. All Rights Reserved.
Principais pontos de atenção para lembrar ao abordar sistemas legados
Infraestrutura antiga e melhores
práticas antigas
•Switches nãogerenciados
•Todososdispositivosna
VLAN1
•Falta de segurançadevidoa
demoraintroduzida(latência)
•Autenticação
•Simples, fracoouparcial
•Sistemasde Legado
•Projetados e implantados
há mais de 20 anos
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
Principais pontos de atenção para lembrar ao abordar sistemas legados
Infraestrutura antiga e melhores
práticas antigas
•Switches nãogerenciados
•Todososdispositivosna
VLAN1
•Falta de segurançadevidoa
demoraintroduzida(latência)
•Autenticação
•Simples, fracoouparcial
•Sistemasde Legado
•Projetados e implantados
há mais de 20 anos
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
Zero-Trust Deployment
17| © 2018Palo Alto Networks, Inc. All Rights Reserved.
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
Princípiosda Arquiteturade Zero-Trust
•Todos os recursos são acessadosde maneira segura,
independentemente da localização
•O controlede acessoestáemumabase de "necessidadede
conhecimento" e rigorosamenteaplicado
•Inspecionare logartodoo tráfego
17| © 2018Palo Alto Networks, Inc. All Rights Reserved.
Internet
MPLSAPN
Remote User
3
rd
Party Support
Historians
Polling Srv
HMI
RTU
Eng Workstation
Process-specific
IED
Actuator
Jump Srv
LEVEL 4
LEVEL 0
LEVEL 3
LEVEL 2
LEVEL 1
Process Control Network
Princípiosda Arquiteturade Zero-Trust
•Todos os recursos são acessadosde maneira segura,
independentemente da localização
•O controlede acessoestáemumabase de "necessidadede
conhecimento" e rigorosamenteaplicado
•Inspecionare logartodoo tráfego
Exemplos de Políticas
18| © 2018,Palo Alto Networks. All Rights Reserved.
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
3
rd
Party Modbus
Read Only
3rd Party Any ICS_VEN
DOR_A
ICS PLC Device
Address
Modbus_read_
commands
Allow Threat Prevention
(Modbus Exploits)
Business
(Level 4)
DMZ
(Level
3.5)
3
rd
Party
(Level 3
or 2)
ICS
(Level 1)
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
Secure Remote
Access
Business IP address of
workstation
Joe
Engineer
DMZ IP Address of
Jump Server
RDP Allow Threat Prevention,
WildFire
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
Historian
Replication
ICS IP address of
primary historian
Any DMZ IP Address of
replicated historian
OSIsoft Pi Allow Threat Prevention,
WildFire
•Políticas de segurança simplificadas e
intuitivas
•Componentes de aplicativos, usuários e
ameaças são vinculados contextualmente
•Reduza significativamente a superfície de
ataque ao ambiente industrial
18| © 2018,Palo Alto Networks. All Rights Reserved.
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
3
rd
Party Modbus
Read Only
3rd Party Any ICS_VEN
DOR_A
ICS PLC Device
Address
Modbus_read_
commands
Allow Threat Prevention
(Modbus Exploits)
Business
(Level 4)
DMZ
(Level
3.5)
3
rd
Party
(Level 3
or 2)
ICS
(Level 1)
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
Secure Remote
Access
Business IP address of
workstation
Joe
Engineer
DMZ IP Address of
Jump Server
RDP Allow Threat Prevention,
WildFire
SOURCE DESTINATION
Rule Zone Address User Zone Address Application Action Security Profile
Historian
Replication
ICS IP address of
primary historian
Any DMZ IP Address of
replicated historian
OSIsoft Pi Allow Threat Prevention,
WildFire
•Políticas de segurança simplificadas e
intuitivas
•Componentes de aplicativos, usuários e
ameaças são vinculados contextualmente
•Reduza significativamente a superfície de
ataque ao ambiente industrial
BluePrintPalo Alto Networks com Modelode ReferênciaISA 95 Perdue
https://www.paloaltonetworks.com/resources/whitepapers/industrial-
control-blueprint-reference
https://www.paloaltonetworks.com/resources/whitepapers/industrial-
control-blueprint-reference
20| © 2018,Palo Alto Networks. All Rights Reserved.
PA-220
PA-800 SERIES
PA-5200 SERIES
PA-7000 SERIES
PA-220R
Plant Perimeter / ICS Core
SCADA Core / Control Center /
PCN / MES
OT
Datacenter
Plant Perimeter /
ICS Core
Industrial Cloud
(AWS, Azure, Google)
VM-Series Virtualized NGFW
Panorama
Network Security
Management
Harsh
Environments
PA-3000 SERIES
Segurança Consistente para Instalações Industriais & Enterprise
PA-220
PA-800 SERIES
PA-5200 SERIES
PA-7000 SERIES
PA-220R
Plant Perimeter / ICS Core
SCADA Core / Control Center /
PCN / MES
OT
Datacenter
Plant Perimeter /
ICS Core
Industrial Cloud
(AWS, Azure, Google)
VM-Series Virtualized NGFW
Panorama
Network Security
Management
Harsh
Environments
PA-3000 SERIES
Segurança Consistente para Instalações Industriais & Enterprise
Segurança Consistente para Instalações Industriais
Prevenção de ameaças conhecidas e
desconhecidas, incluindo ameaças
específicas de ICS/SCADA
Aplicações/Protocolos específicos de
ICS/SCADA
Suporte a Temperaturas elevadas
Certificações para ambientes
industriais
Design sem ventoinha, sem peças
móveis para maior confiabilidade
Alta disponibilidade e fontes de
alimentação DC duplas para redundância
PA-220R
Oil & GasWater
Utilities
Electric Transmission
& Distribution
Power
Generation
Manufacturing Transportation
21| © 2018,Palo Alto Networks. All Rights Reserved.
Prevenção de ameaças conhecidas e
desconhecidas, incluindo ameaças
específicas de ICS/SCADA
Aplicações/Protocolos específicos de
ICS/SCADA
Suporte a Temperaturas elevadas
Certificações para ambientes
industriais
Design sem ventoinha, sem peças
móveis para maior confiabilidade
Alta disponibilidade e fontes de
alimentação DC duplas para redundância
PA-220R
Oil & GasWater
Utilities
Electric Transmission
& Distribution
Power
Generation
Manufacturing Transportation
21| © 2018,Palo Alto Networks. All Rights Reserved.
PA-220R Caso de Uso –Proteção chão de fábrica
22| © 2015,Palo Alto Networks. Confidential and Proprietary.
•Visibilidade protocolos industriais em
camada 7 e controle de acesso
•Aplicação/Protocolo
•Usuário/Grupos de usuários
•Conteúdo
•Prevenção de Ameaças
•Ameaças conhecidas e
Desconhecidas
•VPN Site-to-site
•Alta Disponibilidade (caso requerido)
•Gerenciamento Centralizado
•Configuração e Política
•Logs e Relatórios
22| © 2015,Palo Alto Networks. Confidential and Proprietary.
•Visibilidade protocolos industriais em
camada 7 e controle de acesso
•Aplicação/Protocolo
•Usuário/Grupos de usuários
•Conteúdo
•Prevenção de Ameaças
•Ameaças conhecidas e
Desconhecidas
•VPN Site-to-site
•Alta Disponibilidade (caso requerido)
•Gerenciamento Centralizado
•Configuração e Política
•Logs e Relatórios
Requerimentospara Inteligência de AmeaçasCibernéticas
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresasde Energia
Contextosobre
indicadorese incidentes
Respostarápida
e proativa
Priorizaçãode
EventosImportantes
Automaticamenteexporta
indicadoresmaliciosospara
soluçõesde segurança
Previnefuturos
ataques
223.144.191.23
Adversário
BlackEnergy
Indicadores
Relaciondos
Conexão:
101.55.121.171:443
DNS: gagalist.net
Alvos
Governo, Militar,
Empresasde Energia
Contextosobre
indicadorese incidentes
Respostarápida
e proativa
Priorizaçãode
EventosImportantes
Automaticamenteexporta
indicadoresmaliciosospara
soluçõesde segurança
Previnefuturos
ataques
Palo Alto Networks AutoFocus
Visão da Proliferaçãode BlackEnergyao redordo mundo.
•Proliferaçãodo BlackEnergyem
diferentesindústrias;
•Manifestaçõesem diferentesvariantes
do Malware
•AlastramentoGeográfico
•“Tags” de categorizaçãodo malware e
colaboraçãoda indústriapara
compartilhamentode informações;
•Análiseforensedo ciclode vidado
Malware: Propriedadesde rotinase
chamadasa variáveisde ambientes
operativos.
Visão da Proliferaçãode BlackEnergyao redordo mundo.
•Proliferaçãodo BlackEnergyem
diferentesindústrias;
•Manifestaçõesem diferentesvariantes
do Malware
•AlastramentoGeográfico
•“Tags” de categorizaçãodo malware e
colaboraçãoda indústriapara
compartilhamentode informações;
•Análiseforensedo ciclode vidado
Malware: Propriedadesde rotinase
chamadasa variáveisde ambientes
operativos.
Estudode Caso
Exemplos reais de implementações realizadas pela PaloAlto Networks no mundo para
reduzir riscos e aumentar a segurança e resiliencia de ambientes industriais contra
ameaças cibernéticas.
Exemplos reais de implementações realizadas pela PaloAlto Networks no mundo para
reduzir riscos e aumentar a segurança e resiliencia de ambientes industriais contra
ameaças cibernéticas.
Caso 1 –Proliferação de vírus via terceiros (Oil and Gas)
•Problema:
•Fornecedoresexternosde automaçãodisseminandovírus, códigosmaliciosose
aplicaçõespararedeSCADA a partirde conexõesde VPN :
•Conexãode VPN provêcriptografiamas e sobrecontrolede segurança, ameaçase visibilidade
de aplicaçõese protocolos?
•Consequências:
-Aplicaçõesindesejáveise Maliciosasencontradasdevidoaoroteamento0.0.0.0
•Default gateway paratúnelde VPN = AmbienteOperativo(falhade configuração)
•TúnelterminandoemFirewall de porta/protocoloagindocomoconcentradorde VPN
▪Faltade visibilidadede aplicações/protocolose ameaças
conhecidas/desconhecidas
Aplicaçõesencontradas: Dropbox, Bittorrente Skype
▪Atividadessuspeitasde DNS indicandomáquinascomprometidas(Botnets)
▪Worm Confickerproliferandonarede(overhead/latência)
•Redeindustrial paralizadaafetandocontroleda produção(interrupçãode comunicação
entre sistemassupervisóriose PLCs).
•Problema:
•Fornecedoresexternosde automaçãodisseminandovírus, códigosmaliciosose
aplicaçõespararedeSCADA a partirde conexõesde VPN :
•Conexãode VPN provêcriptografiamas e sobrecontrolede segurança, ameaçase visibilidade
de aplicaçõese protocolos?
•Consequências:
-Aplicaçõesindesejáveise Maliciosasencontradasdevidoaoroteamento0.0.0.0
•Default gateway paratúnelde VPN = AmbienteOperativo(falhade configuração)
•TúnelterminandoemFirewall de porta/protocoloagindocomoconcentradorde VPN
▪Faltade visibilidadede aplicações/protocolose ameaças
conhecidas/desconhecidas
Aplicaçõesencontradas: Dropbox, Bittorrente Skype
▪Atividadessuspeitasde DNS indicandomáquinascomprometidas(Botnets)
▪Worm Confickerproliferandonarede(overhead/latência)
•Redeindustrial paralizadaafetandocontroleda produção(interrupçãode comunicação
entre sistemassupervisóriose PLCs).
•Solução: Criaçãode uma
Zonade Acessode Terceiros
(LEVEL 4)
“Aoinvésde posicionaracessode
terceirosnaDMZ, ondeaindaexistea
possibilidadede exporas estaçõesde
trabalhoe servidoresàameaças
externas, a implantaçãoideal seriaa
criaçãode umazonaseparadapara
suportede acessoremoto
•Zonade Acessode
Terceiros(Nível4) criada
parafornecertotal
visibilidadedo tráfego
queentrae saida rede
de produçãocom a
capacidadede alertarou
bloquearmalware
conhecidose
desconhecidos
(APT/0Day).
•Restringiro acessocom
base emgrupos
(usuários), apliações
administrativas
necessárias(telnet/ssh) e
determinadosperíodos
(agendamentos)
Fabricantesde automação
VPN ClienteServidor
Caso 1 –Proliferação de vírus via terceiros (Oil and Gas)
Zonade Acessode Terceiros
(LEVEL 4)
“Aoinvésde posicionaracessode
terceirosnaDMZ, ondeaindaexistea
possibilidadede exporas estaçõesde
trabalhoe servidoresàameaças
externas, a implantaçãoideal seriaa
criaçãode umazonaseparadapara
suportede acessoremoto
•Zonade Acessode
Terceiros(Nível4) criada
parafornecertotal
visibilidadedo tráfego
queentrae saida rede
de produçãocom a
capacidadede alertarou
bloquearmalware
conhecidose
desconhecidos
(APT/0Day).
•Restringiro acessocom
base emgrupos
(usuários), apliações
administrativas
necessárias(telnet/ssh) e
determinadosperíodos
(agendamentos)
Fabricantesde automação
VPN ClienteServidor
Caso 1 –Proliferação de vírus via terceiros (Oil and Gas)
Caso 2 –Ataques via VPN S2S de parceiros (Empresa de Energia)
•Problema:
•Ataquesproliferandoatravésde conexõesMPLS de redesde parceiros.
•Aquisiçãode dados emtempo real utilizandoprotocoloIEC 60870-5-104:
▪Consultasa sistemasde Supervisãopara dados
emtempo real sobreprodução;
▪Consultasdiretasàssubestações.
•Consequências:
-Listasde Acessobásicasde camada3 aplicadas
emroteadores(layer3);
-Firewall de controlede porta e protocolo(camada4)
nãobloqueiaprotocolose ameaçasde camada
de aplicação
•Arquiteturado protocoloIEC 60870-5-104: não
baseia-se emporta fixasãoportasdinâmicasalocadasaleatoriamente.
▪Ataquesde forçabrutaemsistemassupervisórios(incidentereportadoa partirde credencial
vazada).
▪Víruse worms encontradosnarede(ex: Conficker, Ninda, Blaster).
•Problema:
•Ataquesproliferandoatravésde conexõesMPLS de redesde parceiros.
•Aquisiçãode dados emtempo real utilizandoprotocoloIEC 60870-5-104:
▪Consultasa sistemasde Supervisãopara dados
emtempo real sobreprodução;
▪Consultasdiretasàssubestações.
•Consequências:
-Listasde Acessobásicasde camada3 aplicadas
emroteadores(layer3);
-Firewall de controlede porta e protocolo(camada4)
nãobloqueiaprotocolose ameaçasde camada
de aplicação
•Arquiteturado protocoloIEC 60870-5-104: não
baseia-se emporta fixasãoportasdinâmicasalocadasaleatoriamente.
▪Ataquesde forçabrutaemsistemassupervisórios(incidentereportadoa partirde credencial
vazada).
▪Víruse worms encontradosnarede(ex: Conficker, Ninda, Blaster).
•Solução: Criaçãoda
zona de acessoscorporativa
(LEVEL 4)
“Do pontode vista do modelode
referênciaPerdue, a Zona
Business/Enterprise enquantose
mantémem relação à rede de
controles industriais, como ameaça
potencial, deve ter todo tráfego
rigorosamente inspecionado.
•Trataro IEC 60870-5-
104 com inteligência
nativade camadade
aplicaçãopermitindo
somenteo protocolo
base e suassub
funçõestrafegando
para osníveis
adjascentes(L3-L2-L1).
•Visibilidade totalno
tráfego que entra e sai
da zona Business com
a capacidade de
alertar ou bloquear
ataques e ameaças
avançadas
(malware conhecido e
desconhecido).
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Caso 2 –Ataques via VPN S2S de parceiros (Empresa de Energia)
zona de acessoscorporativa
(LEVEL 4)
“Do pontode vista do modelode
referênciaPerdue, a Zona
Business/Enterprise enquantose
mantémem relação à rede de
controles industriais, como ameaça
potencial, deve ter todo tráfego
rigorosamente inspecionado.
•Trataro IEC 60870-5-
104 com inteligência
nativade camadade
aplicaçãopermitindo
somenteo protocolo
base e suassub
funçõestrafegando
para osníveis
adjascentes(L3-L2-L1).
•Visibilidade totalno
tráfego que entra e sai
da zona Business com
a capacidade de
alertar ou bloquear
ataques e ameaças
avançadas
(malware conhecido e
desconhecido).
MPLS supporting a business requirement for
Supervisory Pooling from external organization
Caso 2 –Ataques via VPN S2S de parceiros (Empresa de Energia)
•Problema:
•Reprogramaçãode PLCs/RTUs a partirde origensdesconhecidas
•Reinicializaçãode remotas(subestações) semcausaaparente;
•ComandosDNP3 e sub funções(dnp3-operate/direct-operate/read/write)
disparadosde origensdesconhecidas.
•Consequencias:
•Incidentereportadodevidoa Perdade Visãoe Controle(Loss of View and Loss
of Control) devidoa reinicializaçãodas remotas.
•Possibilidadede sabotagemdevidoa faltade segmentaçãoentre diferentes
níveisPerdue Model
▪BlackEnergy= Shutdown subestaçõesatravésde reprogramação
de remotas(disjuntoresdesligados).
Caso 3 –Reprogramação Indevida de PLCs –Empresa Setor Elétrico
•Reprogramaçãode PLCs/RTUs a partirde origensdesconhecidas
•Reinicializaçãode remotas(subestações) semcausaaparente;
•ComandosDNP3 e sub funções(dnp3-operate/direct-operate/read/write)
disparadosde origensdesconhecidas.
•Consequencias:
•Incidentereportadodevidoa Perdade Visãoe Controle(Loss of View and Loss
of Control) devidoa reinicializaçãodas remotas.
•Possibilidadede sabotagemdevidoa faltade segmentaçãoentre diferentes
níveisPerdue Model
▪BlackEnergy= Shutdown subestaçõesatravésde reprogramação
de remotas(disjuntoresdesligados).
Caso 3 –Reprogramação Indevida de PLCs –Empresa Setor Elétrico
•Solução: Criaçãoda Zonade PLC
(LEVEL 1)
“Dispositivoscolocadosnestazonasãoitens
comoPLCs, Remotase relésprogramáveis”.
Somente Zona dos Sistemas de Supervisão
(ICS) Level2 podem enviar comandos de leitura
e escrita para zona de PLC (Level1).
•A criaçãode Nível1
zonareforçaa
proteçãocontra
acessonão
autorizadocom a
intençãode
reprogramar
dispositivosPLC.
•Concede a
visibilidade
adequadae
controle
restringindofontes
únicaconfiáveis
(Sistemasde
supervisão) para
leiturae escritade
PLCs
Caso 3 –Reprogramação Indevida de PLCs –Empresa Setor Elétrico
(LEVEL 1)
“Dispositivoscolocadosnestazonasãoitens
comoPLCs, Remotase relésprogramáveis”.
Somente Zona dos Sistemas de Supervisão
(ICS) Level2 podem enviar comandos de leitura
e escrita para zona de PLC (Level1).
•A criaçãode Nível1
zonareforçaa
proteçãocontra
acessonão
autorizadocom a
intençãode
reprogramar
dispositivosPLC.
•Concede a
visibilidade
adequadae
controle
restringindofontes
únicaconfiáveis
(Sistemasde
supervisão) para
leiturae escritade
PLCs
Caso 3 –Reprogramação Indevida de PLCs –Empresa Setor Elétrico
•Problema:
•Cópiade arquivoinfectadoparamáquinade operaçãode Centro de Controle
•Consequências:
•Perdade Visãoe Controleda operaçãodevidoa proliferaçãode malware moderno.
Caso 4 –Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
•Cópiade arquivoinfectadoparamáquinade operaçãode Centro de Controle
•Consequências:
•Perdade Visãoe Controleda operaçãodevidoa proliferaçãode malware moderno.
Caso 4 –Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
• Solução: Proteçãode
Endpoint Avançada(TRAPS)
“Necessidadede proteçãodo legadoe de
sistemasque nãopossuematualizações
constants ousãoimpossibilitadosde receber
patching de forma constante”.
•TRAPS permitea
proteçãodo legado
semusode
assinaturas.
•Proteçãode SOs
descontinuadosou
máquinassem
patches.
•Inexistênciade
scanning no Sistema
operacional.
•Focanastécnicas
utilizadaspor
exploits e integra-se
a nuvemde
inteligenciade
malware Wildfire
para análisede
códigosmaliciosos.
Caso 4 –Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
Endpoint Avançada(TRAPS)
“Necessidadede proteçãodo legadoe de
sistemasque nãopossuematualizações
constants ousãoimpossibilitadosde receber
patching de forma constante”.
•TRAPS permitea
proteçãodo legado
semusode
assinaturas.
•Proteçãode SOs
descontinuadosou
máquinassem
patches.
•Inexistênciade
scanning no Sistema
operacional.
•Focanastécnicas
utilizadaspor
exploits e integra-se
a nuvemde
inteligenciade
malware Wildfire
para análisede
códigosmaliciosos.
Caso 4 –Primeiro caso reportado de Sequestro de Centro de Controle
Ataque de Ransomware (Empresa de Energia)
Heap Spray
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevençãode Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3
Utilizing OS
Functions JIT Child Process
Unsigned
Executable
Restricted
Location
Admin Pre-Set
Verdicts
Wildfire Known
Verdict
On Demand
Inspection
Injection Attempts
Blockage
Traps
Malware Protection
Palo Alto Networks Traps
Prevençãode Exploits/Malware no Endpoint
Delivery Exploitation Download and Execute
Execution
Restriction 1
Execution
Restriction 2
Execution
Restriction 3
Local Verdict
Check
Wildfire Verdict
Check
Wildfire
Inspection
Malicious
Thread Injection
Intelligence
and
Emulation
Traps
Exploit Protection
Advanced
Execution
Control
Malicious
Behavior
Protection
Memory Corruption
Logic Flaws
4 5 6 7 8 9 10
Exploitation
Technique 1
Exploitation
Technique 2
Exploitation
Technique 3
1 2 3
Caso 5 –Contenção de Propagação de Vírus/Malware (Utilities –Óleo e Gás)
•Problema:
•Engenheirode processosvisitandoumainstalaçãoindustrial de umaempresade
transmissãode gáscom cópiasde backup de Código de programaçãode projetos
infectandoa estaçãode engenhariade umaplanta e tambémo banco de dados de
Historian com o Worm Nimda*
* Nimda pode se auto propagar pelas pastas de rede compartilhadas no Microsoft Windows)
•Consequências:
-Em10 minutes depoisde executaro arquivo“Readme.exe”, cópiasdos arquivos
replicadaspara outrasmáquinasda engenharia:
•Sistemasinfectadosiniciaramprobe para outros endereçosIP namesmasubnet. O probing
causouo congelamentoda PLC e foinecessárioum reboot para corrigir.
•Rede degradadacomprometendoa comunicaçãodos sistemasde supervisãoe PLCs.
Operadoresconsideraramativara paradade Emergência do processoindustrial.
•Problema:
•Engenheirode processosvisitandoumainstalaçãoindustrial de umaempresade
transmissãode gáscom cópiasde backup de Código de programaçãode projetos
infectandoa estaçãode engenhariade umaplanta e tambémo banco de dados de
Historian com o Worm Nimda*
* Nimda pode se auto propagar pelas pastas de rede compartilhadas no Microsoft Windows)
•Consequências:
-Em10 minutes depoisde executaro arquivo“Readme.exe”, cópiasdos arquivos
replicadaspara outrasmáquinasda engenharia:
•Sistemasinfectadosiniciaramprobe para outros endereçosIP namesmasubnet. O probing
causouo congelamentoda PLC e foinecessárioum reboot para corrigir.
•Rede degradadacomprometendoa comunicaçãodos sistemasde supervisãoe PLCs.
Operadoresconsideraramativara paradade Emergência do processoindustrial.
ISOLATION
LEVEL 5
Solução: Criaçãode umanova VLAN e Zona
para fazercontençãoda ameaçae restaurar
as Operações.
A necessidade de desligamento das operações da planta foi
evitada porque a planta tinha adequada segmentação /
zoneamento, bem como monitoramento e um plano de
contingência.
Contramedidas:
•Máquinasinfectadasidentificadas
•VLAN 666 criadae sistemasinfectadosdesviadospara
a mesma.
•Zona com nome “ISOLATION” configuradano NGFW com regras
específicase controlede whitelhistde aplicações(camada7)
Tempode isolamentoe recuperação:
Menosde 30 minutos.
Caso 5 –Contenção de Propagação de Vírus/Malware (Utilities –Óleo e Gás)
LEVEL 5
Solução: Criaçãode umanova VLAN e Zona
para fazercontençãoda ameaçae restaurar
as Operações.
A necessidade de desligamento das operações da planta foi
evitada porque a planta tinha adequada segmentação /
zoneamento, bem como monitoramento e um plano de
contingência.
Contramedidas:
•Máquinasinfectadasidentificadas
•VLAN 666 criadae sistemasinfectadosdesviadospara
a mesma.
•Zona com nome “ISOLATION” configuradano NGFW com regras
específicase controlede whitelhistde aplicações(camada7)
Tempode isolamentoe recuperação:
Menosde 30 minutos.
Caso 5 –Contenção de Propagação de Vírus/Malware (Utilities –Óleo e Gás)
Ecossistemae Integraçãocom
ParceirosTecnológicos
ParceirosTecnológicos
ECOSSISTEMA DE PARCEIROS ESTRATÉGICOS
38| © 2017,Palo Alto Networks. All Rights Reserved.
STRATEGIC PARTNERSHIPS
SERVICE PROVIDERSTECHNOLOGY PARTNER ECOSYSTEM GSI
AUTOMATION CLOUD
ENTERPRISE
SECURITY
ICS/ IOT
IDENTITY NETWORKING MOBILITY
SECURITY
ANALYTICS
SD-WAN
THREAT
INTELLIGENCE
VIRTUALIZATION
38| © 2017,Palo Alto Networks. All Rights Reserved.
STRATEGIC PARTNERSHIPS
SERVICE PROVIDERSTECHNOLOGY PARTNER ECOSYSTEM GSI
AUTOMATION CLOUD
ENTERPRISE
SECURITY
ICS/ IOT
IDENTITY NETWORKING MOBILITY
SECURITY
ANALYTICS
SD-WAN
THREAT
INTELLIGENCE
VIRTUALIZATION
ECOSSISTEMA DE PARCEIROS EXPANSIVOS
39| © 2018,Palo Alto Networks. All Rights Reserved.
CLOUD ENTERPRISE SECURITY ICS / IoT
THREAT INTELLIGENCE
VIRTUALIZATION
SD-WAN
IDENTITY& ACCESS MANAGEMENT
NETWORKING
SECURITY ANALYTICS
MOBILITY
ORCHESTRATION & SECURITY
AUTOMATION
39| © 2018,Palo Alto Networks. All Rights Reserved.
CLOUD ENTERPRISE SECURITY ICS / IoT
THREAT INTELLIGENCE
VIRTUALIZATION
SD-WAN
IDENTITY& ACCESS MANAGEMENT
NETWORKING
SECURITY ANALYTICS
MOBILITY
ORCHESTRATION & SECURITY
AUTOMATION
INTEGRAÇÃO VIA XML API
40| © 2018,Palo Alto Networks. All Rights Reserved.
•PAN-OS XML API
•Gerenciar NGFWse Panorama por meio
de uma API programática baseada em
XML
•Acessee gerencie seu firewall por meio
de um serviço, aplicativo ou script de
terceiros
•Exemplode integraçãoda API
•ICS Network Monitoring & Analysis
•Security Analytics, SIEM
•Security Orchestration and Automation
Next-generation
Firewall
Panorama
XML API XML API
ICS Network
Monitoring, Analytics
Security Analytics,
SIEM
Security Orchestration
and Automation
40| © 2018,Palo Alto Networks. All Rights Reserved.
•PAN-OS XML API
•Gerenciar NGFWse Panorama por meio
de uma API programática baseada em
XML
•Acessee gerencie seu firewall por meio
de um serviço, aplicativo ou script de
terceiros
•Exemplode integraçãoda API
•ICS Network Monitoring & Analysis
•Security Analytics, SIEM
•Security Orchestration and Automation
Next-generation
Firewall
Panorama
XML API XML API
ICS Network
Monitoring, Analytics
Security Analytics,
SIEM
Security Orchestration
and Automation
Sumário
Palo Alto Networks Value Proposition for ICS
•Visibilidadede camada7 com contexoespecíficopara
protocolosindustriais.
•Grande coberturade protocolosICS/SCADA
•Granularidadee conhecimentode sub funções
operacionais, protocolos, aplicações, usuáriose
ameaças.
•Visibilidadee Controledos “Protocolosde Risco”
•Visibilidadee controlede leituras, escritas, reinicialização
entre outros comportamentosde PLC que devemser
monitoradospara segurança dos processosindustriais.
•Flexibilidadede segmentaçãode redegranular
•ISA 62443, Purdue, NERC CIP, NIST e modelos
similares. ControleRBAC.
Provimentode plataformade next-generationsecurity que prove
capacidadesespecíficasde segurança cibernéticapara Sistemasde
ControlesIndustriaisnaprevençãode ataquesvisandoa manutenção
da disponibilidade, resiliênciae da segurança dos processosindustriais.
•Alta performance e Arquiteturade Alta Disponibilidade
•Arquiteturaúnicade processamentoem
paralelo(single pass).
•Data Plane e Control Planes separados.
•Diferentesdeployments -inline (“layer1) sem
reconfiguraçãoda rede, layer2, layer3, TAP.
•Sem scanning e footprint minimode CPU e
memóriapara agentede endpoint.
•Prevençãode Ameaçasde sistemsade legado
–Proteçãode sistemasvulneráveise de hosts
sempatch contra ameaçasconhecidase
principalmentedesconhecidas(0day) com uso
do Wildfire e Traps (endpoint)
•Visibilidadede camada7 com contexoespecíficopara
protocolosindustriais.
•Grande coberturade protocolosICS/SCADA
•Granularidadee conhecimentode sub funções
operacionais, protocolos, aplicações, usuáriose
ameaças.
•Visibilidadee Controledos “Protocolosde Risco”
•Visibilidadee controlede leituras, escritas, reinicialização
entre outros comportamentosde PLC que devemser
monitoradospara segurança dos processosindustriais.
•Flexibilidadede segmentaçãode redegranular
•ISA 62443, Purdue, NERC CIP, NIST e modelos
similares. ControleRBAC.
Provimentode plataformade next-generationsecurity que prove
capacidadesespecíficasde segurança cibernéticapara Sistemasde
ControlesIndustriaisnaprevençãode ataquesvisandoa manutenção
da disponibilidade, resiliênciae da segurança dos processosindustriais.
•Alta performance e Arquiteturade Alta Disponibilidade
•Arquiteturaúnicade processamentoem
paralelo(single pass).
•Data Plane e Control Planes separados.
•Diferentesdeployments -inline (“layer1) sem
reconfiguraçãoda rede, layer2, layer3, TAP.
•Sem scanning e footprint minimode CPU e
memóriapara agentede endpoint.
•Prevençãode Ameaçasde sistemsade legado
–Proteçãode sistemasvulneráveise de hosts
sempatch contra ameaçasconhecidase
principalmentedesconhecidas(0day) com uso
do Wildfire e Traps (endpoint)
Saibamais-OT Modernization Website
▪Whitepapers ICS cybersecurity
▪ConceitosChave
▪Blueprints de referência
▪Estudosde Casotécnicos
▪Estudosde Casode clientes
▪Informaçãode Produtos
▪Avaliaçãoprática(hands on)
▪Informaçãosobreosparceirosde
ICS/SCADA
43| © 2015,Palo Alto Networks. Confidential and Proprietary.
paloaltonetworks.com/products/innovations/ot-modernization
Go to:
▪Whitepapers ICS cybersecurity
▪ConceitosChave
▪Blueprints de referência
▪Estudosde Casotécnicos
▪Estudosde Casode clientes
▪Informaçãode Produtos
▪Avaliaçãoprática(hands on)
▪Informaçãosobreosparceirosde
ICS/SCADA
43| © 2015,Palo Alto Networks. Confidential and Proprietary.
paloaltonetworks.com/products/innovations/ot-modernization
Go to:
Hands-on na plataforma da Palo Alto Networks
44| © 2015,Palo Alto Networks. Confidential and Proprietary.
Control Network
Security Lifecycle Review (SLR) ICS Hands-on Workshop
•Laboratórios práticos para segurança
cibernética industrial usando a plataforma
Palo Alto Networks
•Ambiente industrial virtualizado, incluindo
HMIs e PLCs
•Saiba como sua rede de controle está
sendo usada e quais riscos podem existir
•Relatório resumido fornecido como parte
do SLR
•Monitoramento passivo e confidencial
44| © 2015,Palo Alto Networks. Confidential and Proprietary.
Control Network
Security Lifecycle Review (SLR) ICS Hands-on Workshop
•Laboratórios práticos para segurança
cibernética industrial usando a plataforma
Palo Alto Networks
•Ambiente industrial virtualizado, incluindo
HMIs e PLCs
•Saiba como sua rede de controle está
sendo usada e quais riscos podem existir
•Relatório resumido fornecido como parte
do SLR
•Monitoramento passivo e confidencial
PRESTOU ATENÇÃO NA APRESENTAÇÃO?
PARTICIPE DO JOGO PARA GANHAR BRINDES!
AGORA EM NOSSO STAND!!!
1.Baixe o aplicativo Kahoot! para seu dispositivo móvel;
2.Ou acesse https://kahoot.itquando o jogo começar;
3.Entre com o PIN do jogo (fornecido no stand no início da dinâmica)
PARTICIPE DO JOGO PARA GANHAR BRINDES!
AGORA EM NOSSO STAND!!!
1.Baixe o aplicativo Kahoot! para seu dispositivo móvel;
2.Ou acesse https://kahoot.itquando o jogo começar;
3.Entre com o PIN do jogo (fornecido no stand no início da dinâmica)
Obrigado!
[email protected]
[email protected]
Tags
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 299
- Slides 46
- Favorites 1
- Age 2764 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
85 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
79 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
76 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
62 views
21
Know for Certain
DaveSinNM
36 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
41 views