Traduzo abaixo, com permissões, um excelente artigo do Dale Paterson do excelente DigitalBond. Alías, vale a pena marcar este site em seu bookmark e visitá-lo com freqüência. Segue o artigo traduzido (com pequenas adaptações, mas sem alterar a mensagem).
“Um refrão comum e continuamente repetido na ISA Expo é que os firewalls padrão TI são muito difíceis de configurar e implantar. Vários apresentadores, especialmente aqueles representando appliances de segurança para a planta, mencionaram isso e parece que há consenso nesta afirmativa. Mesmo que eu prefira também a simplicidade e dê créditos para os fabricantes por tentarem facilitar a implementação destes dispositivos, firewalls são muito mais simples se comparados a implementação de PLCs, definição de controles no banco de dados do SCADA, desenvolvimento dos displays, control loops, e a miríade de outras configurações detalhadas para se fazer um sistema de controle funcionar.
A definição de access-lists num firewall são tão simples como definir pequenas regras de origem e destino de endereços IP e algumas portas. Como a comunicação de uma rede de controle é muito mais limitada do que se comparada ao firewall corporativo, o conjunto de access-lists tende a ser muito pequeno e simples.
Então, o quão complicado é isso se comparado com o controle e a monitoração de um complexo processo, distribuído por quase todo o país ou numa larga planta, com mais de 5.000 ou 100.000 variáveis e pontos de monitoração? Eu tenho trabalhando com grandes implementações de SCADA e DCS em grandes empresas dos mais variados setores da indústria desde o ano 2000, e nunca vi nada tão detalhadamente estudado e tão cuidadosamente implementado e fico maravilhado com o grau de eficiência atingido. Não há nada relativo a firewalls ou qualquer outro dispositivo de segurança de TI que chegue perto da complexidade que é a configuração e implementação de sistemas de controle.
Então, na realidade, em se tratando de firewalls as objeções devem estar associados ao fato de se tratar de uma tecnologia diferente e um possível ponto de falha.
Com os novos sistemas, os testes de aceitação em fábrica e em campo tem tanto potencial para problemas que adicionar qualquer camada de complexidade, inclusive segurança, são sempre evitados se possível. Se segurança não for um requerimento, como a redundância, ela nunca receberá prioridade.”
Concordo completamente e venho dizendo isso a bastante tempo: segurança é o inverso da comodidade. Logo, se requisitos de segurança não forem obrigatórios, seja por consciência própria ou por força da lei, ela nunca receberá o tratamento adequado e desculpas esfarrapadas serão sempre repetidas como um mantra. É perfeitamente compreensível que o gestor da sua planta fique com receio em adotar um firewall, pois trata-se de uma tecnologia realmente estranha para o ambiente. Logo, existem sim argumentos contra a adoção de um firewall ou qualquer outra tecnologia de segurança ali, mas complexidade não pode ser uma delas. Realmente não dá para comparar a complexidade de uma ACL com um ladder mais complexo, por exemplo.
É até covardia!
15 Outubro, 2008 às 11:56 am |
O ambiente SCADA possui boa eficiência no que tange à sua segurança, sistemas de IPS com assinaturas de comandos perigosos no SCADA já foi viável quando não havia tanta criptografia em seu meio.
Perfeita percepção do autor deste paper, onde a segurança deve estar entranhada nos mecanismos e nao apenas com ACLs.
Grande abraço!