Beskyttelse af ISC/SCADA systemer. Jacob Herbst København,

Transkript

1 Beskyttelse af ISC/SCADA systemer Jacob Herbst København,

2 SCADA særlige udfordringer De skjulte netværk Anvendes til ATM, bygninger, proceskontrol, transport, informationssystemer m.m. Etableret og drevet udenfor IT-afdelingen Vitalt for produktion og drift Dårlig sikkerhed Baseret på standard systemer Manglende mulighed for antivirus og opdateringer Specifikke løsninger - manglende opdateringer Etableret uden tanke for og fokus på sikkerhed Ofte bagveje fx til leverandører og konsulenter Forbundet til netværk og Internet Realtidsdata til rapportering og styring STUXNET ændrede trusselsbilledet Sløret, målrettet, professionelt, avanceret Fokus fra sikkerhedseksperter Risikoen Sabotage eller ændring af processer Temperatur i serverrum Ventilation Produktion Transportbånd Olieproduktion El-værker Vand- og spildevand Informationstavler Strålekanoner Blodprøveapparater Postsortering

3 Generelle udfordringer ved beskyttelse af SCADA Lektien fra Stuxnet Målet med Stuxnet var decideret sabotage af et produktionsanlæg Stuxnet er (formentlig) det første offentligt kendte eksempel på decideret elektronisk sabotage Understreger vigtigheden af sikkerhed omkring SCADA (Supervisory Control And Data Acquisition) systeme SCADA systemer anvendes over alt fx I vandforsyning, el-forsyning, lufthavne, osv. Angrebene er Målrettede og vedholdende Slørede og tilpasset offeret Godt forberedte og planlagt Bruger avanceret social engineering Rettet mod nøje udvalgte personer i organisationer Stuxnet is like the arrival of an F-35 fighter jet on a World War I battlefield. The technology is that much superior to anything ever seen before, and to what was assumed possible. An aspect that should be kept in mind is that there is no precedence for this type of attack. Ralph Langner, Langner

4 IP konvergens nye sikkerhedskrav Kommende 5 år I dag: Legacy Serial netværk Ikke routede protokoller Sikkerhed gennem fysisk segmentering Nærmest fremtid: Overgang til IP- baserede protokoller/systemer Segmentering af netværk Sikkerhed gennem segmentering med gateways Fremtiden Forbundne netværk og systemer Intelligente Grid systemer Ukendt holistisk sikkerhedsstruktur Kontrol og overblik -- Politikker og procedurer Netværkssegmentering og VPN Protokol inspektion og IPS Applikations sikkerhed og anti-malware Opdatering og styring af konfigurationer

5 Baggrund forøget sårbarhed

6 Air Gap Optimalt er der ikke forbindelse til andre netværk Traditional isolation of corporate and control domains "Air Gap" som løsning Moderne ICS/SCADA systemer er meget komplekse og indbyrdes forbundne Produktionsdata Integration med fx økonomisystemet Flere potentielle veje findes fra omverdenen til systemet Konsekvensen er et air-gap mellem ICS og virksomhedens netværk er urealistisk Integrated networks De fleste kontrolnetværket har ikke (længere) direkte adgang til Internettet Normalt er kontrolnetværket adskilt fra det administrative netværk med en firewall DHS: Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies

7 ICS specifikke udfordringer DHS: Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies

8 Målsætningen med sikkerhed Ved processystemer er tilgængeligheden det vigtigste Standard IT systemer Confidentiality Integrity Availability Prioritet Proces systemer Availability Integrity Confidentiality Håndtering af processtyringssystemer passer ikke i en normal it afdeling Både ICS/SCADA og standard produkter vil indeholde sårbarheder Sikkerhedsopdatering af ICS/SCADA systemer er ikke umiddelbart umuligt Blokerer for alle adgangen til ICS/SCADA systemet er ikke mulig Fokus på at begrænse og kontrollere adgangen ind til ICS/SCADA systemet Fokus på at begrænse og kontrollere adgangen ud fra ICS/SCADA systemet Detekterer unormale opførsel i ICS/SCADA systemet Sikkerhedsopdatering hvor det er muligt

9 Angreb Mange forskellige adgange: Leverandør support Fjernadministration Overvågning Rapportering Database forbindelser Målet for angriberen vil typisk være: Konfigurations- og data opsamlingsdatabase Overvågnings- og administrationen interfaces Opnå adgang til kontrol netværket Forståelse af processen Overtag styring af processen

10 Netværksobservationer Direkte netværksforbindelser til fremmede netværk Serviceleverandører Samarbejdspartnere Det fysiske netværk er ofte dårligt beskyttet - specielt på mindre lokationer Mangelfuld fysisk adgangssikkerhed Dårlig kontrol med hvilke enheder der kobles på netværket Angreb på udstyr i marken Produktionssystemer er et særligt problem Fokus på tilgængelighed, stabilitet og funktionalitet Ofte manglende eller dårlige logins og passwords Legacy enheder med ringe eller ingen sikkerhedsfunktioner Ofte er det ikke muligt at installere antivirus Anvender gamle versioner af operativsystemer og software Ofte er det ikke muligt at opdatere systemerne

11 General findings DHS: Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies

12 Why is Vulnerability Intelligence so important Brian Birkvald Security Partner Director

13 PwC s latest global economic crime survey revealed that 25% of organisations worldwide expected to suffer from cyber crime in the coming year. 46% of government and public sector organisations already having experienced one or more incidents of economic crime in the past 12 months. 50% of all Financial Services respondents perceived the risk of cyber crime to have increased in the past 12 months...it is vital that organisations continue to ensure they are investing in cyber-crimemonitoring capabilities and align their management structures to take timely actions if a cyber incident occurs. - Head of information security in government, PwC Source: PWC Technical report April

14 Secunia s latest research report analyses the evolution of software security By evaluating the true risks, you can address the main challenges associated with protecting your software portfolio against vulnerabilities. Many organisations will focus on patching the top layer business-critical programs only. Cyber criminals will target all programs! Cyber criminals only need one vulnerable program to compromise the host. Non-Microsoft programs accounted for 78% of vulnerabilities in Cyber criminals are routinely using these programs as gateways to exploit corporate networks. Because cyber crime is dynamic by nature, identifying what programs to patch is like chasing a continuously moving target. VS. Source: Secunia yearly report

15 Why? Threats are very dynamic Number of vulnerable programs in a given year 39% of the programs vulnerable in one year are not vulnerable in the next year or vice versa Not vulnerable in other year Any risk assessment based on patching a static set of business critical programs first outdates fast!

16 Are you aware of the known/unknown challenge? Vulnerabilities are resilient! Vulnerabilities are a dangerous thread woven through the software industry. The programs that organisations perceive as top priorities to patch vs. the programs that cybercriminals actually target are vastly different. Microsoft programs are not the main target anymore Cyber crime is a growing threat globally and the second most commonly reported economic crime affecting financial-services firms

17 From a Criminal s Perspective #Hosts x #Vulnerabilities = Opportunity

18 Udfordringer - samarbejde Forskelligt ordforråd It medarbejdere TCP/IP, NetBIOS, MSSQL, SAP, server, netværk, firewall, Processtyringsmedarbejder Profibus, fieldbus, MODBUS, Magnetventil, Turbine, hydraulisk, pneumatisk It medarbejdere har utilstrækkelig viden og erfaring om ICS/SCADA systemer til at yde passende støtte Processtyringsmedarbejder skal arbejde med it-sikkerhedseksperter Uddanne it-afdelingen om ICS & SCADA og procesafdelingen om sikkerhed

19 Tekniske og organisatoriske barrierer DHS: Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies

20 Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's law: Anything that can go wrong will go wrong.

21 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

22 Arkitektur Dividing common control systems architecture into zones can assist organizations in creating clear boundaries in order to effectively apply multiple layers of defense. External Zone is the area of connectivity to the Internet, peer locations, and backup or remote offsite facilities. This is not a demilitarized zone (DMZ) but is the point of connectivity that is usually considered untrusted. For industrial control systems, the external zone has the least amount of priority and the highest variety of risks. Corporate Zone is the area of connectivity for corporate communications. servers, DNS servers, and IT business system infrastructure components are typical resources in this zone. A wide variety of risks exist in this zone because of the amount of systems and connectivity to the External Zone. However, because of the maturity of the security posture and redundancy of systems, the Corporate Zone s precedence can be considered to be at a lower priority than other zones, but much higher than the External Zone. Manufacturing/Data Zone is the area of connectivity where a vast majority of monitoring and control takes place. It is a critical area for continuity and management of a control network. Operational support and engineering management devices are located in this zone along side data acquisition servers and historians. The Manufacturing Zone is central in the operation of both the end devices and the business requirements of the Corporate Zone, and the priority of this area is considered to be high. Risks are associated with direct connectivity to the External Zone and the Corporate Zone. Control/Cell Zone is the area of connectivity to devices such as Programmable Logic Controllers (PLCs), HMIs, and basic input/output devices such as actuators and sensors. The priority of this zoneis very high as this is the area where the functions of the devices affect the physical end devices. In a modern control network, these devices will have support for TCP/IP and other common protocols. Safety Zone usually has the highest priority because these devices have the ability to automatically control the safety level of an end device (such as Safety Instrument Systems). Typically, the risk is lower in this zone as these devices are only connected to the end devices but recently many of these devices have started to offer functionality for TCP/IP connectivity for the purposes of remote monitoring and redundancy support. DHS: Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies

23 Sikkerhedszoner DHS: Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies

24 Beskyttelse af ICS/SCADA systemer Er nødt til at kikke på alle mulige forskellige adgange til systemet Overblik over alle forskellige adgange til systemer Bredt fokus udlad kun at kikke på en enkelt indgang som USB-nøgler Betragt alle mulige adgange: Flytbare medier (cd'er, dvd'er, USB-drev) Fil overførsler (Databaser, PDF-filer, PLC projektfiler) Bærbar udstyr (Laptops, lagerenheder, konfigurationsværktøjer) Interne netværksforbindelser (Forretningen, overvågning, Lab, QA, Support) Eksterne Forbindelser (Support, leverandører, Entreprenør, Kunder) Trådløs (802,11, 802,15, Mobil, Wireless HART, ISA-100a, Bluetooth, USB-parring) Andre interfaces (Serial, Data Highways) Sørg for at have en strategi for at monitorerer og beskytte alle adgange

25 Segmentering overordnet målsætning Inddæmme en eventuel kompromittering til en begrænset del af netværket Begrænse normale brugere og systemers adgang i netværket Mulighed for at beskytte særligt sårbare systemer på separate segmenter Mulighed for at begrænse og kontrollere den adgang, der gives til samarbejdspartnere, kunder og leverandører o.a. Mulighed for at begrænse og kontrollere den adgang, der gives til fjernbrugere Mulighed for opsamling af logs og audit trails, således at hændelser kan efterforskes Endelig skal segmenteringen være skalérbar, så den ikke introducerer flaskehalse i netværket opfylde normale krav til tilgængelighed og pålidelighed være fleksibel, så der nemt kan etableres flere segmenter

26 Segmentering Adskille områder i netværket med forskelligt sikkerhedsniveau Segmenter med systemer med identiske funktioner Segmenteringen styrer og kontrollerer trafikken mellem de enkelte sikkerhedsniveauer Anvender teknologi kendt fra Internet firewalls suppleret med proaktive applikationsspecifikke metoder Segmenteringen giver forbedret sikkerhed mod Orme og vira Egentlig hacking Fejl o.a. problemer Segmenteringen kan hjælpe med at forebygge problemer pga. manglende opdateringer, men løser ikke problemerne alene

27 Baggrund for segmentering De anvendte protokoller er for usikre Al kommunikation sker via TCP/IP TCP/IP baserede protokoller (fx dns, smtp, http) mangler ordentlige indbyggede sikkerhedsmekanismer Operativsystemer er ikke beskyttet tilstrækkeligt Løbende konstateres fejl, der medfører sikkerhedshuller, hvilket kræver software-opdateringer Visse systemer kan kun vanskeligt eller slet ikke beskyttes Mange standardprogrammer mangler ordentlig sikkerhed Web-browsere, klienter og terminal klienter beskytter ikke følsom information som fx passwords Fejl og sikkerhedshuller gør dem sårbare over for buffer-overflows og ondsindet kode som vira og orme Egen-udviklede programmer Ikke de samme ressourcer til test og afprøvning som kommercielle producenter trods alt har Da applikationerne ikke er alment kendte, er sandsynligheden for misbrug dog mindre

28 Segmentering DHS: Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies

29 IPS - Intrusion Prevention System Signaturbaseret overvågning af netværk og/eller klienter IPS er aktiv beskyttelse (prevention) Mulighed for at blokere for trafik i realtid Beskyttelse af systemer med manglende opdateringer virtuel patching - inddæmning af et udbrud/angreb, mens det sker Et IPS system placeres traditionelt inline på de segmenter, der skal overvåges Foran kritiske/følsomme systemer Mellem forskellige sikkerhedsniveauer Ved placering som del af firewall en opnås et optimal filtrering af al trafik der passerer firewall en Et IPS vil ikke bremse en målrettet angriber, vil fortsat være baseret på signaturfiler og erstatter ikke antivirus

30 Integrated Firewall and IPS Firewall Protection Provides: Granular access control Stateful Inspection User authentication Network Address Translation DNP3 Firewall + IPS Protects Against: Granular access control Stateful Inspection User authentication Network Address Translation + Attacks on vulnerabilities Malware/worm infections Malicious P2P and IM apps Buffer overflow attacks Sniffers

31 Sikkerhed Sikkerhed er mange ting f.eks. Sikkerhedspolitik og awareness Håndhævelse af adgangsrettigheder (ACL) Kryptering af data Password politikker Konfiguration af servere og klienter Opdatering og patches Sikkerhed omkring mail og web Antivirus Fysisk sikkerhed og adgangskontrol Sikkerhed omkring trådløse netværk Netværksmæssig segmentering Port Based Network Access Control

32 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

33 Thank you For more information please contact