Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører Ken Willén Security Business Manager Ezenta
Agenda og afgrænsning Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører: Typer af remote access/ad-hoc adgange der bør beskyttes Hvad er risici ved de forskellige typer af adgange? Hvordan kan man beskytte sig mod misbrug af remote/ad-hoc adgange? Indlægget har fokus på ad-hoc adgange herunder: Remote adgange for medarbejdere Alle typer af leverandøradgange Indlægget dækker ikke standardadgange og dataudveksling som: Drift og overvågning Change management On-site fejlsøgning Dataudveksling mellem udstyr og styring
Typer af remote access/ad-hoc adgange der bør beskyttes og hvad er risici ved de forskellige typer af adgange?
Symantec: Protecting critical systems while promoting operational efficiency Among the top SCADA vulnerabilities identified by INL were improper authorisation and authentication, standard protocols with clear text authentication and unprotected transport of SCADA credentials. Identity and access management solutions must have higher priority, especially in consideration of the accelerating interconnection with enterprise IT systems, and the adoption of cloud, mobile and remote management functionalities.
Symantec: SCADA angreb
Check Point: Common Attack Methods Using a remote access port used by vendor for maintenance Hacking a legitimate channel between IT systems and ICS/SCADA systems Convincing an internal user to click on a URL link in an email from a workstation that is connected both the ICS/SCADA network and to the Internet Infecting laptops and/or removable media while outside the network, later infecting internal systems when they re connected to the network for data collection, controller/sensor software updates, etc. Making use of configuration mistakes in security or connected devices
Et godt design er ikke stærkere end det svageste led on-site
Et godt design er ikke stærkere end det svageste led remote 3G/4G WiFi Internet
Et godt design er ikke stærkere end det svageste led remote Fuld TCP/IP adgang Remote Control Native administrationsklient Web administration 3G/4G WiFi Internet
Et godt design er ikke stærkere end det svageste led mobility The Forrester survey also shows the introduction of mobile technologies for the field service workforce is another huge investment priority within the utility industry. Due to the rise in mobile malware, project leaders need to take security into account, otherwise new attack vectors will be opened. Forrester, The IT-driven Energy Revolution incl. the Forrsights Budget and Industry Priority Tracker Survey, p. 5, Q4 2011
Opsummering af de væsentligste Sikkerhedsudfordringer Leverandørernes on-site adgang: For mange rettigheder til systemerne kan lede til misbrug eller blot til tankeløse fejl Virus og orme inficeret udstyr direkte på netværket med risiko for spredning Ukontrolleret bagindgange bag firewallen, der kan udnyttes af gæster eller evt. udefra Remote adgang: Sårbarheder i internetvendte services som web baserede administrations interfaces, fjernstyring, native programmer, databaser mv. Brute force angreb mod login Bagdøre på service maskiner leder til man-in-the-middel, stjålne passphrase, brugernavn/password, links og IP-adresser til anlæg mv. Ukontrolleret bagindgange bag firewallen, der kan udnyttes af gæster eller evt. udefra War dialing og WiFi skanning (Google)
Opsummering af de væsentligste Sikkerhedsudfordringer, fortsat Mobile enheder: Stjålet udstyr (PC, ipad mv.) Fastkodet passphrase og/eller brugernavn/password samt links og IP-adresser til anlæg Dokumentation over anlæg med tegninger, beskrivelser, fejl mv. Man-in-the-middel: Rouge WiFi/3G/4G Access Point giver adgang til bruger credentials og kan give mulighed for realtids angreb BYOD: Delt adgang til tablets Blanding af private og virksomhedsinformation Udfordringer med at WIPE en enhed når den mistes eller når en medarbejder holder op
Hvordan kan man beskytte sig mod misbrug af remote/ad-hoc adgange?
Risikoen skal ballanceres mellem Teknologi og Procedurer? Technical Controls Procedural Controls Risk
Procedure overvejelser Authentication, Authorization and Accounting: Definer roller med tilhørende rettigheder Definer krav til identifikation af enheder og brugere Definer krav til password politik inkl. løbende udskiftning af passwords Tildel hver bruger til en rolle ingen funktionsbrugere bør være tilladt Definer krav til logning Relevante procedurer: Vurder om det er muligt at tildele remote/ad-hoc adgang fra sag til sag i et begrænset tidsrum Lav procedurer for godkendelse af udstyr inkl. USB, der skal have adgang til produktionsnetværket Definer procedurer for nedlukning af adgange når både egne og leverandørers medarbejdere holder op Procedural Controls Definer procedurer for tab af service maskine/smartphone/tablets. Mange har fastkodet brugernavne og password til egne/kundernes anlæg?
Tekniske overvejelser Begræns al adgang til det nødvendige og log al adgang: Logon på de enkelte maskiner i produktionsnetværket Laptop, router og andet netværksudstyr der sættes på nettet Eskalering af rettigheder på maskiner i produktionsnetværket Adgang via USB - Ingen maskiner bør default kunne køre programmer fra en USB/DVD/CDROM mv. Remote adgang via VPN eller MPLS Lukkede ringegrupper Design af remote/ad-hoc adgange: Technical Controls Ved høj risiko anlæg tilstræb air-gab og jump maskine i selvstændig sikkerhedszone Hvis remote adgang er nødvendig bør det ske via VPN eller MPLS til en jump maskine i DMZ On-site leverandøradgang bør gives via VNP over WiFi eller wired i et gæstenet eller via VPN over G3/G4 Hvis en leverandørs adgang på produktionsnetværket er uundgåeligt, bør det begrænset til det nødvendige, endvidere bør brugen af adgangen logges
Tekniske overvejelser, fortsat Stærk identifikation af enheder og brugere: Certifikater på maskiner i produktionsnetværket eller filtrering på MAC adresser 2 faktor authentikering ved alle remote adgange Risk based authentikering ved alle remote adgange Secure Container løsning til mobile enheder Technical Controls
Tak! Ken Willén, CISSP Security Business Manager Ezenta kwi@ezenta.com +45 5168 6447