Security @ Field & Network level Industrial Security to guarantee top performance in production



Relaterede dokumenter
TIA-portalen V13 Kommunikation mulighederne er

Virtualisering, Cloud Computing og OPC UA i automationssammenhæng - hvad er de reelle use cases?

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Cyber sikkerhed Process IT Cyber sikkerhed og risiko analyse

VLAN - Virtual Local Area Network

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Er der hackere på linien?

VLAN. - mange logiske net på ét fysisk! Netteknik 1

Sesam seminar nr Sesam seminar nr Opbygning af standard bibliotek til PLC / SCADA / MES

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

it-sikkerhed i produktionen DE 5 TRIN

VLAN. - mange logiske net på ét fysisk! Netteknik 1

DAU AUTOMATIONSNETVÆRK DEN STRATEGISKE UDVIKLING I NETVÆRK JOHN AMMENTORP

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

DAU IT-SIKKERHEDSKONFERENCE BEST PRACTICE: ORGANISATIORISK OT-SIKKERHED D. 13 JUNI 2017

NETVÆRKSKURSUS Oktober November jmt

Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Datatekniker med infrastruktur som speciale

IPC WiCloud TM 24/7 Monitoreret LAN/Wifi/WAN

Sådan målretter du din netværksarkitektur

Naalakkersuisut Government of Greenland. Digitaliseringsstyrelsen. Statusrapport. Rapportperiode: oktober

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Teknisk beskrivelse til TDC Managed Firewall

Valg af automationsplatform

TDC MultiBase Fiber. Godt i gang guide

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Kampagnetilbud. Spar op til 50% Læg frisk LAN på

Datatekniker med infrastruktur som speciale

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Praktisk information. Tilmelding og spørgsmål Har du spørgsmål, eller ønsker du at blive tilmeldt vores kurser, er du meget velkommen til at kontakte:

Apple AirPort Time Capsule - NAS-server - 3 TB - HDD 3 TB x 1 - Gigabit Ethernet / a/b/g/n/ac

Routeren. - og lag 3 switchen! Netteknik 1

Security & Risk Management Summit

Cisco ASA Vejledning. Opsætning af DMZ-zone

Beskyttelse af ISC/SCADA systemer. Jacob Herbst København,

Magnus Lund Jacobsen IT-sikkerhedsanalytiker Forsvarsministeriet Projektenhed for Cybersikkerhed, GovCERT. Cybertrusler mod Smart Grids

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Service Level Agreement (SLA)

Real-time Lokations Systemer for sundheds sektoren

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Microservices. Hvad er det og hvordan kommer du i gang?

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright

OPC UA Information model for Advanced Manufacturing

Produktspecifikationer Managed WiFi Version 2.3. Managed WiFi. Side 1 af 7

Eltronic A/S

Tildel fast IP adresse til BC9xxx med BootP og oprettelse kommunikation fra TwinCat

Automation Projektledelse Networking. Energi & forsyning. Automation Projektledelse Networking

VLAN. VLAN og Trunks. Region Syd Grundlæggende netværk

Cisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/

Hvordan håndteres patchpolitik

Før du starter installationen, skal du først kontrollere, at alle de nødvendige dele er der. Æsken skal indeholde:

MOC On-Demand Identity with Windows Server 2016 [20742]

DirectAccess med Windows 7 og Windows Server 2008 R2. Jens Ole Kragh JensOle.Kragh@eg.dk EG A/S

Avancerede Datanet. Udviklingen i Netværksarkitekturer. Ole Brun Madsen Professor Department of Control Engineering University of Aalborg

Projektopgave. Byg et netværk til gruppens nye firma!

Introduktion til MPLS

Projektopgave Operativsystemer I

- for forretningens skyld

Logning en del af en godt cyberforsvar

TIA-portalen V13 Engineeringværktøjet, som gør det mere effektivt

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

Forordningens sikkerhedskrav

KMD s tilgang til cybertrussler. Public

Fokus på intern it sikkerhed

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

QoS. - prioritering af pakketransporten! Netteknik 1

Virtualisering af. v. / Ib Tordrup

Automation Projektledelse Networking. Energi & forsyning. Automation Projektledelse Networking

Adressering af ind- og ud gange på CXxxxx IEC1131 PLC uden TC system manager

Sikkerhedspolitik Version d. 3. oktober 2013

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

Transkript:

Security @ Field & Network level Industrial Security to guarantee top performance in production Lars Peter Hansen Produktchef for Industrial Communication Lars-peter.hansen@siemens.com T.: +45 4477 4827 M.: +45 2129 9650

Industrial Security Security @ Field & Network level Hvordan beskytter man en industriel produktion og produktiviteten? Kan man anvende de samme teknologier som i IT-verdenen? Hvordan sikrer man netværks, PLC og I/O niveauet? Page 2

Industrial Security Er det virkelig nødvendigt er det reelt et problem? Risiko = Sårbarhed * Trussel * Konsekvens Page 3

Hvordan beskytter man en industriel produktion og produktiviteten?

Industrial Security The Defense in Depth Concept Plant security Adgang blokeret for ikke autoriseret personale Fysisk beskyttelse af kritiske komponenter Network security Beskyttelse af interface via eksv. firewalls Segmentering af netværk System integrity Antivirus og whitelisting software Integreret adgangskontrol og beskyttelse af automationskomponenter Page 5

Industrial Security The Defense in Depth Concept Page 6

Industrial Security Guidelines DI ITEK s hjemmeside om Produkt- og produktionssikkerhed: http://di.dk/virksomhed/produktion/it/informations-sikkerhed%20og%20privacy/trusler%20og%20loesninger/pages/produkt- ogproduktionssikkerhed.aspx DI ITEK s 3 glimrende vejledninger om Industrial Security: http://di.dk/shop/publikationer/produktside/pages/produktside.aspx?productid=9373 Page 7

Industrial Security Guidelines Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) Control Systems Security Program (CSSP) http://ics-cert.us-cert.gov Recommended Practices Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies Creating Cyber Forensics Plans for Control Systems Developing an Industrial Control Systems Cybersecurity Incident Response Capability Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks Hardening Guidelines for OPC Hosts Mitigations for Security Vulnerabilities Found in Control System Networks Patch Management of Control Systems Securing Control System Modems Securing WLANs Using 802.11i (draft) Page 8

Industrial Security Services Element Risk and Vulnerability Assessments Details Advice and implementation support Packaged Security Solutions Automation Firewall System Hardening Modular solutions for improved security Virus Protection Whitelisting Security Services Managed services for Industrial Security Page 9

Industrial Security Hvordan holder man sig opdateret? Altid up-to-date med Security RSS Feeds ICS-CERT: http://ics-cert.us-cert.gov/#rss Siemens Industry: www.industry.siemens.com/industrial-security Page 10

ICS-CERT s anbefalinger Udgangspunktet Udgangspunktet i industrien var Ø-drift Ingen Firewalls Ingen VPN (Virtual Private Network) Ingen DMZ (Demilitarized zone) Ingen VLAN M.m Page 11

ICS-CERT s anbefalinger Det hele bindes sammen Næste skrit - Det hele bindes sammen Ingen Firewalls* Ingen VPN (Virtual Private Network)* Typisk ingen DMZ (Demilitarized zone) Typisk ingen VLAN M.m *i det industrielle miljø... Page 12

ICS-CERT s anbefalinger Opdeling og segmentering Anbefalinger i dag opdeling i sikre celler og segmentering Firewalls VPN (Virtual Private Network) DMZ (Demilitarized zone) Security Cells VLAN M.m Page 13

Security@field level Page 14

Segmentering Security Cells Page 15

Kan man anvende de samme teknologier som i IT-verdenen?

Kan man anvende de samme teknologier som i IT-verdenen? Mmmmmm... Nej Det er helt generelle forskelle Små pakker Ekstrem lav latency Meget layer-2 kommunikation Industrielle protokoller Anvendelse af realtidsprotokoller Virusscanner kan ikke anvendes Routere kan ofte ikke anvendes (kun layer-2) Bridge Mode er ofte en forudsætning Et industrielt miljø behov for Produkter der kan installeres i et industrielt miljø EMC, temperatur, vibrationer, m.m.. Page 17

Kan man anvende de samme teknologier som i IT-verdenen? Mmmmmm... Ja Der er IT-teknologier der er velegnede til industrielle applikationer Remote Access Station Internet Firewall DMZ Engineering Station Firewalls VPN (Virtual Private Network) DMZ (Demilitarized zone) IEEE 802.1x (Radius Server) MAC-filtre VLAN M.m Automation Cell #1 Automation Cell #2 Automation Cell #3 Page 18

Industrial Security IT kontra Industri IT-Security Industrial-Security Confidentiality High Importance Availability VERY High Importance Integrity High Importance Integrity Medium Importance Availability Lower Importance Confidentiality Low Importance Page 19

Availability = Redundans + overvågning + Security Redundans Security Availability Overvågning Page 20

Sikring af Availability Ethernet og redundans Switchet LAN Kabelredundans CPU-redundans Page 21

Sikring af Availability Ethernet og Loop Detection Loop Detection Loop s har medført lange stop, hvor årsagen er meget kompliceret at finde Vælg altid switches med Loop Detection Eller anvend RSTP Page 22

Sikring af Availability Overvågning Engineering Station Network Management Lokal Engineering Station Alarmering Redundans Loop Detection Availability information Central logning Autentificerings Log M.m... Page 23

Hvordan sikrer man netværks, PLC og I/O niveauet?

Security@Network level Hvad bør man gøre? Firewall VLAN IP-harding Brugerstyring Hvad kan man gøre? Kryptering VPN, WPA2 AES... Udfordringer Unmanaged Switches Page 25

Security@PC level Hvad bør man gøre? Whitelisting Brugerstyring Firewall Hvad kan man gøre? Virusscanner Patch Management VPN Udfordringer OPC Page 26

Security@Field/PLC level Hvad bør man gøre? Brugerstyring Firewall IP-hardening Hvad kan man gøre? Kryptering VPN Udfordringer OPC Anvend altid certificerede produkter Se: www.wurldtech.com/ Work-arounds Indkapsling Page 27

Security@Field/PLC level Produkt Certificering Achilles Test og ISA Secure Certificering af industrielle automationsprodukter Achilles Certifikate Level 1 Only the Communication Robustness Test (CRT) is required Achilles Certifikate Level 2 Includes Achilles Level 1 AND each protocol is tested in deeper depth. Is the Communication Robustness Test of ISCI Siemens CERT is accredited to certify Achilles Level 2 No automation vendor has been certified so far ISA Secure Certificering Functional Security Assessment (FSA) Software Development Security Assessment (SDSA) Communication Robustness Testing (CRT): Achilles Level Page 28 *Embedded Device Security Assessment

Netværk Segmentering En del af en Industrial Security strategi Routers ACL-Management VLAN Port-baseret IP-adresse-baseret Applikations-baseret Security Cells Firewalls VPN Page 29

Segmentering Virtual LANs (Virtual Local Area Network) Internet Engineering Station SCADA Station SCADA Station VLAN (IEEE 802.1q) => etablering af flere virtuelt LAN på et fysisk netværk Kabling via software VLAN giver følgende fordele: Engineering Station Netværkssegmentering Reducerer broadcast load mindre chance for DoS Prioritering af frames QoS Automation Cell #1 Automation Cell #2 Automation Cell #3 Page 30

Segmentering VPN (Virtual Privat Network) Internet Engineering Station SCADA Station SCADA Station VPN => alt kommunikation skærmes af VPN giver følgende fordele: Automation Cell #4 Integritet Kryptering Indkapsling Eksisterende OPC applikationer kan sikres... Automation Cell #1 Automation Cell #2 Automation Cell #3 Page 31

Sikring af større netværk Page 32

Segmentering for større netværk Port Security Management - IEEE 802.1X (RADIUS) IEEE 802.1X (RADIUS) => noder promtes for User name og Password 2 Authenttication Server IEEE 802.1X (RADIUS) giver følgende fordele: Supplicant 1 Authentticator Adgang til netværket er blokeret for uautoriseret adgang Porte på Switches eller adgang til IWLAN enables kun efter en autentificering 3 Automation Network Page 33

Sikring af mindre netværk Page 34

Segmentering for mindre netværk Port Security Management Access Control List Alternativ til RADIUS Access Control List (ACL) tildeling af permanente IPadresser til specefike porte Disabling af porte Page 35

Endnu mere Industrial Security-information www.siemens.com/industrialsecurity Page 36

Industrial Security Opsummering Tag det alvorligt Hold dig opdateret Segmentér netværk Brug Managed Switches, VLAN, m.m. Brug Certificerede produkter Isolér sårbare systemer Page 37

Tak for opmærksomheden H: \ Data \ Dokumentation \ Net_Workshops \ SCALANCE \ SCALANCE S \ 2012 \ Rockwool_12.2012.pptx

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback