it sicherheit von industriellen systemen · arbeitskreis 952.015 it sicherheit arbeitsgruppe ag3...
TRANSCRIPT
IT Sicherheit von industriellen Systemen
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
Wer sind wir?
02.02.2016 • Folie 2
• KORAMIS GmbH 33 Mitarbeiter • Seit 1985 Dienstleistungen und Lösungen um und für die Prozessautomatisierung und
Netzleittechnik • Seit 10 Jahren spezialisiert auf Security für kritische Infrastrukturen • Zertifizierter Consulting- und Systempartner von führenden Technologie-Unternehmen
Fakten und Zahlen
• Consulting • Engineering,
Programmierung • System-Integration
und -Migration • Service, Wartung und
Support • Managed Services
Automation
• Industrielle Software und
Applikationsentwicklung • Diverse
Programmiersprachen
Devolopment
• ISMS Aufbau • Risk Assessments • Best Practice Konzepte • POC, Integration von
Security-Technologien • Training, Coaching • Managed Security Services • Risk Management
Security
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
Teilnahme & Mitgliedschaften
ICS Referat BSI
Bayrischer IT Security Cluster e.V.
Partner der Cyberallianz
Fachausschuss GMA 5.22 Richtlinie 2182
Arbeitskreis 952.015 IT Sicherheit
Arbeitsgruppe AG3 Sichere Systeme
Swiss Cyber Experts e.V.
Mitwirkung in Forschungs- und Förderprojekten
02.02.2016 • Seite 3
...über was reden wir
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
“Industrial Control Systems” go “IT”
02.02.2016 • Seite 5
In der Vergangenheit waren ICS Stand-alone Systeme vernetzt durch proprietäre
Netzwerke eigen-Entwicklungen mit eigenen
Standards
Heute sind ICS basierend auf state-of-the-Art Soft-
und Hardware vernetzt mit Ethernet-Standard verantwortlich für den
reibungslosen Ablauf unseres Alltags
© 2015 KORAMIS GmbH
Industrie 4.0 – Security Aspekte verschoben
02.02.2016 • Seite 6
Mischverhältnis „alter“ Automatisierungstechnik und neuer PC-basierender Infrastruktur
Früher „security through obscurity“
Heute gleichen Risiken wie im Office-
Umfeld (TCP/IP, Windows, Hardware, WWW & Mail,….)
gleichen Angreifer wie im Office-Umfeld
© 2015 KORAMIS GmbH
Security Aspekte sind verschoben
02.02.2016 • Seite 7
Industrial-IT: 1. Safety 2. Verfügbarkeit 3. Integrität 4. Vertraulichkeit
Business-IT: 1. Vertraulichkeit 2. Integrität 3. Verfügbarkeit
© 2015 KORAMIS GmbH 02.02.2016 • Folie 8
Business IT Industrial IT Virenschutz Weit verbreitet Kompliziert, oft unmöglich
Lebensdauer 3-5 Jahre 5-20 Jahre
Outsourcing Weit verbreitet Selten
Patchmanagement Oft, täglich Selten, benötigt Freigabe vom Anlagenhersteller
Änderungen Häufig Selten
Zeitabhängigkeit Verzögerungen akzeptiert Kritisch
Verfügbarkeit akzeptabel 24x7
Awareness Gut Schlecht
Sicherheitstests Weit verbreitet Selten und problematisch
Physische Sicherheit Abgesichert, bemannt Großflächig, unbemannt
© 2014 KORAMIS GmbH
Herausforderung und Unterschiede dabei
Beispiel einer Schadsoftware
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
Havex / Dragonfly
Neuste Variante: Juni 2014 Erste Aktivitäten: 2010
RAT = Remote Access Trojaner Watering Hole Attack Angriff über Hersteller Website Hersteller-Software wurde kompromittiert Nach Installation Backdoor geöffnet
02.02.2016 • Seite 10
© 2015 KORAMIS GmbH
Havex / Dragonfly
sammelt Daten über OPC, Modbus, EtherNet/IP, S7/Profinet und weitere Protokolle
speziell ausgelegt für europäische Energie- & produzierende Industrie Stromnetze, Piplines, Windparks,
Produktionsunternehmen etc. Analyse der Schadsoftware zeigt Aktivitäten von Montag bis
Freitag in der Zeitzone UTC+4 auf.
02.02.2016 • Seite 11
Real World Findings
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
Industrial Network Architecture
Multiple targets and attaking vectors
© 2015 KORAMIS GmbH
Real-World Findings
02.02.2016 • Seite 14
© 2015 KORAMIS GmbH
Industrial Network Architecture
The Real World...
© 2015 KORAMIS GmbH
Real-World Findings
02.02.2016 • Seite 16
© 2015 KORAMIS GmbH
Industrial Network Architecture
The Real World...
02.02.2016 – Slide 17
© 2015 KORAMIS GmbH
Neue Technik – neue Herausforderung
02.02.2016 • Seite 18
Instrumentation and Remote I/O
Basic Control
Supervisory Control
MES LES
Business ERP
Operator Station
Production Quality Maintenance
Fieldbus
Data Access & Wireless
Transmission
Remote Inventory
Control
MES LES
Business ERP
Controller
Inventory Control Station
Engineering Station
Plant Asset Management
Attack Industrial Control Systems
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
Public accessible systems
Source: www.scadacs.org Industrial Risk Assessment Map (IRAM)
© 2015 KORAMIS GmbH
Public accessible systems
© 2015 KORAMIS GmbH
Verify with PLCScan
© 2015 KORAMIS GmbH
Exploit with Metasploit
© 2015 KORAMIS GmbH
Public accessible systems (samples)
© 2015 KORAMIS GmbH
WarGoogleling 2.0
© 2015 KORAMIS GmbH
WarGoogleling 2.0
© 2015 KORAMIS GmbH
...wussten Sie schon...
15 Jahre NV Saar U-Bahn Saarbrücken
© 2015 KORAMIS GmbH
Underground of Nuremberg „guideless“
Inspiration and idea
© 2015 KORAMIS GmbH
Setup of a realistic industrial process control simulation and honeypot environment for an analysis of attack and threat pattern
Workshops and trainings on industrial process control systems and infrastructures Using the test laboratory for research and development tests Product testing - integration or stand alone
The HoneyTrain-Project
© 2015 KORAMIS GmbH
Implementation
The results The HoneyTrain-Project
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
Realtime attack monitor
© 2015 KORAMIS GmbH
• 14000-19500 Scans per day • 8 Attacks using “brainpower”
– 1 Attack vs. the ESX-Server – 4 Attacks vs. the PLC – 3 Attacks vs. the web frontend – 1 Attack at protocol level (no further analysis) – 1 Attack vs. the HMI
Results (over 6 weeks)
© 2015 KORAMIS GmbH
Results (over 6 weeks)
© 2015 KORAMIS GmbH
Results (over 6 weeks)
© 2015 KORAMIS GmbH
Results (over 6 weeks)
© 2015 KORAMIS GmbH
Whitepaper Is Now Available
Best Practices
© 2015 KORAMIS GmbH
© 2015 KORAMIS GmbH
Wie man aktuell noch oft mit Security umgeht...
© 2015 KORAMIS GmbH
Ganzheitliche Betrachtung
02.02.2016 • Seite 40
Physische Sicherheit Gebäude- und Zugangsschutz
Organisatorische Sicherheit Security Policies, Prozesse
praxiserprobte Vorgehensweise
Faktor Mensch Verantwortung und
Verfügbarkeit
IT Sicherheit State-of-the-Art
Security Produkte und Technologie
© 2015 KORAMIS GmbH
Prozesse und Awareness
02.02.2016 • Seite 41
Analyse – Wo steht man selbst
Organisatorische Sicherheit Richtlinien und Anweisungen
erarbeiten Verfügbare Standards der
Automatisierung nutzen
Menschen Mitarbeiter schulen Bewusstsein schaffen Know-How aufbauen
© 2015 KORAMIS GmbH
Kompetenzen zusammenbringen
02.02.2016 • Seite 42
ICS-Abteilung kennt ihr System ganz genau – aber nur bedingt mit IT-Security?
IT-Abteilung kennt sich mit IT-Security aus – aber nur bedingt mit Prozess-Automatisierung?
Zusammenarbeit der beiden Bereiche oft spärlich bis gar nicht vorhanden
© 2015 KORAMIS GmbH
Defense-in-Depth / tiefengestaffelte Verteidigung
02.02.2016 • Seite 43
Anlage schützen Physikalischer Zugangsschutz Zutrittskontrolle und verschlossene
Server- und Schaltschränke
Systeme härten Produktionsnetzwerke
„segmentieren“ USB-Schnittstellen sichern und
verwalten Whitelisting / Sandboxing Netzwerk-IDS Host-IDS
Perimeter-Security
Netzwerk-Security
Host-Security
Defense-in-Depth
© 2015 KORAMIS GmbH
…es muss nicht immer teuer sein…
USB-Thematik Jeder weiß es, jeder nutzt es Unter den Top 10 der
Angriffspunkte
02.02.2016 • Seite 44
© 2015 KORAMIS GmbH
…ein Beispiel Härtungskonzepte Produktion
• 2009-2010 erste Proof of Concept Projekterfahrungen mit Whitelisting-Lösungen in der Industrie • Identifikation Sandbox-Technologie für die Industrie • Proof of Concept und Rollout in der Industrie • Projekte Industrie: Evaluierungsprozesse von verschiedenen Lösungsanbieter
– Einsatz auf: • KUKA & ABB Robotern • Schraubern • Panel-PCs • Automatisierungsserver (ABB, Siemens,
Rockwell, Schneider…)
– Penetrationstests auf geschützte Systeme
02.02.2016 • Folie 25
© 2015 KORAMIS GmbH
Gesamte Wertschöpfungskette betrachten VDI/VDE 2182
02.02.2016 • Seite 46
Hersteller Integrator Anwender
Dokumentation
Anforderungen
Mindeststandard Einforderung Industrial Security steigen: aktuell bei größeren Betreibern, aber auch Versicherungen
© 2015 KORAMIS GmbH
Balance wahren zwischen Organisatorischen & Technischen Maßnahmen
02.02.2016 • Folie 26
© 2015 KORAMIS GmbH
Questions/Discussion?
© 2015 KORAMIS GmbH
Kontakt
© 2015 KORAMIS GmbH
KORAMIS GmbH Quartier Eurobahnhof
Europaallee 5 D-66113 Saarbrücken
Telefon: +49(0) 681 968191-0 [email protected] www.koramis.de
49 02.02.2016 • Folie 49
Michael Krammel [email protected] Phone: +49 681 968191 10 Fax: +49 681 968191 910 Mobil: +49 172 6852567