Cybersecurity - wdrażanie polityki bezpieczeństwa

Transkrypt

1 Moxa Solution Day 2016 Kompleksowe rozwiązania komunikacji przemysłowej Cybersecurity - wdrażanie polityki bezpieczeństwa Mirosław Zwierzyński Maj/17/2016

2 Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer,

3 Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer,

4 Problemy bezpieczeństwa w przeszłości... Kevin Siers, The Charlotte Observer,

5 Problemy bezpieczeństwa dzisiaj... Kevin Siers, The Charlotte Observer,

6 Czego się dowiesz kto atakuje sieci i dlaczego jak atakuję co możemy zrobić dziś i jutro jak wytłumaczyć sens działania

7 Hakerzy Jakim hakerom stawiamy czoła: Level 0: Użytkownik Level 1: Opportunistic Hackers Level 2: Kryminaliści Level 3: Terroryści Level 4: Dobra Państwowe

8 Obraz sytuacji: Łatwo znaleźć cel Projekt SHINE: 1,000,000 systemów SCADA oraz ICS online and Wyszukiwarki kierowane do systemów przemysłowych, np. SHODAN SHODAN działa na zasadzie wyszukiwaniu popularnie używanych portów TCP/UDP Web, Telnet, SNMP, FTP są jednymi z najbardziej popularnych Logi z odpowiedzi są zapisywane w bazie wyszukiwania Spróbuj szukać OpenSSL, GNU, or NTPD bądź nazwy vednorów sprzetu

9 SCADA Strange Love Default Passwords At 32C3 Dec. 2015: The Great Train Cyber Robbery talk.

10 Luki w zabezpieczeniach Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń

11 6 faz ataku 1. Rozpoznanie Skanowanie granic, ważni ludzie, dane ogólnie dostępne, poznanie sieci lepiej jak właściciel, cierpliwość, Advanced Persistent Threat (APT) 2. Początkowa eksploracja Spear fishing,, znane CVE, SQL injection, exploiting a zero day (złośliwe e, złośliwe strony, nośniki wymienne) 3. Ustanowienie obecności Przekraczanie uprawnień, znalezienie działających kluczy, integracja w skrypty 4. Instalacja narzędzi. 5. Przesunięcie w bok Przejście z miejsc gdzie są do miejsca gdzie chcą być. 6. Zbieranie, eksfiltracja i wykorzystanie danych Kradzież, zniszczenie, korupcja, szantaż

12 6 faz ataku Odpowiedź na zagrożenia Poznaj swoją sieć Zarządzaj swoją sieć Zarządzaj zaufania Sprawdzaj czy nie jesteś zagrożony Twórz plany reagowania na incydenty

13 6 faz ataku - ćwiczenie Przykładowa sieć Cybersecurity? Tak, to możliwe Zadania: Zaznacz na rysunku punkty zagrożenia Zaproponuj odpowiednią architekturę Jakich technologii byś użył

14 Wyzwania Ochrona istniejących systemów: Co można zrobić aby ochronić dotychczas niechronione elementy? Jak zapobiegać podłączeniu urządzeń do sieci? Jak zapobiegać nieautoryzowanemu dostępowi? Zapewnienie bezpiecznego zdalnego dostępu Jak można zapewnić bezpieczne połączenie do sieci zdalnej? Jaka jest pewność iż dane nie są modyfikowane? Jak zapewnić poufność informacji? Standardy Na który standard powinienem zwrócić uwagę? Są to typowe pytania, przed którymi stoją użytkownicy przy konieczności zabezpieczania sieci przemysłowych

15 Standardy bezpieczeństwa General Industrial Automation: ISA / IEC Smart Grid: NERC CIP V5

16 Struktura ISA/IEC For Network System Secure Zones and Conduits Define security level 1-4 For Network Equipment: Technical security requirement

17 Players and Responsibilities Source: ISA99

18 Kiedyś: Mury i baszty Baszta Barbakan Mur obronny 18

19 Dzisiaj: Obiekt Strefa Komórka Secured Network Multi-layer defense in depth Plant-wide security coverage 19

20 Ochrona warstwami Confidential 20

21 Sieci przemysłowe Implementacja Cybersecurity w sieci przemysłowej: Stosowanie procesu życia dla bezpieczeństwa Ocena zagrożeń Wdrożenie środków zapobiegawczych i weryfikacja Monitoring i konserwacja Segmentacja sieci Dzielenie sieci na segmenty fizyczne i logiczne o podobnych wymaganiach bezpieczeństwa Określenie interakcji pomiędzy strefami Wymagania urządzeń Identyfikacja dozwolonego ruchu w kanałach Wymagania bezpiecznej komunikacji

22 Sieci przemysłowe Implementacja Cybersecurity dla urządzeń końcowych: Autentykacja Zcentralizowane zarządzanie użytkownikami Autentykacja Radius i TACACS+ Autoryzacja Tylko zautoryzowane urządzenia mogą być podłączone Wyłączenie nieużywanych portów 802.1X MAC address control na porcie Integralność danych i szyfrowanie HTTPS, disable HTTP Use SSH, disable TELNET Use SNMPv3, disable SNMPv1/v2

23 MOXA Security Funkcje bezpieczeństwa Poziom sieci RADIUS Login Authentication: - Support PAP and CHAP RADIUS / TACACS+: - Support primary & backup servers & local account accessibility RADIUS Authentication: - Support 802.1X PEAP-MS-CHAP V2 MAC Sticky / Port Violation Shutdown Poziom urządzeń Access Control List 802.1X MAC Authentication Bypass (MAB) Static Port Lock Enhancement NTP Authentication 23

24 Narzędzia

25 VPN Autentykacja Weryfikacja danych Integralność danych Szyfrowanie/deszyfrowanie Ochrona prywatności/poufność Site to Site Client to Site Office LAN Internet Office LAN Remote User Internet Office LAN 25

26 VPN - IPSec oraz L2TP Bezpieczny tunel VPN pomiędzy LAN to LAN IPSec (IP Security) Bezpieczny tunel VPN dla zdalnej obsługi L2TP (Layer 2 Tunnel Protocol) Roaming Engineer (Dynamic IP)

27 Firewall - koncepcja Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania WAN <-> LAN LAN <-> LAN Port <-> Port Tworzenie ograniczeń dla usług sieciowych Akceptacja wyłącznie ruchu wymaganego przez

28 Firewall WAN LAN Zewnętrzny lub niechroniony obszar Akcept lub Odrzucenie Firewall Policy: Incoming/outgoing IP/MAC Protocol (TCP, UDP ) Source IP/Port Destination IP/Port Wewnętrzny bezpieczny obszar

29 NAT - Network Address Translation Pozwala na ukrycie wewnętrznych adresów IP dotyczących krytycznej infrastruktury Zewnętrzny użytkownik widzi tylko adres po translacji Moxa N-to-1 NAT Port forwarding NAT 1-to-1 NAT Confidential

30 1-1 NAT Większe bezpieczeństwo system Idealny dla aplikacji przemysłowych Umożliwia takie same adresacje dla wielu obiektów

31 Wykorzystanie: Firewall & VPN Communication Network Centrum zarządzania VPN tunnel Obiekt/Fabryka Firewall PLC/IO Network Control Network Broadcast Storm Attack from public network Unauthorized connection Malfunctioning PLC VPN - szyfrowanie danych Serwer dla dynamicznych połączeń VPN Protokoły: IPSec, L2TP, PPTP Ochrona nieautoryzowanego dostępu (PLC, RTU, DCS) Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci

32 Obiekt Strefa Komórka Router Firewall Router Firewall Bridge Firewall Source: Honeywell

33 6 faz ataku - ćwiczenie

34 Wykonanie przemysłowe v komercyjne Klasa przemysłowa Klasa biznesowa Urządzenia docelowe Środowisko pracy Filtrowanie treści RTU, PLC & DCS, krytyczne urządzenia przemysłowe Systemy SCADA, sieci kontrolii Wysokie zakłócenia EMC/EMI, przepięcia Wykonanie pasywne, wysokie temperatury Kurz, wstrząsy, wibracje Zasilanie napięciem stałym IP filtering/port filtering Protokoły przemysłowe Modbus/TCP, PROFINET, EtherNet/IP, Foundation Fieldbus, Lonworks Komputery, serwery danych Ochrona przed wirusami Środowisko biurowe, pomieszczenia klimatyzowane IP filtering/port filtering HTTP, , POP, SMTP MSN, Skype, Facebook, Game...

35 Industrial Firewall Solutions in a Smart Factory Tailored for Controlling Industrial Protocol Traffic FPS Throughput Firewall between enterprise network and plant network FPS Throughput Firewall between different function zones FPS Throughput Firewall between devices to isolate the unnecessary traffic

36 Wydajność Test 256 Reguł firewall (FPS) Max. Wydajność Max. Wydajność Max. Wydajność 82.44Mbps 153.8Mbps 283Mbps Test opóźnienia@ 256 Reguł firewall (ms) Opóźnienie < 256 Reguł firewall

37 Jak Moxa spełnia IEC Moxa zapewnia gwarancje bezpieczeństwa rozwiązania na wszystkich poziomach Moxa Cyber Security Response Team (C.S.R.T.) Firmware upgrades Installation & Maintenance Support Network Management System: MxView Security-oriented network consulting and training Moxa Security Guideline V2.0 User aware log management Brute Force attack protection

38 Moxa Cybersecurity- wytyczne Istniejące standardy bezpieczeństwa ISA99/IEC62443 oraz NERC-CIP są śledzone i na bieżące implementowane do ustanowionych wewnętrznie jednolitych wytycznych projektowanie wszystkich urządzeń sieciowych ISA 99 / IEC NERC-CIP Moxa Networking Security Design Guideline V2.0

39 Moxa Security Solution IEC Level 2 Compliant IEC Standard Moxa Security Guideline IEC LV2 Compliant System Notification Password Policy Account Lockout Log Management Interface Management Configuration Encryption Certification Import 39

40 EDR in 1 Dotychczasowe rozwiązania EDR-810 Ethernet switch x 1 Secure router x 1 Multi-port secure router x 1 Korzyści -Oszczędności - Przestrzeń Confidential

41 Firewall -Moxa Czy firewall może? Filtrować protokoły przemysłowe Zapewnić alarmowanie w czasie rzeczywistym Łatwa i intuicyjna konfiguracja Brak konieczności przeprojektowywania Quick Wizard

42 Kreator konfiguracji firewalla One Click for port type change Krok 1 Krok 2 Krok 3 Krok 4 Krok 5 Definicja typu portów (tryby WAN/LAN/Bridge) Zdefiniowanie adresu IP - zarządzanie Zdefiniowanie portu WAN Wybór usług sieciowych Reguły firewall Koniec! 42

43 Versatile Firewalls Needed! Routed firewall Firewall at network perimeter needs WAN and LAN ports Transparent firewall Bump-in-the-wire firewall without need for network change Hybrid mode firewall Located at network perimeter still filtering packets between some LAN ports. Non-trusted Zone Trusted Zone

44 Firewall Policy Check Automatyczne kontrola czy brak jest konfliktów w regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom

45 Quick Automation Profile Predefiniowane numery portów TCP/UDP dla protokołów przemysłowych

46 Inspekcja pakietów Modbus Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji Modbus Command / Response - Slave ID - Function Code - Address Range

47 Inspekcja pakietów Modbus

48 Alarmowanie w czasie rzeczywistym Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie łatwiejszym Local DB

49 Zapamiętaj Moja sieć to mój zamek Zrozum i poznaj swoją sieć Poznaj jej działanie, relacje Myśl w ramach stref, komórek Moxa pokrywa poziomy bezpieczeństwa od poziomu wenętrznej polityki, procesów produkcji po finalny system i komponent Właściciel infrastruktury, operator, integrator oraz dostawca sprzętu mają dedykowane role w zapewnieniu bezpieczeństwa sieciowego

50 Zapewnienie bezpieczeństwa sieciowego i uruchomienia takich samych linini w fabryce stali Potrzeba: Izolacja i separacja ruchu pomiędzy różnymi procesami produkcji oraz liniami produkcyjnymi aby zapobiegać nieoczekiwanym zachowania i wzajemnym wpływem Firewall musi zapewniać możliwość filtrowania ruchu pomiędzy 4 różnymi podsieciami Praca w trudnych warunkach temperaturowych Key Feature Firewall, NAT, wydajność Dlaczego Moxa? Secure Router wraz ze zintegrowanym switchem, 8 portów Temperatura pracy Firewall LAN to LAN, WAN to LAN Focused product: EDR-810-T and EDR-G903-T Enterprise network SCADA Servers DMZ Production Line 1 Process Control Network Production Line 2 Process A, LAN A Process B, LAN B Process C, LAN C Process A, LAN A Process B, LAN B Process C, LAN C

51 Dziękuję 51