Dlaczego tyle... Modeli/sposobów/twarzy/momentów

Transkrypt

1 Cisco IOT Security

2 Dlaczego tyle... Modeli/sposobów/twarzy/momentów Podejście zadaniowe Mam konkretny kejs Mam opisane możliwe rozwiązanie Wybieram najlepsze Podejście technologiczne Znam konkretną technologię Podejmuję wyzwanie wykorzystania jej w sieciach OT/IOT Podejście architektoniczne Korzystam z rekomendowanych architektur

3 Cisco IOT Security Podejście Zadaniowe

4 Podejście zadaniowe czyli typowe scenariusze Oddzielenie sieci OT od IT Separacja segmentów OT Separacja OT od innych sieci wspomagających Inspekcja komunikacji OT Zdalny dostęp Segmentacja i szyfrowanie danych Dostęp osób trzecich w zdalnych obiektach Etc....

5 Cisco IOT Security Zdalny dostęp do sieci ICS kontra Dostęp lokalny do zdalnej sieci ICS

6 Bezpieczeństwo połączenia Zastosowanie Lokalny dostęp do sieci w zdalnych obiektach Komunikacja wychodząca Fabryki Stacje energetyczne Zdalny dostęp do sieci w obiektach Komunikacja przychodząca Fabryki Stacje energetyczne Dodatkowe funkcjonalności Threat Detection and Mitigation

7 Dostęp do sieci komunikacja wychodząca Zapewnienie bezpiecznego i kontrolowanego dostępu w zdalnych obiektach Zastosowanie w IoT Zarządzanie dostępem dla zdalnych pracowników na stacji energetycznej Dostęp pracownika/podwykonawcy/gościa do sieci w zdalnej fabryce Dostęp dla sieci dla pracowników utrzymania Wymagania 1. Sprawdzenie tożsamości 2. Kontrola/ograniczenie dostępu do zasobów 3. Kontrola pasma

8 Dostęp do sieci komunikacja wychodząca Kroki Narzędzia Produkty Uwagi Sprawdzenie tożsamości 802.1x Mac Authentication Bypass (MAB) Port Security ze statycznym MAC IE2000 (&IE4000) IE2000U IE3000 IE3010 (&IE5000) CGS2520 MAB stosowany względem klientów bez suplikanta 802.1x np. PLC i innych urządzeń końcowych IoT Kontrola / ograniczenie dostępu do zasobów VLAN ACL IP based, rozszerzone dla filtracji per port per protokół, stosowane per VLAN Time based ACL czasowa filtracja IE2000 (&IE4000) IE2000U IE3000 IE3010 (&IE5000) CGS2520 CGR2010 ASR90x 819H (829) ACL na routerach brzegowych ograniczające dostęp do zasobów zewnętrznych np. Interenetu (IP based & Time based) Kontrola pasma Rate limiting QoS Traffic shaping & policing IE2000 (&IE4000) IE2000U IE3000 IE3010 (&IE5000) CGS2520 Rate limiting i polityki QoS na przełącznikach dostępowych ograniczające pasmo i dopuszczające konkretny typ ruchu

9 Sprawdzenie tożsamości Internet Funkcja celu AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco ASA 5500 Patch Management, Terminal Services, Application Mirrors, AV Servers Enterprise Network Dopuszczenie tylko znanych urządzeń Levels 4 5 Ograniczenie liczby urządzeń, które mogą być dopięte per port DMZ Zapobieganie by Level urządzenia 3.5 nieznane/rogue nie mogły dołączyć się do sieci 802.1x WLC Cisco Catalyst 6500/4500 Narzędzia Level x MAB Port Security (static mac) AP Cisco Cat. 3750X Contractor Contractor Uwierzytelnienie 802.1x na portach dostępowych przełączników MAB dla endpointów które nie posiadają suplikantów Levels x Port security ze statycznymi MAC address dla statycznych urządzeń końcowych

10 Kontrola i ograniczenie dostępu do zasobów access-list 101 permit tcp eq telnet timerange EVERYOTHERDAY time-range EVERYOTHERDAY periodic Monday Wednesday Friday 8:00 to 17:00 VLAN 10 Si Internet Time & IP based ACLna routerze brzegowym VLAN 20 Funkcja celu: Blokowanie dostępu do zasobów, które nie są przewidziane do prac serwisowych sieć biurowa, urządzenia innych dostawców Blokowanie podwykonawcy możliwości wykorzystania sieci przemysłowej do dostępu do internetu access-list ctrl-zone permit <contractor> <sis-controller> <protocol-modbus> Podwykonawca VLAN 10 VLAN 10 I/O VLAN 20 Controller VLAN 20 I/O VLAN 10 HMI PTP VLAN 10 Drive Narzędzia 1. VLANy konfiguracja portu dostępowego ograniczająca dostęp tylko do jednego vlan 2. IP & VLAN ACL na przełączniku dostępowym pozwalające na dostęp do wskazanego VLAN lub konkretnego IP 3. Time & IP ACL na routerze brzegowym dla zablokowania dostępu do internetu

11 Dostęp do sieci Komunikacja przychodząca Zapewnienie bezpiecznego i kontrolowanego dostępu do sieci przemysłowych z internetu Zastosowanie w IOT Zdalny dostęp inżynierski do stacji energetycznej (prace serwisowe / utrzymaniowe) Zdalny dostęp do systemów automatyki w fabrykach dla dostawców systemów, producentów linii produkcyjnych, partnerów Dostęp do sieci przemysłowej z sieci biurowej Bezpieczena komunikacja Site-to-Site pomiędzy stacjami energetycznymi a centrum kontroli Wymagania 1. Sprawdzenie tożsamości i roli 2. Poufność (prywatność) i integralność danych 3. Kontrola/ograniczenie dostępu do zasobów

12 Dostęp do sieci Komunikacja przychodząca Kroki Narzędzia Produkty Uwagi Sprawdzenie tożsamości i roli Remote access VPN (IPSec, SSL VPN) Site-to-Site IPSec VPN Uwierzytelnienie VPN lokalne Przez serwer (RADIUS, Microsoft AD) CGR H, 829 Stratix 5900 ASA Firewall AnyConnect Site-2-site vpn pomiędzy Stacjami energetycznymi Sieć produkcyjna/przemysłowa do control center/sieć administracyjna Remote Access VPN dla pracowników / partnerów / dostawców AnyConnect Thin Client Client less Poufność i integralność danych SSH VPN Encryption AES, DES/3DES CGR2010, 819H, 829 Stratix 5900, ASA Firewall, AnyConnect Kontrola i ograniczenie dostępu do zasobów ACL VLAN QoS Traffic shaping & policing IE2000 (&IE4000) IE2000U,IE3000 IE3010 (&IE5000) CGS2520, CGR2010, 819H, 829, Stratix 5900, ASA Firewall

13 Dostęp do sieci Komunikacja przychodząca Secure Business Partner Network Enterprise OT network Internet -> Enterprise -> OT network Clientless, thin client, thick client VPNs Dostęp inżynierski Przez VPN OMS OMS Prywatny WAN Service Provider WAN Enterprise Internet Enterprise Extranet Enterprise WAN S S L V P N Link Failover IPSEC Enterprise Edge Firewall Dostęp inzynierski z sieci biurowej Internet Office Domain Enterprise Zone Levels 4 and 5 DMZ Gateway PROTECTION & CONTROL RTU Relay PMU OMS Teleprotection Substation Automation Network OMS DISTRIBUTED SERVICES AMI/DA Switch Stack EtherNet/IP Remote Access Server Production Zone Plant Production Ops Operations and Control Level 3 Cell/Area Zones / Levels 0 2

14 Sprawdzenie tożsamości i kontrola dostępu Dostawca Serwer uwierzytelnienia OMS OMS Utility Private WAN PROTECTION & CONTROL RTU Relay PMU OMS Teleprotection Service Provider WAN Gateway Sieć na stacji energetycznej Secure Business Partner Network Pracownik OMS DISTRIBUTED SERVICES Enterprise Router brzegowy -ACL kontrolujący przepływy ruchu AMI/DA Cisco ASA Uwierzytelnienie użytkownika - lokalna baza użytkowników / RADIUS/LDAP/ AD Dostęp do VLAN x Funkcja celu: Uwierzytelnienie zdalnego użytkownika Klasyfikacja zdalny pracownik, partner, dostawca, producent linii Autoryzacja i kontrola dostępu Narzędzia: Zestawienie VPN do ASA/routera brzegowego w organizacji. Bezpieczne narzędzia dostępu AnyConnect (pracownicy) Clientless VPN (dostawcy/podwykonawcy) Uwierzytelnenie oparte o Lokalną bazę użytkowników Opcjonalnie z RADIUS, LDAP, MS AD Przypisanie VLANu dostępu Dostawcy ->PROTECTION &CONTROL Pracownicy -> cała sieć (???) Kontrola dostępu ACL na routerach dostępowych i/lub przełącznikach rdzenia/dystrybucji

15 Poufność i integralność danych SIEM DB SCADA OMS EMS Directory Services Certificate Authority Identity Services Engine NMS Eng Control Center, SCADA Access Control Security Services MEDIA SERVER VIDEO ANALYTICS Management, NOC Data Center, Enterprise Apps Przepływ danych poufnych przez media publiczne, 1. Szyfrowanie dla zapewnienia poufności danych, 2. Integralność danych - SHA 1 & 2 3. Uwierzytelnienie pochodzenia danych DH dla wymiany kluczy Utility Private WAN (MPLS,SDH/PDH) Service Provider WAN (MPLS/GPRS/3G/4G) Bezpieczne storage kluczy szyfrujących Szyfracja danych AES, 3DES, SSL, TLS Połaczenia szyfrowane (Site-to-site) AES, 3DES Szyfrowany zdalnyc dostęp (TLS lub SSL lub IPSec ) RTU Relay PMU Teleprotection Relay PROTECTION & CONTROL HMI OMS ENG/SYS MULTI SERVICE Sieć na stacji energetycznej DISTRIBUTED SERVICES OMS

16 Cisco IOT Security Podejście technologiczne Inaczej Mapowanie technologii

17 Mapowanie technologii Continuum Ataku BEFORE Kontrola Wymuszenie Wzmocnienie DURING Wykrycie Blokowanie Ochrona AFTER Określ zakres Wyizolowanie Remediacja Firewall VPN NGIPS Advanced Malware Protection NAC + Identity Services Posture Assessment Anomaly Detection Network Behavior Analysis Widoczność i kontekst

18 Kontrola dostępu do sieci NAC + Posture Assessment

19 Kontrola dostępu do sieci = Centralna polityka dla LAN, WLAN i VPN R/A Endpoint ISE PSN ISE ADMIN/ MnT ISP WLC AP Internet AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco Catalyst 6500/4500 Cisco Cat. 3750X Cisco ASA 5500 Patch Management, Terminal Services, Application Mirrors, AV Servers Model zastosowania = centralizacja Enterprise kontroli Network ze względu Levels na miejsce 4 5 przyłączenia urządzenia. 1) Wprowadzenie ISE do sieci na level 3 DMZ 2) Wykorzystanie RADIUS Level 3.5 3) Centralizacja polityki dostępu / uprawnień 4) Pełne raportowanie widoczność wszystkich Level 3 endpointów w sieci. -- Rodzaj urządzenia -- nazwa użytkownika/mac/ip -- miejsce uwierzytelnienia Levels 0-2 Contractor Contractor

20 R/A Endpoint Zdalny dostęp użycie ISE dla centralnego uwierzytelnienia i autoryzacji ISE ADMIN/ MnT ISP Internet AD MDM DNS FTP Gbps Link for Failover Detection Patch Management, Terminal Services, Application Mirrors, AV Servers ISE + ASA -- wykorzystanie CoA -- centralny punkt definiowania polityk ASA 55XX ASA 55XX WLC Cisco Catalyst 6500/4500 Cisco Cat. 3750X ISE PSN AP Contractor Contractor

21 R/A Endpoint ISE PSN 3 Posture assessment dla urządzeń końcowych ISE ADMIN/ MnT ISP WLC Internet AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco Catalyst 6500/4500 Cisco Cat. 3750X Cisco ASA 5500 Patch Management, Terminal Services, Application Mirrors, AV Servers POSTURE 1) Tradycyjne urządzenia końcowe (nie iot) 2) Weryfikacja że maszyna jest czysta + zgodna z polityką 3) Endpoint próbuje uzyskać dostęp do sieci 4) NAD - ISE 5) Sprawdzenie urządzenia końcowego 6) Sprawdzenie posture urządzenia końcowego. 2 AP 1 Contractor Contractor

22 Wykrywanie anomalii + lepsza widoczność per zone Anomaly Detection Intrusion Detection

23 Faza During: Pasywne skanowanie sieci Industrial Control Networks (ICS) Wyzwanie Odpowiedź Sieci ICS powinny być statyczne, ale zwykle trudno to zweryfikować Urządzenia ICS są dedykowanymi rozwiązaniami i nie mają nadmiaru zasobów systemowych Typowe metody dla IT discovery mogą przeciążyć urządzenia a nawet doprowadzić do jego wyłączenia (w tym zainstalowanego systemu operacyjnego) Pasywne profilowanie sieci Nie wprowadza latencji pomiędzy urządzeniami i systemem zarządzania Wpisanie na Whitelist elementów znanych i alarmowanie o anomaliach

24 ISE PSN Intrusion Detection - Anomaly Detection na pozimie L2 (SP99) ISE ADMIN/ MnT ISP WLC Internet AD MDM DNS FTP Firewall Cisco Catalyst 6500/4500 Cisco Cat. 3750X Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers ANOMALY DETECTION 1) Sprawdzenie 5 urządzeń poprzez L2, IDS, bez wprowadzenia dodatkowego opóźnienia 2) Wprowadzenie widoczności dla zone 3) Wiedza o zone możliwość wykrywania anomalii 4) Kontrolowane przez Defence Center AP HMI Contractor Contractor

25 Wzmocnienie ochrony DMZ Intrusion Prevention + Malware Defense

26 Dodanie IPS do firewalla chroniącego DMZ ISE PSN ISP WLC ISE ADMIN/ MnT Internet AD MDM DNS FTP Firewall Cisco Catalyst 6500/4500 Cisco Cat. 3750X Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers Ochrona DMZ 1) Segmentacja względem sieci biurowej oraz punktu terminowania połączeń Remote Access. 2) Firepower dodanie funkcjonalności do ASA 3) Wprowadzenie IPS i narzędzi antimalware 4) ASA kontroluje połączenia 5) Unikalne polityki IPS policies per grupa AD /użytkownik 6) Whitelisty per aplikacja z wykorzystaniem identity AP HMI Contractor Contractor

27 Ochrona przed Malware TALOS CSI ISE PSN WLC ISE ADMIN/ MnT ISP AP AD MDM 1 Internet DNS FTP Firewall Cisco Catalyst 6500/4500 Cisco Cat. 3750X Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers MALWARE 1) FireAMP zwiększa widoczność i wprowadza dodatkową linię obrony 2) W pierwszej kolejności wprowadzenia AMP na sensorach IPS 3) Okreslenie drogi wejścia (pacjent zero) 4) Określenie które systamy są zarażone (file trajectory) 5) Określenie typu zagrożenia (file analysis) 6) Określenie przyczyn infekcji 7) Zapezpieczenie systemu przed ponowną infekcją (blokowanie plików, custom sigs, custom white lists, blokowanie komunikacji call home). HMI Contractor Contractor

28 Ochrona HMI/Historian Advanced Malware Protection = FireAMP

29 ISE PSN Zabezpieczenie HMI + Historian + serwerów ISP WLC ISE ADMIN/ MnT Internet AD MDM DNS FTP Firewall Cisco Catalyst 6500/4500 Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers FireAMP 1) Kolejny krok wprowadzenia AMP dfor Endpoint 2) AMP dla HMI/Historian 3) Blokowanie podejrzanych programów / procesów Historian Cisco Cat. 3750X AP HMI Contractor Contractor

30 Pracownicy kontra dostawcy jak ich rozdzielić TrustSec

31 R/A Endpoint ISE PSN TrustSec SGT ISE ADMIN/ MnT ISP WLC Internet AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco Catalyst 6500/4500 Cisco Cat. 3750X Cisco ASA SGT/IP Binding Table IP Address SGT SRC Local Local 4 Przypisanie znacznika TRUSTSEC wykorzystanie infrastruktury Cisco 1) Dostawca chce uzyskać połaczenie 2) ISE sprawdza urządzenie końcowe 3) IE3K nie może dodać SGT 4) Zapięcie sesji SXP do ) Szybki i prosty sposób zróżnicowania pracownika od dostawcy bez konieczności wcześniejszej konfiguracji VLAN/ACL dla firm zewnętrznych AP 2 IE3K Contractor 1 Contractor

32 R/A Endpoint Zdalny dostęp Clientless dla dostawców ISE ADMIN ISP Internet AD MDM DNS FTP Gbps Link for Failover Detection ASA 55XX ASA 55XX Patch Management, Terminal Services, Application Mirrors, AV Servers CLIENTLESS PORTAL -- dla dostawców/podwykonawców -- oparty o przeglądarkę -- wystawienie odnośników (Bookmark) w oparciu o uwierzytelnienie ISE PSN WLC Cisco Catalyst 6500/4500 Cisco Cat. 3750X AP Contractor Contractor

33 Łącząc to w całość...

34 Identity Services IT/OT - Elementy konwergencji Security Enterprise Network Levels 4 5 Internet Web Apps DNS FTP Cloud-based Threat Protection Całościowe wymuszenie polityki w sieci Access Control (na poziomie aplikacji) Demilitarized Zone Level 3.5 Firewall (Active) Gbps Link for Failover Detection Firewall (Standby) Patch Mgmt. Terminal Services Application Mirror AV Server VPN & Remote Access Next-Generation Firewall Intrusion Prevention (IPS) Manufacturing Zone Level 3 Factory Application Servers Cell/Area Zone Levels 0 2 Core Switches Aggregation Switch Access Switch ISE Network Services Stateful Firewall Intrusion Protection/Detection (IPS/IDS) Systemy bezpieczeństwa fizycznego Drive Controller HMI Distributed I/O Cell/Area #1 (Redundant Star Topology) Layer 2 Access Switch Controller Cell/Area #2 (Ring Topology) HMI Drive HMI Distributed I/O Cell/Area #3 (Linear Topology) Controller Drive Przemysłowy Firewall Przemysłowy Intrusion Protection (IPS) Zdalny monitoring / wideomonitoring Zarządzenie SW, zasobami i konfiguracją

35 Podejście architektoniczne...czyli sa gotowe architektury

36 Cisco Connected Factory

37 Cisco Connected Substation

38 Cisco Connected Transportation

39 Podsumowanie

40 Podsumowanie i wnioski Bez wątpienia, sieci przemysłowe są naturalnym celemi ataków APT i nie tylko Łączenie i konwergencja sieci IT oraz OT ma swoje ryzyka i korzyści. Obecnie są dostępne rozwiązania szeroko adresujące kwestie bezpieczeństwa sieci przemysłowych (defence-in-depth) Poza technologią należy położyć nacisk na Zarządzanie Reagowanie na incydenty Czynnik ludzki Bezpieczeństwo ICS jest uwzględnione w Narodowej Strategii Ochrony Cyberprzestrzeni i regulacjach dotyczących ochrony infrastruktury krytycznej.

41 Podsumowanie i wnioski Obszary technologiczne do dyskusji Ochrona styków FW, IPS, Antimalware Sieci VPN FW, IPS, Antimalware Kontrola dostępu uwierzytelnienie do sieci Ochrona HMI i serwerów w Layer 3 Monitoring segmentów IPS (pasywny) + monitoring Netflow... I co najmniej kilka kolejnych

42 Wyzwania bezpieczeństwa są wszechobecne Atakujący Nielojalni pracownicy Dynamika zagrożeń Brak zaangażowania zarządów Obrońcy Złożona sytuacja geopolityczna Niedopasowanie polityki bezpieczeństwa

43 Dziękujemy