Marek Damaszek. TAURON Polska Energia S.A.

Transkrypt

1 TAURON Polska Energia S.A.

2 Kiedy OT staje się IT Bezpieczeństwo IT w systemach automatyki

3 O mnie Specjalizuje się w zagadnieniach bezpieczeństwa teleinformatycznego. Swoje doświadczenia zawodowe zdobywał m.in. przy wdrażaniu systemu wspomagającego zarządzanie w firmie produkującej maszyny i urządzenia dla energetyki cieplnej oraz górnictwa oraz jako pracownik działu utrzymania ruchu u lidera przemysłu lekkiego. Obecnie pracuje w TAURON Polska Energia S.A. jako specjalista ds. bezpieczeństwa teleinformatycznego. Zapraszam kontaktu

4 Agenda Wstęp Wybrane błędy Zalecenia

5 OT oraz IT OT sprzęt i oprogramowanie służące do zarządzania urządzeniami produkcyjnymi oraz procesem technologicznym. Ważne parametry: Dostępność, Ciągłość działania Wydajność, Okres działania

6 CIA Poufność Dostępność Integralność Integralność Dostępność Poufność

7 IoT vs ICS

8 Podatni producenci Przykład: podatności sterówników PLC Źródło:

9 Błędy w oprogramowaniu automatyki przemysłowej wg. ICS-CERT Źródło:

10 Hasła? Opublikowana lista 116 domyślnych haseł stosowanych przez producentów systemów SCADA, SS/blob/master/scadapass.csv

11 Jak może przebiegać atak? Źródło:

12 APT i Kill Chain Systemy największego na świecie producenta uzbrojenia Lockheed Martin i innych podmiotów związanych z obronnością USA zostały skompromitowane JAK? Najpierw złamano zabezpieczenia światowej firmy Zajmującej się zabezpieczeniami tj. RSA, gdzie dokonano włamania na ich serwery i wykradziono dane związane z tokenami SecurID zapewniającymi dwuskładnikowe uwierzytelnienie.

13 Własność intelektualna F35 J20

14 Produkcja BMW stanęła przez pracowników z Polski Źródło:

15 Cyberatak na hutę w Niemczech W raporcie BSI w Niemczech za 2014 niemiecki Urząd przyznał, że nastąpił skuteczny atak na jakąś hutę. Atakujący uzyskali dostęp poprzez sieć biznesową za pomocą poczty elektronicznej i spreparowanej wiadomości(spear-phishing), a następnie przejęli dostęp do elementów sieci produkcyjnej zaburzając jej działanie przez co zablokowali możliwość bezpiecznego wygaszenia pieca hutniczego. W rezultacie doszło do nieplanowanego wyłączenie pieca i sporych zniszczeń. Jest to 2gi potwierdzony cyberatak niszczący infrastrukturę fizyczną.

16 Siemens Simatic Robak itypu USB Malware i sterownik podpisany cyfrowo Miał tylko jeden cel: irańską elektrownię atomową Zawierał wiele wyrafinowanych narzędzi Robak jest ukierunkowany na konkretne oprogramowanie Siemens SCADA Przeprogramował w Iranie w 2010r. system kontroli turbin, pomp i wirówek Zaburzył proces wzbogacania Iranu

17 Atak wymierzony w trzy przedsiębiorstwa dystrybucyjne Na podstawie:

18 ICS Cyber Kill Chain Źródło:

19 Irongate Irongate to szkodliwe oprogramowanie typu proof of concept dedykowane dla SCADa Siemensa wykryte przez firmę FireEye. Irongate nie wykorzystuje żadnych luk w zabezpieczeniach produktów firmy Siemens ale potrafi wykryć Sandboxa a żaden z ponad pięćdziesięciu najbardziej znanych antywirusów nie zaklasyfikował próbek jako złośliwe. Przez dłuższy czas działał niezauważalny.

20 Denial of Service bez Internetu? Źródło:

21 Denial of Service bez Internetu! W 2003r.robak Slammer przy pomocy automatycznych ataków DoS (ang. denial of service) na pięć godzin sparaliżował cały system, co doprowadziło do utraty kontroli nad całą elektrownią fot. Carol M. Highsmith Photography

22 Ataki na automatykę Na podstawie:

23 7 rekomendacji ICS-CERT Na podstawie :

24 1. Stosowanie listy dozwolonych aplikacji (38%) Pytanie: Czy obecna konfiguracja systemów w sieciach automatyki uniemożliwia skutecznie uruchamianie dowolnego oprogramowania? Należy stosować tzw. białe listy (ang. whitelist) aplikacji dopuszczonych do użycia i mechanizmy wykrywające i blokujące przypadki uruchomienia na komputerach (np. stacjach operatorskich) aplikacji nie znajdujących się na tych listach. Na podstawie :

25 2. Utwardzenie konfiguracji systemów i zarządzanie poprawkami (29%) Pytanie: Czy kluczowe systemy (w tym systemy operacyjne Windows stacji operatorskich) są cyklicznie aktualizowane? Należy utwardzić konfigurację komputerów pod kątem bezpieczeństwa oraz wdrożyć efektywny program zarządzania poprawkami oprogramowania, określający kluczowe z perspektywy bezpieczeństwa systemy, które powinny być cyklicznie aktualizowane oraz częstotliwość i sposób aktualizacji, zaufane źródła poprawek, obowiązek monitorowania poprawek itp. Na podstawie :

26 3. Ograniczenie powierzchni ataku (17%) Pytanie: Czy możliwe jest połączenie się z sieciami automatyki z sieci biurowej? Czy takie połączenie jest wymagane biznesowo? Należy maksymalnie ograniczać łączność sieci automatyki przemysłowej z innymi sieciami informatycznymi, w szczególności z Internetem. Należy wyłączyć nadmiarowe usługi sieciowe, nieużywane porty i akceptować jedynie wymaganą i zatwierdzoną komunikację pomiędzy systemami. Na podstawie :

27 4. Budowanie broniących się środowisk (9%) Pytanie: Czy nasze środowiska automatyki zostały posegmentowane w celu zwiększenia poziomu bezpieczeństwa? Należy tworzyć wielowarstwowe środowiska aby nawet w wypadku włamania do jednego segmentu sieci ograniczać możliwość dalszej eskalacji dostępu poprzez zabezpieczenia pozostałych segmentów. Na podstawie :

28 5. Zarządzanie uwierzytelnianiem (4%) Pytanie: Czy w naszych systemach istnieją nadmiarowe konta? Czy hasła użytkowników są długie i złożone? Czy są okresowo zmieniane? Należy wprowadzić silną kontrolę nad kontami użytkowników. Jeżeli to możliwe należy stosować dwuskładnikowe uwierzytelnianie oraz ograniczyć uprawnienia użytkowników do minimalnego poziomu wymaganego do realizacji obowiązków zawodowych. Należy stosować silne hasła, które powinny być okresowo zmieniane. Należy stosować odrębne konta w systemach biurowych i systemach automatyki. Na podstawie :

29 6. Kontrola nad dostępem zdalnym (2%) Pytanie: Czy nasi dostawcy systemów automatyki posiadają stały zdalny dostęp do tych systemów? Czy dostęp jest nadzorowany? Należy ograniczać możliwości zdalnego dostępu do systemów automatyki przemysłowej w szczególności poprzez modemy. Każdy przypadek zdalnego dostępu powinien być uprzednio akceptowany przez pracownika, nadzorowany i dopuszczony tylko w określonym czasie. Po zakończeniu zdalnych prac dostęp powinien być zablokowany. Jeżeli to możliwe należy stosować dwuskładnikowe uwierzytelnianie. Na podstawie :

30 7. Monitorowanie i odpowiadanie na ataki (1%) Pytanie: Czy prowadzone są działania monitorowania zdarzeń w systemach automatyki? Należy monitorować sytuację w systemach automatyki. Monitorowanie powinno obejmować podejrzaną komunikację zewnętrzną, podejrzany ruch sieciowy wewnątrz sieci, podejrzane zdarzenia na stacjach roboczych, analizę logowań do systemów i wykorzystania kont administracyjnych. Należy posiadać plan reakcji na incydenty. Na podstawie :

31 Zalecenia K o n t r o l a Zmiana haseł z domyślnych Dokumentacja i konserwcja Repozytorium kodów i White listy aplikacji Segmentacja sieci i DMZ Stacje przesiadkowe do VPN i rejestracja ruchu Aktualizowane antywirusy Pendrive i Laptopy IR i Backupy - DRP i BCP Wykwalifikowany i przeszkolony personel

32 No i

33 Ciekawe linki NIST.GOV : Guide to Industrial Control Systems (ICS) Security.

34 Dziękuję za uwagę,