zania z zakresu cyberbezpieczeństwa systemów w SCADA

Transkrypt

1 Zagrożenia i rozwiązania zania z zakresu cyberbezpieczeństwa systemów w SCADA

2 Agenda 1. Zagrożenia bezpieczeństwa i podatności po stronie SCADA 2. Wektory i anatomia ataku na SCADA 3. Rozwiązania prewencji i odpierania ataków

3 Dlaczego sieci SCADA sąs zagrożone one i co powoduje trudności w ich zabezpieczaniu? Stałe zagrożenia Hakerzy Cyberwojna Szpiegostwo przemysłowe Malware Użytkownicy Sabotaż Podatności inne w każdej sieci Słabe zabezpieczenie pomiędzy IT a OT Brak odpowiedniego uwierzytelniania

4 Źródła ryzyka i zagrożeń Ogólnie dostępna wyszukiwarka podatności w sieciach i systemach Wiodąca kategoria wyszukiwania systemy ICS

5 Czy moja sieć i systemy sąs zagrożone one? Czy moje systemy zostały już zaatakowane? Kiedy moja sieć zostanie zhakowana? Czy wiem, że moja sieć została zaatakowana?

6 Przykłady udanych cyber ataków 2003 robak Slammer wyłączył na 5 godzin system bezpieczeństwa elektrowni atomowej w USA 2008 Stuxnet kompleks energetyczny w Buszehr (Iran) 2008 wybuch ropociągu Baku Tbilisi Ceyhan 2014 koń trojański BlackEnergy wykryty w komputerach w Polsce 2015 w jednej z hut w Niemczech nie można było wygasić pieca w sposób kontrolowany 2015 blackout na Ukrainie w obwodzie oddalonym 200 km od Przemyśla mieszkańców zostało pozbawionych dopływu prądu na kilka godzin foto: newsbaku.info

7 Anatomia ataku na SCADA Instalacja APT Konfiguracja kanałów w sterujących (C&C) Czekanie Testowanie możliwo liwości ataku Określenie wartości mogących doprowadzić do zniszczeń ATAK Uzyskanie nieautoryzowanego dostępu Atak na sieć IT Rekonesans Szczegóły y o firmie Namiary na interfejsy webowe Identyfikatory urządze dzeń Poświadczenia Adresy IP serwerów w SCADA Jakie sąs krytyczne komponenty Mapowanie sieci sterującej na fizyczne elementy sieci

8 Defence in Depth wielowarstwowa ochrona sieci Defence in Depth czyli rozproszona ochrona sieci 1.Wiele warstw obrony Nie opiera się na pojedynczym punkcie ochrony niezależnie jak dobry by był 2.Różne warstwy ochrony Każda warstwa musi być całkiem inna od pozostałych Zabezpieczenia fizyczne Ochrona na styku różnych sieci i na styku z siecią publiczną Ochrona aplikacji przed złośliwym oprogramowaniem Dostęp do sieci po uwierzytelnieniu i weryfikacji praw dostępu 3.Stosowanie rozwiązań ochrony specyficznych dla aplikacji i zagrożeń Projektowanie zabezpieczeń dostosowanych do chronionych zasobów 4.Monitorowanie sieci, wykrywanie włamań systemy SIEM i IDS 5.Ludzie przeszkolony personel 6.Procedury na wypadek ataku Security by Design projekt systemu od początku powinien uwzględniać elementy bezpieczeństwa

9 Defence in Depth zabezpieczenia w różnych r warstwach Warstwa Ochrona fizyczna Sieć Komputer Oprogramowanie Urządzenia Rozwiązania Zabezpieczenie dostępu do pomieszczeń, alarmy, CCTV Segmentacja sieci w warstwie L2 za pomocą VLAN ów (przełączniki zarządzalne L2) Podział sieci na podsieci IP (router y, przełączniki zarządzalne L3) Podział sieci na strefy bezpieczeństwa (firewall e, przełączniki warstwy L3 z wbudowanym firewall em) Kontrola dostępu uwierzytelnianie użytkowników (Radius, Authentication Proxy Access) Szyfrowanie transmisji podczas zdalnego dostępu i pomiędzy oddalonymi lokalizacjami (VPN) Ochrona punktów końcowych (Firewall e ACL, SPI, DPI, Scada Firewall) Wizualizacja, monitorowanie i wykrywanie włamań w sieci (isid, SIEM) Oprogramowanie antywirusowe/antymalware i ochroną przed obcymi nośnikami pamięci, Ochrona przed podmianą modułów aplikacji (podpisane cyfrowo) Wbudowane mechanizmy bezpieczeństwa (tylko nowe urządzenia)

10 Defence in Depth identyfikacja zagrożeń i podatności Identyfikacja zagrożonych miejsc w sieci: Styk z Internetem Zdalni pracownicy Styk pomiędzy IT i OT Łącza WAN

11 Defence in Depth segmentacja sieci i podział na strefy L2 VLAN y L3 Firewall e

12 Defence in Depth SCADA Firewall Zabezpieczanie protokołów przemysłowych poprzez zastosowanie Scada Firewalli

13 Defence in Depth VPN + APA Zabezpieczenie zdalnych dostępów za pomocą: Tuneli VPN Uwierzytelniania użytkowników APA

14 Defence in Depth isid jako przykład SCADA IDS Wizualizacja i monitorowanie sieci Systemy SCADA IDS Systemy SIEM Port mirroring TAP y sieciowe (Intelligent Probe)

15 Firewall podstawowy element bezpieczeństwa Firewall SPI działa na każdym porcie przełączników warstwy L3 firmy Westermo. VLAN xxx VLAN 1 VLAN 4 Połączenie z sieci korporacyjnej xxx VLAN xxx VLAN xxx

16 Firewall DPI, SCADA Firewall, Rozproszony Firewall Radiflow 1031 i 3180 SCADA Firewall Firewall DPI (Deep Packet Inspection) Detekcja oparta o sygnatury Detekcja anomalii w ruchu sieciowym Tryby pracy: nauka reguł monitorowanie, filtrowanie Filtrowanie protokołów SCADA IEC 101 / 104 Radiflow 3180 SCADA Firewall VPN Gateway Legacy Gateway IEC MMS Radiflow 1031 Modbus RTU Router Modbus TCP L3 DNP3 RTU DNP3 TCP Switch L2

17 Bezpieczna łączenie obiektów w poprzez sieć publiczną VPN client to to site i site to to site Virtual Private Network IPSec VPN SSL / OpenVPN mgre DM VPN Zabezpieczenie dostępu zdalnego Bezpieczne łączenie oddalonych sieci

18 Uwierzytelniający serwer proxy jako rozwiązanie zanie bezpiecznego zdalnego dostępu Authentication Proxy Access (APA) Uwierzytelnianie zdalnych użytkowników na poziomie bramy zainstalowanej w wyniesionym obiekcie Ograniczony dostęp do urządzeń dostęp nadawany po uwierzytelnieniu i zgodnie z profilem, do którego przypisano użytkownika Logowanie aktywności użytkownika SCADA2 SCADA1 centrala Obiekt zdalny Ethernet IED Technik Uwierzytelnianie. Profile. Logi. rs232 Ethernet RTU PLC

19 isid jako przykład systemu IDS dla sieci SCADA Intrusion Detection System (system wykrywania włamań do SCADA) Element obrony Defence in Depth Działa w oparciu o kopię ruchu sieciowego Wizualizacja sieci Urządzenia Topologia Protokoły Przepływy Monitorowanie i analiza komunikacji sieciowej Wykrywanie włamań i anomalii w ruchu sieciowym Statystyki

20 isid funkcjonalność Network Visibility wykrywanie nowych urządzeń i połączeń wykrywanie zmian topologii skanowanie pasywne oraz aktywne, podgląd zdarzeń z wszystkich sieci Signature based Detection Wykrywanie znanych ataków w oparciu o sygnatury (znane podatności PLC, znane luki protokołów) Aktualizacje sygnatur Anomaly Detection Rozpoznawanie częstości komunikacji urządzeń Pasywny model identyfikacji Wykrywanie niezgodnych z kolejnością komend Wykrywanie skanowania PLC Maintenance Management Centralne zarządzenia operacjami/akcjami Kreowanie polityk w oparciu o ramy czasowe Monitorowanie operacji oraz scenariuszy zdarzeń Measuring Operational Wykrywanie niestandardowych opóźnień Wykrycie niestandardowych ilości utraconych pakietów Wykrycie niestandardowej częstotliwości ponownych transmisji Virtual Firewall Konfiguracja reguł dla Firewall i Dodatkowa kreacja dynamicznych reguł polityki dopuszczeń czasowych Bramy RADiFlow umożliwią operatorowi wymuszenie polityk bezpieczeństwa

21 Tekniska Polska Sprawdzone produkty z zakresu przemysłowej transmisji danych Przełączniki i routery do zastosowań przemysłowych w energetyce, automatyce, przemyśle wydobywczym, transporcie Rozwiązania dla cyberbezpieczeństwa przemysłowego Modemy i routery do transmisji bezprzewodowej Wi Fi, GSM/3G/LTE Konwertery mediów (Ethernet, łącza optyczne, SHDSL) Usługi Dobór i optymalizacja rozwiązań Wsparcie i konsultacje techniczne Przygotowanie testów Szkolenia Uruchomienia Szczegóły na naszych stronach Internetowych

22 Dziękuj kuję za uwagę zapraszam do dyskusji Stefan Bednarczyk Kierownik Działu u Technicznego stefan.bednarczyk@tekniska.pl Marcin Skórka Inżynier sprzedaży marcin.skorka@tekniska.pl