Zagrożenia i rozwiązania zania z zakresu cyberbezpieczeństwa systemów w SCADA
Agenda 1. Zagrożenia bezpieczeństwa i podatności po stronie SCADA 2. Wektory i anatomia ataku na SCADA 3. Rozwiązania prewencji i odpierania ataków
Dlaczego sieci SCADA sąs zagrożone one i co powoduje trudności w ich zabezpieczaniu? Stałe zagrożenia Hakerzy Cyberwojna Szpiegostwo przemysłowe Malware Użytkownicy Sabotaż Podatności inne w każdej sieci Słabe zabezpieczenie pomiędzy IT a OT Brak odpowiedniego uwierzytelniania
Źródła ryzyka i zagrożeń Ogólnie dostępna wyszukiwarka podatności w sieciach i systemach Wiodąca kategoria wyszukiwania systemy ICS
Czy moja sieć i systemy sąs zagrożone one? Czy moje systemy zostały już zaatakowane? Kiedy moja sieć zostanie zhakowana? Czy wiem, że moja sieć została zaatakowana? http://www.sicherheitstacho.eu/
Przykłady udanych cyber ataków 2003 robak Slammer wyłączył na 5 godzin system bezpieczeństwa elektrowni atomowej w USA 2008 Stuxnet kompleks energetyczny w Buszehr (Iran) 2008 wybuch ropociągu Baku Tbilisi Ceyhan 2014 koń trojański BlackEnergy wykryty w komputerach w Polsce 2015 w jednej z hut w Niemczech nie można było wygasić pieca w sposób kontrolowany 2015 blackout na Ukrainie w obwodzie oddalonym 200 km od Przemyśla 80 000 mieszkańców zostało pozbawionych dopływu prądu na kilka godzin foto: newsbaku.info
Anatomia ataku na SCADA Instalacja APT Konfiguracja kanałów w sterujących (C&C) Czekanie Testowanie możliwo liwości ataku Określenie wartości mogących doprowadzić do zniszczeń ATAK Uzyskanie nieautoryzowanego dostępu Atak na sieć IT Rekonesans Szczegóły y o firmie Namiary na interfejsy webowe Identyfikatory urządze dzeń Poświadczenia Adresy IP serwerów w SCADA Jakie sąs krytyczne komponenty Mapowanie sieci sterującej na fizyczne elementy sieci
Defence in Depth wielowarstwowa ochrona sieci Defence in Depth czyli rozproszona ochrona sieci 1.Wiele warstw obrony Nie opiera się na pojedynczym punkcie ochrony niezależnie jak dobry by był 2.Różne warstwy ochrony Każda warstwa musi być całkiem inna od pozostałych Zabezpieczenia fizyczne Ochrona na styku różnych sieci i na styku z siecią publiczną Ochrona aplikacji przed złośliwym oprogramowaniem Dostęp do sieci po uwierzytelnieniu i weryfikacji praw dostępu 3.Stosowanie rozwiązań ochrony specyficznych dla aplikacji i zagrożeń Projektowanie zabezpieczeń dostosowanych do chronionych zasobów 4.Monitorowanie sieci, wykrywanie włamań systemy SIEM i IDS 5.Ludzie przeszkolony personel 6.Procedury na wypadek ataku Security by Design projekt systemu od początku powinien uwzględniać elementy bezpieczeństwa
Defence in Depth zabezpieczenia w różnych r warstwach Warstwa Ochrona fizyczna Sieć Komputer Oprogramowanie Urządzenia Rozwiązania Zabezpieczenie dostępu do pomieszczeń, alarmy, CCTV Segmentacja sieci w warstwie L2 za pomocą VLAN ów (przełączniki zarządzalne L2) Podział sieci na podsieci IP (router y, przełączniki zarządzalne L3) Podział sieci na strefy bezpieczeństwa (firewall e, przełączniki warstwy L3 z wbudowanym firewall em) Kontrola dostępu uwierzytelnianie użytkowników (Radius, Authentication Proxy Access) Szyfrowanie transmisji podczas zdalnego dostępu i pomiędzy oddalonymi lokalizacjami (VPN) Ochrona punktów końcowych (Firewall e ACL, SPI, DPI, Scada Firewall) Wizualizacja, monitorowanie i wykrywanie włamań w sieci (isid, SIEM) Oprogramowanie antywirusowe/antymalware i ochroną przed obcymi nośnikami pamięci, Ochrona przed podmianą modułów aplikacji (podpisane cyfrowo) Wbudowane mechanizmy bezpieczeństwa (tylko nowe urządzenia)
Defence in Depth identyfikacja zagrożeń i podatności Identyfikacja zagrożonych miejsc w sieci: Styk z Internetem Zdalni pracownicy Styk pomiędzy IT i OT Łącza WAN
Defence in Depth segmentacja sieci i podział na strefy L2 VLAN y L3 Firewall e
Defence in Depth SCADA Firewall Zabezpieczanie protokołów przemysłowych poprzez zastosowanie Scada Firewalli
Defence in Depth VPN + APA Zabezpieczenie zdalnych dostępów za pomocą: Tuneli VPN Uwierzytelniania użytkowników APA
Defence in Depth isid jako przykład SCADA IDS Wizualizacja i monitorowanie sieci Systemy SCADA IDS Systemy SIEM Port mirroring TAP y sieciowe (Intelligent Probe)
Firewall podstawowy element bezpieczeństwa 192.168.245.159 Firewall SPI działa na każdym porcie przełączników warstwy L3 firmy Westermo. VLAN 3 195.168.1.xxx VLAN 1 VLAN 4 Połączenie z sieci korporacyjnej 192.168.10.xxx VLAN 2 10.10.10.xxx VLAN 5 172.10.10.xxx
Firewall DPI, SCADA Firewall, Rozproszony Firewall Radiflow 1031 i 3180 SCADA Firewall Firewall DPI (Deep Packet Inspection) Detekcja oparta o sygnatury Detekcja anomalii w ruchu sieciowym Tryby pracy: nauka reguł monitorowanie, filtrowanie Filtrowanie protokołów SCADA IEC 101 / 104 Radiflow 3180 SCADA Firewall VPN Gateway Legacy Gateway IEC 61850 MMS Radiflow 1031 Modbus RTU Router Modbus TCP L3 DNP3 RTU DNP3 TCP Switch L2
Bezpieczna łączenie obiektów w poprzez sieć publiczną VPN client to to site i site to to site Virtual Private Network IPSec VPN SSL / OpenVPN mgre DM VPN Zabezpieczenie dostępu zdalnego Bezpieczne łączenie oddalonych sieci
Uwierzytelniający serwer proxy jako rozwiązanie zanie bezpiecznego zdalnego dostępu Authentication Proxy Access (APA) Uwierzytelnianie zdalnych użytkowników na poziomie bramy zainstalowanej w wyniesionym obiekcie Ograniczony dostęp do urządzeń dostęp nadawany po uwierzytelnieniu i zgodnie z profilem, do którego przypisano użytkownika Logowanie aktywności użytkownika SCADA2 SCADA1 centrala Obiekt zdalny Ethernet IED Technik Uwierzytelnianie. Profile. Logi. rs232 Ethernet RTU PLC
isid jako przykład systemu IDS dla sieci SCADA Intrusion Detection System (system wykrywania włamań do SCADA) Element obrony Defence in Depth Działa w oparciu o kopię ruchu sieciowego Wizualizacja sieci Urządzenia Topologia Protokoły Przepływy Monitorowanie i analiza komunikacji sieciowej Wykrywanie włamań i anomalii w ruchu sieciowym Statystyki
isid funkcjonalność Network Visibility wykrywanie nowych urządzeń i połączeń wykrywanie zmian topologii skanowanie pasywne oraz aktywne, podgląd zdarzeń z wszystkich sieci Signature based Detection Wykrywanie znanych ataków w oparciu o sygnatury (znane podatności PLC, znane luki protokołów) Aktualizacje sygnatur Anomaly Detection Rozpoznawanie częstości komunikacji urządzeń Pasywny model identyfikacji Wykrywanie niezgodnych z kolejnością komend Wykrywanie skanowania PLC Maintenance Management Centralne zarządzenia operacjami/akcjami Kreowanie polityk w oparciu o ramy czasowe Monitorowanie operacji oraz scenariuszy zdarzeń Measuring Operational Wykrywanie niestandardowych opóźnień Wykrycie niestandardowych ilości utraconych pakietów Wykrycie niestandardowej częstotliwości ponownych transmisji Virtual Firewall Konfiguracja reguł dla Firewall i Dodatkowa kreacja dynamicznych reguł polityki dopuszczeń czasowych Bramy RADiFlow umożliwią operatorowi wymuszenie polityk bezpieczeństwa
Tekniska Polska Sprawdzone produkty z zakresu przemysłowej transmisji danych Przełączniki i routery do zastosowań przemysłowych w energetyce, automatyce, przemyśle wydobywczym, transporcie Rozwiązania dla cyberbezpieczeństwa przemysłowego Modemy i routery do transmisji bezprzewodowej Wi Fi, GSM/3G/LTE Konwertery mediów (Ethernet, łącza optyczne, SHDSL) Usługi Dobór i optymalizacja rozwiązań Wsparcie i konsultacje techniczne Przygotowanie testów Szkolenia Uruchomienia Szczegóły na naszych stronach Internetowych www.tekniska.pl www.westermo.pl www.conelpolska.pl
Dziękuj kuję za uwagę zapraszam do dyskusji Stefan Bednarczyk Kierownik Działu u Technicznego stefan.bednarczyk@tekniska.pl Marcin Skórka Inżynier sprzedaży marcin.skorka@tekniska.pl