Cyber Security in der Automation
Transcrição
Cyber Security in der Automation
Cyber Sicherheit in der Automation CyberSecurity Nachmittag 26. August 2014, Monheim Marcel Rameil - Technical Sales Consultant Systems CEE S Schneider Electric - Process Automation - Marcel Sieling - 2014 2 The threats are real The solutions are here The time is Now Cyber Sicherheit in der Automation CyberSecurity Nachmittag 26. August 2014, Monheim Marcel Rameil - Technical Sales Consultant Systems CEE Agenda Cyber Sicherheit – Was ist das? Maßnahmen im Foxboro Evo Leitsystem Zusammenfassung Schneider Electric - Process Automation - Marcel Sieling - 2014 7 Cyber Sicherheit – was ist das eigentlich? Was ist Cyber Sicherheit eigentlich? “…eine Kombination von Technologien und Prozessen, welche die Vertraulichkeit, Verfügbarkeit und Integrität von Datenverarbeitungssystemen sicherstellen.” (Quelle: Wikipedia - IT-Sicherheit) Die Fähigkeit, externen oder internen Zugriff auf kritische Infrastruktursysteme zu kontrollieren bzw. unautorisierten Zugriff zu verhindern. Warum ist das wichtig? Erhöhung der (Anlagen-) Sicherheit Vermeidung von ungeplanten Ausfallzeiten Schutz von geistigem Eigentum Erfüllung von internen oder externen (z.B. gesetzlichen) Anforderungen Schneider Electric - Process Automation - Marcel Sieling - 2014 9 Cyber Sicherheit ist NICHT… ● …ein Zielzustand ● …ein Produkt, was man kaufen kann ● …eine Konferenz oder eine Schulung ● …eine einmalige Aktivität ● …etwas, nach der Erst-Installation einfach weiterfunktioniert Schneider Electric - Process Automation - Marcel Sieling - 2014 10 …und gelangt in das Firmennetz Der Virus wird auf einem USB Medium platziert Wie ein Virus heute funktionieren kann Der Virus scannt das Netzwerk Und sendet die gesammelten Informationen an den Angreifer Daraus wird ein gezielter Angriff entwickelt und wieder in das befallene System heruntergeladen Und sendet gefälschte Rückmeldungen an das System, so daß man denkt, alles sei OK Die Schadfunktionen zerstören Anlagen oder lösen Fehlfunktionen aus Kritische Infrastruktur ist kompromittiert Das Virus befällt auch Computer mit herstellerspezifischer Software Der Virus kompromittiert die gesamte befallene Infrastruktur Das Virus verteilt sich auf andere, verbundene Infrastruktursysteme Kraftwerke Wasserversorgung Regionale und nationale Infrastrukturen fallen aus Schneider Electric - Process Automation - Marcel Sieling - 2014 Oil & Gas Raffinerien Transport 11 Entwicklung der Bedrohungslage • Angriffe auf ICS/SCADA sind um über 600% angestiegen seit 2010 • Cyber-Spionage / Schadsoftware ist oft über 5 YEARS aktiv bevor sie entdeckt wird • Kraftwerksbetreiber sehen derzeit ca. 10,000 cyber Angriffe pro Monat • Hacker attackieren mittlerweile proprietäre ICS, SPS, and SCADA Technologien (siehe StuxNet und Shamoon) NSS Labs Vulnerability Report - 2013 Schneider Electric - Process Automation - Marcel Sieling - 2014 12 Entwicklung von Hacking Tools Technologie und Komplexität Komplexität von Schadsoftware Packet Forging/Spoofing Steal Diagnostics hoch Sniffers Sweepers Back Doors Hijacking Sessions Exploiting Known Vulnerabilities Disabling Audits Password Crackling Anforderungen an Angreifer Self-Replicating Code Password Guessing niedrig Schneider Electric - Process Automation - Marcel Sieling - 2014 Zeit 13 Cyber Sicherheit Risikoeinschätzung Globale Bedrohungen World Economic Forum 2012 Wichtigste globale Bedrohungen: Technologische Risiken Die folgenden fünf Bedrohungen haben die größten Risiken in den nächsten 10 Jahren: Soziale Spannungen Chronische Staatschulden Klimakatastrophe Cyber-Angriffe Trinkwasser-Krisen fast sicher Schaden sehr unwahrscheinlich Wahrscheinlichkeit Ref: World Economic Forum - 2012 Schneider Electric - Process Automation - Marcel Sieling - 2014 14 Meldung von letzter Woche Quelle: http://cdn.computer-automation.de/newsletter/casonder/newsletter_2014_8_21.htm Link: http://www.computer-automation.de/steuerungsebene/safety-security/artikel/111945/?cid=NL Schneider Electric - Process Automation - Marcel Sieling - 2014 15 BSI: CyberSicherheit in der Industrie Schneider Electric - Process Automation - Marcel Sieling - 2014 Quelle: http://www.computer-automation.de/steuerungsebene/safety-security/artikel/107049/?cid=NL 16 Standard Anforderungen Standard Anforderungen an Computersicherheit: ● Zugangsschutz auf System-Ebene ● Wechselbarkeit von Zugangs-Passwörtern ● Strikte Anwendungskontrolle – (Whitelist) ● Sperrung von ungenutzten Diensten und Kommunikationswegen ● Anwendungsrechte sollen soweit wie möglich eingeschränkt sein ● Strenge Zugangskontrolle und -Aufzeichnung ● Anwendungs-Identifikation und definierte Verwendung von Ports und Anwendungen ● Maßnahmen gegen Viren und Schadsoftware ● Unterstützung für Sicherheits-Updates und –Patches ● Zentrales Management von CyberSecurity Lösungen ● CyberSecurity muß von Grund auf eingebaut und nicht nachträglich angefügt sein Schneider Electric - Process Automation - Marcel Sieling - 2014 17 Die sichere Lösung Ein sicheres Produkt ist nur der Anfang. Man benötigt ebenfalls: •Sichere Netzwerke •Sicheres Management •Dokumentierte Regeln und Prozeduren •Security Awareness and -Training •Regelmäßige Security Audits •Physikalische Security •Kontinuierliche Weiterführung aller Sichere Produkte sind nur 20% einer sicheren Lösung Aktivitäten nach der Inbetriebnahme Schneider Electric - Process Automation - Marcel Sieling - 2014 18 Maßnahmen im Foxboro Evo Leitsystem Maßnahmen im Foxboro Evo PLS Rollenbasierte Zugangskontrolle mit zentralem Management Schneider Electric - Division - Name – Date Individuelle Benutzerpasswörter Benutzerspezifische Zugriffsrechte Einschränkungen für weniger privilegierte Benutzer Passwort Alterung / Komplexität / History-Anforderungen Beschränkung von nicht erforderlichen Zugängen Zentralisiertes Logging 20 Maßnahmen im Foxboro Evo PLS Rollenbasierte Zugangskontrolle mit zentralem Management Endpoint Protection Schneider Electric - Division - Name – Date Anti Virus / Anti Spyware Host Intrusion Prevention (behavior / heuristic-based) Device Control (DLP) Integrity Control Application Control (Whitelisting) Zentralisierte Aktualisierung, Reporting, Überwachung, Verwaltung 21 Maßnahmen im Foxboro Evo PLS Rollenbasierte Zugangskontrolle mit zentralem Management Endpoint Protection Ethernet Switch Härtung Schneider Electric - Division - Name – Date Nicht benutzte Ports abgeschaltet Standard-Zugänge deaktiviert und starke Authentifizierung aktiviert Telnet abgeschaltet & SSH aktiviert Webview & Discovery Protocol deaktiviert 22 Maßnahmen im Foxboro Evo PLS Rollenbasierte Zugangskontrolle mit zentralem Management Endpoint Protection Ethernet Switch Härtung System Monitoring & Management Schneider Electric - Division - Name – Date Zentralisierte Überwachung und Verwaltung von Diagnoseinformationen Zentralisierte Überwachung der Systemleistung Benachrichtigung und Alarmierung von Problemen für vorbeugende Wartung 23 Maßnahmen im Foxboro Evo PLS Rollenbasierte Zugangskontrolle mit zentralem Management Endpoint Protection Ethernet Switch Härtung System Monitoring & Management Disaster Recovery Schneider Electric - Process Automation - Marcel Sieling - 2014 Zentrales Starten und Verwalten von Datensicherungen Komplette Harddisk Images und Dateiund Ordnersicherungen Desaster Recovery Option Off site Datensicherungen 24 Maßnahmen im Foxboro Evo PLS Rollenbasierte Zugangskontrolle mit zentralem Management Endpoint Protection DL380 BIOS Parameters System Options > USB Options > Removable Flash Media Boot Sequence System Options > Processor Options > No-Execute Memory Protection Standard Boot Order (IPL) Ethernet Switch Härtung System Monitoring & Management Disaster Recovery Implementation von sicheren BIOS Einstellungen Server Availability > POST F1 Prompt Server Security > Set Admin Password BIOS Serial Console & EMS > BIOS Serial Console Port Schneider Electric - Process Automation - Marcel Sieling - 2014 Setting Internal SD Card First Enabled Reordered 1. Hard Drive C: 2. CD-ROM 3. Floppy Drive 4. USB DriveKey 5. PCI Slot 5 Ethernet Network Controller 6. PCI Slot 6 Ethernet Network Controller Delayed (20 Seconds) Set to a strong password that will be communicated only to authorized users Disabled 25 Cyber Sicherheit eingebaut Sicherheit im kompletten Lebenszyklus durch Ein sicheres Produkt (Entwicklung) …sicher installiert (Projektierung) …und sicher betreut (Service) Global Policies Global Procedures Best Practices OS Level Security built-in Secure Development Lifecycle Wurldtech Achilles certifications Schneider Electric - Process Automation - Marcel Sieling - 2014 CyberSecurity Consulting Remote Watch Customer First NERC CIP WIB People / Skills Delivery Procedures 26 Zusammenfassung 1. Ein CyberSecurity Plan muß erstellt und gepflegt werden 2. Der Plan muß von der Geschäftsleitung genehmigt und aktiv unterstützt werden 3. Der Plan muß eine GeschäftsfortführungsStrategie beinhalten 4. Security muß von Anfang an in allen verwendeten Systemen enthalten sein Safety and Cyber Security are job one at Foxboro / Schneider Electric Schneider Electric - Process Automation - Marcel Sieling - 2014 28 Fragen? Marcel Rameil Technical Sales Consultant Systems CEE [email protected] Schneider Electric - Process Automation - Marcel Sieling - 2014 29 Make the most of your energy™ http://iom.invensys.com/EN/Pages/IOM_Security.aspx http://iom.invensys.com/EN/Pages/CyberSecurity-Newsletters.aspx