Embed Size (px)
Citation preview
Komunikacja w nowoczesnej energetyce
Mirosław Zwierzyński
Styczeń/2017
Cyberbezpieczeństwo w systemach energetycznych
Czego się dowiesz…
… kto atakuje sieci i dlaczego
… jak atakuję
… co możemy zrobić dziś i jutro
… narzędzia ochrony
… jak wytłumaczyć sens działania
Problemy bezpieczeństwa w przeszłości ...
3
Kevin Siers, The Charlotte Observer, ©2000
Problemy bezpieczeństwa w przeszłości ...
4
Kevin Siers, The Charlotte Observer, ©2000
Problemy bezpieczeństwa w przeszłości ...
5
Kevin Siers, The Charlotte Observer, ©2000
Problemy bezpieczeństwa dzisiaj ...
6
Kevin Siers, The Charlotte Observer, ©2000
Hakerzy
Jakim niebezpieczeństwom stawiamy czoła:
Level 0: Użytkownik
Level 1: „Opportunistic Hackers”
Level 2: Kryminaliści
Level 3: Terroryści
Level 4: Dobra Państwowe
Generalnie wyróżniamy cztery typy zagrożeń:
Nieautoryzowany dostęp do danych
Nieautoryzowana modyfikacja lub kradzież danych
Atak Denial of service
Typy cyber ataków
• Zakłócanie działania przez zalewania sieci/aplikacji olbrzymią liczbą danych, celem zakłócenia jej działania i transmisji docelowego ruchuDenial of service
• Atak polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzyMan-in-the-Middle
• Obserwowanie ruchu w sieci celem zbierania informacji o systemieMonitoring sieci
• Atakującemu zostają przydzielone prawa administratoraEskalacja
przywilejów
• Użytkownicy nieświadomie instalują złośliwe oprogramowanie poprzez klikanie na linkiPhishing attacks
• Napastnicy wykorzystują zaufanie oraz informacje od personelu celem zbierania informacji używanych do ominięcia zabezpieczeń, fizycznych modyfikacji oraz sabotażu infrastruktury
Social engineering
Wyzwania
Ochrona istniejących systemów:
• Co można zrobić aby ochronić dotychczas niechronione elementy?
• Jak zapobiegać podłączeniu urządzeń do sieci?
• Jak zapobiegać nieautoryzowanemu dostępowi?
Zapewnienie bezpiecznego zdalnego dostępu
• Jak można zapewnić bezpieczne połączenie do sieci zdalnej ?
• Jaka jest pewność iż dane nie są modyfikowane?
• Jak zapewnić poufność informacji?
Standardy
• Na który standard powinienem zwrócić uwagę?
TOP 4 systemów narażonych na ataki
From ICS-CERT 2013 Report, Region: the U.S.
TOP1
TOP2
TOP3TOP4
Systemy przemysłowe na celowniku
PLC
Safety Systems
Plant Management System
Assess Management System
SCADA
DCS
Największe ataki ostatnich lat -
KONSEKWENCJE
Ataki na sieci energetyczne
Atak na zachodnio-ukraińskiego dostawcę energii Prykarpattyaoblenergo w 12.2015r.
Odcięcie dostaw energii do 80 000 odbiorców – region Ivano-Frankivst
Przeciążenie systemu telefonicznej obsługi klienta
Dotknięcie atakiem także innych spółek
Komponenty ataku:
• Użycie oprogramowania malware BlackEnergy, dostęp do sieci komputerowej przedsiębiorstwa
• Uzyskanie dostępu do sieci SCADA (prawdopodobnie przy aktualizacji oprogramowania urządzeń HMI)
• „Killdisk” usuwanie danych i uszkodzenie systemu SCADA
• Odcięcie dyspozytorów od możliwości podglądu zdarzeń
• Wysłanie odpowiednich poleceń do urządzeń stacyjnych
• Atak DoS na system telefoniczny – uniemożliwianie zgłaszania awarii
• Uszkodzenie SCADA -> manualne przywrócenie zasilania
Kluczowe punkty ataku:
• Przenikniecie do wnętrza sieci
• Bardzo duża koordynacja działań
2017-02-0612
Obraz sytuacji: Łatwo znaleźć cel
Projekt SHINE: 1,000,000 systemów SCADA oraz ICS online and
Wyszukiwarki kierowane do systemów przemysłowych, np. SHODAN
• SHODAN działa na zasadzie wyszukiwaniu popularnie używanych portów TCP/UDP
• Web, Telnet, SNMP, FTP są jednymi z najbardziej popularnych
• Logi z odpowiedzi są zapisywane w bazie wyszukiwania
• Spróbuj szukać “OpenSSL”, “GNU”, or “NTPD” bądź nazwy vednorów sprzetu
SCADA Strange Love
At 32C3 Dec. 2015: The Great Train Cyber Robbery talk.http://scadastrangelove.blogspot.com/2015/12/32c3-slides.html
Default Passwords
Standardy bezpieczeństwa
Luki w zabezpieczeniach
Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń
CIGRE D2.22
IEEE P 1686
IEC 62351
ISO
27
00
0NIST 800-53
Standardy bezpieczeństwa
Design Details
Relevance forManufacturers
Details of Operation
Relative Security Coverage
IT
Factory Automation
Power
ISA 99
NERC CIP
Standardy bezpieczeństwa
NERC CIP V5
IEC 62351
Standardy bezpieczeństwa
IEC 61850 nie definiuje standardów bezpieczeństwa jako standard
Bezpieczna komunikacja w IEC 61850 - rekomendacja
Standard IEC 62351
• Rozwijany przez komitet TC57 w celu uwzględnienia standardów bezpieczeństwa dla komunikacji w systemach energetycznych:
• m.in. protokoły IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970, IEC 61968
• uwierzytelnianie, zapewnienie tylko uwierzytelnionego dostępu, zapobieganie spoofingowi i wykrywania włamań, szyfrowanie, TLS, itd..
2017-02-0618
Standardy bezpieczeństwa
NERC CIP
North American Electric Reliability Corporation
organizacja non-profit której zadaniem jest zapewnienie niezawodności i
bezpieczeństwa systemów energetycznych
Prace obejmują:
Ochronę infrastruktury krytycznej (Critical Infrastructure Protection)
• W tym Cybersecurity, któe jest rozwiane przez „Critical Infrastructure
Protection Committee”
NERC CIP
• nie jest standardem na poziomie sprzętu
• Zawiera opisy procesów, systemów, infrastruktury sieciowej oraz środowiska
Producenci mogą jedynie określać że funkcjonalności ich produktów
są zgodne z wymaganiami NERC CIP
Bezpieczeństwo w komunikacji
2017-02-0620
General Industrial Automation:
ISA / IEC 62443
For Network Equipment:• Technical security requirement
For Network System• Secure Zones and Conduits• Define security level 1-4
Struktura ISA/IEC 62443
Jednostki i ich obowiązki
Source: ISA99
Typy komunikacji na stacji
Architektura staccji
Komunikacja z centrum nadzoru
SCADA EMS&DMS
Kanał inżynierski
SCADA innej firmy
Na zewnątrz
Wewnątrz stacji
Defense-in-Depth
Ochrona środowiska sieciowego
Ochrona w wielu miejscach
• Ochrona infrastruktury sieciowej
• Ochrona granic
• Ochrona środowiska komputerowego, urządzeń końcowych
Ochrona „warstwami”
• Każdy z mechanizmów przedstawia unikalną przeszkodę
• Każdy z nich powinien zawierać mechanizmy ochrony, ale również informowania
Strategia ochrony
24
Kiedyś: Mury i baszty
25
Mur obronny
Barbakan
Baszta
Dzisiaj: Obiekt – Strefa – Komórka
26
Secured Network
• Multi-layer defense in depth
• Plant-wide security coverage
Narzędzia ochrony
27
Poziom urządzeń• Wyłączenie nie używanych portów • Autentyfikacja 802.1X, uwierzytelniani MAC• Statyczna blokada portów – MAC Sticky• ACL – listy kontroli dostępu
Poziom sieci• Segmentacja sieci – VLAN• Stosowanie Firewalli• Topologia• QoS• SNMP v3, disable SNMPv1/v2• Autentyfikacja logowań do urządzeń przez RADIUS/ TACACS+• SSH, diable Telnet• Autentyfikacja 802.1X na poziomie sieci
Funkcje bezpieczeństwa, dobre praktyki
Narzędzia ochrony
Segmentacja sieci – VLAN (virtual local area network)
Aplikacje mogące wykorzystywać VLANy w ramach podstacji energetycznej:
Informowanie o zdarzeniach:
Komunikacja GOOSE
Systemy Ochrony:
Monitoring CCTV
2017-02-0628
Narzędzia ochrony
Korzyści płynące z segmentacji i VLAN:
Filtrowanie/separacja ruchu:
Segregacja ruchu w całej sieci
Ruch możemy być filtrowany oraz ograniczony do konkretnych obszarów sieci
będących w jednym VLAN
Zmniejszenie ruchu w sieci:
Ograniczanie wąskiego gardła na linkach trunk
Poprawa wydajności urządzeń:
Redukcja liczba informacji jakie muszą być przetwarzane przez urządzenia
końcowe
29
Reference: IEC 61850-90-4 12.1
Narzędzia ochrony
2017-02-0630
VLAN
C1
P1
C2
P2
VLAN 10
1 2 3 4 5 6
C1
P1
C2
P2
VLAN 20
1 2 3 4 5 6
Feeder Bay2
Narzędzia ochrony
31
C1
P1
C2
P2
Feeder Bay1
Bay Level
VLAN 10
Control Room
Station Level
Station BusBusbar Bay
PSCADAPrinter
1 2 3 4 5 6
1 2 3 4
P = Protection Relay IEDC = Control IED
Turbo ring V2
VLAN 20
Hybrid VLAN 10/20
Narzędzia ochrony
2017-02-0632
Wyłączenie nie używanych portów
Narzędzia ochrony
Zmiana standardowego hasła:
2017-02-0633
Narzędzia ochrony
2017-02-0634
Definiowanie adresów mających dostęp do konfiguracji
2017-02-0635
Narzędzia ochrony
Mac Sticky
MAC 00:0A:E6:3E:FD:E1
MAC 00:0A:E6:2D:E8:FD
Port 1
Narzędzia ochrony
Możliwość definiowania polityk ustalania hasła – zabezpieczenie przed atakami Brute Force
Narzędzia ochrony
Kontrola otwartych sesji
Narzędzia ochrony
Szyfrowanie plików konfiguracji
Narzędzia ochrony
SNMP – simple network managmnet protocol
Komponenty:
• Urządzenia zarządzalne:
• Węzeł sieciowy wyposażony w agenta SNMP
• Zbierają i przechowują informacje o stanie urządzeń, sieci oraz są wstanie je
udostępniać do NMS przy użyciu SNMP
• Agenci:
• Software znajdujący się w urządzeniach
• System zarządzania siecią(NMSs)
• Aplikacje które kontrolują pracę i zarządzają urządzeniami w sieci
Confidential
Narzędzia ochrony
SNMP v1, v2, v3
Podstawowe komendy:• Read Używana do monitorowania urządzeń• Write Używana do kontrolowania urządzeń• Trap Używana do szybkiego raportowania o zdarzeniach przez urządzenia do NMS
SNMP v3 co zmienia:• Nagłówek bezpieczeństwa dodawany do każdego pakietu
Confidential
Managed Device
w/ SNMP AgentSNMP
Manager
GET & GET NEXT
SET
TRAP
• Urządzenia komunikują się przez sieci Ethernet
• Mechanizm QOS priorytezuje ramki celem zapewnienia dostarzczenia
kluczowych w jak najkrótszym czasie
CollectedData
Mgt. Message
Control Message
Low Priority
Top PriorityHigh PriorityLow Priority
CollectedData
Mgt. Message
Control Message
Top Priority
High Priority
Narzędzia ochrony
QoS – quality of service
Narzędzia ochrony
Priorytetyzacja pakietów w ruchu IEC 61850
IEC 61850 QoS
Packets to be sent through this interface
QoS = Quality of Service
Classify Sending QueueSchedule
Packets sent
High Queue
Medium Queue
Normal Queue
Low Queue
. . .
Normal Queue
IEC 61850 Queue
Always Top PriorityGOOSE/SV/PTPGOOSE
GOOSE GOOSE
GOOSE in high queue, but still wait
SV
Ograniczanie ruchu - traffic rate limiting• Określanie ilości przesyłanych danych
• Definiowanie typu pakietów do których jest określana ta reguła
• broadcast, multicast, itd..)
Narzędzia ochrony
Ingress Limit: Zapobiega przed przeciążeniem i niestabilną pracą switcha
Egress Limit: Zapobiega przed przeciążeniem i niestabilną prąca całej sieci
Ingress Limit
Egress Limit
Narzędzia ochrony
Firewall – koncepcja wykorzystania
Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania
• WAN <-> LAN
• LAN <-> LAN
• Port <-> Port
Tworzenie ograniczeń dla usług sieciowych
• Akceptacja wyłącznie ruchu wymaganego
• Inspekcja pakietów (Accept, Drop)
Narzędzia ochrony
Czy firewall może…?•Filtrować protokoły przemysłowe
•Zapewnić alarmowanie w czasie rzeczywistym
•Łatwa i intuicyjna konfiguracja
•Brak konieczności przeprojektowywania
Quick Wizard
Narzędzia ochrony
Firewall Policy:• Incoming/outgoing• IP/MAC• Protocol (TCP, UDP…)• Source IP/Port• Destination IP/Port
Zewnętrzny lub niechroniony obszar
Wewnętrzny bezpieczny obszar
LANWAN
Akcept lub Odrzucenie
Firewall
Confidential
Manually Configured Policy
Rule 1
Rule 2
Rule 3
Rule 4
.
.
.Accept or Drop
LANInternet
Packet
Narzędzia ochrony
Inspekcja pakietów i reguły
Narzędzia ochrony
Confidential
Traffic direction; All, WAN1/2 and LAN
Global Enable
All, TCP, UDP, MODBUS, PROFINET and etc…
Accept or Drop
IP or MAC
Accept or Drop
Inspekcja pakietów i reguły
Narzędzia ochrony
Confidential
Ex: Drop incoming ICMP to LAN
PC-1IP: 10.10.10.10
PC-2IP: 20.20.20.20
WAN1
LAN
Inspekcja pakietów i reguły
Stosowanie “Whitelisting policy” jest rekomendowane dla aplikacji przemysłowych.
Whitelisting Policy - przykład
• Akceptacja tylko porządanych pakietów danych• Odrzucanie wszystkich innych pakietów
Whitelist Operation Mode
Narzędzia ochrony
Router Firewall vs. Transparent FirewallInstalacja Firewall w tej samej podsieci
51
Toplogia
2017-02-0652
Relay Relay Relay RelayRelayRelay
SwitchgearIED
SwitchgearIED
Station Bus Poziom stacji
Poziom pola
Poziom procesu
FirewalllFirewalll
Layer 3 switchLayer 3 switch
Kolejna podstacjaCentrum nadzoruSzyfrowanie
MMS-GOOSE
SV-GOOSE
Bay Controller
Narzędzia ochrony
53
Ochrona warstwami
PLC/IO Network
Control Network
Podstacja
Centrum zarządzania
Attack frompublic network
Malfunctioning PLC
Broadcast Storm
• VPN - szyfrowanie danych• Serwer dla dynamicznych połączeń
VPN• Protokoły: IPSec, L2TP, PPTP
• Ochrona nieautoryzowanego dostępu
• Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci
Firewall
Secure router
Centrum zarządzania
Narzędzia ochrony
Firewall & VPN
VPN - IPSec oraz L2TP
Bezpieczny tunel VPN pomiędzy LAN to LAN
• IPSec (IP Security)
Bezpieczny tunel VPN dla zdalnej obsługi
• L2TP over IP Sec (Layer 2 Tunnel Protocol)
Roaming Engineer(Dynamic IP)
NAT - Network Address Translation
Pozwala na ukrycie wewnętrznych adresów IP dotyczących
krytycznej infrastruktury
Zewnętrzny użytkownik widzi tylko adres po translacji
Confidential
Port forwarding NAT
1-to-1 NAT
N-to-1 NAT
Moxa
1-1 NAT
• Większe bezpieczeństwo system
• Idealny dla aplikacji przemysłowych
• Umożliwia takie same adresacje dla wielu obiektów
192.168.1.1
10.0.0.1
192.168.1.1 192.168.1.1
10.0.0.2 10.0.0.3
Moxa Solutions
2017-02-0658
Moxa Cybersecurity- wytyczne
Istniejące standardy bezpieczeństwa ISA99/IEC62443 oraz NERC-CIP są
śledzone i na bieżące implementowane do ustanowionych wewnętrznie
jednolitych wytycznych projektowanie wszystkich urządzeń sieciowych
ISA 99 / IEC 62443
NERC-CIP
Moxa Networking Security Design Guideline V2.0
Moxa Cybersecurity
Wszystkie nowe produkty są zgodne z założeniami Moxa Security Guideline V2.0
Moxa v NERC CIP
Wszystkie rozwiązanie dedykowane do zastosowań w
energetyce posiadają tabele zgodności dla standardu NERC CIP:
• PT-7828
• PT-7728
• DA-820
• NPort S9000
• PT-G503-PHR-PTP
Moxa Cyber Security Response Team (C.S.R.T.)
9/27 (Sat)Email from Jim Toepper
4 processes:Awareness, Investigation, Action, Response
Awareness InvestigationAction
/Internal ResponsePublic Response
9/29 (Mon)C.S.R.T alignement and investigation
9/30 Internal Announcement
10/7 FAQ and M-Circle
Produkty
Model
Target requirement
1. Secured remote Site-to-Site subnets communication via public network (VPN)
2. Factory firewall to protect un-authorized connection from WAN
3. Dual WAN for redundancy in critical applications
1. Secured remote Site-to-Site subnets communication via public network (VPN)
2. Function zone firewall to separate different functional networks in a factory
1. Secured remote maintenancefor automation devices (e.g. PLC, RTU, Machines)
2. Secured remote monitoring via public network
3. Cell devices’ firewall to protect end devices
Interface2 WANs, 1 LAN
(Ethernet / Fiber combo ports)1 WAN (Combo); 1 LAN (RJ45) 1 WAN; 15 LANs
Throughput 500Mbps (40,000 fps) 300Mbps (25,000 fps) 110Mbps (10,000 fps)
Firewall/NAT 512 / 256 policies 256 / 128 policies 256 / 128 policies
VPN 100 IPSec tunnels 50 IPSec tunnels 10 IPSec tunnels
WAN backup Dual WAN - -
DMZ 1 - -
EDR-810EDR-810-VPN
EDR-G902EDR-G903
EDR-810 2 in 1
Confidential
Dotychczasowe rozwiązania EDR-810
Multi-port secure router x 1
Korzyści-Oszczędności- Przestrzeń
Ethernet switch x 1Secure router x 1
Kreator konfiguracji firewalla
“One Click” for port type change
Krok 1
Krok 2
Krok 3
Krok 4
Definicja typu portów(tryby WAN/LAN/Bridge)
Zdefiniowanie adresu IP - zarządzanie
Zdefiniowanie portu WAN
Wybór usług sieciowych
Krok 5 Reguły firewall
Koniec!
Routed firewallFirewall at network perimeter needs WAN and LAN ports
Non-trusted Zone
Trusted Zone
Elastyczny wybór portów
Transparent firewall Bump-in-the-wire firewall without need for network change
Hybrid mode firewallLocated at network perimeter still filtering packets between some LAN ports.
Quick Automation Profile
Predefiniowane numery portów TCP/UDP dla
protokołów przemysłowych
Jedynie pakiety Modbus TCP/IP mogą przejść przez zaporę firewall (port 502) z WAN1 do LAN
WAN1
W tym obszarze dozwolona jest tylko komunikacja Modbus
Remote IP168.95.1.1
Internet
LAN
Quick Automation Profile
Inspekcja pakietów Modbus
Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji
Modbus Command / Response- Slave ID- Function Code- Address Range
Alarmowanie w czasie rzeczywistym
Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie
łatwiejszym
Local DB
Firewall Policy Check
Automatyczne kontrola czy brak jest konfliktów w
regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom
Wykrywanie konfliktu dla pojedynczego parametru (np. 2 reguły pokrywają ten sam adres, jeden akceptuje drugi odrzuca)
Firewall Policy Check
72
Wykrywanie trzech najczęściej popełnianych
błędów w konfiguracji reguł polityki
bezpieczeństwa w firewall
Mask
Wykrywanie „poprzecznych” konfliktów w dwóch parametrach (np. IP i port)
Cross
Conflict
Wykrywanie zdublowanych reguł (dodatkowe obciążenie routera)
Include
• Open VPN jest łatwiejszy w konfiguracji użytkowaniu do zapewnienia zdalnej bezpiecznej komunikacji pomiędzy PC a zdalną lokalziacją
• Open VPN jest bardziej elastyczny w wykorzystaniu niż IPSec
• Open VPN pozwala na budowę tunelu jako jedna sieć pomiędzy dwoma węzłami
OpenVPN Server
OpenVPN Client
OpenVPN Mobile Client
OpenVPN Laptop Client
Field Device
OpenVPN client and server
Wbudowane narzędzia ochorny przed DoS
2017-02-0674
Podsumowanie
2017-02-0675
Narzędzia ochrony
2017-02-0676
Implementacja Cybersecurity
Stosowanie procesu życia dla bezpieczeństwa
• Ciągła ocena zagrożeń
• Wdrożenie środków zapobiegawczych i weryfikacja
• Monitoring i konserwacja
Segmentacja sieci
• Dzielenie sieci na segmenty fizyczne i logiczne o podobnych wymaganiach bezpieczeństwa
Określenie interakcji pomiędzy strefami
• Wymagania urządzeń
• Identyfikacja dozwolonego ruchu w kanałach
• Wymagania bezpiecznej komunikacji
Monitorowanie i rejestrowanie zdarzeń
Zapamiętaj
Moja sieć to mój zamek:
• Zrozum i poznaj swoją sieć
• Poznaj jej działanie, relacje
• Myśl w ramach stref, komórek
Moxa pokrywa poziomy bezpieczeństwa od poziomu wewnętrznej polityki, procesów produkcji po finalny system i komponent
Właściciel infrastruktury, operator, integrator oraz dostawca sprzętu mają dedykowane role w zapewnieniu bezpieczeństwa sieciowego krytycznej infrastruktury.
Zapamiętaj
Cybersecurity jest bardzo ważnym elementem w inteligentnych systemach automatyki
Bez zwracania uwagi na bezpieczeństwo budowa nowoczesnych systemów byłaby irracjonalna
Łatwy w konfiguracji firewall może zostać szybko zaadoptowany do już istniejących systemów – „Transparent Firewall”
Wydajne tunele VPN pozwalają na realizacje zdalnych połączenie z zachowaniem bezpieczeństwa
Dziękuje
2017-02-0680
