Industrial Control Systems Security

Transkript

1 Industrial Control Systems Security Lerneinheit 2: Bedrohungen Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/ Einleitung Einleitung Diese Lerneinheit beschäftigt sich mit Bedrohungen (Threats), denen Industrial Control Systems ausgesetzt sind. Die Lerneinheit gliedert sich wie folgt: Begriffsdefinitionen Arten von Angreifern Klassifikation von Bedrohungen zum Thema Angriffe auf ICS Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 2 / 30

2 Einleitung Bedrohungen Bedrohungen (Threats) Arten von Bedrohungen Bedrohungen menschlichen Ursprungs Naturphänomene (Erdbeben, Blitzschlag,... ) Wichtig: Informationsbeschaffung Welche Bedrohungen sind für das Unternehmen relevant? Welche Teile des Unternehmens sind betroffen? Wie hoch ist der Schaden bei Eintreten der Bedrohung? Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 3 / 30 Einleitung Umgang mit Bedrohungen Umgang mit Bedrohungen Gängiges Vorgehen in der IT-Sicherheit: Einsatz von sicherheitsspezifischer Software z.b. Virenscanner Einsatz von zusätzlichen Hardwarekomponenten z.b. Firewall Vorgehen nicht übertragbar auf ICS, denn: Verfügbarkeit hat höchste Priorität und somit Vorrang vor Sicherheit Leistungsschwache Hardware verhindert die Ausführung zusätzlicher Software Hardware muss für den Einsatz im industriellen Umfeld geeignet sein Einsatz zusätzlicher Komponenten führt zu Garantieverlust des Herstellers der Industrieanlage Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 4 / 30

3 Einleitung Bedrohungen für ICS Bedrohungen für ICS Prinzipiell unterscheiden sich Bedrohungen für ICS nicht von Bedrohungen für IT-Systeme Bei ICS ist die Chance eines Lucky Hits höher als die die eines gezielten Angriffs Kollateralschaden kann gravierende Auswirkungen haben Unterscheidung: Direkte Bedrohung Kontrollverlust der ICS Hardware (vorzugsweise Geräte mit Windows) Indirekte Bedrohung Nebenwirkungen von Netzwerk-Scans oder erhöhter Netzlast Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 5 / 30 (Gefahrenquellen) Threat Agent: Ausgangspunkt einer Bedrohung Aktives Vorgehen erforderlich Unterscheidung: Menschliche Aktivität Vorsatz Fahrlässigkeit Naturphänomene Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 6 / 30

4 Bot Herder Bot Herder Profil: Entwicklung und Verwaltung von Botnetzen Vermietung von Rechenkapazitäten Bedrohungen: Erlangung der Kontrolle über IT-Systeme Botnet Ausnutzung von Netzwerkressourcen für kriminelle Zwecke Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 7 / 30 Organisierte Kriminalität Organisierte Kriminalität Profil: Organisierte Banden oder Syndikate Manipulation von Geldgeschäften Einsatz von IT-Systemen zur Gewinnsteigerung Bedrohungen: Diebstahl von personenbezogenen Daten z.b. Kontoinformationen, Kreditkarten Computerbetrug verschiedenster Art z.b. Kreditkartenbetrug Finanzieller Schaden Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 8 / 30

5 Spammer und Phisher Spammer und Phisher Profil: Versand von mit falschen oder versteckten Informationen Entwicklung von Systemen zum Abgriff von Zugriffsdaten und anderen vertraulichen Informationen Bedrohungen: Identitätsdiebstahl Finanzieller Schaden durch Kreditkartenbetrug oder Nichtlieferung der bestellten Ware Erwerb illegaler Ware Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 9 / 30 Industriespionage Industriespionage Profil: Auftragstäter Gezielte Gewinnung von Informationen Bedrohungen: Diebstahl von geistigem Eigentum Zugriff auf Finanz- und Produktionsdaten Diebstahl von Konstruktionsplänen und Strategiepapieren Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 10 / 30

6 Geheimdienste Geheimdienste Profil: Staatliche Organisationen aus dem Ausland Legitimation durch die jeweilige Regierung Bedrohungen: Diebstahl von geistigem Eigentum Gezielte Manipulation durch Streuung von gefälschten Informationen Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 11 / 30 Terroristen und Aktivisten Terroristen und Aktivisten Profil: Ideologisch motivierte Interessengruppen Anwerbung von Experten zur Ausführung von Angriffen In der Regel im Untergrund tätig Bedrohungen: Sabotage von Industrieanlagen Anschläge auf öffentliche oder militärische Einrichtungen Gefährdung der nationalen Sicherheit Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 12 / 30

7 Insider Insider Profil: Angestellte eines Unternehmens oder von Geschäftspartnern Personen mit direkten Zugriff zu den IT-Systemen Bedrohungen: Weitergabe von Betriebsgeheimnissen Einschleusen von Malware Schäden durch fahrlässiges Handeln Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 13 / 30 Klassifikation von Bedrohungen Klassifikation von Bedrohungen Ziel: Einteilung der Bedrohungen in Kategorien, um entsprechende Maßnahmen einzuleiten Ansätze: ICS Threat Matrix Threat-To/Threat-From Ansatz Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 14 / 30

8 ICS Threat Matrix Klassifikation von Bedrohungen ICS Threat Matrix Einfacher Ansatz zur Analyse von Bedrohungen für ICS Darstellung als Tabelle Spalten repräsentieren Angreifer: Insider Angestellte, Vertragspartner, Service-Personal Outsider Der Rest Zeilen stellen für Angriffsarten: Gezielte Angriffe Unbeabsichtigte Angriffe (Lucky Strikes) Die in die Matrix eingetragenen Bedrohungen hängen vom Unternehmen und dem analysierten ICS ab Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 15 / 30 Klassifikation von Bedrohungen ICS Threat Matrix Aufbau einer ICS Threat Matrix Gezielter Angriff Lucky Strike Insider Bedrohungen, die innerhalb des Sicherheitsperimeters von privilegierten, gut ausgebildeten Benutzern ausgeführt werden Bedrohungen, die durch die Vernetzung von ICS mit der Unternehmens- IT entstehen Outsider Bedrohungen, die durch Ausnutzung kompromittierter Sicherheitsfunktionen von ICS-Systemen entstehen Bedrohungen, durch Sicherheitslücken in Nicht- ICS-Systemen entstehen Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 16 / 30

9 Klassifikation von Bedrohungen Threat-To/Threat-From Ansatz Threat-To/Threat-From Ansatz Threat From Um welche Art von Angreifer handelt es sich? Welchen Kenntnisstand hat der Angreifer? Welche technischen Werkzeuge stehen dem Angreifer zur Verfügung? Über welche finanziellen Mittel verfügt der Angreifer? Threat To Welcher Teil meiner Infrastruktur ist vom Angreifer bedroht? Welcher Schaden kann durch einen Angriff entstehen? Wie hoch ist die Chance für einen erfolgreichen Angriff? Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 17 / 30 Klassifikation von Bedrohungen Threat-To/Threat-From Ansatz Threat From Kategorie Zugriff auf frei verfügbare Informationen wie z.b. CERT, McAfee, Counterpane,... Zu klären: Welche Angreifer sind zur Zeit aktiv? Aus welchem Land erfolgen die Angriffe? Gibt es für einen Angriff detaillierte Angriffsvektoren? Wie kann der Angriff detektiert werden? Die zu beschaffenden Informationen sind von strategischer Bedeutung Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 18 / 30

10 Klassifikation von Bedrohungen Threat-To/Threat-From Ansatz Threat To Kategorie Unterscheidung Logisches Vermögen (Daten, Systemarchitektur, Netzwerktopologie) Physikalisches Vermögen (Gebäude, Produktionsanlagen, Infrastruktur) Eine Vielzahl der Informationen ist frei verfügbar (z.b. Homeland Security) Zu klären: Welche sind die bevorzugten Ziele? Wie hoch ist der finanzielle Schaden? Eine umfassende Beurteilung der Lage ist schwierig Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 19 / 30 Trend Micro hat eine Studie zur aktuellen Bedrohungslage für ICS erstellt Referenz: Kyle Wilhoit: Who s Really Attacking Your ICS Equipment?, Trend Micro, Ansatz: Einsatz eines Honeypots, der dem Angreifer ein ICS vorgaukelt Veröffentlichung der IP-Adressen in gängigen Suchmaschinen Die Studie kann man unter diesem Link herunter laden Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 20 / 30

11 Annahmen zur Architektur des ICS Annahmen zur Architektur des ICS Das ICS hat folgende Netzwerktopologie: Quelle: Trend Mirco Auf Firewalls wurde verzichtet, da sie laut Trend Micro bei ICS selten zum Einsatz kommen Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 21 / 30 Der Honeypot Der eingesetzte Honeypot Zielsetzung: Ermitteln, wer die u ber das Internet erreichbaren ICS/SCADA Gera te angreift und welche Motive er verfolgt Erkennen der durchgefu hrten Angriffe Honeypot Architektur: Kombination aus High- und Low-Interaction Honeypots Einsatz von physikalischen Servern und Virtuellen Maschinen in der Amazon EC2 Eingesetzte Tools: Snort Honeyd TCPdump Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 22 / 30

12 Der Honeypot Aufbau High-Interaction Honeypot Quelle: Trend Mirco Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 23 / 30 Bedrohungen 24 / 30 Der Honeypot Aufbau Low-Interaction Honeypot Quelle: Trend Mirco Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security

13 Untersuchte Angriffe Auswahl der Angriffe Angriff: jeder Vorfall, der zu einer Bedrohung des ICS führt, insbesondere: nicht-autorisierter Zugriff auf gesperrte Bereiche Angriffe auf ICS-spezifische Protokolle z.b. Modbus Zugriffsversuche auf die Webserver des ICS Bemerkung: Port Scans, automatisierte Angriffsversuche und Drive-By Attacken wurden nicht gezählt Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 25 / 30 Ergebnisse Ergebnisse Innerhalb 28 Tagen wurden 39 Angriffe entdeckt Die Angreifer stammen aus 14 verschiedenen Ländern 12 Angriffe waren einzigartig und wurden als gezielte Angriffe eingestuft 13 Angriffe wurden von denselben Angreifern wiederholt ausgeführt. Diese wurden als gezielt und/oder automatisiert eingestuft Allen Angriffen gingen Port Scans voraus Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 26 / 30

14 Ergebnisse Angriffsarten Unautorisierter Zugriff auf den Webserver Versuchte Modifikation des Datenverkehrs über das Modbus Protokoll Spearfishing Attacke Malware Exploitation Information Disclosure Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 27 / 30 Ergebnisse Angriffsversuche pro Land Quelle: Trend Mirco Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 28 / 30

15 Ergebnisse Die entsprechende Heat Map Quelle: Trend Mirco Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 29 / 30 Zusammenfassung Zusammenfassung ICS Systeme sind einer Vielzahl von Angreifern ausgesetzt Die Angreifer sind in der Regel gut ausgebildet Um eine erfolgreiche Abwehrstrategie zu entwickeln, muss man die Bedrohungslage ständig beobachten und auswerten Bedrohungen lassen sich auf verschiedene Arten klassifizieren Die Studie von Trend Micro zeigt, dass Angriffe auf über das Internet erreichbare ICS tatsächlich stattfinden Prof. Dr. C. Karg (HS Aalen) Industrial Control Systems Security Bedrohungen 30 / 30