splone SCADA Audit Leistungsübersicht

Transkript

1 splone SCADA Audit Leistungsübersicht 3. November 2016

2 SCADA Audit To ensure that your whole host may withstand the brunt of the enemy s attack and remain unshaken - this is effected by maneuvers direct and indirect. - Sun Tzu, The Art of War Neue Herausforderung durch I 4.0 und IoT 303 erfolgreiche Angriffe auf kritische Infrastrukturen in den USA Immense Auswirkungen im Schadensfall Industrielle Kontrollsysteme (ICS) und kritische Infrastrukturen werden häufig unter dem Begriff SCADA zusammengefasst. Sie bestehen aus einer großen Anzahl an hochspezialisierten Geräten, deren Aufgabe es ist, industrielle Prozesse zu überwachen und zu steuern. Auch kleinste Fertigungsanlagen bestehen aus programmierbaren Steuereinheiten (SPS/PLC), Aktoren und Sensoren. Durch die zunehmenden Vernetzung, beispielsweise im Rahmen von Industrie 4.0 oder dem Internet der Dinge (IoT), entstehen neue Zugriffspunkte und Angriffsszenarien. Als Konsequenz werden Angriffe auf kritische Infrastrukturen und industrielle Kontrollsysteme (ICS) trotz des hohen Aufwands und erforderlichen Wissens immer lukrativer. Beispielsweise wurden in 2015 in den USA 303 sicherheitskritische Vorfälle bei kritischen Infrastrukturen offiziell gemeldet. Welches einem Wachstum von mehr als 20% im Vergleich zum Vorjahr entspricht. sind. ICS-Anlagen, kritische Infrastrukturen und SCADA-Systeme zeichnen sich durch Ihre hohen technischen Anforderungen und sensible Verbindungen aus. Eine dauerhafte Verfügbarkeit und die Kommunikation in Echtzeit gehören zu den Mindestanforderungen, sodass kleinste Unregelmäßigkeiten bereits zum Ausfall führen. Zusätzlich sind geringe Abweichungen in der Produktion immer mit weitreichenden Folgen verbunden. So können Beispielsweise Liefertermine oder Qualitätsanforderungen nicht eingehalten werden, die Produktion fällt aus oder es kommt gar zu Personenschäden. Unsere Leistung Im Bereich der SCADA-Systeme und der kritischen Infrastrukturen bieten wir verschiedene Leistungen an. Diese sind im Folgenden erklärt. Sollten die Leistungen nicht zu Ihrem Bedarf passen, dann sprechen Sie uns an. Gerne passen wir unser Angebot individuell an Ihre Bedürfnisse und Vorstellungen an. 1 SCADA Audit

3 Penetrationstest Penetrationstest Simulierter Angriff Risikoanalyse In Form eines Penetrationstests simulieren wir Angriffe auf Ihr SCADA- System. Ohne tatsächlichen Schaden anzurichten, überprüfen wir die technische Sicherheit Ihrer Produktionssysteme. Hierbei nehmen wir Rücksicht auf die Sensibilität der kritischen Infrastrukturen und berücksichtigen Ihre einzigartigen Anforderungen (beispielsweise Netzinfrastruktur, genutzte Software und verwendete Protokolle). Wir identifizieren relevante Angriffsvektoren und decken Sicherheitslücken auf. Um die Sicherheit Ihrer Industrie 4.0 Anlagen zu untersuchen, werden SCADA-spezifische Vektoren wie die Manipulation von Aktoren und Sensoren genauso berücksichtigt, wie Angriffe über kompromittierte Webserver. Neben der Bewertung und Priorisierung von Schwachstellen erarbeiten wir Handlungsvorschläge, um die IT-Sicherheit zu verbessern. IS-Kurzrevision IS-Kurzrevision Bestimmung des Status quo Technische und Prozessebene Bei einer IS-Kurzrevision nach dem BSI auditieren wir in kurzer Zeit Ihr System aus einer internen Perspektive. Anhand von Mitarbeitergesprächen, der vorhandenen Dokumentation und einer technischer Analyse stellen wir das aktuelles Sicherheitsniveau Ihres Produktionssystems und der Abläufe fest. Im Ergebnis sind Sie sich im Klaren über mögliche Angriffsszenarien, die zugehörigen Sicherheitsrisiken und Ihr Sicherheitsniveau. Zusätzlich liefern wir Ihnen Maßnahmen und Handlungsempfehlungen zur Verbesserung Ihrer IT-Sicherheit. Managementsystem für Informationssicherheit Implementierung eines ISMS Ganzheitliche Umsetzung der IT-Sicherheit Definition des Zielzustandes Festlegung der Maßnahmen Wir überprüfen oder implementieren Ihr Managementsystem für Informationssicherheit (ISMS) auf Basis der IEC oder der ISO Bei dieser ganzheitlichen Herangehensweise an IT-Sicherheit werden strukturiert der Zielzustand, die Verantwortlichkeiten, notwendige Prozesse und zielführende Maßnahmen definiert und nachvollziehbar dokumentiert. Wir begleiten Sie bei allen Schritten des Prozesses von der Planung über die Umsetzung und Bewertung bis hin zur Dokumentation und Überprüfung. Gemeinsam mit Ihnen erarbeiten wir ein Incident Management, welches ein Vorgehen im Fall von Angriffen oder anderen sicherheitsrelevanten Problemen vorgibt. Ein weiterer Schwerpunkt liegt in der Separierung von OT/IT-Netzwerken und sogenannten Defensein-Depth Maßnahmen, um ein maximales Sicherheitsniveau zu erreichen. Mit unserer Hilfe erhalten Sie eine Risikoanalyse auf Basis der möglichen Angriffsvektoren, die Definition eines sinnvollen Zielzustandes und die nötigen Maßnahmen zur Erreichung des Zieles. 2 SCADA Audit

4 Ihr Nutzen Schadensfälle reduzieren Schadensauswirkungen minimieren Vorbereitung auf neue Anforderungen Feststellen Ihres Sicherheitsniveaus Schwachstellen & Einfallstore identifizieren Risiko analysieren Schäden minimieren Verhindern Sie mit einem Sicherheitsaudit Produktionsausfälle durch externe Angreifer. Ein Audit hilft Ihnen dabei, Wirtschaftsspionage oder Sabotage zu unterbinden und schützt so Ihr Know-How, Ihren Produktionsprozess und/oder Ihre Infrastruktur. Zusätzlich stellen Sie sicher, dass Ihre Industriekomponenten sicher vernetzt sind und Sie so auf die Anforderungen der Industrie 4.0 vorbereitet sind. Mit unseren Leistungen bieten wir Ihnen eine Vielzahl von Informationen. Neben einer Aussage über das allgemeine Sicherheitsniveau erhalten Sie eine Einschätzung der bestehenden Sicherheitsrisiken. Auf Basis der identifizierten Schwachstellen und Einfallstore lernen Sie Maßnahmen kennen, die Ihnen helfen, den Bedrohungsszenarien zu begegnen. Durch die Umsetzung der empfohlen Maßnahmen zur Verbesserung der IT-Sicherheit sind Sie selbst in der Lage, die Wahrscheinlichkeit von Schadensfällen und deren Auswirkungen zu reduzieren. Die Maßnahmen werden priorisiert, damit Sie auch schnell und kurzfristig reagieren können. Als Konsequenz verhindern Sie so den Verlust oder die Manipulation Ihrer Assets. Ihre Vorteile mit splone OSCP zertifizierte Experten SCADA Know-How Vorgehen nach ISO und IEC Enge Kommunikation Forschungsnähe Unsere SCADA-Audits werden von OSCP zertifizierten Auditoren begleitet. Wir besitzen Spezialkenntnisse im SCADA-Bereich. So kennen wir die relevanten Standards, die meistgenutzten Protokolle und Produktionskomponenten sowie den Umgang mit sensiblen Echtzeitsystemen. Bei unseren Überprüfungen orientieren wir uns an den einschlägigen Richtlinien, wie der ISO und der IEC Dank unserer direkte Verbindung mit der Freien Universität Berlin und der SCADCS Forschungsgruppe, kennen wir den aktuellen Stand der Forschung und sind informiert über die neuesten Erkenntnisse. Uns ist es wichtig, dass Sie während einer Überprüfung konstant auf dem aktuellen Stand sind und wir auf Ihre individuellen Anforderungen eingehen können. So ist Teil unser engen Kommunikation, dass Sie regelmäßig Fortschrittsberichte über den Projektverlauf erhalten. Als Ergebnis erhalten Sie zudem einen Abschlussbericht mit einer gut verständlichen Zusammenfassung. In diesem abschließenden Gutachten sind alle Schwachstellen bewertet. Zu jedem identifizierten Problem schlagen wir Maßnahmen vor, die konkrete Lösungen beschreiben und kurz in ihrem Aufwand abgeschätzt werden. 3 SCADA Audit

5 Umfang Individueller Umfang Der Umfang jedes SCADA Audits wird individuell bestimmt. Er ist abhängig vom jeweiligen Untersuchungsobjekt, den verwendeten Protokollen und Komponenten sowie von der Tiefe der Untersuchung. Das für Sie passende Paket erarbeiten wir gemeinsam mit Ihnen. Hierfür benötigen wir Informationen über Ihre Zielsysteme oder Anwendungen und erstellen Ihnen ein individuelles Angebot. Kontaktieren Sie uns! Wir haben Ihr Interesse geweckt? Sie haben Fragen zum Ablauf, zu Inhalten oder zum konkreten Umfang? Sie haben andere Wünsche oder spezielle Anforderungen? Dann treten Sie mit uns in Kontakt! Wir beraten Sie ausführlich in einem persönlichen Gespräch. 4 SCADA Audit

6 splone ist eine unabhängiger Dienstleister im Bereich der IT-Sicherheit. Wir unterstützen unsere Kunden bei der Konzeption, Umsetzung und Überprüfung Ihrer Unternehmensinfrastruktur, Software oder Applikationen. In Form von Audits und Penetrationstest simulieren wir ganzheitliche oder risikoorientierte Angriffe auf Unternehmensnetzwerke. Gemeinsam mit unseren Kunden implementieren wir Prozesse und Managementsysteme der IT-Sicherheit (ISMS) zum Beispiel nach ISO oder dem BSI Grundschutzkatalog. splone splone UG (haftungsbeschränkt) c/o Freie Universität Berlin Malteserstr Berlin Robin Hahn web: splone.com/de/ mail: tel: