Augsburg, Cyber-Sicherheits-Tag Audit-Methodik für Installationen von Industrial Control Systems (ICS)

Transkript

1 Augsburg, Cyber-Sicherheits-Tag 2014 Audit-Methodik für Installationen von Industrial Control Systems (ICS)

2 Referent Mario Corosidis Seite 3

3 Ausgangslage Ausgangssituation Security-Historie, -Gegenwart & -Zukunft von ICS Standard IT-Komponenten & -Protokolle Lebensdauer der Systeme von 25+ Jahren Aufweichung der Netzseparierung Problemlage Bedrohungslage von ICS die gleiche wie IT-Systeme Schutzziele in umgekehrter Reihenfolge Seite 4

4 Warum Security Testing? Was ist die Angriffsfläche? Defense in Depth Defense in Width Seite 5

5 Warum Security Testing? Security Program wird für ICS benötigt Größere Angriffsfläche Attacken/Malware haben größere Auswirkung Bsp. Stuxnet Security Testing muss zum Security Program gehören Standards VDI/VDE 2182 ISA99 DHS "Cyber Security Assessment of ICSs" Seite 6

6 Unterschiede zum Standard Test Wenn möglich nicht im produktiven Bereich testen Kenntnis über die Umgebung Zusammenspiel: Funktion <-> System Funktionsweise der Tools Keine automatisierten Vulnerability Scans Selbst ein Portscan kann gefährlich sein Vorwiegend manuell testen Seite 7

7 Lösung de facto Security Test Standard OSSTMM als Basis Applied Methodology für ICS entwickelt Neu im Scope: Embedded Devices Seite 8

8 OSSTMM Open Source Security Testing Methodology Manual Der internationale Standard für Security Testing and Analyse Eine Methodik für objektive Messungen der operativen Sicherheit Entwickelt von der Non-Profit Organisation ISECOM (Institute for Security and Open Methodologies) Seite 9

9 Test Typen OSSTMM-Audit Penetrationstest Ethical Hacking Validität Hands-On Audit Vulnerability Scanning Zweckmässigkeit ISECOM Seite 10

10 Methodik Methodik für alle 5 Sektionen mit jeweils 17 Modulen Jedes Modul hat mehrere Tasks Seite 11

11 Interaktions Scope Vektoren Test Umgebung wenn möglich Angriffstiefe Abhängig vom Scope Test Typ Crystal Box wenn möglich Zumindest Double Gray Seite 12

12 Recursive ICS Test Process Seite 13

13 ICS Test Prozess Reconaissance & Mapping Netzwerkplan Analyse Analyse des Netzwerk Traffic Trace von allen Daten Eingangspunkten Polite Port Scans Seite 14

14 ICS Test Prozess Exploration & Discovery Dokumentationsrecherche Startup Traffic Capture Versions Erkennung Vulnerability Nachforschung bei öffentlichen Quellen (CVE...) Seite 15

15 ICS Test Prozess Basic Assessment Interviews Konfigurations Analyse Fuzzing Authentication & Encryption Testing Service Analyse Seite 16

16 ICS Test Prozess Vulnerability Verification & Exploitation Web Anwendungen für ICS Komponenten immer verbreiteter Netzwerk Exploit Development Seite 17

17 Security Testing Task ICS Server Testing Informationsbeschaffung Vulnerability Analysis / Basic Assessment Exploitation / Verification Server Application Testing Application Mapping Application Discovery/Basic Assessment Application Exploitation / Verification Embedded Device Testing Electronic Component Analysis Field Technician Interface Analysis Seite 18

18 Fragen noch Fragen? Seite 19

19 Danke Vielen Dank! Mario Corosidis Seite 20