SICIA SECURITY INDICATORS FOR CRITICAL INFRASTRUCTURE ANALYSIS

Transkript

1 SICIA SECURITY INDICATORS FOR CRITICAL INFRASTRUCTURE ANALYSIS Brandenburgische Technische Universität Cottbus Senftenberg Vattenfall Europe Generation AG RWE Deutschland AG 2. Jahreskonferenz zum BMBF-Förderschwerpunkt IT-Sicherheit für Kritische Infrastrukturen, Bremen,

2 DAS GROßE GANZE

3 Aktuelle Situation gesetzliche Vorgaben IT-Sicherheitsgesetz [1] IT-Sicherheitskatalog [2]» bis Juli 2017» bis Januar 2018» Betreiber von KRITIS» Netzbetreiber» angemessene organisatorische» Umsetzung eines ISMS, das durch und technische Vorkehrungen [ ] zu treffen ein Zertifikat gem. ISO/IEC [3] nachgewiesen wird» keine explizite Forderung nach ISMS, aber ist aktueller Stand der Technik (wie gefordert)» alle 2 Jahre auf geeignete Weise nachzuweisen ( Sicherheitsaudits, Prüfungen oder Zertifizierungen )

4 Aktuelle Situation gesetzliche Vorgaben IT-Sicherheitsgesetz [1] IT-Sicherheitskatalog [2]» bis Juli 2017» bis Januar 2018» Betreiber von KRITIS» Netzbetreiber» angemessene organisatorische» Umsetzung eines ISMS, das durch und technische Vorkehrungen [ ] zu treffen ein Zertifikat gem. ISO/IEC [3] nachgewiesen wird» keine explizite Forderung nach ISMS, aber ist aktueller Stand der Technik (wie gefordert)» alle 2 Jahre auf geeignete Weise nachzuweisen ( Sicherheitsaudits, Prüfungen oder Zertifizierungen ) Methoden benötigt zur Messung und Visualisierung von IT-Sicherheit und Effekten von Verbesserungsmaßnahmen

5 SICIA: Ziel» Abbildung der aktuellen IT-Sicherheit auf Zahlenwerte» Lagebild: Vergleichsmöglichkeit über große Zahl von Objekten» Indikatoren : Vergleich statt absoluter Wert entscheidend

6 Sicherheitsbewertung: Erreichbarkeitsanalyse 1» Erreichbarkeitsgraph anhand Recherche der Netzinfrastruktur» Zusammenführung verschiedener Sichten» erster Check: tatsächliche Konfiguration vs. Dokumentation

7 Sicherheitsbewertung: Quantifizierung (1/3) d2 d4 d d1 d » Messung technischer Parameter aus Normen und Standards» ISO/IEC ISO/IEC TR BSI ICS-Security-Kompendium [4-6]» Automatisierung via netz- und hostbasierter Methoden

8 Sicherheitsbewertung: Quantifizierung (2/3) n a i w i DSI = i=1n wi = (1 3)+(0,5 3)+(0 2)+(1 1)+(1 2)+(1 3)+(0 1)+(1 2) 12,5 = =0, i=1

9 Sicherheitsbewertung: Quantifizierung (3/3) 0,69 0,93 d2 d4 d3 0,74 d1 d5 0,87 0,84 SSI: 0,83 n f :ℝ ℝ 3 d1 d2 d3 d4 d5 DSIs: 0,87 0,69 0,74 0,93 0,84 n SSI = DSI k =DSI 1 DSI 2... DSI n 1 DSI n k =1» Verdichtung der Komponenten-Indikatoren zu Indikatoren auf Systemebene» mittels Sicherheitsbäumen (ähnlich Fehlerbäumen bei Betriebssicherheit)

10 Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation vorher

11 Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation d7: XXX XXXX d6: XXX XXXX d3: XXX XXXX vorher

12 Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation vorher d7: XXX XXXX TODO: d6: XXX XXXX TODO: XXX XXXX d3: XXX XXXX TODO:...

13 Beispielanwendung: Maßnahmenpriorisierung» Grundlage: gemessene IT-Sicherheit anhand [4-6] + Vernetzung» automatische Ableitung möglicher Verbesserungsmaßnahmen bis auf Komponentenebene» Wahl & Priorisierung von Verbesserungsmaßnahmen anhand Simulation vorher d7: XXX XXXX TODO: d6: XXX XXXX TODO: XXX XXXX d3: XXX XXXX TODO:... nachher

14 TEILPROBLEM: DATENERFASSUNG UND -FUSION

15 Datenerfassung anhand Betreibervorgaben

16 Datenerfassung anhand Betreibervorgaben Werkzeugsatz netzbasiert: Netzverkehranalyse OS-Fingerprinting Portscanning Schwachstellen-Scanning hostbasiert: Betriebssystemwerkzeuge skriptbasiert

17 Datenerfassung anhand Betreibervorgaben Konfiguration des Automatisierungsgrads Grad der Netzinvasivität Grad der Hostinvasivität Rechte (Zutritt, Zugang) zeitliche Vorgaben Werkzeugsatz netzbasiert: Netzverkehranalyse OS-Fingerprinting Portscanning Schwachstellen-Scanning hostbasiert: Betriebssystemwerkzeuge skriptbasiert

18 Datenerfassung anhand Betreibervorgaben Konfiguration des Automatisierungsgrads Grad der Netzinvasivität Grad der Hostinvasivität Rechte (Zutritt, Zugang) zeitliche Vorgaben Werkzeugsatz netzbasiert: Netzverkehranalyse OS-Fingerprinting Portscanning Schwachstellen-Scanning hostbasiert: Betriebssystemwerkzeuge skriptbasiert

19 Webformular: Konfiguration

20 Webformular: Relevante Fragen

21 Webformular: Sichtbarkeit bereits erfasster Daten

22 Weitere Informationen und Kontakt» Projekt SICIA (Security Indicators for Critical Infrastructure Analysis):» gefördert vom Bundesministerium für Bildung und Forschung mit Förderkennzeichen: 16KIS0158K» Laufzeit: 11/ /2017» Projektkoordinator:» Brandenburgische Technische Universität Cottbus Senftenberg, Fachgebiet Rechnernetze und Kommunikationssysteme Prof. Dr.-Ing. habil. Hartmut König

23 Langtitel [1] Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) [2] Bundesnetzagentur: IT-Sicherheitskatalog gemäß 11 Absatz 1a EnWG [3] ISO/IEC 27001: Information technology Security techniques Information security management systems Requirements [4] ISO/IEC 27002: Information technology Security techniques Code of practice for information security management [5] ISO/IEC TR 27019: Information security management guidelines based on ISO/IEC for process control systems specific to the energy industry [6] Bundesamt für Sicherheit in der Informationstechnik (BSI): ICS-SecurityKompendium

24 Vielen Dank für Ihre Aufmerksamkeit! Fragen? Anmerkungen?