IoT / Industrie Schutz typischer Angriffspunkte

Transkript

1 IoT / Industrie Schutz typischer Angriffspunkte Veranstaltung: Pallas Security Break fast Referent: Stephan Sachweh, Geschäftsführer 27. Juni 2017 Pallas GmbH, Brühl Pallas GmbH Hermülheimer Straße 8a Brühl information (at) pallas.de

2 Drei Szenarien Industrie 4.0 Begrenzte Anzahl von Business Partnern Zusammenarbeit im Shop Floor Bereich Klar definierte Schnittstellen Internet of Things (IoT) Business Begrenzte Anzahl von Partnern Viele Geräte verbunden über eine Plattform, angebunden an weitere Business Systeme (z.b. ERP) Internet of Things (IoT) Consumer Unbegrenzte Anzahl von Usern Vielfalt an Geräten Vielfalt an Schnittstellen Gar nicht oder schlecht gewartet

3 Neue Risiken DDoS Attacken (> 1,1 TBit/s) von schlecht gewarteten Geräten Unsichere IoT-Geräte ermöglichen den Blick hinter die Firewall Lebenswichtige Geräte (z.b. Industrieanlagensteuerungen, Heizungen) werden aus Komfort-Gründen direkt für Dritte erreichbar

4 Gefahrenlage Industrieanlagen bedenkenlos im Internet erreichbar Hoch Risiko Siemens S7 Modbus BacNet Building Controller

5 Generische Architektur Geräte, Sensoren, Aktoren Gateways, Firewalls (ZigBee GW, Z-Wave GW, Firewall/VPN) IoT/Industrie 4.0 Plattform (Schaltzentrale) Quelle: com2m GmbH Web / Mobile Apps, andere Dienste (z.b. ERP)

6 Industrie 4.0 Closed Shop Infrastruktur Klar definierte Partner Klar definierter Umfang Klar definierte Schnittstellen Schlecht gewartet Absicherung Meist klassische Perimeter Sicherung Abschliessbare Infrastruktur Öffnungsanforderung für ERP Datendioden einsetzen Ziel für Industriespionage Sabotage

7 Internet of Things (IoT) Business Closed Shop Infrastruktur Gerätetypen begrenzt, Geräteanzahl pot. unbegrenzt Plattformbetrieb individuell für einen Kunden Schnittstellen klar definierte zu wenigen Systemen Besonderes Risiko aufgrund unterschiedlicher Nutzungszeiten von Gerät und IoT Schnittstelle Bspw. Wasserventil 30 Jahre, IoT Schnittstelle max Jahre

8 Internet of Things (IoT) Business Absicherung Idealerweise höherwertige Geräte mit eigenen Schutzvorkehrungen (lokale Firewall) Verschlüsselte Kommunikation Selten VPNs oder private Netze zwischen Geräten und Plattform Dedizierte Plattform, Standardabsicherung für Server Plattform kann dank begrenzter Geräteumfang die Geräte identifizieren Zusätzlicher Angriffsvektor für angeschlossene Systeme wie z.b. ERP Ziel für Industriespionage Sabotage Geräte als Ziel für Bot-Netze, Hop für interne Angriffe, etc (Reputationsschaden für das Business)

9 Internet of Things (IoT) Consumer Open Infrastruktur Gerätetypen unbegrenzt, Geräteanzahl unbegrenzt Plattformbetrieb für viele Kunden Schnittstellen vielfältig Absicherung (keine) Geräte billig, Time to market kurz, daher schlecht gepflegt, viele Bugs, keine Updates Leider immer noch häufig unverschlüsselte und ungeschützte Kommunikation Lokales Netz und Internet als Transportmedium Komfort geht vor Sicherheit! Ziel für Geräte als Ziel für Bot-Netze Hop für interne Angriffe Sabotage aus Spaß Datenschutz wird vernachlässigt (bspw. Kameras im Internet) Fazit Ungeeignet für Business Erhöht die Gefährdungslage im Businessumfeld!

10 Maßnahmen Geräte, Sensoren, Aktoren Gateways, Firewalls (ZigBee GW, Z-Wave GW, Firewall/VPN) IoT/Industrie 4.0 Plattform (Schaltzentrale) Quelle: com2m GmbH Web / Mobile Apps, andere Dienste (z.b. ERP)

11 Maßnahmen Geräte / Sensoren / Aktoren Ausschließlich Managebare Geräte verwenden Nicht patchbare Systeme ausschließlich per VPN und über benannte Zugänge verfügbar machen Nicht patchbare Systeme trennen vom normalen und vom Internet Netz Verbindungen zwischen Shop Floor und Office ausschließlich über UTM Firewalls oder Daten-Dioden Firewalls so restriktiv wie möglich, UPnP ausschalten Anomalieerkennung im Shop Floor Bereich Wartungszugänge absichern

12 Herausforderung Shop Floor Schlecht managebare Systeme Nicht patchbar Echtzeitanforderungen im Netz Isolierung Staub und Dreck Industriefirewall für Schaltschränke Fremdwartung Conditionierbare Firewall Regeln Bedienbar für jeden Maschinenbetreuer Anomalieerkennung mit Darktrace Gleichartiger Netzwerkverkehr Anomalien sind daher relativ leicht erkennbar Bilder mit freundlicher Genehmigung von Phoenix Contact

13 Maßnahmen Gateways / Firewalls / VPN Geräte, Sensoren, Aktoren Gateways, Firewalls (ZigBee GW, Z-Wave GW, Firewall/VPN) IoT/Industrie 4.0 Plattform (Schaltzentrale) Quelle: com2m GmbH Web / Mobile Apps, andere Dienste (z.b. ERP)

14 Maßnahmen Gateways / Firewalls / VPN Firewall Policy Outgoing so restriktiv wie möglich Firewall Policy Incoming so restriktiv wie möglich UPnP ausschalten VPN Technologie für benannte, Remote Zugänge

15 Maßnahmen Plattform Geräte, Sensoren, Aktoren Gateways, Firewalls (ZigBee GW, Z-Wave GW, Firewall/VPN) IoT/Industrie 4.0 Plattform (Schaltzentrale) Quelle: com2m GmbH Web / Mobile Apps, andere Dienste (z.b. ERP)

16 Maßnahmen Plattform DDoS Schutzmaßnahmen Aktueller Patchstand Professionelles Monitoring dem Business angemessenes Backup Anomalieerkennung im Shop Floor Bereich Wartungszugänge absichern

17 Maßnahmen Backend-Systeme Geräte, Sensoren, Aktoren Gateways, Firewalls (ZigBee GW, Z-Wave GW, Firewall/VPN) IoT/Industrie 4.0 Plattform (Schaltzentrale) Quelle: com2m GmbH Web / Mobile Apps, andere Dienste (z.b. ERP)

18 Maßnahmen Backend-Systeme Standard Sicherungsmaßnahmen für Server DDoS Schutzmaßnahmen Aktueller Patchstand Professionelles Monitoring dem Business angemessenes Backup Anomalieerkennung Wartungszugänge absichern Web Application Firewalls für Web-Anwedungen

19 Gerne beantworte ich Ihre Fragen Stephan Sachweh Pallas GmbH Hermülheimer Straße 8a Brühl stephan.sachweh (at) pallas.com