Industrial Control System Security

Transkript

1 Industrial Control System Security Holger Junker Bundesamt für Sicherheit in der Informationstechnik (BSI)

2 Das BSI

3 ICS Top 10 Bedrohungen & Lagebild

4 Der Begriff Sicherheit Sicherheit!= Safety sondern Sicherheit = Safety + Security

5 Wer sind die Angreifer? S M L XL Script-Kiddies Cyber-Aktivisten Cyber-Kriminelle Cyber-Terroristen Wirtschaftsspione Staatliche Nachrichtendienste Staatliche Akteure im Cyber-War

6 Top of the line Stuxnet & Flame Iran 2010 Sabotage Siemens S7 und WinCC Frequenzumrichter Zero-Day Exploits (4) 2 kompromittierte Zertifikate Infektionsweg: USB, Netzwerk, Dateifreigaben Peer-to-Peer für Updates 2012 entdeckt, verbreitet seit 2010 Spionage Schadcode über Umleitung Windows-Update Gefälschtes Zertifikat Selbstlöschung Codeüberdeckung mit Stuxnet und Duqu Rootkits für Windows und S7 C&C Server verteilt

7 Angriffe sind nicht immer zielgerichtet Kollateralschäden durch nicht-zielgerichtete Malware... Conficker, Blaster, Slammer & Co. Teilausfall des Elektrizitätsnetzes in USA Ohio's Davis-Besse nuclear power US Bahnverkehr Checkin von Fluglinien größerer Produktionsausfall bei dt. Autobauern etc. teilweise führte allein die erhöhte Netzlast zu Ausfällen in Steuerungen

8 Bedrohungslage Angriffsvektor Verteilung von Malware als Anhang von SPAM-Mails Täglich mehrere SPAM-Wellen in Deutschland mit Malware (Typisch: 5-6 Wellen pro Tag, bis zu Mails pro Tag) Typisch: zum Zeitpunkt der SPAM-Welle wird die Malware praktisch von keinem AV-Produkt erkannt! Vorkonfektionierte Angriffswerkzeuge (Exploit Kits)

9 Bedrohungslage Angriffsvektor Surfen / Drive-by Exploits Verteilung von Malware mittels manipulierter Webseiten Täglich Webseiten mit Drive-By-Exploits, davon zwischen und in Deutschland beliebt: Manipulation über ungepatchte Content-Management-Systeme (z.b. Joomla, Wordpress) beliebt: Verteilung auch über manipulierte Werbebanner, die auf einer Vielzahl hochfrequentierter Sites angeboten werden

10 Bedrohungslage Botnetze als Folge ungezielter Angriffe Botnetz=Gruppe gekaperter Rechner unter gemeinsamer Fernsteuerung (z.b. C&C-Server, Peer-to-Peer-Netz) Gesamtzahl aktueller Botnetze: ~1150 Kritische Botnetze 2012 Lethic: 28% aller SPAM-Mails weltweit Festi: PCs betroffen, SPAM-Bot Zeus: 1100 C&C-Server in 02/2013, Banking-Trojaner SpyEye: 57 C&C-Server in 02/2013, Banking-Trojaner ZeroAccess: PCs betroffen, click-fraud Flashback: MACs betroffen, Password-Stealing

11 Bedrohungslage - Botnetz-Trends Zunehmend werden Botnetze aus gekaperten Servern aufgebaut Vorteil für den Angreifer: Server haben leistungsstarke Anbindung ans Internet (>1Gbit/s) DDoS-Angriffskapazität: >100Gbit/s Aktuell: DDoS-Angriffe auf US-Banken mit Brobot-Botnetz, mehrere Server, mehr als 5000 Server davon in D

12 A little more sophisticated Mehrstufige Angriffe Phishing / Waterhole-Attack / Eindringen in Office-Netz RAT / Poison Ivy Einnisten in Drittsystemen (z.b. Bürogeräte für Netzwerkscan) Reverse Engineering eines Firmware-Update ggf. 0day Exploit kaufen Manipulation einer Steuerung (z.b. ftp-upload, vgl. INL Aurora Test)

13 Wer ist das? Was ist er? INNENTÄTER ein heikles Thema

14 Let's hack the planet

15 Wireless in der Industrie War-driving war eigentlich schon aus der Mode gekommen

16 Mich wird es schon nicht treffen Erkenntnis: Es trifft sogar Anlagen, die es gar nicht gibt! kt-a html

17 Advanced Persistent Threat Erkenntnis: Auch DAX-Unternehmen sind von APT betroffen die Bekämpfung geht in der Regel nicht von heute auf morgen

18 Anforderungen an netzwerkfähige Industriekomponenten

19 Speicher-programmierbare Steuerungen 2013 über 170 Schwachstellen Fehlerhafte Eingabevalidierung fest-codierte Passwörter unsichere Authentisierung Cross-site Scripting (XSS) Denial of Service

20 Beispiel BSI: Sicherheitsanalyse Fernwartungsrouter ca. 20 Schwachstellen Dokumentation (Passwort für root ändern) Windows File Server (smb) Undokumentierte Ports (Debugging Port, UDP, nicht mit Standard NMAP-Aufruf zu finden) mit weitreichenden Manipulationsmöglichkeiten Undokumentierte Verzeichnisse im Webserver zu Fernwartungszwecken mit hard-coded Passwords Ungeschütztes Verzeichnis auf Webserver mit Möglichkeiten zum Versenden von Warnmeldungen (SMS, ) SMTP Passwort des Mailservers des Herstellers

21 Anforderungen an netzwerkfähige Industriesteuerungen Speicher-programmierbare Steuerungen Serial-to-Ethernet Converter GSM-Modems Industrial Firewalls viele sonstige Embedded Devices viele Dinge im Internet der Dinge loads/techniker/hardware/bsi-cs_067.pdf

22 Anforderungen an netzwerkfähige Industriesteuerungen Organisatorische Maßnahmen Product Lifecycle & interne Prozesse Kommunikation Produkteigenschaften Produktdokumentation Produktkonfiguration Technische Produkteigenschaften

23 Anforderungen an netzwerkfähige Industriesteuerungen - Beispiele Defaultpasswörter FTP Hinweis in der Dokumentation Hinweis in der Administrationsoberfläche Erzwingen der Änderung bei Installation / initialer Konfiguration Auslieferung erfolgt bereits mit individuellem Passwort SFTP: Secure File Transfer Protocol (basierend auf SSH) FTPS: FTP über SSL bzw. TLS SCP SNMP: SNMPv3

24 Testleitfaden Detaillierte Handreichung für Hersteller und Integratoren, um die Sicherheit der eigenen Produkte zu testen Seitens Betreibern auch für Akzeptanz-Tests interessant

25 Empfehlungen für Anlagenbetreiber

26 Warum nicht... Firewalls kaufen? Industrial Firewalls kaufen? SIEM Produkte einsetzen? Antivirus-Produkte überall? Data Loss Prevention im gesamten Unternehmen? Intrusion Detection Systeme installieren? Berater beauftragen?

27 Wie wäre es hiermit? Die Pareto-Verteilung beschreibt das statistische Phänomen, wenn eine kleine Anzahl von hohen Werten einer Wertemenge mehr zu deren Gesamtwert beiträgt als die hohe Anzahl der kleinen Werte dieser Menge. 20% der möglichen Maßnahmen umsetzen, damit aber 80% der Gefährdungen abdecken

28 Wo sind die Handlungsfelder? Unternehmen Primärer Angriff Folgeangriff(e) Schadensfolge(n) Organisatorische Mängel & menschliches Fehlverhalten

29 62 % der Mitarbeiter haben keine Bedenken, einen privaten USB-Stick an einen Produktionsrechner anzuschließen Awareness

30 Awareness Quelle: Corporate Trust, 2012

31 Awareness Gehen Sie mit gutem Beispiel voran? Teil der Gesprächskultur sollte auch ein gesundes Misstrauen sein. Ihr Smartphone? Ihr Notebook?

32 ICS Security Kompendium Grundlagenwerk zur Sicherheit in Industrial Control Systems / Industrial IT Ab sofort kostenfrei verfügbar

33 Elementare Maßnahmen Aufbau einer Security-Organisation Erstellen und Pflegen der Dokumentation Etablieren eines Security Managements Netzplan Liste der IT-Systeme und installierten Anwendungen Administrations- und Benutzerhandbücher

34 Best Practices Security-spezifische Prozesse / Richtlinien Security Management Technische Dokumentation Durchgängiges Management aller ICS-Komponenten Notfallmanagement Personal Revision & Tests

35 Best Practices Auswahl der verwendeten Systeme und Komponenten sowie der eingesetzten Dienstleister und Integratoren Vertrauenswürdigkeit IT-Security-Merkmale von ICS-Komponenten Kompatibilität eingesetzter Technologien zu Standards Inbetriebnahme in sicherer Konfiguration Soft- und Hardware Support Fernwartung durch Hersteller und Integrator Absicherung von Feldgeräten Bauliche und physische Absicherung

36 Best Practices Technische Maßnahmen: Absicherung der Netze Absicherung von Diensten und Protokollen Härtung der IT-Systeme Patchmanagement Authentisierung Zugriffskontrolle Schutz vor Schadprogrammen Mobile Datenträger Datensicherung Protokollierung und Auswertung

37 ICS Security Self Check Auf welchem Niveau liegt die Sicherheit Ihrer Anlagen?

38 Ganzheitlicher Ansatz Sicherheit ist ein Prozess, keine einmalige Aktion! Einzelne bzw. unkoordinierte Maßnahmen nicht sinnvoll Ziel sollte die Etablierung eines Informationssicherheitsmanagementssystem sein ISO27000, IT-Grundschutz, ISO/IEC62443, ISA99 VDI2182, NERC CIP, Sukzessive Erhöhung des Sicherheitsniveaus Erfassung / Planung Risikobewertung Umsetzung Überprüfung

39 Gesundheitscheck Wie gesund ist Ihre (Industrial) IT? Und wie können Sie das checken?

40 ICS Security Audit zeitlich oder ereignisgesteuerte Maßnahme Ziel: Mängel und Abweichungen identifizieren Besonders wichtig: Dokumentation Besondere Vorsicht: aktive Tests Herausforderung: IT Security Audits können viele, aber nicht ICS Security Audits ICS Security Kompendium des BSI enthält eine Methodik für Audits in ICS (Rahmenwerk)

41 Wie unterstützt das BSI Betreiber? Start small... ICS Top 10 Bedrohungen und Gegenmaßnahmen ICS Top 10 Self-Check...keep on growing... ICS Security Light & Right ICS Security Awareness Toolkit and think big ICS Security Kompendium ISMS (e.g. IT-Grundschutz, IEC 62443, etc.) ICS Security Kompendium sowie weitere Empfehlungen:

42 Wie unterstützt das BSI Hersteller und Integratoren? Start small... Cyber-Sicherheits Empfehlungen......keep on growing... Handhabung von Schwachstellen Mindestanforderungen an netzwerkfähige Industriekomponenten Security Testing Developer Awareness and think big Security by Design Secure Development Lifecycle ICS Security Kompendium sowie weitere Empfehlungen:

43 Allianz für Cyber-Sicherheit

44 Vielen Dank für Ihre Aufmerksamkeit. Holger Junker Federal Office for Information Security (BSI) Tel: +49 (0) Follow me on