Application Whitelisting in Smart Grid und Industrie 4.0 Erkennung und Validierung auch von spezifischen Maschinenprotokollen "on demand"

Transkript

1 Application Whitelisting in Smart Grid und Industrie 4.0 Erkennung und Validierung auch von spezifischen Maschinenprotokollen "on demand" CeBit Hannover, März 2017 Marius Münstermann

2 Cybersecurity ist neues Arbeitsgebiet bei Rohde & Schwarz Messtechnik Rundfunk- und Medientechnik Sichere Kommunikation Cyber-Sicherheit Funkerfassung Messgeräte und -systeme für Mobilfunk- und Wireless- Anwendungen allgemeine Elektronik Aerospace & Defense Betriebs-, Messund Studiotechnik für Netzbetreiber Sendeanstalten Studios Filmindustrie Hersteller von Unterhaltungselektronik Kommunikationssysteme für Flugsicherung Streitkräfte Verschlüsselungstechnik für Militär Behörden kritische Infrastrukturen IT-Sicherheitslösungen für Wirtschaft Kritische Infrastrukturen Behörden Funkerfassungstechnik für Regulierungsbehörden innere und äußere Sicherheit Netzbetreiber Radaraufklärungstechnik Service Application Whitelisting Energienetze Industrie 4.0 1

3 Strategisches Ziel: Wir stehen als zuverlässiger Lieferant für Cybersecurity Produkte und Lösungen in Europa Tap-proof communication Voice Encryption Apps & Devices Secure Messaging Fax & Radio Encryption Trusted Management CA, PKI, HSMs Crypto Management Configuration, Policy Firmware Deployment Trusted solutions from a single source Secure Endpoints Full-Disk Encryption Secure Browsing & Cloud Secure Desktop & Mobile Protected networks and network analytics Next Generation Firewalls & UTM Deep Packet Inspection Incident Detection / Response Encrypted Backbone / WAN Layer 3 IP Encryption Layer 2 Ethernet Encryption Secure Remote Access Application Whitelisting Energienetze Industrie 4.0 2

4 Application Whitelisting für Energienetze und Industrie Application Whitelisting Energienetze Industrie 4.0 3

5 Neue Herausforderungen für Netzleittechnik und Produktionsumgebungen Konvergenz der Netze ı Abrechnungsdaten vom Prozess-Netz in das Büronetz ı Fernüberwachung und Fernsteuerung ı Datenübertragung über öffentliche Netze Zunehmende Komplexität ı Steigende Anzahl von Feldelementen ı Dezentralisierung der Devices und Standorte ı Wachsendes Datenvolumen ı Echtzeitanforderungen Technologie-Inkompatibilität ı Netzleittechnik wurde für geschlossene Netze entwickelt und verfügt über wenig bis keine Security ı Herkömmliche IT hat geringere Anforderungen an die Verfügbarkeit ı Klassischer IT-Ansatz der Negative-Validation (Blacklisting) Application Whitelisting Energienetze Industrie 4.0 4

6 Was passierte am 2. Mai 2013? Application Whitelisting Energienetze Industrie 4.0 5

7 Das Problem: Österreichisches Stromnetz im Blindflug ı Tests in neuem Steuernetzwerk für ein Gas-Kraftwerk in Bayern ı Status-Abfrage von Leitstelle an alle Feldelemente (Broadcast) ı auch in das Steuernetz einiger österreichischer Stromerzeuger ı Alle Feldelemente aus den Strom-Netzen (sehr viel größere Anzahl) schickten ebenfalls Status-Meldungen ı Nur: Diese Feldelemente interpretierten die Staus-Abfrage ein ganz klein wenig anders: Sie schickten Ihren Staus ebenfalls als Broadcast an alle, was wie eine distributed denial of service Attacke (DDoS) wirkt ı Die Folge: Massive Überlastung des Steuernetzes der Stromversorger, Zusammenbruch der Kommunikation, Spannung von 50 Hertz musste von Deutschland aus über mehrere Tage stabil gehalten werden Application Whitelisting Energienetze Industrie 4.0 6

8 Der Lösungsansatz: Application Whitelisting mittels einer leistungsfähigen Next Generation Firewall Second-line-of-Defense analog zum PAP-Konzept des BSI Internet Router Packet Filter R&S gateprotect NP+ DMZ Prozess- Netz Full-Positive-Validation des gesamten Datenstroms Netzübergang zwischen Prozessnetz und IT-Netz über eine eigene DMZ Router Packet Filter R&S gateprotect NP+ Büro-IT Auftrennung des LANs in verschiedene Security-Zonen durch die interne Firewall Application Whitelisting Energienetze Industrie 4.0 7

9 Next-Generation Firewall R&S gateprotect Specialized Line bietet Protokoll-Erkennung und -Validierung für IEC ı Specialized Line Firewall erlaubt fein granulare Regelwerke u.a. basierend auf dem Protokoll IEC ı Beispiel aus der Praxis: Feldelemente können zwar Messwerte, aber keine Steuerbefehle zur Leitwarte senden ı Weitere Industrie-Protokolle werden ergänzt (z.b. OPC UA), um auch bei Industrie 4.0 Anwendungen ein Application Whitelisting zu ermöglichen Application Whitelisting Energienetze Industrie 4.0 8

10 Single Pass-Technologie für minimale Latenz und hohe Durchsatzrate ermöglicht Einsatz im internen Netz ı Single Pass Engine beschleunigt Analyse der Pakete und ermöglicht Korrelation zwischen einzelnen Analyseaspekten Klassische Firewalls: Teilstreckenverfahren (store and forward) ı Daten-Integrität durch Protokollerkennung und validierung ı Authentizität und Vertraulichkeit: VPN-Verschlüsselung basierend auf OpenVPN und IPSec Echte NGFW: Single Pass Technologie (Datenstrom-basiert) ı Komplette Entwicklung in Deutschland, daher weitere spezifische Anpassungen für Energiesektor und Industrie rasch möglich, z.b. Ergänzung von Maschinenprotokollen Application Whitelisting Energienetze Industrie 4.0 9

11 Intuitive grafische Benutzerführung reduziert Kosten und verringert das Risiko von Bedienfehlern Technische Vorteile: ı Sichere -Kommunikation ı Schutz vor Hacker-Angriffen ı Extended-User-Authentifizierung ı Single-Pass-Engine Application Whitelisting Energienetze Industrie

12 Stadtwerke Tübingen sowie Baden-Baden schützen bereits Leitstelle und Steuerungsnetzwerke Mehrstufiges Sicherheitskonzept mit Applikationserkennung Insbesondere für die mehrstufige Absicherung der Netzsegmente vom Büro-LAN zum Netzwerk der Leittechnik bietet R&S gateprotect einen enormen Schutzmechanismus Franz Schaub, IT-Leiter Stadtwerke Baden-Baden Neukonzeption des Netzwerkes in ein mehrstufiges FW-System und Integration von R&S NP+ als Second line of Defense Application Whitelisting Energienetze Industrie

13 Rohde & Schwarz Cybersecurity GmbH Mühldorfstraße 15, München Phone Fax Mail Application Whitelisting Energienetze Industrie