Intrusion-Detection für Automatisierungstechnik

Transkript

1 Intrusion-Detection für Automatisierungstechnik Franka Schuster Lehrstuhl Rechnernetze und Kommunikationssysteme Brandenburgische Technische Universität, Cottbus SPRING 7 GI SIDAR Graduierten-Workshop über Reaktive Sicherheit, Berlin

2 Inhalt Trends in SCADA-Systemen Bisherige Schutzmaßnahmen & deren Grenzen Unser Ziel: VIDS für die Automatisierungstechnik Ausblick Franka Schuster: Intrusion-Detection für Automatisierungstechnik 2

3 SCADA Supervisory Control and Data Acquisition Enterprise network Remote access Internet = System zur Überwachung & Steuerung technischer Prozesse mithilfe moderner Rechentechnik Demilitarized zone WWW DB WSUS Project typische Architektur von industriellen Fertigungssystemen & Kritischen Infrastrukturen Automation network zentrale Aufgabe (Fertigung, Energieversorgung etc.) erfüllt eingebettete Automatisierungstechnik Controller Controller Peripheral devices Peripheral devices Franka Schuster: Intrusion-Detection für Automatisierungstechnik 3

4 SCADA-Systeme Steigendes Bedrohungspotential: zunehmende Vernetzung der Automatisierungstechnik mit der Standard-IT (herkömmliche Rechner) zum Zwecke der Überwachung, Datenerfassung, etc. der Standard-IT mit öffentlichen Netzen (Internetnutzung) Nutzung standardisierter Soft- und Hardware bspw. Einsatz von INDUSTRIAL ETHERNET in Steuer- und Feldebene Barrieren zwischen Automatisierungsebenen schwinden explizite Bereitstellung von Zugriffsmöglichkeiten Remote-Wartung Remote-Controlling Franka Schuster: Intrusion-Detection für Automatisierungstechnik 4

5 Schutz von SCADA-Systemen Enterprise network Remote access Herkömmliche Maßnahmen: natürlicher Schutz Demilitarized zone WWW DB WSUS Project Internet durch Isolation durch Nutzung proprietärer Soft-/Hardware Automation network indirekter Schutz Schutz der Standard-IT mit herkömmlichen Mitteln Controller Controller Kontrolle des Zugriffs auf die Automatisierungstechnik Peripheral devices Peripheral devices Schaffung von Sicherheitszonen durch industrielle Firewalls keine Überwachung innerhalb der Sicherheitszonen! keine auf den Anlagenverkehr (Protokolle) zugeschnittene Überwachung! Franka Schuster: Intrusion-Detection für Automatisierungstechnik 5

6 Schutz von SCADA-Systemen SCADA-IDS: SNORT / QUICKDRAW : Erweiterung der Signaturen & Präprozessoren von SNORT zur Analyse von Automatisierungsprotokollen (DNP3, Ethernet/IP, Modbus/TCP) Nachteile: SNORT : zentrales IDS einfache Ein-Schritt-Signaturen QUICKDRAW : passiver Generator von Ereignissen mit SNORT-ähnlichen Voraussetzungen Angriffserkennung bedarf Weiterverarbeitung durch zusätzliches Werkzeug keine Unterstützung von in Europa verbreiteten Automatisierungsprotokollen Franka Schuster: Intrusion-Detection für Automatisierungstechnik 6

7 Schutz von SCADA-Systemen SIEM Security Information & Event Management: AlientVault ICS SIEM 1. Agenten generieren Ereignisse anhand von Log-Datei-Informationen 2. statistische Analyse dieser Ereignisse Nachteile: keine direkte Analyse des Automatisierungsverkehrs Funktionalität basiert auf der Ausführung zahlreicher Zusatzprogramme Franka Schuster: Intrusion-Detection für Automatisierungstechnik 7

8 Unser Ziel: Enterprise network Remote access VIDS für Automatisierungstechnik netzwerkbasierte Intrusion-Detection zugeschnitten auf Automatisierungsverkehr Demilitarized zone WWW DB WSUS Project Internet Konzept: Entwicklung einer Komponente (SCID), die alle notwendigen Intrusion- Detection-Funktionen vereint kooperative Analyse mehrerer Instanzen dieser Komponente durch Austausch von Ereignissen Automation network SCID SCID Controller Controller Platzierung der SCIDs auf verschiedenen Automatisierungsebenen für eine differenzierte Analyse SCID Peripheral devices SCID SCID Peripheral devices Franka Schuster: Intrusion-Detection für Automatisierungstechnik 8

9 SCID SCADA Intrusion Detector Vortrag von Andreas Paul Franka Schuster: Intrusion-Detection für Automatisierungstechnik 9

10 SCID SCADA Intrusion Detector Verkehrsüberwachung durch Anomalieerkennung: Automatisierungsverkehr: sehr homogen: zyklischer Austausch numerischer Werte mit festen Grenzwerten innerhalb festem Gerätesetup keine/geringe Toleranz ggü. Abweichung Normalverkehr relativ leicht bestimmbar & lernbar Überprüfung von: Paketinhalten: missgebildete Pakete, auffällige Werte Paketsequenzen Folge von DPI-Ereignissen n-gramm-analyse Franka Schuster: Intrusion-Detection für Automatisierungstechnik 10

11 SCID SCADA Intrusion Detector Lernen von normalem Automatisierungsverkehr: Franka Schuster: Intrusion-Detection für Automatisierungstechnik 11

12 SCID SCADA Intrusion Detector Beispielszenario Lernphase: Franka Schuster: Intrusion-Detection für Automatisierungstechnik 12

13 SCID SCADA Intrusion Detector Beispielszenario Betriebsphase: Franka Schuster: Intrusion-Detection für Automatisierungstechnik 13

14 SCID SCADA Intrusion Detector Erkennung komplexer Unregelmäßigkeiten: Complex Event Processing (CEP): Korrelation & Aggregation von lokalen Analyseergebnissen (DPI Events & Anomaly Events) Ergebnissen anderer SCIDs (SCID Events) Weiterverbreitung dieser Informationen an andere SCIDs SCID Events Sukzessive Zusammenführung von Analysedaten der SCIDs auf verschiedenen Automatisierungsebenen (Subsysteme Gesamtsystem) Lokalisierung von Anomalien Überblick über Anomalien in verschiedenen Netzsegmenten Erkennung ob Unregelmäßigkeiten nur lokale oder regionale Auswirkungen haben Franka Schuster: Intrusion-Detection für Automatisierungstechnik 14

15 Ausblick Aktuelles Projekt: Evaluation anhand OMNeT++-Simulation Franka Schuster: Intrusion-Detection für Automatisierungstechnik 15

16 Ausblick Projektidee: SCID für das Smart Grid Adaption unserer Konzepte & Entwicklungen an Bedürfnisse des Smart Grids Testbed vor Ort: das Smart Grid der Universität Franka Schuster: Intrusion-Detection für Automatisierungstechnik 16

17 Vielen Dank für Ihre Aufmerksamkeit! Fragen? Anmerkungen?

18 Zusätzliche Erläuterungen Störszenario 1) Infizierung: durch USB- Nutzung 2) Ausbreitung: (Büronetz) (Prozessleitebene) Manipulation von Controllern 3) Manipulation des Automatisierungssystems: (Prozessleitebene) PLC Manipulation von dezentralen Peripherie-Geräten

19 Zusätzliche Erläuterungen SCADA-Signaturen: SNORT / QUICKDRAW Open-source netzwerkbasiertes IDS / IPS unterstützt die Analyse einiger Automatisierungsprotokolle: DNP3, Ethernet/IP, Nachteile: Modbus/TCP zentrales IDS einfache Ein-Schritt-Signaturen: alert tcp!$dnp3_client any -> $DNP3_SERVER $DNP3_PORTS (dnp3_cmd_fc:13; sid: ; rev:1; priority:1;) alert tcp any any -> $DNP3_SERVER $DNP3_PORTS (dnp3_cmd_fc:18; sid: ; rev:1; priority:2;) alert tcp any any <> $DNP3_SERVER $DNP3_PORTS (flow:established; pcre:"/(?!\x05\x64)/iar"; sid: ; rev:1; priority:2;)

20 Zusätzliche Erläuterungen Verbreitung von PROFINET Worldwide [1] Germany [2] [1] IMS Research: The World Market for Industrial Ethernet 2009 Edition [2] Quest TechnoMarketing: Ethernet and real time Ethernet in 2005, 2008 and

21 Zusätzliche Erläuterungen Event-Datenstrukturen

22 Zusätzliche Erläuterungen Anomaly Events