Nürnberg, Kongress SPS/IPC/Drives Technische Sicherheitstests

Transkript

1 Nürnberg, Kongress SPS/IPC/Drives 2014 Technische Sicherheitstests von Industrial Control Systems (ICS)

2 Autoren Heiko Rudolph Aaron Brown Seite 2

3 Unternehmensdarstellung Seite 3

4 Standardisierung Technische Sicherheitstest von ICS Anlagen Unternehmensdarstellung Verbände Open Source Projekte Forschung & Lehre Förderprojekte Seite 4

5 Ausgangslage Ausgangssituation Security-Historie, -Gegenwart & -Zukunft von ICS Standard IT-Komponenten & -Protokolle Lebensdauer der Systeme von 25+ Jahren Aufweichung der Netzseparierung Problemlage Bedrohungslage von ICS die gleiche wie IT-Systeme Schutzziele in umgekehrter Reihenfolge Seite 5

6 Warum Security Testing? Was ist die Angriffsfläche? Defense in Depth Defense in Width Seite 6

7 Warum Security Testing? Security Program wird für ICS benötigt Größere Angriffsfläche Attacken/Malware haben größere Auswirkung Bsp. Stuxnet Security Testing muss zum Security Program gehören Standards VDI/VDE 2182 ISA99 DHS "Cyber Security Assessment of ICSs" Seite 7

8 Unterschiede zum Standard Test Wenn möglich nicht im produktiven Bereich testen Kenntnis über die Umgebung Zusammenspiel: Funktion <-> System Funktionsweise der Tools Keine automatisierten Vulnerability Scans Selbst ein Portscan kann gefährlich sein Vorwiegend manuell testen Seite 8

9 Lösung de facto Security Test Standard OSSTMM als Basis Applied Methodology für ICS entwickelt Neu im Scope: Embedded Devices Seite 9

10 Vektoren Test Umgebung wenn möglich Angriffstiefe Abhängig vom Scope Test Typ Technische Sicherheitstest von ICS Anlagen Interaktions Scope Crystal Box wenn möglich Zumindest Double Gray Seite 10

11 Angriffsvektoren A1 A2 A3 B1 B2 C1 C2 A1: initial compromised channel (z.b. Webserver) B1: (z.b. Remote Business Partners & Vendors / A2: compromised trusted channel(1) (z.b. DB Server) Remote Operations & Facilities) A3: compromised trusted channel(2) (z.b Configuration Server) C1: (z.b. Wlan Access Point / Intelligent Electronic Devices) Seite 11

12 Recursive ICS Test Process Seite 12

13 ICS Test Prozess Reconaissance & Mapping Netzwerkplan Analyse Analyse des Netzwerk Traffic Trace von allen Daten Eingangspunkten Polite Port Scans Seite 13

14 ICS Test Prozess Exploration & Discovery Dokumentationsrecherche Startup Traffic Capture Versions Erkennung Vulnerability Nachforschung bei öffentlichen Quellen (CVE...) Seite 14

15 ICS Test Prozess Basic Assessment Interviews Konfigurations Analyse Fuzzing Authentication & Encryption Testing Service Analyse Seite 15

16 ICS Test Prozess Vulnerability Verification & Exploitation Web Anwendungen für ICS Komponenten immer verbreiteter Netzwerk Exploit Development Seite 16

17 Security TestingTask ICS Server Testing Informationsbeschaffung Vulnerability Analysis / Basic Assessment Exploitation / Verification Server Application Testing Application Mapping Application Discovery/Basic Assessment Application Exploitation / Verification Embedded Device Testing Electronic Component Analysis Field Technician Interface Analysis Seite 17

18 Anwendungsbeispiel 1 Anwendungsbeispiel 1 IT-Sicherheitskatalog der BNetzA Aufbau ISMS für EVU Seite 18

19 Differenzierungsmerkmal ISMS klassisch (BK) ISMS PLT Operative Sicherheit durch technisch wirksame ISMS Seite 19

20 Gap-Analyse Technische Sicherheitstest von ICS Anlagen Erste Schritte Scope definieren OSSTMM- Audit Posture Review Bericht Terminplan Rollen KickOff Basic Assessment Verification Test Risk Assessment Policies & Procedures Maßnahmen-Reviews Gap- Analyse Abweichungen / Maßnahmenplan Seite 20

21 Anwendungsbeispiel 2 Anwendungsbeispiel 2 ICT Continuity Branchenempfehlung Strommarkt Schweiz Verband Schweizerischer Elektrizitätsunternehmen Seite 21

22 Anwendungsbeispiel 2 Security Test Interviews Findings Gap- Analyse BIA Seite 22

23 Anwendungsbeispiel 2 Ziele des Projektes Branchenempfehlung ICT-Continuity Nebeneffekt für die Leittechnik Umzusetzende Handlungsfelder & Maßnahmen Aktuellen Sicherheitszustand prüfen Erhöhung der operativen Sicherheit ICT Continuity- Implementierungen werden an der faktischen Sicherheitslage ausgerichtet Sicherheitslimitierungen & Schwachstellen Quick Wins & Synergieeffekte Wirksamkeit der Sicherheitsmaßnahmen Aktives Sicherheitsmanagement Seite 23

24 Anwendungsbeispiel 3 Anwendungsbeispiel 3 Windpark Seite 24

25 Anwendungsbeispiel Seite 25

26 Anwendungsbeispiel 3 GAP-Analyse Beispiel Betriebs- und Kommunikationsmanagement Vollständig umgesetzt 1 Teilweise umgesetzt 38 0 Nicht umgesetzt 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Nicht umgesetzt 1 Teilweise umgesetzt 2 Vollständig umgesetzt Seite 26

27 Anwendungsbeispiel 4 Anwendungsbeispiel 4 Detailed Risk Assessement nach IEC bei Chemie-Konzern Seite 27

28 Anwendungsbeispiel 4 Perform Vulnerabilty Assessment exploration & discovery perform assessment (test execution) perform vulnerability verification & exploitation network diagram analysis vulnerability scanning penetration testing documentation research Vulnerability Research exploit development analyze network traffic fuzzing polite port scans Application Testing configuration analysis Seite 28

29 Anwendungsbeispiel 4 Detailed Vulnerability Assessement Identify Critical Cyber Assets asset register identify assets use case-/scenario-based Define Scope and Interaction Vectors define scope of interaction determine vectors (i.e. trace all data entry points) Perform Vulnerabilty Assessment perform exploration & discovery perform assessment identify vulnerabilities Document Results provide a summary of all vulnerabilities in a report prioritize vulnerabilities Perform Remediation provide possible remediation suggestions for all vulnerabilities implement countermeasures perform verification Seite 29

30 Fragen noch Fragen? Seite 30

31 Danke Vielen Dank! Heiko Rudolph Seite 31