Titel einfügen Connected Grid-Vernetzung und der Einfluss des VSE Handbuches René Frank, CCIE 6743 / 27.11.2018
Agenda Rückblick Litecom Kunden-Event 2014 Nur ein Jahr später... Ukraine 23.12.2015 Folientitel einfügen Handbuch Grundschutz für Operational Technology in der Stromversorgung Security für OT Netzwerke Fazit und Empfehlung
Rückblick Litecom Titel einfügen Kunden-Event November 2014
Netzwerk Übersicht mit MPLS/IP Technologie Netzwerk Übersicht mit Multiservice MPLS/IP Core und Aggregation On-Net UW, TS via eigenem MPLS/IP Backbone Folientitel einfügen Off-Net Standorte via Private SP Services (z.b. DSL, LTE)
UW Grid Router und seine Aufgaben Folientitel einfügen Der Connected Grid Router im Unterwerk muss folgende Aufgaben übernehmen: Segmentierung mit L3 VPN z.b. für Leittechnik, Messung, NMS etc. Verschlüsselung der Daten für den Transport über das WAN pro VPN Terminierung der serielle IEC-101 Schnittstellen und Transport über das WAN Integrierte Firewall zum Schutz der Netzwerke im Unterwerk Integriertes IDS/IPS zur Erkennung und zum Blockieren von Angriffen Terminierung von WAN Backup Schnittstellen, z.b. xdsl oder 4G/LTE
Folientitel Sicherheit einfügen den Unterwerken Stand 2014 Am Kunden-Event 2014 sprachen wir über die mögliche Gefährdung durch Attacken in den UWs und den drohenden Blackouts Beispiel: Marc Elsberg s Roman «BLACKOUT»»Morgen ist es zu spät» Wir waren uns damals schon den Gefahren bewusst.
Titel einfügen Nur ein Jahr später... Ukraine 23.12.2015
Folientitel 2015 Cyber-Attacke einfügen auf 3 EVU in der Ukraine Nur 1 Jahr später traf es ein! In der Ukraine wurden gleichzeitig 3 EVU angegriffen Hacker hatten die Fern-Steuerung von 3 EVU übernommen Ein Mitarbeiter hat dieses Desaster mit seinem Mobile gefilmt! Im Video schalten die Hacker mehrere 110kV Hochspannungsschalter aus! Folge: 30 UW Offline, 230 000 Ukrainer waren bis zu 6h ohne Strom Interessant im Video: Ungläubiges Staunen der Operator was da gerade geschieht... Ein junger Operator: «Wir sollten die IT Leute informieren» Ein älterer Operator: «Und wenn es die IT Leute sind, die das machen?»
Folientitel 2015 Cyber-Attacke einfügen Ukraine: Live Video der Attacke...
Folientitel 2015 Cyber-Attacke einfügen Ukraine: Was geschah wirklich? 9Mte vorher Phising Email: Phising Email mit Office-Dokument Malware BlackEnergy3 installiert Keylogger und Screenshots VPN/RDP Logindaten erspäht Std/Min vorher: KillDisk und ICS Firmware Rollout Remote Login auf HMI Workstation Attacke!!! Via VPN/RDP HMI Workstation 110kV Stromschalter aus USV deaktiviert KillDisk aktiviert Telefon DDOS gestartet
Handbuch Grundschutz Titel einfügen für «Operational Technology» in der Stromversorgung
Folientitel Die Eckpunkte einfügen des VSE Handbuches Das Handbuch verfolgt den Ansatz einer Defense-in-Depth Strategie «Hindere einen Angreifer mit möglichst vielen Verteidigungslinien!» Leitfaden um eine Sicherheitsstrategie aufzubauen und zu betreiben Gewährleisten von: Verfügbarkeit der Informationssysteme Integrität der Daten Vertraulichkeit der Informationen Empfehlung gilt für Netzebenen 1-4 Netzebenen 5-7 sind betroffen via vernetzte Leitsysteme
Neue Herausforderung für ICS Systeme Früher wurden ICS Systeme streng isoliert von der Aussenwelt betrieben Folientitel einfügen Heute Anforderung an Informationsaustausch und Automatisation Führt zu verbundenen und vernetzten Systemen Ein Netzwerk für alle Systeme und Anwendungen Einsatz von Standard IT Komponenten
Sichere und robuste ICS Netzwerkarchitektur Bietet Schutz gegen Angriffe Folientitel einfügen Jede Schnittstelle, Übergang und Verbindung ist eine potentielle Gefahr Gesamte Vorgänge in den Netzen müssen bekannt sein Richtige Gruppierung und Segmentierung der Netzwerkarchitektur ist die Basis
Folientitel Systemlandschaft einfügen im ICS Umfeld Security Areas: External Enterprise Business Process/Manufacturing Security Sectors Horizontale Funktionen Typische Unterteilung IT (Enterprise) OT (Process) SCADA OT/IT DMZ «Kritischer Übergang»
Folientitel Empfohlene einfügen sichere Netzwerkarchitektur Technische Möglichkeiten: Netzwerkzugangskontrolle (NAC) Netzsegmentierung / IP Subnetze L2 VLAN Routing Firewall DMZ Verschlüsselung Datendioden Protokoll-Umsetzer WAN Sektor Anforderung: Grosse Isolation der Verbindungen Übertragung muss verschlüsselt sein
Folientitel Beispiel System-Aufbau einfügen einer versorgungskritischen Anlage
Folientitel Fazit und einfügen wichtige Punkte Defense-in-Depth Strategie: Mehrere Verteidigungslinien Mehrere Security-Bereiche und Sektoren Neue Herausforderungen an ICS Systeme Informationsaustausch und Automation OT Netze zunehmend vernetzt IT Netze und Internet unumgänglich Netzwerkarchitektur: Segmentierung / Subnetze Definierte Security Übergänge Jeweils geschützt mit Firewalls WAN Transport verschlüsselt
Titel einfügen Security für OT Netzwerke
Folientitel Security in einfügen OT Netzwerken MPLS/IP L3VPN Transport: Segmentierung in getrennte VRF/VPN Verschlüsselung pro VRF/VPN UW Grid Router: Terminierung VRF/VPN Firewall pro VRF/VPN Verschlüsselung pro VRF/VPN WAN Backup via Private DSL/LTE Hauptsitz ASR Router: Terminierung VRF/VPN Firewall pro VRF/VPN Verschlüsselung pro VRF/VPN
Folientitel Angriffsziele einfügen im OT Umfeld Cyberangriffe starten fast immer von der IT / Enterprise aus Die Angriffsziele sind meist Windows PC Supervisor Workstations Windows basierte Industrierechner Achtung ältere Windows-Versionen (z.b. XP)
Folientitel Angriffe stoppen einfügen mit IT Security Tools Cyberangriffe können wir mit normalen IT Security Tools stoppen! Angriffe im Netz verfolgen: Stealthwatch Malware im Netz stoppen: FirePower Threat Defense Endgeräte schützen (PC, Server): AMP (Advanced Malware Protection)
Folientitel Firewalls einfügen für OT Netze Grundsätzlich zwei Möglichkeiten: Integrierte Firewall im Grid Router Separate Grid Firewall Integrierte Firewall im Grid Router: Firewall pro VRF/VPN («VRF-aware») Zone Based Statefull Firewall Ideal für einfache statische Regelwerke pro VRF/VPN Separate Grid Firewall: Next Generation ASA Firewall Next Generation IPS Software Application Control SCADA, GOOSE etc.
Folientitel Cisco Stealthwatch einfügen für OT Netze Cisco Stealthwatch ist mehr als ein IDS, es ist eine Analyse-Software! Warum ist Stealthwatch so hilfreich im OT Umfeld? Stealthwatch liefert Antworten z.b. zu folgenden Fragen: Wer und was ist auf dem Netzwerk? Wie muss ich eine FW-Regel schreiben? Was genau machen meine Geräte/Benutzer? Was passiert, wen ich dieses Protokoll blockiere? Sind wir aktuell gefährdet? Stealthwatch überwacht und lernt das Netzwerk Lernt normaler Datenverkehr als Basis Analysiert laufend das gesamte Netzwerk Alarmiert jedes abweichen und abnormale Verhalten Stealthwatch ist die Lupe ins OT Netzwerk!
Folientitel Cisco Stealthwatch einfügen Systemübersicht Die Netzwerkgeräte sind die Sensoren NetFlow liefert Angaben zu jeder einzelnen Datenverbindung Non-NetFlow Geräte via FlowSensor (SPAN) Analyse/Reporting/Alarmierung via grafischer Management Console
Folientitel Cisco AMP einfügen für OT Netze Cisco AMP Advanced Malware Protection Überwachen von Endgeräten, Netzwerken, Server, Cloud etc. Prinzip: 1x Malware erkennen und dann überall blockieren AMP auf OT Workstation ist so wichtig wie in der IT Welt! Cisco TALOS analysiert praktisch in «Realtime» neue Gefahren und stellt Regeln zur Verfügung. 2017 waren dies >180 Rules für OT/ICS
Folientitel Fazit und einfügen Empfehlung Cyberangriffe im OT mit IT Security Tools bekämpfen! UW Grid Router WAN VRF Verschlüsselung Firewalls: FirePower Threat Defense Angriffe im Netzwerk verfolgen: Stealthwatch Windows Endgeräte schützen: AMP (Advanced Malware Protection)
Folientitel Dokument-Referenzen einfügen VSE: Handbuch Grundschutz für Operational Technology in der Stromversorgung Youtube Video 2015 Ukraine Power Station Attack Cisco Systems: PIW Industrial Security: Protecting Industry with Cisco von Robert Albach Cisco Live: BRKIOT-2112 Securing the Internet of Things von Philippe Roggeband Produkte-Dokumentationen: Grid Router CGR2010, Cisco Grid Switches IE4000 Cisco ISA3000 Firewall Cisco Stealthwatch Cisco AMP (Advanced Malware Protection)