Titel einfügen Connected Grid-Vernetzung und der Einfluss des VSE Handbuches

Ähnliche Dokumente
Cisco Connected Grid Lösung konkreter

Cyberrisiken bei kritischen Infrastrukturen Herausforderungen für einen Netzbetreiber. Rainer Mühlberger, CIO Mitglied der Geschäftsleitung

Die Evolution der Cyber-Security: Die Konvergenz von IT und OT

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

SECURITY & COMPLIANCE

How to hack your critical infrastructure

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Siemens AG IT-Sicherheit von Automatisierungssystemen

Von Inselprodukten zu vernetzten Sicherheitslösungen

Software-Defined Secure Networks. Juniper s Innovation für Secure Enterprise Networks

Fernwartung, was kann da schon schiefgehen? Erfahrungsberichte aus dem BSI

Thema IT-basierte Innovationen. IT-Sicherheit ist absolut unnütz, so lange bis etwas passiert Dirk Czepluch 21. November 2016

Industrial Security. Sicherheit im industriellen Umfeld. Frei verwendbar Siemens AG 2018

IT-Security als Enabler für Industrie 4.0

Next Generation Server Protection

GESCHÜTZT MIT HL SECURE 4.0

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Ralph Zinser Business Development Manager Industrie 4.0

Systemanforderungen NMS Software (Network Management System)

Outsourcing virtueller Infrastrukturen. IT-Trends-Sicherheit

versiondog Switch-Integration das Honeypot Szenario

LANCOM Systems. LANCOM 1781 Die neue Business Router Serie August

IT-Security-Symposium 2019 IT- Security im Fokus

Schutzstrategien gegen gezielte Angriffe

Aufbau einer intelligenten und automatisierten IT-Sicherheitsinfrastruktur. Volker Kull

Einstieg in die Cybersicherheit: Introduction to Cybersecurity und Cybersecurity Essentials

NETWORK AS A SENSOR AND ENFORCER. Christian Besselmann, Brühl,

Aktuelle Bedrohungen im Umfeld von Industrie 4.0

SOA im Zeitalter von Industrie 4.0

Web-based Engineering. SPS-Programmierung in der Cloud

Nutzen und Vorteile der Netzwerkvirtualisierung

Endpoint Web Control Übersichtsanleitung

SIMATIC. Prozessleitsystem PCS 7 SIMATIC Management Console Liesmich V9.0 Update 1 (online) Security-Hinweise 1. Übersicht 2

Application Whitelisting in Smart Grid und Industrie 4.0 Erkennung und Validierung auch von spezifischen Maschinenprotokollen "on demand"

Datensicherheit richtig überwachen und verwalten wie Sie Datenschutzverstöße verhindern

Sophos Enterprise Console

Digitale Hoheit über den Maschinenpark Industrie 4.0 Sicher vernetzt

Optionen im TIA Portal

Die praktische Umsetzung der EU- DSGVO mit IT-Sicherheitsprodukten. Sascha Paris Snr. Sales Engineer, Sophos

Absicherung der IT-Infrastruktur: einheitliche Zugangskontrolle für LAN, WLAN und VPN. Volker Kull

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

Sicherheit der industriellen Automatisierung in österreichischen Unternehmen

Peering Punkte Was passiert daneben? Admin Stammtisch April 2016 Wilhelm Boeddinghaus

Fernwartung mit SINEMA Remote-Connect. Modul 7

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

LANCOM Systems. LANCOM 1781 Die neue Business Router Serie Oktober

VOLLE ZUGANGSKONTROLLE FÜR IHR WLAN

Frei verwendbar Siemens AG 2017

Human Centric Innovation

Site-to-Site VPN über IPsec

Virtual Edition (VE): Security in the Cloud Check Point Software Technologies Ltd. [Unrestricted] For everyone

Cybersecurity bei Medizinprodukten

Cybersicherheit in der Smart Factory

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

IT-Security für Autonomik. Dr. Carsten Rudolph Abteilungsleitung Trust and Compliance

Check Point Software Technologies LTD.

Feature Notes LCOS

Service & Support. Vergabe der IP-Adresse unter Verwendung des Primary Setup Tools (PST) Electrical Lean Switch. FAQ Juni Answers for industry.

Seite: 1 Revisionssichere Firewalls mit Tufin SecureTrack. NUBIT 2006 Kiel, 17. Februar Martin Seeger NetUSE AG ms@netuse.de

Corero Network Security

Kompetenz in industriellen Netzwerken. als Schlüsselfaktor in der digitalen Fabrik

Sicherheit für Embedded Systems und IoT. Markus Grathwohl, Senior Corporate Account Manager

Site-to-Site VPN über IPsec

PRÄSENTATION Das veränderte Bedrohungspotential in der IT magellan netzwerke GmbH

Eigenschaften von IP-Netzen (1 / 2)

System i Monitoring & Automation

ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk. Measurement made easy

Wider den Blackout. Sicherheit für kritische Infrastruktur nach ISO und Dr. Friedrich Neurauter (TINETZ)

Netzwerklösungen für mittelständische Unternehmen

Blick über den Tellerand Erfahrungen der EVU

Agenda 2019 für Service Management: Integration mit Datenschutz macht den Unterschied

IT Sicherheit aus der Cloud

Personal Firewall. Ein weiterer Schritt zu umfassender IT-Sicherheit. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet.

Vorteile der Catalyst 3650 und 3850 Switches für Ihr Netzwerk

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

IT Managed Service & Datenschutz Agieren statt Reagieren

safe data, great business. Version: 2.0 Datum: 13/02/18 Status: öffentlich Vertraulichkeitsklassifizierung: öffentlich

Das neue Netzkonzept der WWU Implementierung eines umfassend überarbeiteten optimierten Designs

EINE AN DIE BEDÜRFNISSE DER BETRIEBSTECHNIK ANGEPASSTE GESAMTLÖSUNG INDUSTRIESICHERHEIT NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Digitale Identitäten in der Industrieautomation

Separierung/Isolation Steffen Heyde secunet

SICAM PAS. Schaltanlagenautomatisierung. Frei verwendbar Siemens AG 2017

NETWORK (ACCESS) CONTROL NACHHALTIGE SICHERHEIT WISSEN WAS ENTSCHEIDEND IST UND DAS ENTSCHEIDENDE SCHÜTZEN!

IT-Security als Voraussetzung für Digitalen Wandel Hausaufgaben für Industrie 4.0 und Digitales Business

AC MBit/s 11ac Dual-Band WLAN Router.

Vernetzung in der Industrie 4.0 aber sicher!

IP EXPLOSION Mehr Power für Ihr Business. Company Net. OfficeNet Enterprise. CoporateDataAccess 4.0. Company Remote

FireWall Möglichkeiten und Grenzen

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Service & Support. Security Status des CP1628 über die Online-Ansicht des Security Configuration Tool (SCT) ermitteln

Einfache und zuverlässige Erkennung von Angriffen mit der honeybox

»JOINT FORCES«AVAYA INTEGRATION

Schützen Sie Ihre Fertigung

Virtual-LAN ZyXEL USG Firewall-Serie ab Firmware Version 4.10 Knowledge Base KB-3528 November 2014 Studerus AG

Reaktion auf Sicherheitsvorfälle

ExtendedRouting Funktionsbeschreibung

KomFIT 2018 DS-GVO Konformität durch Zwei-Faktor-Authentifizierung

Zusammenarbeit mit Partnern

Der Nutzen und die Entscheidung für die private Cloud. Martin Constam Rechenpower in der Private Cloud 12. Mai 2014

Transkript:

Titel einfügen Connected Grid-Vernetzung und der Einfluss des VSE Handbuches René Frank, CCIE 6743 / 27.11.2018

Agenda Rückblick Litecom Kunden-Event 2014 Nur ein Jahr später... Ukraine 23.12.2015 Folientitel einfügen Handbuch Grundschutz für Operational Technology in der Stromversorgung Security für OT Netzwerke Fazit und Empfehlung

Rückblick Litecom Titel einfügen Kunden-Event November 2014

Netzwerk Übersicht mit MPLS/IP Technologie Netzwerk Übersicht mit Multiservice MPLS/IP Core und Aggregation On-Net UW, TS via eigenem MPLS/IP Backbone Folientitel einfügen Off-Net Standorte via Private SP Services (z.b. DSL, LTE)

UW Grid Router und seine Aufgaben Folientitel einfügen Der Connected Grid Router im Unterwerk muss folgende Aufgaben übernehmen: Segmentierung mit L3 VPN z.b. für Leittechnik, Messung, NMS etc. Verschlüsselung der Daten für den Transport über das WAN pro VPN Terminierung der serielle IEC-101 Schnittstellen und Transport über das WAN Integrierte Firewall zum Schutz der Netzwerke im Unterwerk Integriertes IDS/IPS zur Erkennung und zum Blockieren von Angriffen Terminierung von WAN Backup Schnittstellen, z.b. xdsl oder 4G/LTE

Folientitel Sicherheit einfügen den Unterwerken Stand 2014 Am Kunden-Event 2014 sprachen wir über die mögliche Gefährdung durch Attacken in den UWs und den drohenden Blackouts Beispiel: Marc Elsberg s Roman «BLACKOUT»»Morgen ist es zu spät» Wir waren uns damals schon den Gefahren bewusst.

Titel einfügen Nur ein Jahr später... Ukraine 23.12.2015

Folientitel 2015 Cyber-Attacke einfügen auf 3 EVU in der Ukraine Nur 1 Jahr später traf es ein! In der Ukraine wurden gleichzeitig 3 EVU angegriffen Hacker hatten die Fern-Steuerung von 3 EVU übernommen Ein Mitarbeiter hat dieses Desaster mit seinem Mobile gefilmt! Im Video schalten die Hacker mehrere 110kV Hochspannungsschalter aus! Folge: 30 UW Offline, 230 000 Ukrainer waren bis zu 6h ohne Strom Interessant im Video: Ungläubiges Staunen der Operator was da gerade geschieht... Ein junger Operator: «Wir sollten die IT Leute informieren» Ein älterer Operator: «Und wenn es die IT Leute sind, die das machen?»

Folientitel 2015 Cyber-Attacke einfügen Ukraine: Live Video der Attacke...

Folientitel 2015 Cyber-Attacke einfügen Ukraine: Was geschah wirklich? 9Mte vorher Phising Email: Phising Email mit Office-Dokument Malware BlackEnergy3 installiert Keylogger und Screenshots VPN/RDP Logindaten erspäht Std/Min vorher: KillDisk und ICS Firmware Rollout Remote Login auf HMI Workstation Attacke!!! Via VPN/RDP HMI Workstation 110kV Stromschalter aus USV deaktiviert KillDisk aktiviert Telefon DDOS gestartet

Handbuch Grundschutz Titel einfügen für «Operational Technology» in der Stromversorgung

Folientitel Die Eckpunkte einfügen des VSE Handbuches Das Handbuch verfolgt den Ansatz einer Defense-in-Depth Strategie «Hindere einen Angreifer mit möglichst vielen Verteidigungslinien!» Leitfaden um eine Sicherheitsstrategie aufzubauen und zu betreiben Gewährleisten von: Verfügbarkeit der Informationssysteme Integrität der Daten Vertraulichkeit der Informationen Empfehlung gilt für Netzebenen 1-4 Netzebenen 5-7 sind betroffen via vernetzte Leitsysteme

Neue Herausforderung für ICS Systeme Früher wurden ICS Systeme streng isoliert von der Aussenwelt betrieben Folientitel einfügen Heute Anforderung an Informationsaustausch und Automatisation Führt zu verbundenen und vernetzten Systemen Ein Netzwerk für alle Systeme und Anwendungen Einsatz von Standard IT Komponenten

Sichere und robuste ICS Netzwerkarchitektur Bietet Schutz gegen Angriffe Folientitel einfügen Jede Schnittstelle, Übergang und Verbindung ist eine potentielle Gefahr Gesamte Vorgänge in den Netzen müssen bekannt sein Richtige Gruppierung und Segmentierung der Netzwerkarchitektur ist die Basis

Folientitel Systemlandschaft einfügen im ICS Umfeld Security Areas: External Enterprise Business Process/Manufacturing Security Sectors Horizontale Funktionen Typische Unterteilung IT (Enterprise) OT (Process) SCADA OT/IT DMZ «Kritischer Übergang»

Folientitel Empfohlene einfügen sichere Netzwerkarchitektur Technische Möglichkeiten: Netzwerkzugangskontrolle (NAC) Netzsegmentierung / IP Subnetze L2 VLAN Routing Firewall DMZ Verschlüsselung Datendioden Protokoll-Umsetzer WAN Sektor Anforderung: Grosse Isolation der Verbindungen Übertragung muss verschlüsselt sein

Folientitel Beispiel System-Aufbau einfügen einer versorgungskritischen Anlage

Folientitel Fazit und einfügen wichtige Punkte Defense-in-Depth Strategie: Mehrere Verteidigungslinien Mehrere Security-Bereiche und Sektoren Neue Herausforderungen an ICS Systeme Informationsaustausch und Automation OT Netze zunehmend vernetzt IT Netze und Internet unumgänglich Netzwerkarchitektur: Segmentierung / Subnetze Definierte Security Übergänge Jeweils geschützt mit Firewalls WAN Transport verschlüsselt

Titel einfügen Security für OT Netzwerke

Folientitel Security in einfügen OT Netzwerken MPLS/IP L3VPN Transport: Segmentierung in getrennte VRF/VPN Verschlüsselung pro VRF/VPN UW Grid Router: Terminierung VRF/VPN Firewall pro VRF/VPN Verschlüsselung pro VRF/VPN WAN Backup via Private DSL/LTE Hauptsitz ASR Router: Terminierung VRF/VPN Firewall pro VRF/VPN Verschlüsselung pro VRF/VPN

Folientitel Angriffsziele einfügen im OT Umfeld Cyberangriffe starten fast immer von der IT / Enterprise aus Die Angriffsziele sind meist Windows PC Supervisor Workstations Windows basierte Industrierechner Achtung ältere Windows-Versionen (z.b. XP)

Folientitel Angriffe stoppen einfügen mit IT Security Tools Cyberangriffe können wir mit normalen IT Security Tools stoppen! Angriffe im Netz verfolgen: Stealthwatch Malware im Netz stoppen: FirePower Threat Defense Endgeräte schützen (PC, Server): AMP (Advanced Malware Protection)

Folientitel Firewalls einfügen für OT Netze Grundsätzlich zwei Möglichkeiten: Integrierte Firewall im Grid Router Separate Grid Firewall Integrierte Firewall im Grid Router: Firewall pro VRF/VPN («VRF-aware») Zone Based Statefull Firewall Ideal für einfache statische Regelwerke pro VRF/VPN Separate Grid Firewall: Next Generation ASA Firewall Next Generation IPS Software Application Control SCADA, GOOSE etc.

Folientitel Cisco Stealthwatch einfügen für OT Netze Cisco Stealthwatch ist mehr als ein IDS, es ist eine Analyse-Software! Warum ist Stealthwatch so hilfreich im OT Umfeld? Stealthwatch liefert Antworten z.b. zu folgenden Fragen: Wer und was ist auf dem Netzwerk? Wie muss ich eine FW-Regel schreiben? Was genau machen meine Geräte/Benutzer? Was passiert, wen ich dieses Protokoll blockiere? Sind wir aktuell gefährdet? Stealthwatch überwacht und lernt das Netzwerk Lernt normaler Datenverkehr als Basis Analysiert laufend das gesamte Netzwerk Alarmiert jedes abweichen und abnormale Verhalten Stealthwatch ist die Lupe ins OT Netzwerk!

Folientitel Cisco Stealthwatch einfügen Systemübersicht Die Netzwerkgeräte sind die Sensoren NetFlow liefert Angaben zu jeder einzelnen Datenverbindung Non-NetFlow Geräte via FlowSensor (SPAN) Analyse/Reporting/Alarmierung via grafischer Management Console

Folientitel Cisco AMP einfügen für OT Netze Cisco AMP Advanced Malware Protection Überwachen von Endgeräten, Netzwerken, Server, Cloud etc. Prinzip: 1x Malware erkennen und dann überall blockieren AMP auf OT Workstation ist so wichtig wie in der IT Welt! Cisco TALOS analysiert praktisch in «Realtime» neue Gefahren und stellt Regeln zur Verfügung. 2017 waren dies >180 Rules für OT/ICS

Folientitel Fazit und einfügen Empfehlung Cyberangriffe im OT mit IT Security Tools bekämpfen! UW Grid Router WAN VRF Verschlüsselung Firewalls: FirePower Threat Defense Angriffe im Netzwerk verfolgen: Stealthwatch Windows Endgeräte schützen: AMP (Advanced Malware Protection)

Folientitel Dokument-Referenzen einfügen VSE: Handbuch Grundschutz für Operational Technology in der Stromversorgung Youtube Video 2015 Ukraine Power Station Attack Cisco Systems: PIW Industrial Security: Protecting Industry with Cisco von Robert Albach Cisco Live: BRKIOT-2112 Securing the Internet of Things von Philippe Roggeband Produkte-Dokumentationen: Grid Router CGR2010, Cisco Grid Switches IE4000 Cisco ISA3000 Firewall Cisco Stealthwatch Cisco AMP (Advanced Malware Protection)

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback