Application Whitelisting in Smart Grid und Industrie 4.0 Erkennung und Validierung auch von spezifischen Maschinenprotokollen "on demand" CeBit Hannover, März 2017 Marius Münstermann marius.muenstermann@rohde-schwarz.com
Cybersecurity ist neues Arbeitsgebiet bei Rohde & Schwarz Messtechnik Rundfunk- und Medientechnik Sichere Kommunikation Cyber-Sicherheit Funkerfassung Messgeräte und -systeme für Mobilfunk- und Wireless- Anwendungen allgemeine Elektronik Aerospace & Defense Betriebs-, Messund Studiotechnik für Netzbetreiber Sendeanstalten Studios Filmindustrie Hersteller von Unterhaltungselektronik Kommunikationssysteme für Flugsicherung Streitkräfte Verschlüsselungstechnik für Militär Behörden kritische Infrastrukturen IT-Sicherheitslösungen für Wirtschaft Kritische Infrastrukturen Behörden Funkerfassungstechnik für Regulierungsbehörden innere und äußere Sicherheit Netzbetreiber Radaraufklärungstechnik Service 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 1
Strategisches Ziel: Wir stehen als zuverlässiger Lieferant für Cybersecurity Produkte und Lösungen in Europa Tap-proof communication Voice Encryption Apps & Devices Secure Messaging Fax & Radio Encryption Trusted Management CA, PKI, HSMs Crypto Management Configuration, Policy Firmware Deployment Trusted solutions from a single source Secure Endpoints Full-Disk Encryption Secure Browsing & Cloud Secure Desktop & Mobile Protected networks and network analytics Next Generation Firewalls & UTM Deep Packet Inspection Incident Detection / Response Encrypted Backbone / WAN Layer 3 IP Encryption Layer 2 Ethernet Encryption Secure Remote Access 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 2
Application Whitelisting für Energienetze und Industrie 4.0 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 3
Neue Herausforderungen für Netzleittechnik und Produktionsumgebungen Konvergenz der Netze ı Abrechnungsdaten vom Prozess-Netz in das Büronetz ı Fernüberwachung und Fernsteuerung ı Datenübertragung über öffentliche Netze Zunehmende Komplexität ı Steigende Anzahl von Feldelementen ı Dezentralisierung der Devices und Standorte ı Wachsendes Datenvolumen ı Echtzeitanforderungen Technologie-Inkompatibilität ı Netzleittechnik wurde für geschlossene Netze entwickelt und verfügt über wenig bis keine Security ı Herkömmliche IT hat geringere Anforderungen an die Verfügbarkeit ı Klassischer IT-Ansatz der Negative-Validation (Blacklisting) 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 4
Was passierte am 2. Mai 2013? 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 5
Das Problem: Österreichisches Stromnetz im Blindflug ı Tests in neuem Steuernetzwerk für ein Gas-Kraftwerk in Bayern ı Status-Abfrage von Leitstelle an alle Feldelemente (Broadcast) ı auch in das Steuernetz einiger österreichischer Stromerzeuger ı Alle Feldelemente aus den Strom-Netzen (sehr viel größere Anzahl) schickten ebenfalls Status-Meldungen ı Nur: Diese Feldelemente interpretierten die Staus-Abfrage ein ganz klein wenig anders: Sie schickten Ihren Staus ebenfalls als Broadcast an alle, was wie eine distributed denial of service Attacke (DDoS) wirkt ı Die Folge: Massive Überlastung des Steuernetzes der Stromversorger, Zusammenbruch der Kommunikation, Spannung von 50 Hertz musste von Deutschland aus über mehrere Tage stabil gehalten werden 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 6
Der Lösungsansatz: Application Whitelisting mittels einer leistungsfähigen Next Generation Firewall Second-line-of-Defense analog zum PAP-Konzept des BSI Internet Router Packet Filter R&S gateprotect NP+ DMZ Prozess- Netz Full-Positive-Validation des gesamten Datenstroms Netzübergang zwischen Prozessnetz und IT-Netz über eine eigene DMZ Router Packet Filter R&S gateprotect NP+ Büro-IT Auftrennung des LANs in verschiedene Security-Zonen durch die interne Firewall 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 7
Next-Generation Firewall R&S gateprotect Specialized Line bietet Protokoll-Erkennung und -Validierung für IEC-60870-5-104 ı Specialized Line Firewall erlaubt fein granulare Regelwerke u.a. basierend auf dem Protokoll IEC- 60870-5-104 ı Beispiel aus der Praxis: Feldelemente können zwar Messwerte, aber keine Steuerbefehle zur Leitwarte senden ı Weitere Industrie-Protokolle werden ergänzt (z.b. OPC UA), um auch bei Industrie 4.0 Anwendungen ein Application Whitelisting zu ermöglichen 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 8
Single Pass-Technologie für minimale Latenz und hohe Durchsatzrate ermöglicht Einsatz im internen Netz ı Single Pass Engine beschleunigt Analyse der Pakete und ermöglicht Korrelation zwischen einzelnen Analyseaspekten Klassische Firewalls: Teilstreckenverfahren (store and forward) ı Daten-Integrität durch Protokollerkennung und validierung ı Authentizität und Vertraulichkeit: VPN-Verschlüsselung basierend auf OpenVPN und IPSec Echte NGFW: Single Pass Technologie (Datenstrom-basiert) ı Komplette Entwicklung in Deutschland, daher weitere spezifische Anpassungen für Energiesektor und Industrie rasch möglich, z.b. Ergänzung von Maschinenprotokollen 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 9
Intuitive grafische Benutzerführung reduziert Kosten und verringert das Risiko von Bedienfehlern Technische Vorteile: ı Sichere E-Mail-Kommunikation ı Schutz vor Hacker-Angriffen ı Extended-User-Authentifizierung ı Single-Pass-Engine 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 10
Stadtwerke Tübingen sowie Baden-Baden schützen bereits Leitstelle und Steuerungsnetzwerke Mehrstufiges Sicherheitskonzept mit Applikationserkennung Insbesondere für die mehrstufige Absicherung der Netzsegmente vom Büro-LAN zum Netzwerk der Leittechnik bietet R&S gateprotect einen enormen Schutzmechanismus Franz Schaub, IT-Leiter Stadtwerke Baden-Baden Neukonzeption des Netzwerkes in ein mehrstufiges FW-System und Integration von R&S NP+ als Second line of Defense 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 12
Rohde & Schwarz Cybersecurity GmbH Mühldorfstraße 15, 81671 München Phone +49 30 65884 223 Fax +49 30 65884 184 Mail cybersecurity@rohde-schwarz.com 23.03.2017 Application Whitelisting Energienetze Industrie 4.0 13