Absicherung industrieller Netzwerke Lösungen und Dienstleistungen

Absicherung industrieller Netzwerke Lösungen und Dienstleistungen Thorsten Vogel Manager Customer Services

Industrial Network Security Made in Germany Berlin Innominate Security Technologies AG Führender Hersteller von Network Security Lösungen für industrielle Applikationen Urheber der mguard Technologie Gegründet 2001, <40 Mitarbeiter Indirekter Vertrieb über OEMs und Channel Partner Phoenix Contact Unternehmen seit 2008

Kunden & Partner, die mguard vertrauen Maschinenbau Metall-, Leicht- und Chemische Industrie

TOP Bedrohungen (BSI) Nr. (Nr. alt) 2014: Top 10 2012: Top 10 1 (2)(3) Infektion mit Schadsoftware über Internet und Intranet Unberechtigte Nutzung von Fernwartungs-zugängen 2 (6) Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware Online-Angriffe über Office- / Enterprise-Netze 3 (-) Social Engineering Angriffe auf eingesetzte Standardkomponenten im ICS-Netz 4 (5) Menschliches Fehlverhalten und Sabotage (D)DoS Angriffe 5 (1) Einbruch über Fernwartungszugänge Menschliches Fehlverhalten und Sabotage 6 (-) Internetverbundene Steuerungskomponenten Einschleusen von Schadcode über Wechseldatenträger und externe Hardware 7 (10) Technisches Fehlverhalten und höhere Gewalt Lesen und Schreiben von Nachrichten im ICS-Netz 8 (-) Kompromittierung von Smartphones im Produktionsumfeld Unberechtigter Zugriff auf Ressourcen 9 (-) Kompromittierung von Extranet und Cloud-Komponenten Angriffe auf Netzwerkkomponenten 10 (4) (D)DoS Angriffe Technisches Fehlverhalten und höhere Gewalt Quelle: BSI

Folgeangriffe durch Malware Auslesen von Zugangsdaten zur Rechteerweiterung: Im Industrieumfeld vorhandene IT-Standardkomponenten wie Betriebssysteme, Application Server oder Datenbanken enthalten in der Regel Fehler und Schwachstellen, die von Angreifern ausgenutzt werden können. Unberechtigter Zugriff auf weitere interne Systeme: Insbesondere Innentäter oder Folgeangriffe nach einer Penetration von außen haben leichtes Spiel, wenn Dienste und Komponenten im Unternehmens- oder Steuerungsnetz keine hinreichenden Methoden zur Authentisierung und Autorisierung nutzen. Eingriff in die Feldbus-Kommunikation: Da die meisten Steuerungskomponenten derzeit über Klartextprotokolle und somit ungeschützt kommunizieren, ist das Mitlesen, Manipulieren oder Einspielen von Steuerbefehlen oftmals ohne größeren Aufwand möglich. Manipulation von Netzwerkkomponenten: Komponenten wie Router oder Firewalls können durch Angreifer manipuliert werden, um beispielsweise Sicherheitsmechanismen außer Kraft zu setzen oder Datenverkehr umzuleiten.

Marktsituation für unsere Kunden Höhere Marktdruck durch stetig steigende Anzahl von Wettbewerbern, gerade durch Globalisierung Trend zeigt eindeutig die Ein-/Anbindung der Automatisierung in komplexe Vernetzungs- und Anwendungsszenarien Zusammenwachsen der Office-IT und Produktions-IT Entstehung eines neuen Ökosystems Komplexe Richtlinien, Normen, Standards und Empfehlungen ISO 2700x IEC 62443 / ISA 99 IT-Sicherheitsgesetzt BSI- Empfehlungen Verschiedenste Whitepapers Kaum eigene Kompetenzen oder Ressourcen Auslagerung Ihrer Nicht-Kernkompetenzen Ansteigende Unsicherheit und größeres Rechtsempfinden

Anforderungen unserer Kunden an IT-Sicherheit Gefährdungspotentiale für Mensch und Umwelt Anlagenverfügbarkeit 24*7 Hohe Anforderungen an Produktqualität Zuverlässige integrierte Produktion mit globalen Lieferketten Robustheit der physikalischen Prozesse

Mögliche Schadensfolgen Verlust der Verfügbarkeit des ICS Betriebsunterbrechungen und Produktionsstillstände Datenabfluss / Verlust von Know-how (Intellectual Property) Herbeiführen von physischen Schäden an Anlagen Auslösen von Safety-Prozeduren oder Beeinträchtigung von Safety- Systemen Personen-, Umwelt- und Imageschäden Minderung der Qualität der Erzeugnisse und hohe Ausschussquoten Verschlechterung des Umgangs mit Ressourcen Schadensersatzforderungen von Kunden

Technik allein ist nicht alles Definieren, gebrauchen Personen Prozesse Rollen, Verantwortlichkeiten Informationstechnik

10 Best Practice - mguard Anwendungen Industrielle Netzwerksicherheit Segmentierung mittels Firewalls Temporärer Zugriff via Benutzer-Firewall Absicherung von Nicht-Patchbaren Systemen Erkennung von Schadsoftware CIFS Integritätsüberwachung Fernwartungskontrolle für Betreiber Industrielles Routing Auflösung von IP Adress-Konflikten

FIREWALL mguard Betriebsarten - Flexibilität für jeden Einsatzfall. und die Security ist immer automatisch dabei Router Verknüpfung von zwei verschiedenen Netzwerken Bridge / Multi Stealth Aufteilung eines Netzwerkes Übertragungsnetz Netzwerk A Single Stealth Absicherung eines einzelnen Endgerätes FIREWALL Netzwerk B Teil (mehrere IP Adr. ) des Netzwerkes A FIREWALL Eine IP Adresse / Host des Netzwerkes A

Single Stealth Modus (Autodetect) Nachrüstung ohne Änderung am Netzwerk mguard Unique Feature Schützt einzelne Geräte ohne Eingriff in die IP Konfiguration des Gerätes oder des Netzes/LANs Eine separate Management IP für die mguard Konfiguration (aus dem Netzwerk heraus) wird nicht benötigt mguard mit vorkonfigurierter Firewall (VPN) ist unsichtbar, plug & play Management IP (intern) https://1.1.1.1 Management IP (von extern, sofern erlaubt) 192.168.1.24 Network 192.168.1.0/24 PC Konfiguration Statisch oder DHCP, z.b. IP: 192.168.1.24 MAC Adr. 00:3f:4d:11:01:28 Sicht vom Netzwerk auf den mguard / PC IP: 192.168.1.24 MAC Adr. 00:3f:4d:11:01:28-12 -

Auflösung von IP Adresskonflikten Netzwerk Betreiber IP: 10.10.0.0 10.10.255.255 10.10.1.0/24 Maschine #1 172.16.1.0 / 24 Internet Maschine #2 172.16.1.0 / 24 10.10.2.0/24 10.10.3.0/24 Maschine #3 172.16.1.0 / 24 Lösung: Die (identischen) IP Adressen aus den Anlagen werden 1:1 in eindeutige IP Adressen aus dem Netz des Betreibers übersetzt. Entweder das komplette Anlagen-Netz oder Teile daraus.

Firewall Rule Records Conditional Firewall Aktivierung von Firewallregeln durch: Externer Schalter (CMD contact) Web Interface CGI URL (nph-status.cgi, nph-action.cgi) VPN Verbindung Command line interface Eingehende SMS (rs2000/rs4000 3G only) Der Status eines Firewall-Regelsatz kann durch einen Hardware-Ausgang überwacht werden (ACK). Versenden von Email und/oder SMS (rs2000 3G/rs4000 3G only), wenn sich der Status der Firewallregel geändert hat

Virenschutz im industriellen Umfeld Klassische VirenScanner kommen nicht zum Einsatz Nachladen von Pattern häufig nicht möglich Nachträgliche Installation VirenScanner nicht möglich oder nicht erlaubt Echtzeit Scan beeinträchtigt Performance / Echtzeitfähigkeit Veraltete Systeme können keinen VirenScanner tragen Fehlalarme Lösung mguard mit CIFS Integrity Monitoring: Überwachung des geschützten Systems auf ungewollte Veränderungen im Dateisystem durch einen mguard in Kombination mit: Einschränkung der Kommunikation mittels Firewall

Erkennung von Schadsoftware CIFS Integrity Monitoring mguard Unique Feature Geschützter IPC mit CIFS basierenden Windows FileShares (1) CIFS Integrity Checking Erkennt unerwartete Verän- derung in statischen Datei- systemen externen Virenscanner (2) CIFS AV Scan Connector (a) Prüfung von Dynamischen Fileshares durch externen Virenscanner (Read Only) (b) Datenaustausch mit dem umgebenden Netzwerk (Read Only)

Appliances Firmware Device Management mguard Produkt Portfolio mguard device manager (mdm) Template-based Configuration Device-oriented Structure Integrated Certificate Authority (CA) Efficient, automated Roll-out Config Push & Pull Status Control Core Security Event Management Hardened Linux Routing, Firewall, VPN Remote Logging Web Interface OPC Inspector SNMP CIFS Integrity Monitoring Email / SMS (3G) Firewall/VPN Redundanz mguard pci2, pcie2 mguard rs2000/4000 mguard rs2000/4000 3G mguard delta2 mguard centerport2 mguard smart2 mguard core2 mguard eva Industrietaugliche Feldgeräte Backbone VPN Gateway Mobil OEM / customized

Architektur Service Mitarbeiter Service-VPN: verschlüsselter IPsec VPN-Tunnel vom mguard od. Software VPN-Client zum Service-Gateway Service-Gateway Maschine beim Betreiber Internet Cloud Secure Cloud App Routing & Management Maschinen-VPN: verschlüsselter IPsec VPN-Tunnel vom mguard zum Maschinen-Gateway Maschinen-Gateway

Dienstleistungen - Gesamt Den Kunden werden über den gesamt Produkt-Lebenszyklus Dienstleistungen angeboten Consulting Schulungen & Workshops Integration Support Bestandsaufnahmen Produkttrainings Implementierung Hotline Sicherheitskonzepte Zertifizierungen Dokumentation Incidentmanagement Überprüfungen Security Awarness Workshops Projektmanagement Troubleshooting

Vielen Dank. Thorsten Vogel Manager Customer Services