Andreas Seiler, M.Sc. IT-Security in der Industrie - Vorfälle und Gegenmaßnahmen Clustertag 2017
Persönliche Vorstellung B.Sc. Wirtschaftsinformatik IBM Security Services in Mannheim Wissenschaftlicher Mitarbeiter HSASec Hochschule Augsburg M.Sc. Informatik - Industrial Control Systems Security Andreas Seiler ICS Security kooperative Promotion an der Universität der Bundeswehr München zum Thema Evaluierung der IT- Sicherheit von industriellen Netzwerken 14.07.2017 2
Welches Risiko besteht realistisch für uns? Risiko Wahrscheinlichkeit, dass eine Bedrohungsquelle ein Bedrohungsereignis verursacht Bedrohungsvektor, aufgrund einer potentiellen Schachstelle in einem Zielsystem Konsequenzen mir unterschiedlichen Auswirkungen abhängig vom Anwendungsfall 14.07.2017 3
14.07.2017 4 [1]
14.07.2017 5 [2]
[3] [4] [5] [6] 14.07.2017 6
Es war einmal in einem Wasserwerk in den USA IP Adresse in Logs aus Russland Login in Steuerungssysteme mit validen Anmeldedaten Mechanischer defekt einer Pumpe 14.07.2017 7 [7]
Es war einmal in einem Wasserwerk in den USA Jim Mimlitz, Mitarbeiter eines Integrators für Wasserversorgungsanlagen Fernwartung aus dem Urlaub in Russland zerstörte Pumpe war lediglich technischer Defekt 14.07.2017 8 [8]
ICS Security Trends signifikante Zunahme von Schwachstellenmeldungen in den Letzten 2 Jahren Verizon Data Breach Investigation Report: 99,9 % der genutzten Schwachstellen wurden mehr als ein Jahr nach ihrer Veröffentlichung ausgenutzt zielgerichtete Kampagnen und Angriffe Social Engineering Weiterentwicklung von Schadsoftware Informationssammlung Ausnutzen von Vertrauensbeziehungen 14.07.2017 9
14.07.2017 10 [9]
Die 10 Gebote der industriellen IT-Sicherheit 1. Risikoanalysen und Penetrationstest helfen Bedrohungen zu identifizieren und Schwachstellen aufzudecken. 2. Industriekomponenten sollen nicht öffentlich über das Internet zugänglich sein, da spezielle Suchmaschinen, wie z.b. SHODAN, solche Komponenten finden und Angreifern einen leichten Zugang bieten. 3. Netzwerke sollen segmentiert und abgesichert werden um bei einem Vorfall den Schaden so gering wie möglich zu halten und Angreifer am Vordringen in das System zu hindern. 4. Der Fernzugriff soll entsprechend abgesichert sein um einen Missbrauch zu verhindern. 5. Vorsichtiger Umgang mit Wechseldatenträgern wie USB-Sticks schützt vor ungewollter Infektion mit Viren und anderer Malware. 14.07.2017 11
Die 10 Gebote der industriellen IT-Sicherheit 6. Komponenten sollen gehärtet werden um Missbrauch oder versehentlicher Fehlnutzung vorzubeugen. Das bedeutet zum Beispiel bei einem HMI-Betriebssystem alle Benutzerkonten zu löschen und alle Dienste zu deaktivieren, die nicht benötig werden. 7. Zugang zu Anlagenteilen beschränken und absichern. Dies schließt sowohl den physischen Zugang als auch Benutzerverwaltung und Authentisierung mit ein. 8. Kritische Komponenten redundant anlegen um im Notfall die Funktionsfähigkeit der Anlage schnell wiederherstellen zu können. 9. Security Policies festlegen und Mitarbeiter schulen um Verantwortliche und Prozesse zu definieren und ein Sicherheitsbewusstsein zu schaffen. 10. Die Sicherheit der Anlage überwachen, indem der Netzwerkverkehr aufgezeichnet wird, um ungewollte Kommunikation zu erkennen. 14.07.2017 12
Ein guter Schutz industrieller Netzwerke ist schwierig aber machbar! 14.07.2017 13
Fragen und Diskussion 14.07.2017 14
Kontakt Forschungsgruppe für IT-Security und Digitale Forensik der Hochschule Augsburg. Die HSASec ist sowohl im wissenschaftlichen als auch im Dienstleistungsbereich tätig. https://www.hsasec.de #HSASec
Quellen [1] https://www.heise.de/newsticker/meldung/ransomware-wannacry-befaellt-rechnerder-deutschen-bahn-3713426.html [2] https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/ [3] http://romtecutilities.com/wp-content/uploads/2015/05/wastewater-lift-stationammonia-removal-575x270.jpg [4] http://www.spaceflakes.de/spfl_wp_xg3r5kbw0/spflcontent/upl/2012/04/notebooklueftung-reparieren_pic_000-288x300.jpg [5] http://www.eham.net/data/classifieds/images/335053.jpg [6] http://www.schneider-electric.com/en/product-image/220385-scadapack-32 [7] https://www.heise.de/security/meldung/hacker-zerstoert-pumpe-in-us-wasserwerk- 1381930.html [8] https://www.wired.com/2011/11/water-pump-hack-mystery-solved/ [9] https://media.licdn.com/mpr/mpr/aaeaaqaaaaaaaacnaaaajdhkmgjjmwuxlwnmnt gtndhmyi04zdfllwy1nzu3ytcwmjziyw.png 14.07.2017 16