SICIA SECURITY INDICATORS FOR CRITICAL INFRASTRUCTURE ANALYSIS Brandenburgische Technische Universität Cottbus Senftenberg Lausitz Energie AG RWE Deutschland AG 3. Jahreskonferenz zum BMBF-Förderschwerpunkt IT-Sicherheit für Kritische Infrastrukturen, Berlin, 11.10.2017
SICIA Ziel des Vorhabens» Abbildung der aktuellen IT-Sicherheit auf Zahlenwerte» Lagebild: Vergleichsmöglichkeit über große Anzahl von Objekten» Indikatoren: Vergleich statt absoluter Wert entscheidend
SICIA-Prozess
Automatisierte Datenerfassung
Netz-basierte Erfassung
Netz-basierte Erfassung» Voraussetzung:» Integration von Netz-Sensoren» Netz-Invasivität: nein» Host-Invasivität: nein» Wirkungsgrad: gering» Universalität: hoch Sensor Sensor Sensor
Netz-basierte Erfassung Sicherstellung der rein passiven Methodik» Datenquelle (Industrial Switch)» Mirror-Port-Konfiguration zur Sicherstellung eines unidirektionalen Datenflusses» TAP (Test Access Port) Device» Hardware TAP: passive Komponente zum Mitlesen von Daten, die über ein EthernetKabel übertragen werden» Anbindung des Sensors an RX- Port» Simple Switch: Kommunikationsendpunkt zum Schließen der Leitung» Sensor-Konfiguration» Dynamische IP-Konfiguration (DHCP): deaktiviert» Statische IP-Adressvergabe: nein
Host-basierte Erfassung» Voraussetzung:» Zugriff auf Komponenten» Ausführung mit Benutzer- oder Admin-Rechten» Netz-Invasivität: nein» Host-Invasivität: ja» Wirkungsgrad: hoch» Universalität: gering
Host-basierte Erfassung Vorgehensweise» Skript auf Komponente aufbringen» Ausführen des Skriptes»» Extrahieren der Ergebnisse
Bewertung der IT-Sicherheit
Sicherheitsbewertung Ermittlung der Netzwerktopologie» Einpflegen der Topologiepläne» Erkenntnisse:» Tatsächliche Konfiguration vs. Dokumentation» Vernetzung der Komponenten Teilnetze
Sicherheitsbewertung Ansatz
Sicherheitsbewertung Ansatz» Bottom-Up Ansatz» Bewertung jeder Komponente
Sicherheitsbewertung Ansatz» Bottom-Up Ansatz» Bewertung jeder Komponente» Quantifizierung» Diskretisierung des Antwortbereichs» Bewertung der erfassten Konfiguration ***
Sicherheitsbewertung Ansatz» Bottom-Up Ansatz» Bewertung jeder Komponente» Quantifizierung» Diskretisierung des Antwortbereichs» Bewertung der erfassten Konfiguration ***
Sicherheitsbewertung Sonderfall: Bewertung der installierten Anwendungen» Verwendung einer CVE-Datenbank» Ermöglicht Reaktion auf neu entdeckte Verwundbarkeiten» Quantifizierung auf Basis des CVSS-Scores» Herausforderung:» Normalisierung der Anfrage (request)
Sicherheitsbewertung Komponenten-Sicherheitsindikator» Bottom-Up Ansatz» Bewertung jeder Komponente» Quantifizierung» Diskretisierung des Antwortbereichs» Bewertung der erfassten Konfiguration *** 6/8 erfüllt 0,66
Sicherheitsbewertung Komponenten-Sicherheitsindikator 0,66
Sicherheitsbewertung Aggregation 0,18 0,95 0,78 0,82 0,23 0,40 0,98 0,33 0,10 0,93 0,35 0,37 0,66 0,99 0,91 1,0 0,63 0,78 0,97 0,83 0,78 0,83 0,15 0,80 0,68 0,82 0,48 0,35
Sicherheitsbewertung Aggregation: System-Sicherheitsindikatoren 0,18 0,95 0,78 0,82 0,23» Aggregation» Schwächstes Glied» Durchschnitt 0,40» Multiplikation 0,98 0,33 0,10 0,93» Erkenntnis 0,35 0,37 Maßnahmen erforderlich?» Welche Maßnahmen sind am 0,66 0,99» Wo sind am dringensten effektivsten? 0,91 1,0 0,63 0,78 0,97 0,83 0,78 0,83 0,15 0,80 0,68 0,82 0,48 0,35 0,63
Sicherheitsbewertung Aggregation: Teilnetz-Sicherheitsindikatoren 0,18 0,95 0,78 0,82 0,23» Aggregation» Schwächstes Glied» Durchschnitt 0,40» Multiplikation 0,98 0,33 0,10 0,93 0,35 0,37 0,10 0,66 0,99 0,91» Erkenntnis 1,0 0,63 0,78 0,97 0,83 0,68 0,82» Vernetzungsgrad von Komponenten 0,78 0,83 0,15 0,80 0,48 0,35» Mögliche Einfallstore für Angreifer
Erfolge 2016 / 2017» Erprobung» Kraftwerkssimulator (LEAG QZ Lübbenau)» Zwei Standorte der Projektpartner» Bachelor-Arbeit:» Visualisierung von IT-Sicherheitsparametern für industrielle Netze» Veröffentlichungen» Paul A., Schuster F., König H.: Network Topology Exploration for Industrial Networks (INISCOM 2016)» Schuster F., Paul A., König H.: Messung der technischen IT-Sicherheit in Energieversorgungsanlagen zur Erfüllung des ITSicherheitsgesetzes (VGB Powertech 03/2017)
Weitere Informationen und Kontakt» Projekt SICIA (Security Indicators for Critical Infrastructure Analysis):» gefördert vom Bundesministerium für Bildung und Forschung mit Förderkennzeichen: 16KIS0158K» Laufzeit: 11/2014 07/2018» www.sicia-project.org» www.vdivde-it.de/kis/sichere-ikt/kritische-infrastrukturen-kritis/sicia» Projektkoordinator:» Brandenburgische Technische Universität Cottbus Senftenberg, Fachgebiet Rechnernetze und Kommunikationssysteme Prof. Dr.-Ing. habil. Hartmut König www.b-tu.de/fg-rechnernetze