Informationssicherheit in Produktionsnetzwerken durch den Einsatz von Netzwerkmonitoring Rückwirkungsfreie und intelligente Überwachung von Datenverkehr in industriellen Netzwerken Dr. Michael Teschner, RSA Deutschland Oktober 2011 See More, Act Faster, Spend Less 1
RSA, The Security Division of EMC Fach und sachgemäßer Umgang mit Informationen Governance, Risk & Compliance EMC GRC, See More, Act Faster, Spend Less Infrastruktur im Business Kontext EMC Consulting, Business Continunity (BRS), Information Governance (IIG), Security (RSA) G R C Information Security Advanced Security Management Archer für ISMS (ISO 27001) und IT Risiko Management (ISO 27005) IT IT Risk Controls Incident Security, Compliance & Trust in der Cloud RSA Security & Compliance Solutions for Vmware RSA Integration with Vblock Virtualized Data Center Private Cloud Cloud Services 2
Agenda Problemstellung Sicherheit in Industriellen Netzwerken Status IT-Sicherheit, Informationsicherheit NetWitness Funktionalität, Komponenten Einsatz in industriellen Netzwerken 3
Definitionen aus ISA 99: Security for Industrial Automation and Control Systems The term industrial automation and control systems (IACS) includes control systems used in Manufacturing and Processing plants and facilities Geographically dispersed operations such as utilities (i.e., electricity, gas, and water) Petroleum production and distribution facilities Other industries and applications such as transportation networks, that use automated or remotely controlled or monitored assets Electronic Security (Cybersecurity) includes computers, networks, operating systems, applications and other programmable configurable components of the system 4
Konvergenz von Verwaltungs-IT und Produktions-IT Automatisierungs- und Steuerungstechnik war durch proprietäre Systeme gekennzeichnet (Technologien & Protokolle), sowie lange Standzeiten von Equipment Der Einsatz von Standard IT Technologien findet schon seit einiger Zeit Einzug in die Produktions-Umgebungen Die Vernetzung mit Verwaltungs-IT bietet einige Vorteile Enge Integration von Produktions- und Geschäftsprozessen Bessere Steuerungsmöglichkeiten, Erhöhung der Agilität Bessere und vor allem zeitnahe Analysen Fernwartung und remote Monitoring, dadurch schnelle Fehlerbehebung 5
Sicherheitsaspekte von Produktions-IT Der Verlust von sensiblen Daten (IP) stellt nur einen kleinen Teil der Gefährdung dar Automatisierungs- und Steuerungstechnik wirken direkt auf den Produktionsprozess ein. Hierdurch ergeben sich weitere Gefahren: Ausfall der Produktion Lebensgefahr für Mitarbeiter Konsequenzen für die Umwelt Ausfall von strategischen Infrastrukturen Durch den Einsatz von Standard IT Technologien ergeben sich nun für die Produktion-IT die gleichen Gefährdungsvektoren wie für die Verwaltungs-IT 6
Herausforderung Informationssicherheit Hohe Dynamik im Markt, geht einher mit Compliance Management Informationen Datenwachstum Bedeutung und Wert Infrastruktur Steigende Komplexität Virtualisierung & Cloud Mitarbeiter Zunahme der Mobilität Konvergenz von Privatleben und Beruf Bedrohungen Organisiertes Verbrechen Staatliche Spionage APT (advaned persisstent threat). 0day Malware Regulatorischer Rahmen Veränderungen im gesetzlichen Rahmen (BilMoG, Solvency II, etc.) Zunahme Prüfungen 7
Angreifer / Gefährdungs-Vektoren Kleinkriminelle, Organisiertes Verbrechen Staatliche Organisationen Terroristen Hacktvisten, Systemkritiker Konkurrenz Unzufriedene Mitarbeiter Fehlbedienung, Unachtsamkeit 8
Ausgangspunkt Risikobetrachtung Risiko = Wahrscheinlicheit Controls Auswirkung Governance Unternehmenswerte Erkennen Reaktion Wert des Ziels Controls (Produkte & Maßnahmen) Funktionieren sie? Governance Gibt es Lücken wie finde ich diese? Wert Wissen wir was wirklich wertvoll ist? Erkennen Können wir einen Angriff erkennen? Reaktion Wie schnell können wir eine Lücke schließen? 9
Sicherheit ist ein Prozess Sicherheit ist kein Ziel und kein Zustand Täglich werden neue Schwachstellen entdeckt Die Angreifer entwickeln sich ständig weiter Mitarbeiter werden nachlässing, oder finden workarounds für Sicherheitismaßnahmen Sicherheit ist ein Prozess und eine Geisteshaltung Gehen Sie davon aus, dass der Angreifer schon in Ihrem Unternehmen ist Die Angreifer sind mindestens so intelligent und motiviert wie der Verteidiger Der schwächste Punkt ist der wahrscheinlichste Angriffspunkt Selbst kleine Veränderungen können große Auswirkungen auf den Sicherheits-Level haben 10
Überblick Informationsicherheit Bezug zu Risiken und Geschäftsanforderungen IT- Sicherheit ist heute inhaltlich umfassender als Informationssicherheit zu verstehen Neben der Technik müssen auch prozessuale und organisatorische Themen durch die IT Bereiche berücksichtigt werden Information Security Management ist daher auch ein essentieller Bestandteil für Risikomanagement im Unternehmen Risikomanagement ist keine Option, sondern zwingende Vorgabe und unerlässlich für alle modernen Organisationen 11
Integrierter Ansatz für Informationssicherheit Dashboards und Reports Workflows und Notifications Kontext Policy RSA Archer egrc Plattform Controls RSA envision SIEM Platform RSA NetWitness RSA DLP, EFN ebenso: Qualys, ncircle, McAfee, Ionix, etc. Physikalische, virtuelle und Cloud Infrastruktur 12
Informationssicherheit bei RSA / EMC Vision einer umfassenden Architektur für Security Intelligence egrc Plattform Policies, Authoritative Sources, Business Criticality Workflow und Executive Dashboards Security Intelligence Plattform Security Data Model Security Analytics Data Warehouse Security Business Intelligence Daten bezogen auf Security VA Config. SIEM DLP IAM Other See More Act Faster Spend Less 13
Security & Compliance - Lösungsübersicht EMC Lösungen Governance, Archer Risk egrc & Compliance Encryption Suite Data Loss Prevention suite Authentication Manager Multifactor Authentifizierung Threat Protection Identity and Activity Verification 3 rd Party Lösungen Monitoring Security Management Intelligence EnVision Visibility NetWitness Cloud Trust Authority 14
RSA Archer egrc Plattform Geschäftsrelevanz, Visibilität und Steuerung Risiko & Compliance Geschäftsführung Betrieb Partner Kunden RSA Archer egrc Plattform Operationelle Infrastruktur Plattform zur Automatisierung und Konsolidierung von Prozessen Zusammenführen von Personen, Prozessen und Technologie Zentrale und einheitliche Verwaltung von Unternehmensregeln, Vorschriften, Kontrollmechanismen, Risiko-Bibliotheken etc. Abbildung und Verwaltung der Unternehmensarchitektur, IT Architektur und der Organisationstruktur Reporting Funktionalitäten und Kontrollmechanismen Flexible und einfache Schnittstellen zur Anbindung an externe Datenquellen Rapid Development Funktion zum Anpassen von Lösungen oder Entwicklen von eigenen Lösungen 15
Visbilität und Steuerung Risiko und Compliance Übersicht in echt-zeit durch actionable Reports und graphische Dashboards 16
Anwendung auf Produktionsumgebungen Herstellen von Business-Kontext Authoritative Sources Verträge Kontroll - Struktur Policy Dashboards / Reporting RSA Archer Risiko Management / Compliance Management Incident Management Standard Frameworks Ausnahmen Kontrollfragen Controls Kontroll Anweisungen Kontroll Struktur Produktions - IT Data Feeds Prozeß Technical Integration in Bestandsführende Systeme Enterprise Management 17
Unterschiede Verwaltungs-IT und Produktions-IT Primäres Schutzziel Office -IT Vertraulichkeit Produktions-IT Verfügbarkeit Architektur Homogen, Zentralisiert Heterogen, lokal (autonome Zellen) Wartungsfenster Bedeutung für das Unternehmen Periodisch, gleichzeitig Indirekter Einfluß auf den Unt.- Erfolg Prozessorientiert, kurz Direkte Auswirkung auf die Produktion 18
Warum Netzwerk Monitoring Kontext Umfangreiche Analysen Effektive Indikatoren Vorteile Netzwerk Überwachung Passiv Umfassender Blick und Korrelationsmöglichkeiten Keine Installation auf Komponenten notwendig Was kann man sehen System zu System Kommunikation Übertragenes Datenvolumen Anzahl der Pakete Anzahl der Sessions Byte Muster Kann sehr aussagenkräftig sein 19
Netzwerk Sicherheit traditionell Auf bestimmte Netzwerk Ebenen beschränkt Perimeter Fokus Beruhen auf Signaturen, statistische Methoden, Kenntnis von Agriff-Szenarien Hohe Fehlerrate Setzen hohes Expertenwissen voraus 20
NetWitness Network Security Analysis Plattform Know Anything... Answer Anything 21
NetWitness Funktionsweise 22
Anpassen an spezifische Protokolle und Problemstellungen (FlexParse) Erweiterung des Standard-Parsers und des Metadatenmodells Definitionen im XML Format Registrierung von Such-Tokens Durchführen von logischen Operationen Registrierung von Metadaten für das NetWitness System Schnelles Anpassen und Erweitern der Funktionalitäten Hohe Flexibilität für Netzwerke mit: Besonderen Applikations Profilen Proprietären Protokollen Gefärdungen, die nicht von üblichen Methoden erkannt werden 23
Elemente der NetWitness Network Security Analysis Plattform Informer Automatische Analyse, Erstellen von Reports, Auslösen von Alarmen (Alerts) Investigator Interaktive Session Analyse (layer 2-7), Daten werden im Kontext dargestellt, Interaktive Analyse von großen Datenmengen (TByte) Spectrum Automatische Malware Analyse (Signature-Free) Panorama Integration mit RSA envision SIEM Lösung (Log-Management) SIEM-Link Integration mit bestehenden SIEM, IDS/IPS oder Enterprise Network Management Systemen 24
Ausgangs-Situation 25
Darstellung bei einem IDS - System Betrachtung von einzelnen Paketen - Einige Metadaten 26
Darstellung durch NetWitness - Informer 27
Beispiel Energieversorgung Parsen und Rekonstruktion von Business-IT und IACS Protokollen Modbus, Distributed Network Protocol version 3 (DNP3) Inter-Control Center Communications Protocol (ICCP) Überprüfen der Einhalten von Vorschriften Überprüfen von Controls Arbeitet das IDS/IPS korrekt? Sehen die Proxis dengesamten Verkehr? Was geht durch die Firewalls? Aufspüren von Advanced Threats und Malware Botnets, zero-days, phishing, etc. Monitoren von Clear-Text Protokollen Passives Erstellen von System-Profilen Bestimmen von Baseline- Verhalten Erkennen von Abweichungen und Erzeugen von Alerts 28
Anwendung bei US-Energieversorgern: Einhaltung des NERC-CIP - Standard 29
Einsatzgebiete für Produktions-IT Keine Beeinflussung des Echtzeitverhaltens Erfassen und Analyse aller in den Produktionsumgebungen vorhandenen Endpunkte Erfassen der Assets Analyse der Kommunikationsbeziehungen (Aufstellen von Firewall Regeln) Überwachung und Analyse des Datenverkehrs von angebundenen IT-Netzwerken Überwachung Fernwartung Exfiltration von Produktionsdaten Erfassen von Wartungsfehlern Erstellen von Baselines im Betrieb und Alarmierung im Fall von Abweichungen Aufspüren von Schadsoftware (0 day exploits) 30
Zusammenfassung Informationssicherheit in Produktionsnetzwerken Die Konvergenz von Produktions-IT und Verwaltungs-IT wird getrieben aus technologischer Notwendigleit und Geschäftsanforderungen Die Produktions-IT verliert Ihren geschützten Bereich und muss sich mit den gleichen Gefährdungen wie die Verwaltungs-IT auseinandersetzen (Sprungfunktion) Wegen der Bestandssituation, sowie den speziellen Anforderungen der Produktion sind Ansätze aus der Verwaltungs-IT vielfach nicht einsetzbar Durch umfassende Analyse von Netzwerk-Verkehr lassen sich einige der Sicherheits-Herausforderungen in der Produktions-IT addressieren 31
Danke für Ihre Aufmerksamkeit Dr. Michael Teschner michael.teschner@rsa.com tel: 0172 6988323 It-sa Halle 12, Stand 589 32