Sicherheit industrieller Anlagen im Kontext von Cyber-Security und Industrie 4.0 Holger Junker ics-sec@bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik (BSI)
Externe Sicht auf ICS Security Shodan zeigt uns die Sicherheitsproblematik industrieller Anlagen. STUXNET Gegen professionelle Angriffe wie Stuxnet kann man sich nicht schützen.
Angriffe sind nicht immer zielgerichtet Kollateralschäden durch nicht-zielgerichtete Malware... Conficker, Blaster, Slammer & Co. Teilausfall des Elektrizitätsnetzes in USA Ohio's Davis-Besse nuclear power US Bahnverkehr Checkin von Fluglinien größerer Produktionsausfall bei dt. Autobauern etc. teilweise führte allein die erhöhte Netzlast zu Ausfällen in Steuerungen
Storyline einer zielgerichteten Attacke Angreifer gehen Schritt für Schritt vor Phishing / Waterhole attack / Infiltration Office-Netz RAT / Poison Ivy Einnisten (z.b. Drucker) Ausnutzen weiterer Schwachstellen Manipulation von Steuerungen 2007: INL Aurora www.youtube.com/watch?v=fjywngdco3g
Havex Teil der größeren Kampagne Dragonfly gegen diverse Industriesektoren Spionage-Malware für Industriesysteme Gezielter Angriff u.a. auf Deutschland mittels Spear Phishing und Waterhole Angriffen Hersteller von Fernwartungslösung gehackt Angebotene Software mit Havex trojanisiert
Havex Sammelt Daten und exfiltriert sie verschlüsselt via HTTP VPN Konfigurationsdateien, im Browser gespeicherte Kennwörter, Adressbücher, Nutzer-/Systeminformationen, Durchsucht lokales Netz nach OPC-Servern Name, CLSID, Program ID, enumeriert Tags Bringt dabei einige OPC-Server zum Absturz! Scannt das lokale Netz Port 102 (Siemens) Port 502 (Modbus) Port 11234 (ScadaPro) Port 12401 (7T SCADA) Port 44818 (Rockwell, Ethernet/IP) Teilweise Schwachstellen bekannt!
Zeiträume Aus: Verizon Data Breach Investigation Report www.verizonenterprise.com/de/dbir/
Mich wird es schon nicht treffen http://www.spiegel.de/netzwelt/web/hacker-mitmanipulierter-scada-industriesteuerung-angeloc kt-a-914836.html Ich bin nicht im Fokus von Angreifern. Angreifer haben nur Knowhow-Diebstahl im Sinn.
Können Technologien die gewünschte Sicherheit gewährleisten? Industrielle Protokolle wurden entwickelt ohne Security als Designziel Was wäre, wenn wir sichere Protokolle hätten? OPC UA ist sicher, wenn... OpenSSL ist sicher, wenn nicht...
Der falsche Ansatz Security Assessments on ICS are like peeling an onion... You just keep peeling away layers, and crying more and more.
Anatomie eines Angriffs (abstrakt) Unternehmen Primärangriff Allgemeine Schadsoftware Phishing Spear Phishing Remote Access Schwachstelle Schaden Folgeangriff(e) Schwachstelle Schaden Schwachstelle Schaden
Awareness
Wie unterstützt das BSI Betreiber? Start small......keep Sicheres Plug & Produce ist möglich. ICS Top 10 Bedrohungen und Gegenmaßnahmen ICS Top 10 Self-Check on growing... Light & Right Security (LARS) ICS ICS Security Awareness Toolkit and think big ICS Security Kompendium ISMS (e.g. IT-Grundschutz, IEC 62443, etc.) Alle Downloads frei verfügbar unter: https://www.bsi.bund.de/ics-security-kompendium
Wie unterstützt das BSI Hersteller und Integratoren? Start small......keep Handhabung von Schwachstellen Anforderungen an netzwerkfähige Industriekomponenten on growing... Security Testing Secure Implementation & Integration (eg OPC UA) Developer Awareness and think big Security by Design Secure Development Lifecycle Alle Downloads frei verfügbar unter: https://www.bsi.bund.de/ics-security-kompendium
Empfehlungen für Hersteller Anforderungen an Industriekomponenten Speicher-programmierbare Steuerungen Serial-to-Ethernet Converter GSM-Modems Industrial Firewalls viele sonstige Embedded Devices viele Dinge im Internet der Dinge Folgeentwicklung: Testleitfaden
Also, sind wir bereit für Industrie 4.0? Massiver Anstieg der Vernetzung von industriellen Komponenten Komplexität, Sicherheitsmanagement (Automatisierte) Kommunikation über Vertrauensgrenzen hinweg Sicherheitsanker Lessons learned from SOA: Nicht das Paradigma realisieren, sondern Adopt what is useful. #frappening
Vielen Dank für Ihre Aufmerksamkeit. Holger Junker Federal Office for Information Security (BSI) Tel: +49 (0)22899-9582-5599 holger.junker@bsi.bund.de ics-sec@bsi.bund.de Follow me on Twitter: @HolgerJunker https://www.allianz-fuer-cybersicherheit.de https://www.bsi.bund.de/ics-security-kompendium