IT Sicherheit von industriellen Systemen

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

Wer sind wir?

02.02.2016 • Folie 2

• KORAMIS GmbH 33 Mitarbeiter • Seit 1985 Dienstleistungen und Lösungen um und für die Prozessautomatisierung und

Netzleittechnik • Seit 10 Jahren spezialisiert auf Security für kritische Infrastrukturen • Zertifizierter Consulting- und Systempartner von führenden Technologie-Unternehmen

Fakten und Zahlen

• Consulting • Engineering,

Programmierung • System-Integration

und -Migration • Service, Wartung und

Support • Managed Services

Automation

• Industrielle Software und

Applikationsentwicklung • Diverse

Programmiersprachen

Devolopment

• ISMS Aufbau • Risk Assessments • Best Practice Konzepte • POC, Integration von

Security-Technologien • Training, Coaching • Managed Security Services • Risk Management

Security

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

Teilnahme & Mitgliedschaften

ICS Referat BSI

Bayrischer IT Security Cluster e.V.

Partner der Cyberallianz

Fachausschuss GMA 5.22 Richtlinie 2182

Arbeitskreis 952.015 IT Sicherheit

Arbeitsgruppe AG3 Sichere Systeme

Swiss Cyber Experts e.V.

Mitwirkung in Forschungs- und Förderprojekten

02.02.2016 • Seite 3

...über was reden wir

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

“Industrial Control Systems” go “IT”

02.02.2016 • Seite 5

In der Vergangenheit waren ICS Stand-alone Systeme vernetzt durch proprietäre

Netzwerke eigen-Entwicklungen mit eigenen

Standards

Heute sind ICS basierend auf state-of-the-Art Soft-

und Hardware vernetzt mit Ethernet-Standard verantwortlich für den

reibungslosen Ablauf unseres Alltags

© 2015 KORAMIS GmbH

Industrie 4.0 – Security Aspekte verschoben

02.02.2016 • Seite 6

Mischverhältnis „alter“ Automatisierungstechnik und neuer PC-basierender Infrastruktur

Früher „security through obscurity“

Heute gleichen Risiken wie im Office-

Umfeld (TCP/IP, Windows, Hardware, WWW & Mail,….)

gleichen Angreifer wie im Office-Umfeld

© 2015 KORAMIS GmbH

Security Aspekte sind verschoben

02.02.2016 • Seite 7

Industrial-IT: 1. Safety 2. Verfügbarkeit 3. Integrität 4. Vertraulichkeit

Business-IT: 1. Vertraulichkeit 2. Integrität 3. Verfügbarkeit

© 2015 KORAMIS GmbH 02.02.2016 • Folie 8

Business IT Industrial IT Virenschutz Weit verbreitet Kompliziert, oft unmöglich

Lebensdauer 3-5 Jahre 5-20 Jahre

Outsourcing Weit verbreitet Selten

Patchmanagement Oft, täglich Selten, benötigt Freigabe vom Anlagenhersteller

Änderungen Häufig Selten

Zeitabhängigkeit Verzögerungen akzeptiert Kritisch

Verfügbarkeit akzeptabel 24x7

Awareness Gut Schlecht

Sicherheitstests Weit verbreitet Selten und problematisch

Physische Sicherheit Abgesichert, bemannt Großflächig, unbemannt

© 2014 KORAMIS GmbH

Herausforderung und Unterschiede dabei

Beispiel einer Schadsoftware

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

Havex / Dragonfly

Neuste Variante: Juni 2014 Erste Aktivitäten: 2010

RAT = Remote Access Trojaner Watering Hole Attack Angriff über Hersteller Website Hersteller-Software wurde kompromittiert Nach Installation Backdoor geöffnet

02.02.2016 • Seite 10

© 2015 KORAMIS GmbH

Havex / Dragonfly

sammelt Daten über OPC, Modbus, EtherNet/IP, S7/Profinet und weitere Protokolle

speziell ausgelegt für europäische Energie- & produzierende Industrie Stromnetze, Piplines, Windparks,

Produktionsunternehmen etc. Analyse der Schadsoftware zeigt Aktivitäten von Montag bis

Freitag in der Zeitzone UTC+4 auf.

02.02.2016 • Seite 11

Real World Findings

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

Industrial Network Architecture

Multiple targets and attaking vectors

© 2015 KORAMIS GmbH

Real-World Findings

02.02.2016 • Seite 14

© 2015 KORAMIS GmbH

Industrial Network Architecture

The Real World...

© 2015 KORAMIS GmbH

Real-World Findings

02.02.2016 • Seite 16

© 2015 KORAMIS GmbH

Industrial Network Architecture

The Real World...

02.02.2016 – Slide 17

© 2015 KORAMIS GmbH

Neue Technik – neue Herausforderung

02.02.2016 • Seite 18

Instrumentation and Remote I/O

Basic Control

Supervisory Control

MES LES

Business ERP

Operator Station

Production Quality Maintenance

Fieldbus

Data Access & Wireless

Transmission

Remote Inventory

Control

MES LES

Business ERP

Controller

Inventory Control Station

Engineering Station

Plant Asset Management

Attack Industrial Control Systems

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

Public accessible systems

Source: www.scadacs.org Industrial Risk Assessment Map (IRAM)

© 2015 KORAMIS GmbH

Public accessible systems

© 2015 KORAMIS GmbH

Verify with PLCScan

© 2015 KORAMIS GmbH

Exploit with Metasploit

© 2015 KORAMIS GmbH

Public accessible systems (samples)

© 2015 KORAMIS GmbH

WarGoogleling 2.0

© 2015 KORAMIS GmbH

WarGoogleling 2.0

© 2015 KORAMIS GmbH

...wussten Sie schon...

15 Jahre NV Saar U-Bahn Saarbrücken

© 2015 KORAMIS GmbH

Underground of Nuremberg „guideless“

Inspiration and idea

© 2015 KORAMIS GmbH

Setup of a realistic industrial process control simulation and honeypot environment for an analysis of attack and threat pattern

Workshops and trainings on industrial process control systems and infrastructures Using the test laboratory for research and development tests Product testing - integration or stand alone

The HoneyTrain-Project

© 2015 KORAMIS GmbH

Implementation

The results The HoneyTrain-Project

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

Realtime attack monitor

© 2015 KORAMIS GmbH

• 14000-19500 Scans per day • 8 Attacks using “brainpower”

– 1 Attack vs. the ESX-Server – 4 Attacks vs. the PLC – 3 Attacks vs. the web frontend – 1 Attack at protocol level (no further analysis) – 1 Attack vs. the HMI

Results (over 6 weeks)

© 2015 KORAMIS GmbH

Results (over 6 weeks)

© 2015 KORAMIS GmbH

Results (over 6 weeks)

© 2015 KORAMIS GmbH

Results (over 6 weeks)

© 2015 KORAMIS GmbH

Whitepaper Is Now Available

Best Practices

© 2015 KORAMIS GmbH

© 2015 KORAMIS GmbH

Wie man aktuell noch oft mit Security umgeht...

© 2015 KORAMIS GmbH

Ganzheitliche Betrachtung

02.02.2016 • Seite 40

Physische Sicherheit Gebäude- und Zugangsschutz

Organisatorische Sicherheit Security Policies, Prozesse

praxiserprobte Vorgehensweise

Faktor Mensch Verantwortung und

Verfügbarkeit

IT Sicherheit State-of-the-Art

Security Produkte und Technologie

© 2015 KORAMIS GmbH

Prozesse und Awareness

02.02.2016 • Seite 41

Analyse – Wo steht man selbst

Organisatorische Sicherheit Richtlinien und Anweisungen

erarbeiten Verfügbare Standards der

Automatisierung nutzen

Menschen Mitarbeiter schulen Bewusstsein schaffen Know-How aufbauen

© 2015 KORAMIS GmbH

Kompetenzen zusammenbringen

02.02.2016 • Seite 42

ICS-Abteilung kennt ihr System ganz genau – aber nur bedingt mit IT-Security?

IT-Abteilung kennt sich mit IT-Security aus – aber nur bedingt mit Prozess-Automatisierung?

Zusammenarbeit der beiden Bereiche oft spärlich bis gar nicht vorhanden

© 2015 KORAMIS GmbH

Defense-in-Depth / tiefengestaffelte Verteidigung

02.02.2016 • Seite 43

Anlage schützen Physikalischer Zugangsschutz Zutrittskontrolle und verschlossene

Server- und Schaltschränke

Systeme härten Produktionsnetzwerke

„segmentieren“ USB-Schnittstellen sichern und

verwalten Whitelisting / Sandboxing Netzwerk-IDS Host-IDS

Perimeter-Security

Netzwerk-Security

Host-Security

Defense-in-Depth

© 2015 KORAMIS GmbH

…es muss nicht immer teuer sein…

USB-Thematik Jeder weiß es, jeder nutzt es Unter den Top 10 der

Angriffspunkte

02.02.2016 • Seite 44

© 2015 KORAMIS GmbH

…ein Beispiel Härtungskonzepte Produktion

• 2009-2010 erste Proof of Concept Projekterfahrungen mit Whitelisting-Lösungen in der Industrie • Identifikation Sandbox-Technologie für die Industrie • Proof of Concept und Rollout in der Industrie • Projekte Industrie: Evaluierungsprozesse von verschiedenen Lösungsanbieter

– Einsatz auf: • KUKA & ABB Robotern • Schraubern • Panel-PCs • Automatisierungsserver (ABB, Siemens,

Rockwell, Schneider…)

– Penetrationstests auf geschützte Systeme

02.02.2016 • Folie 25

© 2015 KORAMIS GmbH

Gesamte Wertschöpfungskette betrachten VDI/VDE 2182

02.02.2016 • Seite 46

Hersteller Integrator Anwender

Dokumentation

Anforderungen

Mindeststandard Einforderung Industrial Security steigen: aktuell bei größeren Betreibern, aber auch Versicherungen

© 2015 KORAMIS GmbH

Balance wahren zwischen Organisatorischen & Technischen Maßnahmen

02.02.2016 • Folie 26

© 2015 KORAMIS GmbH

Questions/Discussion?

© 2015 KORAMIS GmbH

Kontakt

© 2015 KORAMIS GmbH

KORAMIS GmbH Quartier Eurobahnhof

Europaallee 5 D-66113 Saarbrücken

Telefon: +49(0) 681 968191-0 info@koramis.de www.koramis.de

49 02.02.2016 • Folie 49

Michael Krammel m.krammel@koramis.de Phone: +49 681 968191 10 Fax: +49 681 968191 910 Mobil: +49 172 6852567