Embed Size (px)
Citation preview
Zabezpieczenia w PSI
Na podstawie literatury
opracował J.Tarnawski
07.06.2016
Powody zainteresowania zabezpieczeniami w PSI
• W dzisiejszym zinformatyzowanym świecie wiele obiektów przemysłowych (w tym tzw. infrastruktura krytyczna) przyłączonych jest do sieci Internet
• Niesie to wiele zalet, ale również wiele zagrożeń
• Lista sektorów „przyłączonych do sieci”
Obiekty przyłączone do sieci i ich wpływ na bezpieczeństwo
• Energetyka
• Ciepłownie
• Wodociągi
• Gazociągi
• Handel (stacje paliw, hurt spożywczy, sklepy sieciowe)
• Transport (lotniczy, kolejowy)
• Bankowość
• Miejska sygnalizacja świetlna (Trójmiasto - Tristar)
• System opieki zdrowotnej – czy pacjent jest ubezpieczony
• System identyfikacji ludności (paszporty, dowody osobiste)
• System CEPIK – Policja
• Systemu informacji podatkowej
• Media
• Itd..
Przykłady niepożądanych działań ludzkich (NIST.gov)
• Przełamanie zabezpieczeń jednej z australijskich oczyszczalni ścieków i zrzut przeszło 1 000 000 litrów ścieku do rzek.
• Inny przypadek to atak powodujący wyłączenie systemu oświetlania pasów startowych lotniska oraz pewien paraliż systemu kontroli lotów wraz z awarią sporej części naziemnej sieci telefonicznej lokalnego miasteczka;
• 6-godzinne wyłączenie systemów monitoringu bezpieczeństwa w jednej z elektrowni jądrowych w stanie Ohio.
O jakie rodzaje zabezpieczeń powinniśmy zadbać?
• Niezawodność sieci – Awarie sprzętu
• Głównie niewłaściwy dobór urządzeń do warunków pracy (zakres temp., wilgotność, korozja, wibracje)
– Awarie oprogramowania
• Systematyczne/wewnętrzne • Wymuszone – hakerskie
– Zakłócenia elektromagnetyczne
• (wpływ pracy innych systemów, nieumiejętne oddzielanie przewodów sygnałowych od zasilających, wyładowania atmosferyczne)
Niezawodność sprzętowa sieci – Urządzenia przemysłowe oraz
redundancja ilościowa i jakościowa
• Sprzęt przystosowany do warunków przemysłowych
• Obudowa przemysłowa
• Kable miedziane i światłowody
• Praca w szerokim zakresie temperatur
• Szerokie możliwości konfiguracji, zabezpieczeń, sterowania ruchem sieciowym
• Zwielokrotnienie kanałów komunikacyjnych oraz praca z różnymi technologiami komunikacyjnymi
Niezawodność sieci
Cechy przemysłowego switcha Moxa 508
• praca w temperaturze w zakresie -40 do 75 st. C, • podwójne (redundantne) zasilanie DC 12-48V, • przemysłowa obudowa metalowa, możliwość instalacji na szynie DIN, • transmisja na długie dystanse (40km, 80km), • medium transmisji: kable miedziane i światłowody, • obsługę zagrożeń przez wysyłanie listów elektronicznych i/lub wbudowane wyjście
przekaźnikowe, • obsługa wejść dyskretnych w celu zintegrowania rozwiązań sieciowych z czujnikami
alarmowymi • budowę topologii pierścienia z redundancją połączeo oraz mechanizmem autoodbudowy w
czasie krótszym niż 300ms przy pełnym obciążeniu, • wspieranie technologii QoS (ang. Quality of Service) w celu zwiększania determinizmu
czasowego • realizację VLAN (ang. Virtual Network) sieci wirtualnych, • łączenie kanałów komunikacyjnych w celu zwiększania prędkości transmisji, • filtrowanie i nadawanie priorytetów pakietom w celu zapobiegania „zatykaniu” sieci i
implementacji protokołów • Przemysłowego Ethetrnetu • obsługę wyłącznie autoryzowanych urządzeń przez nr MAC
System DCS – Distributed Control System
System DCS
Źródła zagrożeń w DCS
Top 10 Vulnerabilities of Control Systems by North American Electric Reliability Council
1. Inadequate policies, procedures, and culture that
govern control system security 2. Inadequately designed control system networks
that lack sufficient defense-in-depth mechanisms. 3. Remote access to the control system without
appropriate access control. 4. System administration mechanisms and software
used in control systems are not adequately scrutinized or maintained.
5. Use of inadequately secured wireless communication for control.
6. Use of a non-dedicated communications channel for command and control and/or inappropriate use of control system network bandwidth for non-control purposes.
7. Insufficient application of tools to detect and report on anomalous or inappropriate activity.
8. Unauthorized or inappropriate applications or devices on control system networks. 9. Control systems command and control data not
authenticated. 10. Inadequately managed, designed, or implemented
critical support infrastructure
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
Uzasadnienie biznesowe
• Element Uzasadnienie biznesowe oznacza, że na wysokim szczeblu zarządzania organizacją
• powinna powstać ocena jako podstawa do podejmowania działań w zakresie zarządzania zabezpieczeniem cybernetycznym systemów sterowani infrastrukturą krytyczną organizacji.
• Ta ocena uzasadnia akceptowalne ryzyko zrealizowania się zagrożenia i/lub udania się ataku zewnętrznego.
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
Identyfikacja, klasyfikacja i ocena ryzyka obejmuje
• Element Identyfikacja, klasyfikacja i ocena ryzyka obejmuje: • wybranie metodologii oceny ryzyka oraz przygotowanie informacji
stanowiących podstawę analizy • przeprowadzenie oceny ryzyka na wysokim szczeblu organizacji w celu
określenia konsekwencji finansowych oraz dotyczących zdrowia, bezpieczeństwa i środowiska w przypadku uszkodzenia lub niedostatecznej spójności systemu zabezpieczenia cybernetycznego
• przeprowadzenie szczegółowej oceny słabości przy uwzględnieniu wszystkich
• istniejących w organizacji systemów sterowania infrastrukturą krytyczną i ich priorytetów
• przeprowadzenie szczegółowej oceny ryzyka, zintegrowanie wszystkich otrzymanych wyników cząstkowych oraz przeanalizowanie całego cyklu życia systemów sterowania infrastrukturą krytyczną
• udokumentowanie oceny ryzyka i zarchiwizowanie tej dokumentacji
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
Ryzyko przypisane do CSMS
Kategoria Ryzyko przypisane do CSMS (systemu zarządzania zabezpieczeniem cybernetycznym) polega na opracowaniu i wdrożeniu szeregu elementów, zebranych w trzy grupy:
Grupa: polityka, organizacja i zrozumienie CSMS obejmuje:
- zakres CSMS przedstawiony jako pisemne zestawienie celów strategicznych, procesów i wymagań czasowych dotyczących rozpatrywanego systemu
- organizację zabezpieczenia: wyznaczenie przedstawiciela kierownictwa wysokiego szczebla do kierowania CSMS, ustalenie organizacji zajmującej się systemem, określenie odpowiedzialności i wyznaczenie zespołu, który będzie na bieżąco utrzymywał system w sprawności
- przeprowadzenie szkolenia personelu i archiwizowanie kolejnych etapów okresowego szkolenia
- zapewnienie ciągłości biznesowej przez opracowanie procedur i wyznaczenie zespołu do interwencji i utrzymania ciągłości działania w wypadku awarii
- opracowanie wysokiego szczebla polityki bezpieczeństwa cybernetycznego dotyczącej systemów sterowania infrastrukturą krytyczną, zatwierdzonej przez kierownictwo
- opracowanie procedur zabezpieczenia, utrzymanie spójności między systemami
- zarządzania ryzykiem, określenie dopuszczalnych tolerancji ryzyka, powiadomienie o powyższym całego personelu związanego z zabezpieczeniem oraz przeglądy i uaktualnianie procedur.
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
wybrane środki przeciwdziałające
Grupa: wybrane środki przeciwdziałające obejmuje: • zabezpieczenie przez dobór personelu (ustalenie procedury dotyczącej
wymagań i odpowiedzialności personelu za sprawy zabezpieczenia, przegląd uprawnień i kwalifikacji z punktu widzenia przepisów o zabezpieczeniu, przypisanie odpowiedzialności, udokumentowanie przypisania)
• zabezpieczenie od strony fizycznej i otoczenia (ustalenie procedury zabezpieczenia,
• ustalenie granic fizycznych obszarów zabezpieczanych, odpowiednia kontrola dostępu,
• odpowiednia ochrona zasobów, ustalenie procedur monitorowania, alarmowania,
• postępowania z zasobami oraz procedur zabezpieczenia własnego) • segmentacja sieci • kontrola dostępu (środki administracyjne, uwierzytelnienie, uprawnienie).
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
wdrożenie Grupa: wdrożenie obejmuje:
• zarządzanie ryzykiem i wdrożenie (przyjęcie schematu zarządzania ryzykiem obejmującego narzędzia zarządzania i środki przeciwdziałające techniczne i administracyjne)
• opracowanie i utrzymanie systemu (określenie i przetestowanie funkcji zabezpieczenia, opracowanie systemu zarządzania zmianami, przeglądy pracy i zmian, procedury antywirusowe, procedury rezerwowania, tworzenia kopii zapasowych i ich przetestowanie)
• zarządzanie informacją i dokumentami (opracowanie cyklu życia dokumentów związanych z przemysłowymi systemami automatyzacji sterowania, zdefiniowanie
• poziomów klasyfikacji informacji i sklasyfikowanie zasobów systemu zarządzania bezpieczeństwem cybernetycznym, zapewnienie odpowiednich zapisów i ich długoterminowego odzyskiwania, utrzymywanie informacji i auditowanie zgodności z polityką zabezpieczenia
• planowanie zdarzeń i odpowiedzi (wdrożenie planu odpowiadania na wydarzenia, w tym powiadomienie o nim zainteresowanych stron, ustalenie procedury sprawozdawczości, przeszkolenie personelu, sporządzanie sprawozdań okresowych o wydarzeniach w układzie czasowym, w tym zidentyfikowanie sukcesów i porażek, odpowiadanie na wydarzenia wg obowiązujących procedur, udokumentowanie szczegółów wydarzeń i zakomunikowanie o nich odpowiednim organizacjom, procedury oceny prawidłowości odpowiedzi, testowanie rutynowe programu odpowiedzi.
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
Monitorowanie i doskonalenie CSMC
Kategoria Monitorowanie i doskonalenie CSMC zawiera dwa elementy: zgodność oraz przegląd, doskonalenie i utrzymanie CSMS.
Element Zgodność obejmuje: • określenie metodologii prowadzenia auditów zgodności
postępowania organizacji z opracowanym systemem zarządzania zabezpieczeniem cybernetycznym (CSMS);
• zapewnienie, aby auditorzy mieli właściwe kompetencje • systematyczne przeprowadzanie auditów • ustalenie miar zgodności i środków karnych za niezgodności • ustalenie listy dokumentów auditu i ich przebiegu.
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
Przegląd, doskonalenie i utrzymanie CSMS
Element Przegląd, doskonalenie i utrzymanie CSMS obejmuje:
• przypisanie zadania udoskonalania i wdrażania zmian w CSMS określonej organizacji
• okresowe ocenianie funkcjonowania CSMC
• ustalenie sytuacji w których należy przeprowadzić ocenę CSMS w trybie nadzwyczajnym (np. nadmierna liczba wydarzeń, zmiany w przepisach, istotne zmiany w systemie sterowania procesem)
• zidentyfikowanie i wdrożenie działań korygujących i zapobiegawczych
• przegląd i ocenę aktualności ryzyka tolerowanego, strategii przemysłowej CSMC,
• przepisów prawnych dotyczących zabezpieczenia cybernetycznego
• przekazywanie do wyższego kierownictwa wniosków dotyczących funkcjonowania zabezpieczenia.
Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
Sieci przewodowe i bezprzewodowe
• Medium przewodowe stwarza wiele problemów, w szczególności w systemach przemysłowych. Okablowanie przede wszystkim może zostać uszkodzone, należy więc je chronić przed dostępem osób trzecich oraz przed czynnikami zewnętrznymi. Uszkodzenie może paraliżować ruch informacji w systemie, w szczególności gdy nastąpi pomiędzy kluczowymi urządzeniami pośredniczącymi. Należy w takim wypadku stosować dodatkowe routery i przekazywać ruch innymi ścieżkami.
• Dostęp do medium przewodowych lub urządzeń pośredniczących stwarza niebezpieczeństwo ataków z rodzaju Man-in-the-middle. Polegają one na tym, że agresor wpina się pomiędzy dwa urządzenia przechwytując ich ruch. Przesyła ten ruch dalej nie stwarzając żadnych błędów i podejrzeń. Agresor ma wtedy możliwość podsłuchiwania tych danych lub nawet ich modyfikowanie. W celu ochrony należy stosować szyfrowanie połączeń, media optyczne (światłowody), monitorowanie sieci odnośnie przypinania nowego sprzętu.
• Stosunkowo nowym niebezpieczeństwem jest fakt tworzenia zakłóceń elektromagnetycznych wzdłuż kabli. Prowadzone są badania, które wskazują możliwości podsłuchiwania przesyłanych danych na podstawie analizy zakłóceń wokół kabli. Ekranowanie lub media optyczne są lekarstwem na tą właściwość.
Sieci przewodowe i bezprzewodowe
• Typowymi zagrożeniami mediów bezprzewodowych to przede wszystkim ryzyko podsłuchu. Ponadto należy uważać na analizę ruchu, skanowanie, kradzieże tożsamości, nieuprawniony dostęp, powtórzenia, ataki z rodziny man-in-the-middle, flooding, zniekształcanie pakietów, generowanie zakłóceń, utratę danych jak i również ataki fizyczne jak na przykład kradzież urządzeń mobilnych.
• Zagrożenia te spowodowane są charakterem mediów bezprzewodowych, które rozsyłają informacje w eter, do którego dostęp ma potencjalnie każdy. Ataki na ten typ medium jest niebezpieczny z powodu trudności ustalenia miejsca ataku. Podstawowym elementem polityki bezpieczeństwa powinno być stosowanie kryptografii – szyfrowania danych, stosowanie odpowiednio bezpiecznych metod uwierzytelniania, używanie protokołów retransmisji, numerowanie pakietów, używanie sesji i przypisanie do nich tokenów, stosowanie liczb pseudolosowych, znakowanie czasem transmisji i metody takie jak IPSEC.
Ataki Denial of Service
• Ataki z rodziny DoS polegają na wielokrotnej próbie dostępu do pewnego zasobu systemu. Ten rodzaj ataku jest w zasadzie typowym problemem każdej sieci i systemu komputerowego .
• Zalewanie pewnymi informacjami systemu rozproszonego jest bardzo łatwą metodą ataku, która w skuteczny sposób może zachwiać pracę firmy. Systemy przemysłowe rzadko są przystosowane do tego, aby obsłużyć nadspodziewanie dużą dawkę informacji, ponieważ ich charakter pozwala przewidzieć ilość danych, które pojawiają się w każdym węźle. Efektem ataku DoS są zwiększone opóźnienia w atakowanym segmencie lub nawet całkowite jego wyłączenie podczas ataku. W systemach czasu rzeczywistego oraz w krytycznych urządzeniach zakładu pracy – minimalne zwiększenie opóźnień może powodować duże straty finansowe lub inne nieprzyjemności.
• Ataki DoS są atakami najprostszymi do przeprowadzenia, a w zasadzie najtrudniejszymi do obrony. Gdy agresor posiada odpowiednie zasoby, jest w stanie odciąć kluczowe węzły systemu na wiele dni. Rygorystyczna polityka bezpieczeństwa na Firewallach, korzystanie z Load Balancerów i implementacja modułów wykrywających zalewanie w prawie każdym węźle systemu to kluczem do sukcesu zapobiegania tego ataku. Najważniejsze jednak jest przystosowanie sprzętu i oprogramowania do faktu wystąpienie ataku DoS w taki sposób, aby jego ewentualne skutki były jak najmniej dotkliwe.
Ataki na metody uwierzytelniania i autoryzacji
• Każdy system musi udostępniać procesy uwierzytelniania i autoryzacji. Sprawdzenie wiarygodności dokumentów, plików oraz innych obiektów nazywa się procesem uwierzytelnienia. Mechanizm autoryzacji sprawdza jakie uprawnienia posiada obiekt (np. Jan Kowalski) do innych obiektów w systemie (np. do sterowników zaworów w ciepłowni czy plików na dyskach sieciowych). Autoryzacja i uwierzytelnianie są dwoma podstawowym elementami, które chronią zasoby przed niepowołanym dostępem.
• Silne, hasła, hashowane i okresowo zmieniane, zabezpieczone kanały transmisji
Zagrożenie zewnętrzne i wewnętrzne
• Kto może poczynić największe szkody w obiekcie, instalacji czy systemie?
Inisider
• Ten kto ma rozległą wiedzę na temat jego działania:
– Sfrustrowany pracownik (były lub obecny)
– Zastraszony czy szantażowany pracownik
Defense-in-depth mechanism
• Koncepcja ochrony systemu informatycznego polegająca na wielu warstwach zabezpieczeń o różnym charakterze. Nie jest skierowana przeciw konkretnemu zagrożeni a raczej jako całościowa taktyka odporności na atak – bazuje na podejściu militarnym – oddawania części terenu/zasobów w celu zyskania czasu i poznaniu przeciwnika i opracowaniu obrony. Część mechanizmów zabezpieczeniowych:
Anti virus software
• Authentication and password security • Biometrics • Demilitarized zones (DMZ) • Data-centric security • Encryption • Firewalls (hardware or software) • Hashing passwords • Intrusion detection systems (IDS) • Logging and auditing • Multi-factor authentication • Vulnerability scanners • Physical security (e.g. deadbolt locks) • Timed access control • Internet Security Awareness Training • Virtual private network (VPN) • Sandboxing • Intrusion Protection System (IPS)
VLAN i VPN, tunelowanie, szyfrowanie jako strategie zabezpieczeń
• Separacja logiczna poszczególnych grup użytkowników w sieci LAN
• Tunelowanie z szyfrowaniem jako środek zapobiegania podsłuchów i modyfikacji danych przesyłanych przez ogólnodostępne sieci
Unormowania Polskie, UE, USA - przykłady
PN-EN 61508 (IEC 61508): Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem:
a PN-EN 61508-1:2004 Cz.1:Wymagania ogólne b PN-EN 61508-2:2005 Cz.2: Wymagania dotyczące elektrycznych/
elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem
c PN-EN 61508-3:2004 Cz.3: Wymagania dotyczące oprogramowania d PN-EN 61508-4:2004 Cz.4: Definicje i skrótowce e PN-EN 61508-5:2005 Cz.5: Przykłady metod określania poziomów
nienaruszalności bezpieczeństwa f PN-EN 61508-6:2007 Cz.6: Wytyczne do stosowania IEC 61508-2 i IEC
61508-3 g PN-EN 61508-7:2003 Cz.7: Przegląd technik i miar
Unormowania Polskie, UE, USA - przykłady • ISO/IEC 13335-1: 2004: Information technology – Security
techniques – Management of information and communications technology security – Part 1:Concepts and models for information and communications technology security management.
• ISO/IEC 27001: 2005: Information technology – Security techniques – Information security management systems – Requirements.
• IEC 62443-1-1: 2009: Industrial communication networks – network and system security – Part 1-1: Terminology, concepts and models.
• IEC 62443-2-1(65/438/CDV: Industrial communication networks – network and system security – Part 2-1: Establishing an industrial automation and control system security program.
• IEC/TR 662443-3-1:2009: Industrial communication networks – network and system security – Part 5: Security technologies for industrial automation and control systems.
Bibliografia
• Zabezpieczenie sieci przemysłowych przed intruzami, Tadeusz Missala, Pomiary Automatyka Robotyka 2/2010
• 800-82: Guide to Industrial Control Systems (ICS) Security. • https://niebezpiecznik.pl/post/scada-bezpieczenstwo-
informacji-w-rozproszonych-systemach-przemyslowych/ • http://www.fortinet.pl/wp-
content/uploads/2016/03/SG_Securing-Industrial-Control_A4_RevA_PL_LR.pdf
• http://sekurak.pl/bezpieczenstwo-sieci-przemyslowych-scada-kilka-ciekawych-zasobow/
• North American Electric Reliability Council, Control Systems Security Working Group, U.S. Department of Energy, National SCADA Test Bed Program, December 7, 2006
