03 sicurezza per i sistemi scada

© 2010 IBM Corporation

IBM Security ServicesSCADA Security

Simone Riccetti

IBM Security Services


Agenda

Sicurezza delle Infrastrutture Critiche

Vulnerabilità e attacchi

IBM Security Solutions


Protezione delle infrastrutture critiche (Direttiva 5 giugno 2008)

Il 5 giugno 2008 viene approvata la Direttiva sull’identificazione e designazione delle Infrastrutture Critiche Europee e sulla valutazione della necessità di migliorarne la protezione.

Definizione di Infrastruttura criticaServizi essenziali per il benessere della popolazione, la sicurezza nazionale, il buon funzionamento del Paese e la sua crescita economica. Rientrano in queste categorie:

– il sistema elettrico ed energetico – le reti di comunicazione– le reti e le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale)– il sistema sanitario– i circuiti economico‐finanziari– le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze

Definizione di Infrastruttura Critica Europea (ICE)Per “Infrastruttura Critica Europea” (ICE) si intende un’infrastruttura critica collocata in uno Stato Membro dell’EU e la cui distruzione o il cui malfunzionamento avrebbe come diretta conseguenza un impatto significativo su almeno due Stati Membri dell’EU.

3

http://www.infrastrutturecritiche.it/


Punti chiave della Direttiva europea

Individuazione delle ICESpetta ad ogni Stato membro la designazione finale dell’infrastruttura come ICE

Allo stato attuale la Direttiva indica come settori prioritari, a cui deve essere applicata da subito la procedura per l’individuazione delle Infrastrutture Critiche Europee, quelli dell’energia e dei trasporti.

Valutazione dei rischiOgni Stato membro è tenuto ad effettuare una valutazione dei rischi e delle minacce riguardanti le ICE situate nel proprio territorio nazionale.

Piani di Sicurezza dell’OperatoreOgni proprietario/operatore di Infrastruttura designata come ICE dovrà disporre di un Piano di Sicurezza dell’Operatore.

La Direttiva fornisce un’indicazione dei contenuti minimi che dovranno essere trattati nel Piano.

4


Sicurezza delle architetture SCADA

5


Es. Impianto SCADA

6


Es. Impianto SCADA distribuito

7

© 2010 IBM Corporation8

SCADA: tecnologie e protocolli

Field DevicesRTU – Remote Terminal UnitPLC – Programmable Logic ControllerIED – Integrated Electronic DevicePAC – Programmable Automation ControllerWireless Sonsor Network (es. ZigBee)

Fieldbus ProtocolsModbusDNP3DeviceNet

SCADA Control CenterHMI – Human Machine InterfaceSCADA Controller – Real time processingHistorian – database of eventsControl Center Protocols (es. OPC, ICCP, RPC)

Communication TechnologiesSerial connections (hardwire & dial-up)Ethernet & TCP/IP / WirelessRF & MicrowaveCell: CDMAMiddleware MS IIS, .Net


Suddivisione ISA-95

9


Priorità di sicurezza

10


11

Vulnerabilità più comuni

Inizialmente progettate per funzionare con Hardware e protocolli proprietari

– L’obiettivo è sempre stata la funzionalità a discapito della sicurezza

Migrazione a sistemi operativi standard (Windows/Unix) per ridurre costi di produzione

– Windows è ora la piattaforma più diffusa per i sistemi SCADA

– Nella maggior parte dei casi non è possibile installare le patch di sicurezza del sistema operativo

Lo Smart Grid introduce nuove applicazioni sw distribuite e più esposte

• Adozione dei protocolli “standard” di comunicazione (IP)

– Esposizione agli attacchi che utilzzano questi protocolli

• I sistemi SCADA sono soggetti ai comuni attachi informatici

• Per migliorare l’efficienza, le organizzazioni interconnettono gli ambienti SCADA alla rete aziendale con un “disaccoppiamento” tra le reti non adeguato (router, firewall, etc.)


Tipo di minacce ai sistemi SCADA

Minacce diretteSabotaggio industriale

– Dipendenti scontenti– Concorrenti

Minacce terroristiche– Attacchi coordinati e mirati (sia informatici che fisici)

Hacker interni ed esterni

Malware (es. Stuxnet)

Minacce indiretteErrori degli operatori

– Piccoli errori umani possono avere effetti devastanti

Malware (es. Slammer, Sobig)


Stuxnet

Sfrutta 4 vulnerabilità di Windows come punto di inizio dell’attacco ai sistemi SCADA (al 12 ottobre 2010 solo tre sono state chiuse, e solo per versioni di Windows supportate)

Attacco tipo 0-Day Si propaga attraverso la rete e periferiche USB (per superare l’ “Air Gap” tra la rete SCADA

e quella di Office Automation) Gli attackers hanno integrato nell’attacco 2 certificati digitali “trusted” (probabilmente

rubati) Sfrutta la password hard-coded di un particolare sistema SCADA di Siemens (WinCC e

PCS 7) Può modificare il codice che viene scaricato sui PLC Le macchine compromesse si connettono tra loro e con un C&C esterno, con le stesse

modalità di una rete peer-to-peer E’ uno degli attacchi più complessi Ha diverse tecniche per mascherarsi, inclusa l’auto cancellazione


ICS-ALERT-10-301-01

Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) ha emesso un alert riguardo al motore di ricerca SHODAN, che può essere utilizzato per identificare I sistemi SCADA che sono connessi a Internet. Questo può essere sfruttato da parte di attacker per compromettere questi sistemi. ICS-ALERT-10-301-01 descrive una serie di raccomandazioni per ridurre questo rischio.


Es. Incidenti documentati

CSX Train Signaling System5. In August 2003, the Sobig computer virus was blamed for shutting down train signaling systems throughout the east coast of the U.S. The virus infected the computer system at CSX Corp.’s Jacksonville, Florida headquarters, shutting down signaling, dispatching, and other systems. According to Amtrak spokesman Dan Stessel, ten Amtrak trains were affected in the morning. Trains between Pittsburgh and Florence, South Carolina were halted because of dark signals, and one regional Amtrak train from Richmond, Virginia to Washington and New York was delayed for more than two hours. Long-distance trains were also delayed between four and six hours.

Davis-Besse6. In August 2003, the Nuclear Regulatory Commission confirmed that in January 2003, the Microsoft SQL Server worm known as Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours. In addition, the plant’s process computer failed, and it took about six hours for it to become available again. Slammer reportedly also affected communications on the control networks of at least five other utilities by propagating so quickly that control system traffic was blocked.

15


Es. Incidenti documentati

Zotob Worm8. In August 2005, a round of Internet worm infections knocked 13 of DaimlerChrysler’s U.S. automobile manufacturing plants offline for almost an hour, stranding workers as infected Microsoft Windows systems were patched. Plants in Illinois, Indiana, Wisconsin, Ohio, Delaware, and Michigan were knocked offline. While the worm affected primarily Windows 2000 systems, it also affected some early versions of Windows XP. Symptoms include the repeated shutdown and rebooting of a computer. Zotob and its variations caused computer outages at heavy-equipment maker Caterpillar Inc., aircraft-maker Boeing, and several large U.S. news organizations.

Taum Sauk Water Storage Dam Failure9. In December 2005, the Taum Sauk Water Storage Dam suffered a catastrophic failure releasing a billion gallons of water. The failure of the reservoir occurred as the reservoir was being filled to capacity or may have possibly been overtopped. The current working theory is that the reservoir's berm was overtopped when the routine nightly pump-back operation failed to cease when the reservoir was filled. According to AmerenUE, the gauges at the dam read differently than the gauges at the Osage plant at the Lake of the Ozarks, which monitors and operates the Taum Sauk plant remotely. The stations are linked together using a network of microwave towers, and there are no operators on-site at Taum Sauk.

16


Cronologia di alcuni attacchi SCADA


IBM Security Solutions

18


Necessità di un approccio “Defense-in-Depth”

Non è solo un problema IT

Combinazione di Personale, Processi e Tecnologie

Una possibile suddivisione del problema:– Processi (40%)– Management (30%)– Personale (20%)– Tecnologie (10%)


Servizi di analisi della sicurezza dei sistemi SCADA

Raccolta informazioni Analisi dell’ambiente Tipologie di sistemi Siti da analizzare Requisiti di sicurezza

Analisi della rete Approfondimento dell’architettura di rete e dei sistemi Identificazione dei problemi di sicurezza dell’architettura di rete Identificazione dei problemi di sicurezza in base all’analisi del traffico Identificazione delle interconnessione con altre reti - Intranet, wireless, dialup, etc.

Analisi delle vulnerabilità della rete

Analisi vulnerabilità dei dispositivi di rete Analisi vulnerabilità dei dispositivi delle applicazioni

Analisi delle vulnerabilità dei sistemi

Analisi delle vulnerabilità dei dispositivi Analisi delle vulnerabilità legate alla configurazione: gestione delle identità,

password deboli, etc. Protezione dai virus, processi e procedure di patch management, system logging

etc.

Analisi delle vulnerabilità delle applicazioni

Analisi delle vulnerabilità dei sistemi SCADA

Identificazione e validazione delle vulnerabilità

Analisi di tutti i dati raccolti


SCADA e Smart Grid Security: Soluzioni IBM


IBM security portfolio

= Professional Services

= Products

= Cloud-based & Managed Services Identity and

Access Management

SCADA Security

Virtual System Security

Database Monitoring and Protection

Encryption and Key Lifecycle Management

App Vulnerability Scanning

Access and Entitlement Management

Web Application Firewall

Data Loss Prevention

App Source Code Scanning

SOA Security

Intrusion Prevention System

Messaging Security

Data Masking

Infrastructure Security

E-mail Security

Application Security

Web/URL Filtering

Vulnerability Assessment

Firewall, IDS/IPS, MFS Mgmt.

Identity Management

Data Security

Access Management

GRCGRC

Physical Security

Security Governance, Risk and Compliance, SCADA Security SIEM and Log Management

Web / URL Filtering

Security Event Management

Threat Analysis

Application SCADA Security


Grazie!

Simone Riccetti

[email protected]

mailto:[email protected]

Technology

03 sicurezza per i sistemi scada