Nürnberg, 25.11.2014 ‐ Kongress SPS/IPC/Drives 2014 Technische Sicherheitstests von Industrial Control Systems (ICS)
Nürnberg, 25.11.2014 ‐ Kongress SPS/IPC/Drives 2014
Technische Sicherheitstestsvon Industrial Control Systems (ICS)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 2
Autoren
Heiko [email protected]+49 2173 20363-0+49 162 2414691
Aaron [email protected]+49 2173 20363-0+49 162 2414699
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 3
Unternehmensdarstellung
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 4
Unternehmensdarstellung
Verbände
Standardisierung
Open Source Projekte
Forschung & Lehre
Förderprojekte
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 5
Ausgangslage
Ausgangssituation Security-Historie, -Gegenwart & -Zukunft
von ICS– Standard IT-Komponenten & -Protokolle – Lebensdauer der Systeme von 25+ Jahren– Aufweichung der Netzseparierung
Problemlage Bedrohungslage von ICS
die gleiche wie IT-Systeme Schutzziele in umgekehrter
Reihenfolge
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 6
Warum Security Testing?
Was ist die Angriffsfläche?
Defense in Depth Defense in Width
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 7
Warum Security Testing?
Security Program wird für ICS benötigt– Größere Angriffsfläche– Attacken/Malware haben größere Auswirkung
• Bsp. Stuxnet
Security Testing muss zum Security Program gehören
Standards– VDI/VDE 2182– ISA99– DHS "Cyber Security Assessment of ICSs"
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 8
Unterschiede zum Standard Test
Wenn möglich nicht im produktivenBereich testen
Kenntnis über die Umgebung– Zusammenspiel: Funktion <-> System – Funktionsweise der Tools – Keine automatisierten Vulnerability Scans – Selbst ein Portscan kann gefährlich sein– Vorwiegend manuell testen
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 9
Lösung
de facto Security Test Standard OSSTMM als Basis
Applied Methodology fürICS entwickelt
Neu im Scope: Embedded Devices
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 10
Interaktions Scope
Vektoren Test Umgebung
– wenn möglich
Angriffstiefe– Abhängig vom
Scope
Test Typ– Crystal Box wenn
möglich– Zumindest
Double Gray
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 11
Angriffsvektoren
A1 A2
A3
B1
B2
C1C2
A1: initial compromised channel (z.B. Webserver) B1: (z .B. Remote Business Partners & Vendors /A2: compromised trusted channel(1) (z.B. DB Server) Remote Operations & Facilities)A3: compromised trusted channel(2) (z.B Configuration Server) C1: (z.B. Wlan Access Point / Intelligent Electronic Devices)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 12
Recursive ICS Test Process
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 13
ICS Test Prozess
Reconaissance & Mapping
Netzwerkplan Analyse
Analyse des Netzwerk Traffic
Trace von allen DatenEingangspunkten
Polite Port Scans
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 14
ICS Test Prozess
Exploration & Discovery
Dokumentationsrecherche
Startup Traffic Capture
Versions Erkennung
Vulnerability Nachforschung bei öffentlichen Quellen (CVE...)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 15
ICS Test Prozess
Basic Assessment
Interviews
Konfigurations Analyse
Fuzzing
Authentication & Encryption Testing
Service Analyse
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 16
ICS Test Prozess
Vulnerability Verification& Exploitation
Web Anwendungen für ICS Komponenten immer verbreiteter
Netzwerk
Exploit Development
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 17
Security TestingTask ICS
• Informationsbeschaffung• Vulnerability Analysis / Basic Assessment• Exploitation / Verification
Server Testing
• Application Mapping• Application Discovery/Basic Assessment• Application Exploitation / Verification
Server Application
Testing
• Electronic Component Analysis• Field Technician Interface Analysis
Embedded Device Testing
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 18
Anwendungsbeispiel 1
Anwendungsbeispiel 1
IT-Sicherheitskatalog der BNetzA
Aufbau ISMS für EVU
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 19
Differenzierungsmerkmal
ISMS klassisch (BK) ISMS PLT
Operative Sicherheit durch technisch wirksame ISMS
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 20
Erste Schritte
Gap-Analyse
•Scope definieren
•Terminplan
•Rollen
KickOff
•Basic Assessment
•Verification Test
•Risk Assessment
OSSTMM-Audit •Posture Review
•Policies & Procedures
•Maßnahmen-Reviews
Gap-Analyse
•Abweichungen 27001 / 27002
•Maßnahmenplan
Bericht
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 21
Anwendungsbeispiel 2
Anwendungsbeispiel 2
ICT Continuity
BranchenempfehlungStrommarkt Schweiz
Verband Schweizerischer Elektrizitätsunternehmen
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 22
Anwendungsbeispiel 2
Security Test Interviews
Findings
Gap-Analyse
BIA
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 23
Anwendungsbeispiel 2
Ziele des Projektes
BranchenempfehlungICT-Continuity
Umzusetzende Handlungsfelder & Maßnahmen
ICT Continuity-Implementierungen
werden an der faktischen Sicherheitslage
ausgerichtet
Nebeneffekt für die Leittechnik
Aktuellen Sicherheitszustand
prüfen
Sicherheitslimitierungen& Schwachstellen
Wirksamkeit der Sicherheitsmaßnahmen
Erhöhung der operativen Sicherheit
Quick Wins& Synergieeffekte
Aktives Sicherheitsmanagement
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 24
Anwendungsbeispiel 3
Anwendungsbeispiel 3
Windpark
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 25
Anwendungsbeispiel 3
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 26
Anwendungsbeispiel 3
GAP-Analyse Beispiel
7
12
38
Betriebs- und Kommunikationsmanagement
2 Vollständig umgesetzt
1 Teilweise umgesetzt
0 Nicht umgesetzt
1 11 45 0
25
2010
17
0%10%20%30%40%50%60%70%80%90%
100%
0 Nicht umgesetzt
1 Teilweise umgesetzt
2 Vollständig umgesetzt
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 27
Anwendungsbeispiel 4
Anwendungsbeispiel 4
Detailed Risk Assessementnach IEC 62443
bei Chemie-Konzern
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 28
Anwendungsbeispiel 4
Perform VulnerabiltyAssessment
exploration & discovery
network diagramanalysis
documentationresearch
analyze networktraffic
polite port scans
perform assessment(test execution)
vulnerability scanning
VulnerabilityResearch
fuzzing
Application Testing
configuration analysis
perform vulnerabilityverification & exploitation
penetration testing
exploit development
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 29
Anwendungsbeispiel 4
Detailed Vulnerability Assessement
•asset register•identify assets use case-/scenario-based
Identify Critical Cyber Assets
•define scope of interaction•determine vectors (i.e. trace all data entry points)
Define Scope and Interaction Vectors
•perform exploration & discovery•perform assessment•identify vulnerabilities
Perform Vulnerabilty Assessment
•provide a summary of all vulnerabilities in a report•prioritize vulnerabilitiesDocument Results
•provide possible remediation suggestions for all vulnerabilities•implement countermeasures•perform verification
Perform Remediation
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 30
Fragen
…noch Fragen?
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 31
Danke
Vielen Dank!
Heiko Rudolph