Kritická infrastruktura státu bitevní pole kybernetické obrany (i útoku)

Transkript

1 Kritická infrastruktura státu bitevní pole kybernetické obrany (i útoku) Ing. Aleš Špidla Viceprezident ČIMIB Manažer řízení rizik PricewaterhouseCoopers audit s.r.o.

2 Témata ICS/SCADA Kritická infrastruktura - zbraň v týlu Typické zranitelnosti ICS/SCADA Typické útoky Co s tím?

3 ICS/SCADA (Industrial Control Systems / Supervisory Control And Data Acquisition) Obecně řídí: průmyslové procesy ve výrobě technické procesy v distribučních sítích (voda, plyn, elektřina apod.), dopravních sítích (např. řízení dopravní signalizace, protipožárních systémů a větrání v tunelech) komunikačních sítích, procesy při řízení technických zařízení budov, sledování spotřeby energií Etc.

4 Kritická infrastruktura zbraň v týlu ENERGETIKA VODNÍ HOSPODÁŘSTVÍ POTRAVINÁŘSTVÍ A ZEMĚDĚLSTVÍ ZDRAVOTNICTVÍ DOPRAVA KOMUNIKAČNÍ A INFORMAČNÍ SYSTÉMY FINANČNÍ TRH A MĚNA NOUZOVÉ SLUŽBY VEŘEJNÁ SPRÁVA Cíle útoku na KI: Destrukce škody a oběti Chaos versus pocit bezpečí, pohodlí, informovanosti a pořádku

5

6 Cíl útoku Data Aplikace Informace Vyhodnocení Rozhodnutí Senzory

7 Typické zranitelnosti ICS/SCADA Air Gap iluze a z toho plynoucí: Neschopnost odhalit tichý sběr Absence identifikace kritických systémů Komunikace přes plain text a otevřené protokoly Používání slabých i defaultních hesel Absence bezpečnostních opatření Replikace z ICS sítě do firemní sítě Nezabezpečený, nekontrolovaný a trvalý on-line i off-line přístup dodavatelů Aktivní prvky nastaveny podle potřeby IT Absence logů Propojení s ERP Kdo může napadnout firemní síť může změnit nastavení chránící SCADA sítě

8 Address Scan Port scanning Skenování adres v systému. Hledání na portech 502 a dalších možných. Kde mohou být SCADA systémy. Skenování a sledování provozu na SCADA síti za účelem identifikace prvků, zachycení paketů a následné pochopení celé SCADA sítě. Cross-boundaries Traffic Skenování provozu na hranici mezi SCADA/Corporate Lan nebo DMZ/Corporate Lan. Toto skenování může poukázat na významné zranitelnosti. Function Code Scan Identifikace serverů na objevených adresách a identifikace jejich funckí a zranitelností. Device Identification Fingerprinting zařízení nalezených na síti. Snaha zjistit dodavatele, produktová čísla apod. Využití informací k nalezení zranitelností konkrétních prvků. Read Payload Injection Invalid Read Payload Size False Error Response Sensor Measurement Injection Attack Tvrorba škodlivých odpovědí v komunikaci při zachování kvantity. Tvorba škodlivých odpovědí při změně kvantity. Tvroba úpravou nebo rozšířením platných odpovědí. Tvroba škodlivých odpovědí s pomocí error paketů s modifikací chybových kódů vně i mimo standardní rozsah. Zasílání škodlivých odpovědí mimo očekávané meze pro konkrétní prvky ve SCADA systému.

9 Slope Sensor Measurement Injection High Slope Measurement Injection High Frequency Measurement Injection Altered System Control Scheme Altered Actuator State Altered Control Set Point Force Listen Only Mode Restart Communication Invalid Cyclic Redundancy Code (CRC) MODBUS Slave Traffic Jamming Útok při němž je simulován trend z měřících prvků systému. Například je odesílána zpráva o zvyšování nebo snižování tlaku vody či plynu za účelem donutit obsluhu provést zásah. Např. vypnout čerpadlo. Útok při nemž je dříve zachycený proces měření přeposílán v jinou dobu operátor je přesvědčen, že proces běží normlně, ačkoli dochází k útoku. Útok při nemž je frekvence měření změn v procesu změněna. Útok při němž dochází k pokusu o změnu módu ovládání a následně pokusu k řízení konkrétního prvku Útok při nemž dochází k pokusu o změnu stavu nebo polohy. Útok při němž dochází k pokusu o změnu kontrolních bodů a hranic pro alarm u řízení konkrétní soustavy. Útok při nemž dochází k pokusu o změnu módu prvků v systému. Například MODBUS server do listen only mode, kdy nebude docházet k požadovaným reakcím a dojde ke ztrátě kontroly nad systémem. Útok při nemž dochází k odeslání pokynu k restartu serveru a k restartu prvků systému, které vedou ke spuštění diagnostických testů. Při úspěchu dochází ke kompletní ztrátě kontroly a dohledu nad procesem. Útok při němž dochízí k zaplavení sítě množstvím paketů s neplatným cyklickým redundantním součtem. Prvky zaneprázdněné kontrolou CRC můžou přestat komunikovat i s oprávněnými zařízeními. Útok při němž se často využívá bezdrátové spojení prvků na SCADA. Při útoku se zahltí konzole operátora stále stejnými daty a ten přestane přijímat data reálná.

10 Co s tím? Mít bezpečnostní strategii Mít politiky, se kterými se ztotožňuje management Mít přehled o tom, co kde je, jakou to má hodnotu, jakými hodnotami to vládne a kdo to řídí a udržuje a co to ohrožuje tzn. ŘÍDIT RIZIKA Jasně definovat požadavky na bezpečnost systémů Jasně definovat zodpovědnost Zavést technická a organizační opatření (i personální) Mít pod kontrolou dodavatele Trvale zvyšovat bezpečnostní povědomí na všech úrovních.. a samozřejmě do bezpečnosti trvale investovat

11 Kolik procent ročního IT budgetu je investováno do bezpečnosti řídících systémů? Nevíme Více než 50%

12 Děkuji za pozornost