... vědět více o vašich zařízeních a rozvodnách Michal Andrejčák, Cyber Security Team manager

Transkript

1 Bezpečnostní sledování a vyhodnocování Záloha a obnovení Bezpečnostní aktualizace a nastavení Ochrana proti malware Postupy a zásady Ochrana perimetru SETKÁNÍ UŽIVATELŮ SYSTÉMŮ CHRÁNĚNÍ, Bezpečnost není hra.... vědět více o vašich zařízeních a rozvodnách Michal Andrejčák, Cyber Security Team manager

2 Jaké jsou rozdíly mezi zařízeními Domácí desktop / notebook Servery technologického ŘS PLC / IED a další Domácí PC může být nakaženo. Proč technologický počítač NE? October 11, 2017 Slide 2

3 Spojovací článek různých zařízení Uživatel ÚTOKY NA KRITICKOU INFRASTRUKTURU USA V ROCE 2015 PODLE VEKTORU NAPADENÍ Neznámé; 110 Slabá autentizace; 18 Zneužití oprávněného přístupu; 7 SQL Injection; 4 Hrubá síla; 4 Skenování sítě; 26 Ostatní; 17 Spear Phishing; 109 Uživatelé se svými návyky jsou stejní October 11, 2017 Slide 3

4 BOZP vs. Kybernetická bezpečnost Podobné následky incidentů BOZP Kybernetická bezpečnost Poškození zdraví lidí X (X) Poškození pověsti firmy X X Hmotné (finanční) ztráty (X) X Osobní zodpovědnost vedoucích pracovníků X X Výpadek výroby (se všemi následky) (X) X October 11, 2017 Slide 4

5 Útoky na technologické systémy Stuxnet jaderný program Iránu Start Malware se dostal do PC řídicího systému: Nakažená Flash paměť jednoho ze zaměstnanců Malware využil slabin SW: Neznámá chyba Windows Využití default přístupových údajů vizualizačního SW October 11, 2017 Slide 5

6 Útoky na technologické systémy Stuxnet jaderný program Iránu Start Působení Malware se dostal do PC řídicího systému: Nakažená Flash paměť jednoho ze zaměstnanců Malware využil slabin SW: Neznámá chyba Windows Využití defaultních přístupových údajů vizualizačního SW Změněné nastavení otáčky odstředivek obohacujících uran Změněné měřené hodnoty: ŘS indikoval otáčky v pořádku October 11, 2017 Slide 6

7 Útoky na technologické systémy Stuxnet jaderný program Iránu Start Působení Následky Malware se dostal do PC řídicího systému: Nakažená Flash paměť jednoho ze zaměstnanců Malware využil slabin SW: Neznámá chyba Windows Využití defaultních přístupových údajů vizualizačního SW Změněné nastavení otáčky odstředivek obohacujících uran Změněné měřené hodnoty: ŘS indikoval otáčky v pořádku Odhaleno po několika měsících: Zdržení jaderného programu Velké náklady na zničený materiál October 11, 2017 Slide 7

8 Útoky na technologické systémy Přenosová a rozvodná síť Výpadek části sítě na Ukrajině Nejméně 23 rozvoden 35kV / 7 rozvoden 110kV lidí bez elektrické energie BlackEnergy / KillDisk (několik dalších pokusů následovalo) První potvrzený black-out způsobený kybernetickým útokem October 11, 2017 Slide 8

9 Útoky na technologické systémy BlackEnergy Ukrajinská energetika Průnik a Průzkum Malware se dostal do PC řídicího systému: Nakažená Flash paměť jednoho ze zaměstnanců Malware začal zkoumat prostředí: 6 měsíců October 11, 2017 Slide 9

10 Útoky na technologické systémy BlackEnergy Ukrajinská energetika Průnik a Průzkum Primární útok Malware se dostal do PC řídicího systému: Nakažená Flash paměť jednoho ze zaměstnanců Vypnutí všech vypínačů na VN a VVN rozvodnách Malware začal zkoumat prostředí: 6 měsíců Blackout October 11, 2017 Slide 10

11 Útoky na technologické systémy BlackEnergy Ukrajinská energetik Průnik a Průzkum Primární útok Sekundární útok Malware se dostal do PC řídicího systému: Nakažená Flash paměť jednoho ze zaměstnanců Malware využil slabin SW: Neznámá chyba Windows Využití defaultních přístupových údajů vizualizačního SW Vypnutí všech vypínačů na VN a VVN rozvodnách Blackout Odstavení napájení (UPS) - tma na dispečinku Odstavení komunikačních zařízení DoS útok na Call centrum Vymazání hard disků ŘS October 11, 2017 Slide 11

12 Útoky na technologické systémy Proces začíná od Vás Výpadek vysoké peci v Německu 2014 Sociální inženýrink podle zájmů zaměstnanců Nemožnost vypnout pec Jak se cítil člověk zodpovědný za ŘS? October 11, 2017 Slide 12

13 Další aktuální hrozby Ransamware WannaCry (Petya, NotPetya, ) Ransamware zašifruje disky počítačů Vyžadují výpalné Obecné ohrožení (není konkrétně směrováno do technologických systémů) Obrana zálohování October 11, 2017 Slide 13

14 Další aktuální hrozby Technologiké malware CrashOverride, Indutroyer Speciální malware pro energetiku Schopen zneužít komunikace postavené na energetických standardech: - IEC IEC OPC October 11, 2017 Slide 14

15 Novelizace ZoKB - 181/2014 novelizován - 104/2017 a 205/ Zavedení pojmu základní služba (kromě kritické infrastruktury) - služba závislá na sítích nebo informačních systémech - narušení by mělo dopad na zabezpečení klíčových činností v určených oblastech - oblasti - energetika, zdravotnictví, doprava, bankovnictví, fin. trhy, chemický průmysl, pitná voda, digitální infrastruktura a veřejná správa - Správce IS ZS bude určovat NÚKIB* (dříve NBÚ / NCKB) opatřením obecné povahy - Připravují se dopadová kritéria - Například výpadek služby pro více než XXXX lidí - Stanovit role a odpovědnosti v organizaci - Zavést bezpečnostní opatření - Reagovat na výzvy NÚKIB - Hlásit bezpečnostní incidenty October 11, 2017 Slide 15 *NÚKIB = Národní úřad pro kybernetickou a informační bezpečnost

16 Péče o kybernetickou bezpečnost Cyklus kybernetické bezpečnosti tři pilíře - Hrozby / Pravděpodobnosti - Zranitelná místa / Zneužití Hodnocení rizik Testy & Revize - Skenování - Audit řízení - Majetek / Dopad - Rizika / Protiopatření Cyklus kybernetické bezpečnosti - Provedení zabezpečení - Záplaty (Patche) Provozní bezpečnost Zmírnění rizika - Další řízení - Zvládání incidentů - Trénink ABB Group 11. října 2017 Slide 16

17 Otázky pro Vás 1. Provedli jste nějaké posouzení kybernetické bezpečnosti? Vyhodnocení stavu Bezpečnostní sledování a vyhodnocování Pravidelné vyhodnocení technických, organizačních i personálních opatření Vhodný nástroj (např. ABB Cyber Security Fingerprint, Nessus profesional) Nejlépe s dodavatelem řešení pro technologické systémy Povolení bezpečnostních logů na všech zařízeních Centrální sběr bezpečnostních událostí a logů (např. ABB SDM600) Průběžné vyhodnocování logů a záznamů (vlastními silami nebo pomocí dodavatele na základě SLA) Znám stav / Vím co se stalo / Vím co se děje October 11, 2017 Slide 17

18 Otázky pro Vás 2. Máte definovány bezpečnostní postupy? Postupy a zásady Seznámení pracovníků Neexistuje jedno řešení pro všechny systémy Školení a vzdělávání pro všechny Stanovení procesů týkajících se kybernetické bezpečnosti Každý by měl znát svou roli v případě kybernetického incidentu Stanovení odpovědností Osoba odpovědná za kyber bezpečnost musí mít vliv i na nákup a výběrová řízení Stanovení technických požadavků na nová zařízení a systémy Každý ví co má dělat October 11, 2017 Slide 18

19 Otázky pro Vás 3. Máte aktuální zálohu Vašeho automatizačního systému? Cílenému útoku nezabráníte Co nejrychleji obnovit systém Je velmi těžké zabránit cílenému a profesionálnímu útoku Pravidelné zálohování Mohou nastat i jiné okolnosti: - Přírodní katastrofa - Požár - Pravidelná kontrola konzistence záloh Vypracované postupy pro obnovu ze záloh Pravidelné procvičování Jsem připraven na rychlou obnovu October 11, 2017 Slide 19

20 Otázky pro Vás 4. Je váš automatizační systém chráněn proti malware? Základní ochrana PC Aktualizace a vyhodnocování Pro zabránění útoků známými malware Pravidelné aktualizace malware knihoven Vyhodnocování stavu: - Aktualizace jednotlivých agentů - Hlášení jednotlivých agentů Ochrana před známými útoky October 11, 2017 Slide 20

21 Otázky pro Vás 5. Máte správně nakonfigurovány firewaly? A co fyzický přístup? Ochrana perimetru Omezení jsou nezbytná Chráněný přístup z vnějších sítí Ochrana před přístupem nepovolaných osob Důsledně nastavená pravidla přinášejí ztížení zaběhnutých postupy uživatelů Není důvod, aby měl k citlivým zařízením přístup kdokoliv Pro připojení z vnějších sítí je nutné další zabezpečení Nepodceňovat fyzický perimetr October 11, 2017 Slide 21

22 Otázky pro Vás 6. Aplikujete pravidelně kyberneticko-bezpečnostní nastavení, opravy a záplaty? Bezpečnostní aktualizace a nastavení Cílená aplikace Záplaty operačních systémů Nutno nasazovat ve spolupráci / na doporučení výrobce ŘS Opravné balíčky software Bezpečnostní balíčky hardware Implementace základních bezpečnostních nastavení: - Zakázání portů - Zakázání služeb - Smazání nepotřebných programů a aplikací Odstranění známých zranitelností October 11, 2017 Slide 22

23 System Data Manager SDM600 Proces kybernetické bezpečnosti OCHRANA Je můj systém chráněný proti útokům? Ochrana Správa SPRÁVA Mohu zachovat úroveň zabezpečení mého systému? Aktivní ochrana zahrnující fyzickou bezpečnost, antivirovou ochranu, atd. Monitor SDM600 poskytuje centrální Správu vašich uživatelských účtů SLEDOVÁNÍ Vím co se děje v mém systému? SDM600 monitoruje bezpečnostní události v systému October 11, 2017 Slide 23

24 System Data Manager SDM600 Protokolování bezpečnostních událostí v celém systému Sledujte váš systém Bezpečné uložení všech uživatelských aktivit z IED nebo zařízení na úrovni rozvodny Integrace IED a dalších zařízení za použití Syslog protokolu (UDP and TCP) Vizualizace a vykazování kyberneticko bezpečnostních událostí Možnost integrace SDM600 do dalších systémů protokolujících bezpečnostní události Windows Event Logs October 11, 2017 Slide 24

25 System Data Manager SDM600 Centrální správa uživatelských účtů Správa uživatelů Správa uživatelů přes celý system Řízení přístupů dle role uživatele podle IEC (Role based access control - RBAC) RADIUS (RFC 2865) server pro Relion 670/ , Windows PC, MicroSCADA Pro a zařízení s implementovanou RADIUS autentizací a správou. Možnost vynucení pravidel pro hesla V souladu s požadavky NERC-CIP a BDEW October 11, 2017 Slide 25

26 System Data Manager SDM600 Správa dat zapisovačů poruch Sběr servisních dat Automatické načtení souborů poruchových zapisovačů z IED Podporované protokoly: IEC (MMS), FTP a Windows souborový systém Bez potřeby změn v IEC konfiguraci Bez interakce s existujícím systémem SAS Bezproblémová integrace do stávajících MicroSCADA systémů Vizualizace dat poruchových zapisovačů October 11, 2017 Slide 26 *) Musí být podporováno v IED

27 System Data Manager SDM600 Sledujte data důležitá pro servis Nezávislá a automatická Vyčítání servisních dat ze sledovaných IEC IED Sledování verzí software nasazených IED a jejich sériových čísel* Sledování IED verzí firmware Sledování revizí IED konfigurací October 11, 2017 Slide 27 *) Musí být podporováno v IED

28 Zpráva o posouzení kybernetické bezpečnosti Vlastnosti správy dat zapisovačů poruch Načítání Automatické, nezávislé na výrobci IED IEC (MMS) FTP Windows File System Analýza Krátké výkazy pro jakýkoliv záznam Integrovaná aplikace ABB WaveWin pro analýzu souborů poruchových zapisovačů Možnost využití alternativní aplikace Hlášení Zasíláni informací o poruchových zápisech pomocí Rozhraní Export souborů poruchových zapisovačů pro integraci do jiných systémů October 11, 2017 Slide 28

29 System Data Manager SDM600 Vizualizace dat poruchových zapisovačů Krátký výkaz Vyhodnocovací SW Pro každý nahraný soubor poruchového zapisovače Pro každý nahraný soubor poruchového zapisovače Rychlé vyhodnocení poruchy PDF formát jednoduché pořízení poznámek, odeslání přes atd. Detailní analýza poruchy za použití integrované WaveWin aplikace. Možnost napojit jiný vyhodnocovací SW October 11, 2017 Slide 29 *) Musí být podporováno v IED

30 DownRec6 Princip Správa dat z poruchových zapisovačů starších IED Založeno na MicroSCADA Pro 9.3 Možnost připojení jakéhokoliv IED s: SPA LON IEC IEC (další protokoly implementované do MicroSCADA Pro) Podnikový Informační systém IEC LON SPA IEC October 11, 2017 Slide 30 *) Musí být podporováno v IED

31 Úroveň rozvodny SDM600 + DR6 SYS DR6 SDM600 + SYS600 SDM600 DR6 Úroveň sítě SDM600 SDM600 a DR6 Kombinovaná instalace Kombinace zařízení a SW Různá kombinace instalací SDM600, DR6 a SYS600 Možno provozovat samostatně nebo společně SDM600 i DR6 jsou nezávislé na existujícím systému automatizace (i ne ABB systém) Rozvodna D Rozvodna E Rozvodna F Rozvodna A Rozvodna B Rozvodna C October 11, 2017 Slide 31 *) Musí být podporováno v IED

32 SDM60 0 System Data Manager SDM600 Webová aplikace Základní popis Webová klient / server aplikace Instalace SDM600 serveru Uživatelské rozhraní pomocí webového prohlížeče Možnost přístupu více uživatelů k jednomu SDM600 najednou Šifrovaná komunikace mezi webovým prohlížečem a SDM600 serverem October 11, 2017 Slide 32 *) Musí být podporováno v IED

33 Kde došlo k události System Data Manager SDM600 Uživatelské rozhraní Korelace Poruchové zápisy Uživatelské aktivity a změny konfigurací Kdy došlo k události October 11, 2017 Slide 33

34 Kontakt Michal Andrejčák Application Development Manager Průmyslová Trutnov Fotka Telefon: Mail: October 11, 2017 Slide 34

35