ISMS. Bezpečnost ICS řešení. Ing. Petr Sedlák. V Brně dne 21. září 2017

Podobné dokumenty
Bezpečnostní aspekty informačních a komunikačních systémů KS2

Úvod - Podniková informační bezpečnost PS1-2

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Normy ISO/IEC Aplikační bezpečnost

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Aktivní bezpečnost sítě

ADMINISTRACE POČÍTAČOVÝCH SÍTÍ. OPC Server

Zákon o kybernetické bezpečnosti: kdo je připraven?

Monitorování datových sítí: Dnes

Flow Monitoring & NBA. Pavel Minařík

SCADA? Jasně, to slovo znám

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Koncept centrálního monitoringu a IP správy sítě

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní projekt Případová studie

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Michal Andrejčák, Seminář Energetika v průmyslu, Hotel Vista Dolní Morava, Možnosti monitorování a ovládání Zpracování dat z rozvoden

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Identifikátor materiálu: ICT-3-03

PB169 Operační systémy a sítě

Zabezpečení v síti IP

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Efektivní řízení rizik webových a portálových aplikací

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Kybernetické hrozby - existuje komplexní řešení?

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Průmyslová komunikace. Vladimír Ševčík Siemens

Telekomunikační sítě Protokolové modely

Demilitarizovaná zóna (DMZ)

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

PB169 Operační systémy a sítě

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Průmyslový Ethernet. Martin Löw

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Co se skrývá v datovém provozu?

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

CAL (CAN Application Layer) a CANopen

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Flow monitoring a NBA

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Obrana sítě - základní principy

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Dodávka UTM zařízení FIREWALL zadávací dokumentace

FlowMon Vaše síť pod kontrolou

Technické aspekty zákona o kybernetické bezpečnosti

Seznámení s IEEE802.1 a IEEE a IEEE802.3

Přepínaný Ethernet. Virtuální sítě.

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Obsah. Úvod 13. Věnování 11 Poděkování 11

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Další nástroje pro testování

K čemu slouží počítačové sítě

Kybernetické hrozby jak detekovat?

Rozšíření možností (optionen)

VPN - Virtual private networks

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

Využití moderních přístupů při budování Technologického centra kraje

Počítačové sítě internet

SSL Secure Sockets Layer

Úvod do validace počítačových systémů Ing. Miroslav Mík. Obsah

DÁLKOVÁ SPRÁVA ŘÍDICÍCH SYSTÉMŮ V PROSTŘEDÍ CONTROL WEB 5

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Analýza a zabezpečení počítačové sítě

CISCO CCNA I. 8. Rizika síťového narušení

Koncept. Centrálního monitoringu a IP správy sítě

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

IE Industrial Ethernet a průmyslová bezpečnost

FlowMon Monitoring IP provozu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

1.05 Informační systémy a technologie

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

CCNA Network Upgrade

Teleservice, telecontrol & SCADA Spolehlivá komunikace pro sítě velkého rozsahu WAN. Industrial Remote Communication

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Představení Kerio Control

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

Bezpečnost vzdáleného přístupu. Jan Kubr

Průmyslový internet věcí stojí na rychlých, spolehlivých a bezpečných přenosech dat POWERLINK a opensafety

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

X36PKO Úvod Jan Kubr - X36PKO 1 2/2006

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Transkript:

ISMS Bezpečnost ICS řešení Ing. Petr Sedlák V Brně dne 21. září 2017

Pojmy ICS Industrial Control System SCADA system - Supervisory Control and Data Acquisition HMI Human - Machine Interface DCS Distributed Control System PLC Programmable Logic Controller RTU Remote Terminal Unit IED Intelligent Electronic Device DMZ Demilitarized Zone AFW Application Firewall Průmysl 4.0 IIoT Průmyslový Internet věcí Brzpečnost ICS 2

Průmysl 4.0 Průmyslová automatizace se stává nedílnou součástí ICT Je postaven na: modularitě škálovatelnosti flexibilitě Integrovaný průmysl Zařízení Integrovaného průmyslu: využívá standardní IT technologie plní specifické průmyslové požadavky Ethernetová síťová infrastruktura (Průmyslový Ethernet) Standardizovaná komunikační platforma Robustní síťové produkty (přepínače či kabely pro průmyslové použití) Standardy zaručující kompatibilitu automatizačních a informačních technologií Bezpečnost ICS 3

Průmysl 4.0 Hlavním trendem současnosti (a budoucnosti) je zavádění principů vycházejících z konceptu Průmysl 4.0 (technologická evoluci vycházející z tlaku na flexibilitu a cenu) Dnes je výrobek tvořen na základě procesů a informací, které dostávají stroje od lidí. V budoucnu každý jednotlivý výrobek si údaje o tom, z čeho a jak má být vyroben, ponese přímo na sobě ve formě čipu, který bude komunikovat s okolím. Sám stroji sdělí, o jaký výrobek se jedná a jaké procesy má již za sebou. Současně s tím stroj zjistí, co bude na daném výrobku muset vykonat a výrobní postup k této operaci si automaticky vyhledá v systému. Poznámka: ERP (Enterprise Resource Planning) podnikový IS WMS (Warehouse Mngmt System) automatizace skladů (BAR code) MES (Manufacturing Execution System) řízení výroby Bezpečnost ICS 4

Industrial IoT - IIoT Nutnost časové synchronizace v reálném čase (RT) Bezpečnost ICS - IIoT 5

TSN Time Sensitive Networking Nová technologie postavená na standardech IEEE 802.1 a IEEE 802.3 IEEE 802.1 TSN IEEE 802.1 Qbv-2015 IEEE Standard for Local and metropolitan area networks - Bridges and Bridged Networks - Amendment 25: Enhancements for Scheduled Traffic IEEE 802.3 br-2016 IEEE Standard for Ethernet Amendment 5: Specification and Management Parameters for Interspersing Express Traffic Otevřená síťová infrastruktura se vzájemnou integrací a komunikací průmyslových zařízení (IIoT) Řeší řízení a synchronizaci v RT Zarezervování časových oken (pro RT data) Bezpečnost ICS - TSN 6

Porovnání ICT a ICS ICT ICS Požadavky na výkonnost mimo reálný čas v reálném čase odezva konzistentní okamžitá průchodnost vysoká střední Požadavky na dostupnost se zpožděním vysoká redundance není nutná nutná Požadavky na Mngmt rizik důvěrnost a integrita maximální dostupnost Požadavky na bezpečnost ochrana aktiv ochrana procesů Komunikace standardní protokol vícero protokolů OS standardní proprietární Doporučená technická podpora různá jeden dodavatel Životnost komponentů 3 5 let 15 20 let Bezpečnost ICS 7

ICS Standard NIST SP 800-82 - Guide to Industrial Control Systems (ICS) Security (6/2011) 8 bezpečnostních kroků: 1. analýza poslání 2. identifikace aktiv 3. určení ICS konektivity 4. stanovení závislostí a vazeb 5. hodnocení rizik poslání 6. priority mngmt rizik přístupů 7. provádění akcí přidělení zdrojů, přiřazení odpovědností 8. sledování a testování Bezpečnost ICS 8

Hloubková obranná strategie ICS Vývoj bezpečnostních politik, postupů, školení a vzdělávacích materiál, které se vztahují konkrétně na ICS. Vzhledem k bezpečnostním zásadám a postupům zabezpečení proti hrozbám na různých úrovních nastavit trvale zvýšenou bezpečnostní úroveň. Řešení bezpečnosti pro celý životní cyklus ICS od návrhu architektury přes instalaci, údržbu až k vyřazení z provozu. Implementace vícevrstvé síťové topologie se zabezpečením nejdůležitějších komunikačních kanálů. Zajištění logického oddělení firemní a ICS sítě pomocí zařízení FW (zóny). Instalace architektury DMZ jako podporu oddělení přímé komunikace mezi firemní a ICS sítí. Zabezpečení redundance pro kritické komponenty infrastruktury. Návrh kritických systémů odolných proti poruchám a funkčním omezením (fault tolerant). Bezpečnost ICS 9

Hloubková obranná strategie ICS - pokračování Zablokování nepoužívaných portů a služeb na ICS zařízeních. Omezení fyzického přístupu k ICS infrastruktuře včetně ICS zařízení. Vytvoření řízení přístupu založené na rolích (role založené na principu nejnižší úrovně oprávnění). Využívání autentizačních mechanismů a pověření pro uživatele ICS sítě (nezaměnitelné uživatelské účty v ICS a firemní síti). Nasazení technologie (např. smart card) pro ověřování osobní Identity (PIV). Bezpečností kontrola (SW, IDS) pro komunikaci dovnitř i ven z ICS infrastruktury. Použití bezpečnostních technik šifrování pro práci s daty a komunikace. Důsledné dodržování oprav FW a SW (patchování). Sledování a monitorování kritických oblastí ICS. Bezpečnost ICS 10

ICS Cyber Security Definice a ochrana perimetru (nastavení DMZ, použití FW), oddělení ICS infrastruktury.. Řízení přístupů k web službám. Ochrana dat (šifrování kritických dat, zálohování dat) Pozn.: Data pro řízení výrobních zařízení z PLC nelze šifrovat! Ochrana OS (IDS, antivir, patchovací procedury, kontrola logů, detekce anomálií odstranění nepoužívaných služeb) Řízená instalace nových aktiv (nastavení vzdálených přístupů pro údržbu a servis zařízení, správa přidělování přístupových práv k zařízením) Zákaz všech nepoužívaných či nepotřebných přípojných bodů (USB, LAN, WiFi) Individuální řízení přístupu ke všem elementům (admin pro dodavatele zařízení!!!) Bezpečnost ICS 11

ICS řídící komponenty Řídící server (Control Server) Komunikuje s inteligentními jednotkami, které řídí výrobní procesy. Je k ICS zařízením (PLC) připojen přes ICS síť. SCADA Server (nebo Master Terminal Unit - MTU) Je řídící jednotka ve SCADA systému, který provádí dohled nad výrobními procesy. Remote Terminal Unit (RTU) Je vzdálená telemetrická datová jednotka určená k podpoře SCADA vzdálených stanic. Někdy funkci RTU přebírá PLC zařízení, které je univerzálnější. Programmable Logic Controller (PLC) Je zařízení ve formě malého průmyslového počítače určeného k řízení elektrických komponentů výrobních procesů. Intelligent Electronic Devices (IED) Je senzor s vestavěnou základní inteligencí. Kombinuje analogový senzor s analogovým výstupem základním řízením, komunikačním modulem a programovatelným zařízením v jednom. Bezpečnost ICS 12

ICS řídící komponenty 2 Human-Machine Interface (HMI) Je HW a SW pro potřeby operátora k řízení a monitorování procesů v grafické podobě. Data Historian. Je centrální databáze pro protokolování informací o všech procesu v ICS infrastruktuře. Slouží k následným analýzám, statistikám procesů v ICS. Input/output Server Je zařízení sloužící ke komunikaci s ICS zařízeními (PLC, RTU a IED) a k připojení zařízení HMI a řídícího serveru. Bezpečnost ICS 13

ICS síťové komponenty Výrobní síť (Fieldbus Network) Fieldbus (výrobní) síť slouží k napojení senzorů a ostatních výrobních zařízení k PLC. Sběrnicové řešení nahrazuje přímé napojení řídících jednotek s každým zařízením a komunikuje na základě různých protokolů. Řídící síť (Control Network) Propojuje dohledovou úroveň s kontrolními moduly typu PLC. Komunikační router (Communications Routers) Slouží ke komunikaci mezi sítěmi (například LAN a WAN). Používá se ke vzdálenému připojení RTU k MTU na delší a velké vzdálenosti (SCADA komunikace). Firewall (FW) Slouží k ochraně sítě a k filtrování komunikačních paketů podle nastavených politik. Používá se k oddělení zón v ICS sítích. Vzdálený přístup (Remote Access Point) Je vzdálené zařízení pro správu a datový přístup k ICS síti (např. PDA). Modem Je zařízení přenášející sériová data po komunikačních linkách (telefonních) na větší vzdálenosti. Bezpečnost ICS 14

PLC Příklad řízení výrobního procesu pomocí zařízení PLC Bezpečnost ICS 15

SCADA Obecné schéma SCADA systému Bezpečnost ICS 16

DCS Distributed Control Systems Bezpečnost ICS 17

Hrozby (Threats) Zasvěcenci (Insiders) Útočníci BotNet (DDoS) Rybáři (Phishers) Spammeři Viry (Melissa Macro, Explore, Zip Worm, CIH, Nimda, Code Red, Slammer) Kriminální skupiny Průmyslová špionáž Zahraniční zpravodajské služby Teroristé Bezpečnost ICS 18

Zranitelnosti (Vulnerabilities) Zranitelnosti politik a bezpečnostních procedúr - nedostatečné školení (SAE) - architektura nepodporující IB - chybějící nebo nedostatečné ICS zařízení - nedostatečná auditní činnost - chybějící DR plán - nedostatečný BCM Zranitelnosti platforem - konfigurace OS - konfigurace HW a sítě (redundance, ) - konfigurace SW (chybí IDS, SIEM Log Mngmt) - ochrana proti Malwaru (chybí nebo není testována) Bezpečnost ICS 19

Síťová zranitelnost Network Configuration Vulnerabilities Network Hardware Vulnerabilities Network Perimeter Vulnerabilities Network Monitoring and Logging Vulnerabilities Communication Vulnerabilities Wireless Connection Vulnerabilities Konfigurace sítě Síťový HW Síťový perimetr Síťová správa Komunikace Bezdrátové spoje Bezpečnost ICS 20

Zranitelnost konfigurace sítě Slabé zabezpečení - (zadní vrátka do ICS zařízení) Není aplikováno řízení toku dat (Data Flow) ACL (Access Control List) Špatné nastavení bezpečnosti default není zabezpečen Konfigurace není uložena a zálohována Heslo není při komunikaci šifrováno Hesla na dobu neurčitou Neadekvátní řízení přístupů Neadekvátní fyzická ochrana síťových zařízení Nezabezpečené síťové porty Ztráta kontroly prostředí (přehřívání, ) Přístup neoprávněných pracovníků k síti Nedostatečná redundance (vznik SPOF) Bezpečnost ICS 21

Zranitelnost síťového HW Neadekvátní fyzická ochrana síťových zařízení Nezabezpečené fyzické porty Ztráta kontroly prostředí (přehřívání, ) Přístup neoprávněných pracovníků k síťovým zařízením Nedostatek redundance síťových zařízení a sítě Bezpečnost ICS 22

Zranitelnost síťového perimetru Není definován bezpečnostní perimetr sítě Chybějící nebo chybně nakonfigurovaný FW/AFW Heterogenní provoz v síti (řízený a neřízený provoz) Nevhodné služby v ICS sítích (DNS, DHCP) Bezpečnost ICS 23

Zranitelnost síťové správy Neadekvátní FW a routovací logy Chybějící bezpečnostní monitoring ICS sítě Chybějící Log Mngmt Bezpečnost ICS 24

Zranitelnost komunikace Nedefinovány kritické cesty (nebezpečí zadních vrátek) Standardní protokoly jsou používány v textové podobě (Telnet, FTP, NFS) Neexistující nebo nestandardní autentizace uživatelů Nedostatečná kontrola integrity komunikace Bezpečnost ICS 25

Zranitelnost bezdrátových spojů Neadekvátní autentizace mezi klientem a přístupovým bodem Neadekvátní ochrana dat mezi klientem a přístupovým bodem Bezpečnost ICS 26

Ochrana ICS pomocí FW FW mezi firemní sítí a ICS Bezpečnost ICS 27

Ochrana ICS pomocí FW a routeru FW a router mezi firemní sítí a ICS Bezpečnost ICS 28

Ochrana ICS pomocí FW a DMZ FW s DMZ mezi firemní sítí a ICS Bezpečnost ICS 29

Ochrana ICS pomocí páru FW a DMZ Pár FW s DMZ mezi firemní sítí a ICS Bezpečnost ICS 30

Základní politiky FW v ICS Domain Name System (DNS) Je především určen pro překlad mezi jménem domény a IP adresou. Hypertext Transfer Protocol (HTTP) HTTP je protokol určený k základnímu prohlížení Webových stránek na Internetu. HTTP nelze používat pro řízení sítě, je třeba ho nahradit protokolem HTTPS. FTP and Trivial File Transfer Protocol (TFTP) FTP a Trivial File Transfer Protocol (TFTP) se používá pro přenos souborů mezi zařízeními (SCADA systémy, DCS, PLC, and RTU). Doporučený protokol je SFTP (Secure FTP) nebo SCP (Secure Copy). Telnet Je textová interaktivní komunikace mezi klientem a zařízením používaná ke správě a konfiguraci zařízení. Není šifrována, tedy je třeba komunikaci přes šifrovaný tunel (VPN). Bezpečnost ICS 31

Základní politiky FW v ICS 2 Simple Mail Transfer Protocol (SMTP) SMTP je určen pro přenos pošty na Internetu. Je použitelný pouze k přenosu varovných zpráv ze zařízení. Simple Network Management Protocol (SNMP) SNMP je používán ke správě sítě. Pro prostředí ICS je doporučená verze SNMP V3 s vestavěnými bezpečnostními prvky. Distributed Component Object Model (DCOM) DCOM je základní protokol pro OPC (OLE for Process Control) a ProfiNet. Tento protokol lze používat pouze mezi řídící sítí a DMZ, mezi DMZ a firemní sítí musí být blokován. SCADA a průmyslové protokoly SCADA a průmyslové protokoly (MODBUS/TCP, EtherNet/IP) jsou určeny pro řídící zařízení. Nejsou vybaveny bezpečnostními funkcemi mohou být tedy používány pouze v řídící síti, nikoliv pro firemní síť. + Network Address Translation (NAT) Bezpečnost ICS 32

Zónové řešení bezpečnosti - AFW Ochrana proti vnějším útokům (Cyber Threats) a proti vnitřním incidentům v průmyslových řídících systémech AFW (aplikační firewall). Příkladem řešení je Tofino Industrial Security Solution (Belden Company Tofino Security ) Bezpečnost ICS 33

AFW Tofino Aplikování AFW Tofino (vytvářením bezpečnostních zón) Zóna 1 Zóna 2 Zóna 3 Zóna 4 Bezpečnost ICS 34

AFW TOFINO Xenon Tofino Xenon Security Appliance Řešení pro řízení a segmentaci dohledových průmyslových sítí (bezpečnostní zóny) Plug-n-Protect instalace (bez zásahu do stávající sítě) Obsahuje standardní firewall s filtrací na 2., 3. a 4. vrstvě - Stateful Packet Inspection (SPI) Možnost instalace modulu DPI pro SCADA aplikace (pomocí LMS - Loadable Security Modules) Standardní záruka výrobce 5 let MTBF cca 70 let Bezpečnost ICS

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář