Pomáhá zvýšit odolnost vůči útokům Průmyslová bezpečnost
Trendy Siemens řešení Aplikační příklady
Řetěz bezpečnosti je tak silný, jako jeho nejslabší článek Bezpečnost může selhat z těchto důvodů Zaměstnanec Smartphone Laptop PC stanice Síťová infrastruktura Mobilní datová úschovna Tablet PC Počítačové centrum Pravidla a koncepce Tiskárna Produkční systém
Zprávy o zranitelnosti plní titulky novin Tlak na projektanty SCADA Útok na energetickou síť Stárnoucí průmyslové řídicí systémy se stávají stále více zranitelnými ke kyber útokům Dangerous Security Holes in U.S. Power Plant & Factory Software U.S. at Risk of Hack Attack German Source: http://www.energie-und-technik.de/automatisierung/news/article/94110 V ICS-CERT fiskálním roce (od září 2011 do října 2012) ICS-CERT detekovalo 198 útoků na řídicí systémy v USA. Příchod hackerů: červ WANK a útok na NASA Červ WANK, jehož obětí se staly především NASA a americké Ministerstvo energetiky, byl jedním z prvních případů hackerského aktivismu a jedním z největších kybernetických útoků v oblasti jaderné energetiky. Nebyl sice destruktivní, dokázal ale vyvolat paniku v síti vesmírných programů a jaderného výzkumu v USA. Lukáš Erben, www.root.cz
Trendy Siemens řešení Aplikační příklady
Koncept ochrany Provozní bezpečnost (Plant security) Přístupová práva uživatelů Preventivní fyzická ochrana kritických úseků Síťová bezpečnost (Network security) Řízené rozhranní mezi kanceláří a provozem např. s pomocí firewallu Segmentace provozní sítě Integrita systému (System integrity) Antivirus a whitelisting software System hardening Proces správy a aktualizace Autentizace operátorů na provozní úrovni Mechanismus integrované ochrany přístupu automatizačních komponent levels according to current standards and regulations Bezpečnostní řešení v průmyslovém prostředí musí zahrnovat všechny ochranné úrovně
Siemens přístup k bezpečnosti Implementace Správy zabezpečení Siemens přístup k bezpečnosti Rozhraní jsou předmětem regulací a jsou podle toho monitorována PC systémy musí být chráněny Řídicí úroveň musí být chráněna Komunikace musí být monitorována a vhodně segmentovaná Siemens přístup je založen na pěti klíčových bodech
Siemens řešení pro bezpečnost provozu Správa zabezpečení Rozhraní jsou pečlivě monitorována. Systémy založené na PC musí být chráněny. Plant security Řídicí úroveň musí být chráněna. Komunikace musí být monitorována a je možné ji segmentovat.
Správa zabezpečení Proces správy zabezpečení Analýza rizik a návrhy jejich zmírnění 1 Risk analysis Nastavení pravidel a koordinace organizačních opatření Koordinace technických opatření 4 Validation & improvement 2 Policies, Organizational measures Pravidelné / událostí řízené opakování analýzy rizik 3 Technical measures Správa zabezpečení je základní předpoklad pro bezpečnostní koncept.
Siemens řešení pro síťovou bezpečnost Správa zabezpečení Rozhraní jsou pečlivě monitorována. Systémy založené na PC musí být chráněny. Network security Řídicí úroveň musí být chráněna. Komunikace musí být monitorována a je možné ji segmentovat.
Integrovaná bezpečnost je základní komponenta konceptu Defense in Depth Bezpečnost provozu Přístup je odepřen neautorizovaným osobám Fyzická ochrana přístupu ke kritickým komponentám Síťová bezpečnost Rozhraní jsou kontrolována SCALANCE firewallem Další segmentace s Advanced CP Systémová integrita Ochrana know-how Ochrana proti kopírování Ochrana proti manipulaci s daty Kontrola přístupu Siemens produkty se Security Integrated poskytují bezpečnostní prvky jako integrovaný firewall, VPN komunikaci, kontrolu přístupu, ochranu proti manipulaci.
Security Integrated Přehled
Síťová bezpečnost Integrované zabezpečení : SCALANCE S Security moduly SCALANCE S 602/612/623 Požadavky zákazníků Ochrana sítě a segmentace Ochrana proti: Odposlech komunikace Manipulace s daty Neautorizovaný přístup Umožnit bezpečný vzdálený přístup pro: Telecontrol Teleservice Naše řešení SCALANCE S security moduly s Integrovaným zabezpečením poskytují: Stateful Inspection Firewall VPN (šifrování dat a autentizace) NAT/NAPT (překlad adres) Funkce routeru (PPPoE, DynDNS) pro širokopásmový přístup k internetu (DSL, kabel) S623 s dodatečným VPN portem (DMZ), dovolujícím bezpečně připojit další síť pro servisní a diagnostické účely. Redundance bezpečnostních modulů včetně směrovacích a firewall funkcí s pomocí S623
Síťová bezpečnost Integrované zabezpečení : SCALANCE S627-2M Security Module SCALANCE S627-2M Požadavky zákazníků Více flexibility díky bezpečnostním konceptům Zabezpečení redundantních topologií Vysoká dostupnost díky redundantnímu párování Použití v průmyslovém prostředí Naše řešení SCALANCE S627-2M bezpečnostní modul s Integrovaným zabezpečením poskytuje: Všechny funkce SCALANCE S623 A navíc: Dva další sloty pro dvouportové media moduly, které lze integrovat do kruhové nebo liniové topologie Přímí přístup do optických sítí s pomocí optického media modulu Zabezpečení kruhových topologií využívajících protokoly MRP nebo HRP. Redundantní zapojení. Záložní modul je připraven převzít veškerou komunikaci. Router a firewall redundance
Síťová bezpečnost Integrované zabezpečení : CP pro SIMATIC S7-300/400 CP 343-1/CP 443-1 Advanced CP 343-1 Advanced CP 443-1 Advanced Požadavky zákazníků Síťová bezpečnost a oddělení bez speciálních bezpečnostních zařízení Ochrana proti: Odposlech komunikace Manipulace s daty Neautorizovaný přístup Naše řešení CP343-1 / CP443-1 Advanced s Integrovaným zabezpečením poskytuje: Stateful Inspection Firewall VPN (šifrování dat a autentizace) HTTPS (šifrovaný přístup k webovým stránkám přes SSL) FTP (bezpečný přenos souborů) NTP secure (bezpečná synchronizace času) SNMP V3 (bezpečný přenos informací o síti)
Síťová bezpečnost Integrované zabezpečení: CP1628 Požadavky zákazníků Ochrana inženýrských a operátorských stanic Ochrana proti: Odposlech komunikace Manipulace s daty Neautorizovaný přístup Naše řešení CP 1628 s Integrovaným zabezpečením poskytuje: Stateful Inspection Firewall VPN (šifrování dat a autentizace) NTP secure (bezpečná synchronizace času) SNMP V3 (bezpečný přenos informací o síti) CP 1628
Síťová bezpečnost Integrované zabezpečení: SOFTNET Security Client Požadavky zákazníků Bezpečný přístup z inženýrských a servisních PC Ochrana proti: Odposlech komunikace Manipulace s daty Neautorizovaný přístup Naše řešení SOFTNET Security Client s Integrovaným zabezpečením poskytuje: VPN (šifrování dat a autentizace) Komunikace může probíhat pouze mezi autentizovanými uživateli a zařízeními Integrovaný bezpečnostní koncept pro automatizaci zahrnující SIMATIC-CP / PC-CP / SCALANCE S / SCALANCE M SOFTNET Security Client
Síťová bezpečnost Integrované zabezpečení: SCALANCE M874 SCALANCE M874-x Požadavky zákazníků Ochrana sítě Ochrana proti: Odposlech komunikace Manipulace s daty Neautorizovaný přístup Umožnit bezpečný vzdálený přístup pro: Telecontrol Teleservice Naše řešení UMTS Router SCALANCE M874-3 (UMTS) a M874-2 (EDGE) s Integrovaným zabezpečením poskytuje: Stateful Inspection Firewall VPN (šifrování dat a autentizace) NAT/NAPT (překlad adres) Funkce routeru pro mobilní širokopásmový přístup k Internetu (GPRS - UMTS) Širší pole aplikací díky šířce pásma, výkonu a rychlosti Připojení přes mobilní sítě druhé a třetí generace
Síťová bezpečnost Integrované zabezpečení: SCALANCE M81x/M826 SCALANCE M812 SCALANCE M816 SCALANCE M826 Požadavky zákazníků Ochrana sítě Ochrana proti: Odposlech komunikace Manipulace s daty Neautorizovaný přístup Umožnit bezpečný vzdálený přístup pro: Telecontrol Teleservice Naše řešení ADSL2+ Router SCALANCE M81x s integrovaným zabezpečením poskytuje: Stateful Inspection Firewall VPN (šifrování dat a autentizace) NAT/NAPT (překlad adres) Funkce routeru pro pevnolinkový širokopásmový přístup k Internetu (ADSL2+) Širší pole aplikací díky šířce pásma, výkonu a rychlosti SHDSL Router SCALANCE M826 s integrovaným zabezpečením pro privátní sítě
První výrobce s certifikací Achilles Level 2 Achilles Level 2 certifikovaná PLC S7-300 PN/DP S7-400 PN/DP S7-1500 PN/DP Achilles Level 2 certifikovaná DP ET200 PN/DP CPUs Achilles Level 2 certifikovaná CP CP343-1 Advanced CP443-1 Advanced CP1543-1 CP1628 CPU 410-5H + Ochrana proti DoS útokům + Definované chování v případě útoku Zvýšená dostupnost IP ochrana Mezinárodní standard
Siemens řešení pro řízení přístupu Implementace Správy zabezpečení Rozhraní jsou pečlivě monitorována Systémy založené na PC musí být chráněny System Integrity Řídicí úroveň musí být chráněna Komunikace musí být monitorována a je možné ji segmentovat
STEP 7 V5.5 Download STEP 7 S7-Controller Program block Upload Požadavky zákazníků Ochrana Know-How Ochrana proti: Odposlechu Neautorizovanému přístupu Manipulaci s daty Naše řešení STEP 7 V5.5 poskytují několik bezpečnostních prvků: Zvýšená ochrana Know-How Ochrana programového kódu heslem a S7-Block Privacy Ochrana proti čtení a změnám v obsahu K programový blokům mají přístup pouze autentizovaní uživatelé Programovatelná ochrana kopírování Programy s ochranou Know-how mohou být rozšířeny Porovnání se sériovým číslem paměťové karty nebo CPU
SIMATIC Logon Požadavky zákazníků Centrální uživatelská správa Konfigurace za běhu (přidat / zamykat / odstranit uživatelské účty) Vysoká bezpečnost ve spolupráci s MS Windows Podporuje koncept domén a pracovních skupin (Windows workgroups) Naše řešení Bezpečná správa přístupu se SIMATIC Logon Správa uživatelů ve WinCC/PCS7 založená na SIMATIC Logon s Centralizovaná správa (stárnutí hesel, automatické odhlášení po určité době neaktivity nebo opakovaně špatně zadaném heslu, zamknutí obrazovky) Konfigurace za běhu (přidat / zamykat / odstranit uživatelské účty) Všechny WinCC konfigurace jsou podporovány včetně webu Podporuje koncept domén a pracovních skupin (workgroups) Správa uživatelů a autentizace pro bezpečnost provozu
Antivirus a whitelisting Požadavky zákazníků Detekce a prevence proti škodlivému software (Viruses, Worms and Trojans) Ochrana proti: Škodlivému software Manipulaci Naše řešení Antivirus a whitelisting řešení poskytuje tyto bezpečnostní funkce: Ochrana proti škodlivému software (Viruses, Worms a Trojans) Zabránit běhu neautorizovaných aplikací a malware
PCS7 podporuje všechny ochranné úrovně Implementace Správy Zabezpečení Rozhraní jsou pečlivě monitorována Systémy založené na PC musí být chráněny Řídicí úroveň musí být chráněna Komunikace musí být monitorována a je možné ji segmentovat
SIMATIC PCS 7 Zabezpečení, kterému věříte Požadavky zákazníků Ochrana proti: Ztrátě kontroly Prostojům Ochrana kvality Naše řešení SIMATIC PCS 7 Snížení rizik s pomocí Defense-in-Depth Strategy Segmentace / Security Cells Bezpečné přístupové body Autentizace uživatelů Bezpečná komunikace Správa bezpečnostních záplat System Hardening Virus Scanner Whitelisting
Trendy Siemens řešení Aplikační příklady
Přehled síťové bezpečnosti Opatření pro průmyslové aplikace Kontrola přístupu Rozhraní do IT sítí: Zabezpečená architektura s DMZ (SCALANCE S623 a S627) Zabezpečený přístup přes Internet Lokální zabezpečení přes autentizaci uživatelů a zařízení Redundance Ochrana redundantních síťových topologií se SCALANCE S627-2M Ochrana úseků sítě Snížení rizika s pomocí segmentace sítě Ochrana síťových úseků se zabezpečovacím zařízením nebo s S7-Security CP Použití protokolů pro bezpečnou komunikaci (např. https) zabraňuje odposlouchávání a manipulaci s daty Produkty s firewall a VPN funkcemi
Aplikace se SCALANCE S623 Vytvoření demilitarizované zóny (DMZ) s Firewallem Zadání Síťový uživatelé (např. MES servery) by měly být přístupné z vnitřní i vnější sítě (Internet) bez toho, aby obě sítě byly přímo propojeny. Řešení Demilitarizovaná zóna DMZ může být vytvořena na žlutém portu SCALANCE S623, v které může být umístěn výše zmíněný server.
Aplikace se SCALANCE S623 Zabezpečený vzdálený přístup bez přímé komunikace s automatizačním segmentem Zadání Přístup k vzdálené sítí za pomoci Internetu a šifrovaného VPN tunelu. Řešení Počáteční bod (např. systémový integrátor): např. SSC, CP1628 nebo SCALANCE M jako VPN klient Koncový bod (např. systém koncového klienta): SCALANCE S623 jako VPN server Červený port: Připojení k síti provozu Žlutý port: Připojení k modemu / routeru Zelený port: Připojení k vnitřnímu segmentu Výhody Zabezpečený přístup přes Internet nebo mobilní síť jako UMTS za pomoci virtuální privátní sítě VPN (protokol IPSec) Omezení přístupu integrovanými funkcemi firewallu Zabezpečený vzdálený přístup bez přímé komunikace s automatizačním segmentem díky DMZ protu SCALANCE S623
Zabezpečená redundance s CP1628 a CP443-1 Advanced Zadání Ochrana redundantních připojení mezi PC systémem a automatem S7-400H v provozech s vysokou dostupností. Řešení VPN tunel je vytvořen mezi komunikačními procesory CP1628 a CP 443-1 Advanced, které dovolují přenos H-komunikace. Navíc CP1628 chrání PC systém od neautorizovaného přístupu díky integrovanému firewallu.
Aplikace se SCALANCE S627-2M Zabezpečené a redundantní propojení kruhů Zadání Dva kruhy mají být propojeny bezpečným a redundantním způsobem. Řešení Kruh A je připojen přes porty prvního media modulu (červené porty) a kruh B je připojen pomocí portů druhého media modulu (zelené porty). S627-2M funguje jako router a firewall. Druhý redundantní SCALANCE S627-2M je připojen stejným způsobem a je v pohotovostním režimu kdykoliv připraven nahradit první S627. Synchronizaci konfigurací a sledování chybového stavu zařízení provádějí přes žlutý (DMZ) port. Výhody Bezpečné redundantní propojení redundantních kruhů Firewall kontrola komunikace mezi redundantními kruhy Vysoká dostupnost sítě díky redundantnímu designu SCALANCE S627-2M *) Alternativně k MRP by oba kruhy mohly využívat protokol HRP
Řešený aplikační příklad s Radius serverem Scalance S s firewall user rules a Radius server autentizací Řešený aplikační příklad: SCALANCE S uživatelská firewall pravidla v kombinaci s Radius server autentizací http://support.automation.siemens.com/ww/view/en/100630897 Firewall uživatelská pravidla: Uživatel se autentizuje jmenem a heslem, pokud je známým uživatelem jsou mu přiřazena příslušná práva přístupu k zařízením (TCP/IP pravidla)
Aplikační příklad s Radius serverem II Scalance X300/XM400/XR500 a Radius server Klienti, kteří se chtějí přpojit do sítě Radius server pro 802.1x autentizaci EAP nebo MAC Zadání Uživatelé musí být autentizováni pro přístup do sítě. Ale pro PLC nelze použít EAP protokol. 1 2 3 SCALANCE X300 SCALANCE XM416-4C SCALANCE XR528 Radius server MAC autentizace: Klienti se autentizují EAP protokolem (např. PC), ale pro PLC systémy toto není možné. Řešením je MAC autentizace na Radius serveru Autentizovaný prvek je přiřazen do sítě (např. do správné VLAN) Neautentizovaný prvek zůstává v Guest VLAN Nutný hardware: Scalance XM400/XR500 od firmware V4.0 Scalance X300 od firmware V3.9 Radius Server sw různí dodavatelé
Děkuji za pozornost! Vladimír Ševčík Vladimír Ševčík Promotér a konzultant Industrial Promotér Switches & konzultant & Routers SCALANCE & RUGGEDCOM Simatic NET & SCALANCE Siemens, s.r.o. Industrial Switches & Routers Organizační úsek: DP PA Siemenova Mobil: +420 1731 198 738 155 00 Praha 13 Email: vladimir.sevcik@siemens.com Mobil: +420 731 198 738 E-mail: vladimir.sevcik@siemens.com www.siemens.com/industrialsecurity