• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
03 sicurezza per i sistemi scada
 

03 sicurezza per i sistemi scada

on

  • 1,303 views

 

Statistics

Views

Total Views
1,303
Views on SlideShare
1,299
Embed Views
4

Actions

Likes
0
Downloads
32
Comments
0

1 Embed 4

http://www.techgig.com 4

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • These particular features are extremely important when one tries to assess the vulnerability of a SCADA system, and when designing mitigations.
  • This chart depicts the Four primary pieces of the XF puzzle which include Research, Engines, Content Delivery and our Industry and Customer deliverables. Our Research group has to understand what the security issues are and how they work. That feeds into our engines which actually protect customers from these threats. Engines and Research is delivered through security content updates to customers on a regular basis. We have content delivery team who is responsible for assuring the quality of our security content and delivering them to customers. Then we product Industry/customer deliverables which include our blogs, speaking engagements and our X-Force threat reports. This chart represents the core component of what we do and how they all fit together. Ultimately our goal is the provide the most respected security brand to IBM, our customers and business partners.
  • A good framework to follow is: Process (40%): Establishment of policies are crucial Management (30%): Management buy-in and support is imperative! People (20%): End-users are the weakest link in security programs Bridge PCS administrators, engineering, and IT departments Technology (10%): Intrusion Prevention General policy fundamentals the same, with a slightly different approach Different architecture focus – end devices highly critical Real time processing requires higher availability Patching/rebooting difficult Security controls can’t impede real time processes Needs to include proprietary communication protocols Human safety a factor in risk management Executive commitment required to be successful Top down approach is the only way to enforce policy Reoccurring security awareness
  • IBM Confidential

03 sicurezza per i sistemi scada 03 sicurezza per i sistemi scada Presentation Transcript

  • IBM Security Services SCADA Security Simone Riccetti IBM Security Services
  • Agenda
    • Sicurezza delle Infrastrutture Critiche
    • Vulnerabilità e attacchi
    • IBM Security Solutions
  • Protezione delle infrastrutture critiche (Direttiva 5 giugno 2008)
    • Il 5 giugno 2008 viene approvata la Direttiva sull’identificazione e designazione delle Infrastrutture Critiche Europee e sulla valutazione della necessità di migliorarne la protezione.
    • Definizione di Infrastruttura critica
    • Servizi essenziali per il benessere della popolazione, la sicurezza nazionale, il buon funzionamento del Paese e la sua crescita economica. Rientrano in queste categorie:
      • il sistema elettrico ed energetico
      • le reti di comunicazione
      • le reti e le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale)
      • il sistema sanitario
      • i circuiti economico‐finanziari
      • le reti a supporto del Governo, delle Regioni ed enti locali, quelle per la gestione delle emergenze
    • Definizione di Infrastruttura Critica Europea (ICE)
    • Per “Infrastruttura Critica Europea” (ICE) si intende un’infrastruttura critica collocata in uno Stato Membro dell’EU e la cui distruzione o il cui malfunzionamento avrebbe come diretta conseguenza un impatto significativo su almeno due Stati Membri dell’EU.
    http://www.infrastrutturecritiche.it/
  • Punti chiave della Direttiva europea
    • Individuazione delle ICE
    • Spetta ad ogni Stato membro la designazione finale dell’infrastruttura come ICE
    • Allo stato attuale la Direttiva indica come settori prioritari, a cui deve essere applicata da subito la procedura per l’individuazione delle Infrastrutture Critiche Europee, quelli dell’ energia e dei trasporti .
    • Valutazione dei rischi
    • Ogni Stato membro è tenuto ad effettuare una valutazione dei rischi e delle minacce riguardanti le ICE situate nel proprio territorio nazionale.
    • Piani di Sicurezza dell’Operatore
    • Ogni proprietario/operatore di Infrastruttura designata come ICE dovrà disporre di un Piano di Sicurezza dell’Operatore.
    • La Direttiva fornisce un’indicazione dei contenuti minimi che dovranno essere trattati nel Piano.
  • Sicurezza delle architetture SCADA
  • Es. Impianto SCADA
  • Es. Impianto SCADA distribuito
  • SCADA: tecnologie e protocolli
    • Field Devices
    • RTU – Remote Terminal Unit
    • PLC – Programmable Logic Controller
    • IED – Integrated Electronic Device
    • PAC – Programmable Automation Controller
    • Wireless Sonsor Network (es. ZigBee)
    • Fieldbus Protocols
    • Modbus
    • DNP3
    • DeviceNet
    • SCADA Control Center
    • HMI – Human Machine Interface
    • SCADA Controller – Real time processing
    • Historian – database of events
    • Control Center Protocols (es. OPC, ICCP, RPC)
    • Communication Technologies
    • Serial connections (hardwire & dial-up)
    • Ethernet & TCP/IP / Wireless
    • RF & Microwave
    • Cell: CDMA
    • Middleware
    • MS IIS, .Net
  • Suddivisione ISA-95
  • Priorità di sicurezza
  • Vulnerabilità più comuni
    • Inizialmente progettate per funzionare con Hardware e protocolli proprietari
      • L’obiettivo è sempre stata la funzionalità a discapito della sicurezza
    • Migrazione a sistemi operativi standard (Windows/Unix) per ridurre costi di produzione
      • Windows è ora la piattaforma più diffusa per i sistemi SCADA
      • Nella maggior parte dei casi non è possibile installare le patch di sicurezza del sistema operativo
    • Lo Smart Grid introduce nuove applicazioni sw distribuite e più esposte
    • Adozione dei protocolli “standard” di comunicazione (IP)
      • Esposizione agli attacchi che utilzzano questi protocolli
    • I sistemi SCADA sono soggetti ai comuni attachi informatici
    • Per migliorare l’efficienza, le organizzazioni interconnettono gli ambienti SCADA alla rete aziendale con un “disaccoppiamento” tra le reti non adeguato (router, firewall, etc.)
  • Tipo di minacce ai sistemi SCADA
    • Minacce dirette
    • Sabotaggio industriale
      • Dipendenti scontenti
      • Concorrenti
    • Minacce terroristiche
      • Attacchi coordinati e mirati (sia informatici che fisici)
    • Hacker interni ed esterni
    • Malware (es. Stuxnet)
    • Minacce indirette
    • Errori degli operatori
      • Piccoli errori umani possono avere effetti devastanti
    • Malware (es. Slammer, Sobig)
  • Stuxnet
    • Sfrutta 4 vulnerabilità di Windows come punto di inizio dell’attacco ai sistemi SCADA (al 12 ottobre 2010 solo tre sono state chiuse, e solo per versioni di Windows supportate)
    • Attacco tipo 0-Day
    • Si propaga attraverso la rete e periferiche USB (per superare l’ “Air Gap” tra la rete SCADA e quella di Office Automation)
    • Gli attackers hanno integrato nell’attacco 2 certificati digitali “trusted” (probabilmente rubati)
    • Sfrutta la password hard-coded di un particolare sistema SCADA di Siemens (WinCC e PCS 7)
    • Può modificare il codice che viene scaricato sui PLC
    • Le macchine compromesse si connettono tra loro e con un C&C esterno, con le stesse modalità di una rete peer-to-peer
    • E’ uno degli attacchi più complessi
    • Ha diverse tecniche per mascherarsi, inclusa l’auto cancellazione
  • ICS-ALERT-10-301-01
    • Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) ha emesso un alert riguardo al motore di ricerca SHODAN, che può essere utilizzato per identificare I sistemi SCADA che sono connessi a Internet. Questo può essere sfruttato da parte di attacker per compromettere questi sistemi. ICS-ALERT-10-301-01 descrive una serie di raccomandazioni per ridurre questo rischio.
  • Es. Incidenti documentati
    • CSX Train Signaling System5. In August 2003, the Sobig computer virus was blamed for shutting down train signaling systems throughout the east coast of the U.S. The virus infected the computer system at CSX Corp.’s Jacksonville, Florida headquarters, shutting down signaling, dispatching, and other systems. According to Amtrak spokesman Dan Stessel, ten Amtrak trains were affected in the morning. Trains between Pittsburgh and Florence, South Carolina were halted because of dark signals, and one regional Amtrak train from Richmond, Virginia to Washington and New York was delayed for more than two hours. Long-distance trains were also delayed between four and six hours.
    • Davis-Besse6. In August 2003, the Nuclear Regulatory Commission confirmed that in January 2003, the Microsoft SQL Server worm known as Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours. In addition, the plant’s process computer failed, and it took about six hours for it to become available again. Slammer reportedly also affected communications on the control networks of at least five other utilities by propagating so quickly that control system traffic was blocked.
  • Es. Incidenti documentati
    • Zotob Worm8. In August 2005, a round of Internet worm infections knocked 13 of DaimlerChrysler’s U.S. automobile manufacturing plants offline for almost an hour, stranding workers as infected Microsoft Windows systems were patched. Plants in Illinois, Indiana, Wisconsin, Ohio, Delaware, and Michigan were knocked offline. While the worm affected primarily Windows 2000 systems, it also affected some early versions of Windows XP. Symptoms include the repeated shutdown and rebooting of a computer. Zotob and its variations caused computer outages at heavy-equipment maker Caterpillar Inc., aircraft-maker Boeing, and several large U.S. news organizations.
    • Taum Sauk Water Storage Dam Failure9 . In December 2005, the Taum Sauk Water Storage Dam suffered a catastrophic failure releasing a billion gallons of water. The failure of the reservoir occurred as the reservoir was being filled to capacity or may have possibly been overtopped. The current working theory is that the reservoir's berm was overtopped when the routine nightly pump-back operation failed to cease when the reservoir was filled. According to AmerenUE, the gauges at the dam read differently than the gauges at the Osage plant at the Lake of the Ozarks, which monitors and operates the Taum Sauk plant remotely. The stations are linked together using a network of microwave towers, and there are no operators on-site at Taum Sauk.
  • Cronologia di alcuni attacchi SCADA
  • IBM Security Solutions
  • Necessità di un approccio “Defense-in-Depth”
    • Non è solo un problema IT
    • Combinazione di Personale, Processi e Tecnologie
    • Una possibile suddivisione del problema:
      • Processi (40%)
      • Management (30%)
      • Personale (20%)
      • Tecnologie (10%)
  • Servizi di analisi della sicurezza dei sistemi SCADA Raccolta informazioni
    • Analisi dell’ambiente
    • Tipologie di sistemi
    • Siti da analizzare
    • Requisiti di sicurezza
    Analisi della rete
    • Approfondimento dell’architettura di rete e dei sistemi
    • Identificazione dei problemi di sicurezza dell’architettura di rete
    • Identificazione dei problemi di sicurezza in base all’analisi del traffico
    • Identificazione delle interconnessione con altre reti - Intranet, wireless, dialup, etc.
    Analisi delle vulnerabilità della rete
    • Analisi vulnerabilità dei dispositivi di rete
    • Analisi vulnerabilità dei dispositivi delle applicazioni
    Analisi delle vulnerabilità dei sistemi
    • Analisi delle vulnerabilità dei dispositivi
    • Analisi delle vulnerabilità legate alla configurazione: gestione delle identità, password deboli, etc.
    • Protezione dai virus, processi e procedure di patch management, system logging etc.
    Analisi delle vulnerabilità delle applicazioni
    • Analisi delle vulnerabilità dei sistemi SCADA
    Identificazione e validazione delle vulnerabilità
    • Analisi di tutti i dati raccolti
  • SCADA e Smart Grid Security: Soluzioni IBM
  • IBM security portfolio = Professional Services = Products = Cloud-based & Managed Services Identity and Access Management SCADA Security Virtual System Security Database Monitoring and Protection Encryption and Key Lifecycle Management App Vulnerability Scanning Access and Entitlement Management Web Application Firewall Data Loss Prevention App Source Code Scanning SOA Security Intrusion Prevention System Messaging Security Data Masking Infrastructure Security E-mail Security Application Security Web/URL Filtering Vulnerability Assessment Firewall, IDS/IPS, MFS Mgmt. Identity Management Data Security Access Management GRC Physical Security Security Governance, Risk and Compliance, SCADA Security SIEM and Log Management Web / URL Filtering Security Event Management Threat Analysis Application SCADA Security
  • Grazie! Simone Riccetti [email_address]