1. Secure SCADAsupervisory control and data acquisitionPresenter: Tal Ein-Habar, CISSPSecurity Architect

2. What is SCADA Network?Government ServicesTransportation (Road, rail, air, local public transportation, hazardous materials)Energy (Electrical utility transmission & distribution, oil and gas pipelines, nuclear materials & power)Water Controls (Dams, levees,reservoirs)Public Health (Hospitals, disease control)Emergency Services (Fire and police departments)Defense Industrial BaseCritical InfrastructuresChemicalIndustry (Petroleum, hazardous waste)State & Municipal Services (Safe water systems, waste disposal)Banking And Finance (Trading systems, automated clearinghouse network, ATM networks)Telecommunications (Broadcast television and radio)Postal & Shipping

3. Why Security Is An Issue ?Connections to IT networks are now the normNormal security maintenance causes disruptions and outagesRemote access suffers from wireless and radio communication vulnerabilitiesCritical asset information is unsecuredSecurity forensics are almost non-existentIdentification of cyber attacks is difficult to impossible> 1500 potential and existing regulations and standardsControl systems are on the hackers’ radarSpecific malware has already been created and downloadable Insiders pose biggest threat75-80% of incidents have been caused by current employees

4. Threat is changingCountries are looking at Cyber war as primary & legitimate way of Damaging their opponents The incentive for using cyberwar are:damage citizens to lead into chaos / changing political policy Acting from religious / political agendaCyberwar is intended to create fear on the remote populations

5. Attacks are here …דני יתום, לשעבר ראש המוסד, חושף:"ארגוני הטרור הגדולים מפעילים כיום אקדמיות לפיגועים מקוונים"ככל שמדינה מבססת יותר ויותר את תשתיותיה הלאומיות על רשת האינטרנט הציבורית והפתוחה - כך היא חושפת עצמה לסכנת טרור קיברנטי הולכת וגדלה, לפריצה ולשיבוש מערכות מוחלט"

6. מדינות בעולם מודעות לפגיעה אפשרית בתשתיות שלהן והן חוששות ממנה: תקשורת, בנקאות, חשמל, אנרגיה, נפט, שינוע גז, מים, תחבורה, שירותי חירום ושירותי ממשלה, "כולן יכולות לקרוס במקרה התקפה קיברנטית.Attacks are here …Russian Hackers Attack an Azerbaijani Energy PipelineAviation week reported that Russian hackers attacked servers controlling an energy pipeline carrying gas from Azerbaijan to Europe bypassing Russia. The hacker attacks caused suspension in the pipeline operations, forcing the operating company to redirect the oil through Baku-Novorossiysk Russian pipeline. Georgian websites claim that the attacks had the same IPs as those of Estonian websites DDos during the 2007 Estonian Cyber attacks.Information Security News 08/24/2009

7. Attacks are here … Cyber Terror“CIA Confirms Cyber Attack Caused Multi-City Power Outage: We have information that cyber attacks have been used to disrupt power equipment in several regions outside the United States. In at least one case, the disruption caused a power outage affecting multiple cities. We do not know who executed these attacks or why, butall involved intrusions through the Internet.” (SANS Organization - January 18, 2008. ) Cyber CRIME“Federal prosecutors have charged 11 people with stealing more than 41 million credit and debit card numbers, cracking what officials said on Tuesday appeared to be the largest hacking and identity theft ring ever exposed. … Once the thieves identified technical weaknesses in the networks, they installed so-called sniffer programs, obtained from collaborators overseas.” (New York Times – 5 August 2008) Cyber WARFARE““While Russia and Estonia are embroiled in their worst dispute since the collapse of the Soviet Union, a row that erupted at the end of last month over the Estonians' removal of the Bronze Soldier Soviet war memorial in central Tallinn, the country has been subjected to a barrage of cyber warfare, disabling the websites of government ministries, political parties, newspapers, banks, and companies.(The Guardian, May 17, 2007)

8. Where is the problemWe divide the problem into several main segments:Connection between control networks & their sensor’sConnection between Control network & IT networkRemote management of critical Infrastructure

9. Sample Network Design

10. 9 Critical Infrastructure Protection (CIP) StandardsAffected companies must be “auditably” compliance by mid-2010Compliance must be re-confirmed annuallyConsequence of non-compliance:Up to $1m USD per day

11. 4 Design RequirementsSegment and Protect Critical Infrastructure Assets from Interconnected NetworksKnow Who Has Access and What They’re Doing in the Network Protect Information about Critical Infrastructure Assets from Data LeakageImplement Strong Security without Jeopardizing Availability, Integrity, and Reliability Requirements

12. Vendors

13. Waterfallפריסה של מערך שערים חד כיוונים לכל הקישורים לעולם החיצוני.

14. ניתן למנף את יכולות השערים הללו לשם ביצוע בבטחון מלא , של :

15. שליחת סטטוס שוטף למרכזי ניטור ובקרה מרוחקים.

16. שליחת נתוני ייצור לרשת הארגונית.

17. ניהול מבוקר של פעולות תחזוקה בחומרות המפוקחות.

18. יתרונות השיטה - A Win-Win situation :

19. הפרדה חלקית / קישור חלקי.

20. הדרישות העסקיות באות על סיפוקן ( הגישה המסורתית) .

21. בטחון ברמה הגבוהה ביותר ( הגישה הקפדנית ) .T

22. Waterfallקישור חד כיווני מוחלט בין רשתות בעלות סיווג / רגישות שונה זו מזוהמערכת הינה חד כיוונית לחלוטין על בסיס תקשורת אופטית .

23. שני רכיבי חומרה אחד לשליחה בלבד –TX והשני לקבלה בלבד –RX .

24. הרכיבים שונים זה מזה ברמת החומרה , לא ניתן להפוך ליחידת שידור ליחידת קליטה וההיפך .

25. הפרוטוקול הינו חד כיווני בתיכנונו כך שאינו מחייב ACKs אינו מצטריך תהליך ראשוני של Hand Shake ואינו פונה בבקשת מיידע לאחור בשום מקרה שהוא.

26. המוצר תומך בכל שיטות העברת הקבצים הקיימות =ביכולתו להעבירכל מיידע באשר הוא המוגדר כקובץ . בין אם מדובר במיידע מוצפן , קבצי ZIP , קבצי דואר , קבצים שמקורם בעברת FTP , וכו'ReceiverTransmitterHardware Based One-Way Data-Flow GateLaser – Transmit OnlyPhotocell– Receive Only

27. Waterfallפתרון קל להטמעה : העברת פקטות מידע ( UDP , TCP ) .

28. העברת קבצים ( כולל תקיית עצים ) .

29. העברת Stream ( קול , וידאו ) .

30. רפליקציה של DB .

31. תמיכה ב Historians: OSISOFT , Siemens,GE .

32. תמיכה בפרוטוקולים תעשייתים מובילים כמו :Modbus, OPC, DNP3, Profibus, ICCP

33. WaterfallWaterfall One-Way™ includes connectors for :Leading Industrial Applications/HistoriansOSISoft PI, GE iHistorian, GE iFIX

34. GE OSM, Siemens WinTS, SINAUTLeading IT Monitoring ApplicationsLog Transfer, SNMP, SYSLOG

35. CA Unicenter, CA SIM, HP OpenView

36. Matrikon Alert ManagerFile/Folder MirroringFolder, tree mirroring, remote folders (CIFS)

37. FTP/FTFP/SFTP/TFPS/RCPRemove Screen View™Unidirectional transfer of real-time screen display captureLeading Industrial ProtocolsModbus, OPC (DA, HDA, A&&E)

38. DNP3, ICCPOther connectorsUDP, TCP/IP

39. Video/Audio stream transfer

40. Mail server/mail box replication

41. IBM Websphere MQ series

42. Antivirus updater, patch (WSUS) updater

43. Remote Print server Waterfallניטור מרחוק – הפתרון :הקישור מבוצע באמצעות שער חד כיווני.

44. הנכסים היקרים מאובטחים לחלוטין – אין יכולת כלשהי להגעה אליהם.Waterfallמוצר חדש להעברת "מסכים": טופולוגיה אופיינית לחדר בקרהחדר בקרהרשת חיצוניתWaterfall RSV שומר על הפרדה פיסית בין רשתות הבקרה לרשתות חיצוניות ומונע כל גישה "מבחוץ".External/publicnetworkWaterfall Tx serverWaterfall RxserverStandard Browser

45. McAfee is a trusted partner to many civil, military, and intelligence customersSecure Firewall (Sidewinder) is used in many sensitive and highly important networks around the world.Governments having deployments include:United States

46. United Kingdom

47. Australia

48. Canada

49. Germany

50. Japan

51. and more…19

52. McAfee - Trust = Positive Security + Reputation Positive Secure Model:Everything is bad EXCEPT what is EXPLICITLY determined to be goodIn-depth understanding of individuals In-depth understanding of malicious practicesIn-depth understanding of applicationsProtects from both known, and zero-hour unknown attacksInbound AccessControlsOutbound Access ControlsStop KnownThreatsStop UnknownThreatsIPSVirus &Malware PreventionIntelligent Application InspectionReputation ServicesNetwork Access Rules Auth & Role-based accessNetwork Access RulesAuth & Role-based access

53. McAfee – Design solution

54. McAfee - Application Visibility & Control Case StudiesMany customers depend upon the positive model & application proxies to protect critical apps and data:Database - Oracle & MS-SQLDOD– protects all Human Resources records (several million) held in OracleWeb App – HTTP/SInsurance–protects all in/out Web traffic using SidewinderRetail– largest vacation travel provider uses for protecting inbound web traffic & PCI complianceRemote Access for CitrixFinance–protects the Citrix-delivered trading infrastructure of the largest stock exchangeVOIP (SIP), DNS, FTP, etc.Finance – protects data transfers (FTP)Plant CML – largest worldwide 911 network MSP protects all VoIPClassified Agencies – secure imaging and intelligence data using the IIOP proxyInfrastructure/SCADAMultiple Utilities –segment their network & control systems2 of out the 3 Largest Energy Producers –NERC CIP regulations