Nürnberg, 25.11.2014 ‐ Kongress SPS/IPC/Drives 2014

Technische Sicherheitstestsvon Industrial Control Systems  (ICS)

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 2

Autoren

Heiko Rudolphheiko.rudolph@admeritia.de+49 2173 20363-0+49 162 2414691

Aaron Brownaaron.brown@admeritia.de+49 2173 20363-0+49 162 2414699

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 3

Unternehmensdarstellung

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 4

Unternehmensdarstellung

Verbände

Standardisierung

Open Source Projekte

Forschung & Lehre

Förderprojekte

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 5

Ausgangslage

Ausgangssituation Security-Historie, -Gegenwart & -Zukunft

von ICS– Standard IT-Komponenten & -Protokolle – Lebensdauer der Systeme von 25+ Jahren– Aufweichung der Netzseparierung

Problemlage Bedrohungslage von ICS

die gleiche wie IT-Systeme Schutzziele in umgekehrter

Reihenfolge

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 6

Warum Security Testing?

Was ist die Angriffsfläche?

Defense in Depth Defense in Width

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 7

Warum Security Testing?

Security Program wird für ICS benötigt– Größere Angriffsfläche– Attacken/Malware haben größere Auswirkung

• Bsp. Stuxnet

Security Testing muss zum Security Program gehören

Standards– VDI/VDE 2182– ISA99– DHS "Cyber Security Assessment of ICSs"

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 8

Unterschiede zum Standard Test

Wenn möglich nicht im produktivenBereich testen

Kenntnis über die Umgebung– Zusammenspiel: Funktion <-> System – Funktionsweise der Tools – Keine automatisierten Vulnerability Scans – Selbst ein Portscan kann gefährlich sein– Vorwiegend manuell testen

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 9

Lösung

de facto Security Test Standard OSSTMM als Basis

Applied Methodology fürICS entwickelt

Neu im Scope: Embedded Devices

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 10

Interaktions Scope

Vektoren Test Umgebung

– wenn möglich

Angriffstiefe– Abhängig vom

Scope

Test Typ– Crystal Box wenn

möglich– Zumindest

Double Gray

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 11

Angriffsvektoren

A1 A2

A3

B1

B2

C1C2

A1: initial compromised channel (z.B. Webserver) B1: (z .B. Remote Business Partners & Vendors /A2: compromised trusted channel(1) (z.B. DB Server) Remote Operations & Facilities)A3: compromised trusted channel(2) (z.B Configuration Server) C1: (z.B. Wlan Access Point / Intelligent Electronic Devices)

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 12

Recursive ICS Test Process

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 13

ICS Test Prozess

Reconaissance & Mapping

Netzwerkplan Analyse

Analyse des Netzwerk Traffic

Trace von allen DatenEingangspunkten

Polite Port Scans

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 14

ICS Test Prozess

Exploration & Discovery

Dokumentationsrecherche

Startup Traffic Capture

Versions Erkennung

Vulnerability Nachforschung bei öffentlichen Quellen (CVE...)

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 15

ICS Test Prozess

Basic Assessment

Interviews

Konfigurations Analyse

Fuzzing

Authentication & Encryption Testing

Service Analyse

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 16

ICS Test Prozess

Vulnerability Verification& Exploitation

Web Anwendungen für ICS Komponenten immer verbreiteter

Netzwerk

Exploit Development

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 17

Security TestingTask ICS

• Informationsbeschaffung• Vulnerability Analysis / Basic Assessment• Exploitation / Verification

Server Testing

• Application Mapping• Application Discovery/Basic Assessment• Application Exploitation / Verification

Server Application

Testing

• Electronic Component Analysis• Field Technician Interface Analysis

Embedded Device Testing

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 18

Anwendungsbeispiel 1

Anwendungsbeispiel 1

IT-Sicherheitskatalog der BNetzA

Aufbau ISMS für EVU

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 19

Differenzierungsmerkmal

ISMS klassisch (BK) ISMS PLT

Operative Sicherheit durch technisch wirksame ISMS

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 20

Erste Schritte

Gap-Analyse

•Scope definieren

•Terminplan

•Rollen

KickOff

•Basic Assessment

•Verification Test

•Risk Assessment

OSSTMM-Audit •Posture Review

•Policies & Procedures

•Maßnahmen-Reviews

Gap-Analyse

•Abweichungen 27001 / 27002

•Maßnahmenplan

Bericht

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 21

Anwendungsbeispiel 2

Anwendungsbeispiel 2

ICT Continuity

BranchenempfehlungStrommarkt Schweiz

Verband Schweizerischer Elektrizitätsunternehmen

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 22

Anwendungsbeispiel 2

Security Test Interviews

Findings

Gap-Analyse

BIA

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 23

Anwendungsbeispiel 2

Ziele des Projektes

BranchenempfehlungICT-Continuity

Umzusetzende Handlungsfelder & Maßnahmen

ICT Continuity-Implementierungen

werden an der faktischen Sicherheitslage

ausgerichtet

Nebeneffekt für die Leittechnik

Aktuellen Sicherheitszustand

prüfen

Sicherheitslimitierungen& Schwachstellen

Wirksamkeit der Sicherheitsmaßnahmen

Erhöhung der operativen Sicherheit

Quick Wins& Synergieeffekte

Aktives Sicherheitsmanagement

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 24

Anwendungsbeispiel 3

Anwendungsbeispiel 3

Windpark

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 25

Anwendungsbeispiel 3

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 26

Anwendungsbeispiel 3

GAP-Analyse Beispiel

7

12

38

Betriebs- und Kommunikationsmanagement

2 Vollständig umgesetzt

1 Teilweise umgesetzt

0 Nicht umgesetzt

1 11 45 0

25

2010

17

0%10%20%30%40%50%60%70%80%90%

100%

0 Nicht umgesetzt

1 Teilweise umgesetzt

2 Vollständig umgesetzt

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 27

Anwendungsbeispiel 4

Anwendungsbeispiel 4

Detailed Risk Assessementnach IEC 62443

bei Chemie-Konzern

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 28

Anwendungsbeispiel 4

Perform VulnerabiltyAssessment

exploration & discovery

network diagramanalysis

documentationresearch

analyze networktraffic

polite port scans

perform assessment(test execution)

vulnerability scanning

VulnerabilityResearch

fuzzing

Application Testing

configuration analysis

perform vulnerabilityverification & exploitation

penetration testing

exploit development

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 29

Anwendungsbeispiel 4

Detailed Vulnerability Assessement

•asset register•identify assets use case-/scenario-based

Identify Critical Cyber Assets

•define scope of interaction•determine vectors (i.e. trace all data entry points)

Define Scope and Interaction Vectors

•perform exploration & discovery•perform assessment•identify vulnerabilities

Perform Vulnerabilty Assessment

•provide a summary of all vulnerabilities in a report•prioritize vulnerabilitiesDocument Results

•provide possible remediation suggestions for all vulnerabilities•implement countermeasures•perform verification

Perform Remediation

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 30

Fragen

…noch Fragen?

Technische Sicherheitstest von ICS Anlagen

19.02.2014 Seite 31

Danke

Vielen Dank!

Heiko Rudolph