Embed Size (px)
DESCRIPTION
Wataru Machii of the Nagoya Institute of Technology introduces this novel defensive measure that alters the perimeter defenses or zoning based on the certain operational modes or observed activity. There are numerous possibilities for this idea.
Citation preview
Nagoya Institute of Technology
Dynamic Zoning Based On Situational
Activity in ICS
Wataru MachiiNagoya Institute of Technology
S4xJapan 15/09/2014
1
Nagoya Institute of Technology
自己紹介
▪ 名古屋工業大学大学院 社会工学専攻▪ 越島研究室所属 博士前期課程 2年▪ オランダやアメリカで開催されている ICS Cyber
Security Training Programに参加。
2
Nagoya Institute of Technology
NIT ICS Security Research Team研究の概要
▪ ICSセキュリティの研究において重要である 3つの柱 People Facility Controlの観点から包括的にアプローチを行っている。
3
Nagoya Institute of Technology
NIT ICS Security Research Teamテストベッド
▪ 実機のミニプラントを用いて、攻撃側の視点も取り入れた防御手法の検討・テストを行っている。
▪ ICSセキュリティ活動啓蒙のために ICSに対するサイバー攻撃デモを行っている。
4
Nagoya Institute of Technology
Agenda
▪ ICS Securityについて▪ ゾーニングについて
IEC62443 and Knapp CE行列によるゾーニング ゾーン設計支援ツール
▪ 動的ゾーニング OpenState Mechanism
▪ 動的経路切り替え OpenFlow Mechanism
5
Nagoya Institute of Technology
ICS Securityについてこれまでの対策
▪ IT技術者による対策が中心である。 Firewall IDS Anti Virus などなど・・・
▪ 完璧な防御など存在しない どんな対策を施しても侵入される可能性はある
ヒューマンエラー 未知の脆弱性 内部犯行 USB
6
Nagoya Institute of Technology
ICS SecurityについてICSの現状
▪ 制御系システムは脆弱である オープンな仕様であるコントローラ セキュリティが考慮されていないプロトコル セキュリティパッチが当てられない システムの更新頻度の低さ 現場の技術者のセキュリティに関する知識 リアルタイム処理に影響を与えるソフトは動かしたくないなどなど・・・
7
Nagoya Institute of Technology
ICS SecurityについてICSの課題
▪ サイバー攻撃を受けたとしても制御系システムの安全は守られなければいけない 仮に侵入を許しても、重大な事故を引き起こさせてはいけない
攻撃を受けていても、システムを安全に停止させなければいけない
▪ 制御側の視点によるセーフティを考慮したセキュリティ対策が必要となってくる
8
Nagoya Institute of Technology
ゾーニングについてZones&Conduits
▪ IEC62443では、制御系システムのセキュリティ向上のために、 Zones&Conduitsが標準として組み込まれている。 Zones
制御系システムにおける機能を論理的や物理的に分割し、それぞれ分割されたものを一まとめのネットワークとしたもの
Conduits それぞれのゾーンの間の通信経路を論理的にグルーピングしたもの
9
Nagoya Institute of Technology
ゾーニングについてSecure Enclaves
▪ 制御系システムが持つ機能をグループごとに分けることで、 ICSのセキュリティを向上させる手法が提案されている
1. Control Loop
2. HMI
3. Control Process
4. Historization
5. Trading Communication
6. Remote Access
7. Users and Roles
8. Protocols
Eric D. Knapp. (2011). Industrial network security. Syngress10
Nagoya Institute of Technology
ゾーニングについてZoning for safety and security protection in ICS
▪ CE行列によるゾーニング コントローラのネットワークをゾーンに分割し、同時に侵入される領域を限定することで、攻撃できる箇所を一部分に限定するとともに、クラッカーによる操作で制御システムの変化を侵入されていないゾーンで計測し、攻撃を検知できれば、事故を引き起こすリスクを軽減することができる。
いかに攻撃のリスクを抑制し、隠蔽しにくくできるかは制御対象を良く理解した上でゾーニングを行わなければならない。
この手法は制御系のエンジニアが行えるセーフティを考慮したセキュリティ対策である。
11
Y. Hashimoto et al., “Safety securing approach against cyber-attacks for process control system”, Computers and Chemical Engineering,http://dx.doi.org/10.1016/j.compchemeng.2013.04.019, 2013
Nagoya Institute of Technology
ゾーニングについてテストベッドにおけるゾーニング
12
温水循環システム
ヒータHで” 空焚き事故”が起こることを想定し,攻撃者目線でFTを作成
下部タンクのヒータで水を温め,ポンプで上部タンクへ供給する温水循環システム
センサ [ LM1 LM2 TM1 TM2 PM FM ]アクチュエータ [ V1 V2 H W ] コントローラ [ LC1 TC1 FC ]
Nagoya Institute of Technology
ゾーニングについてテストベッドにおけるゾーニング
13
タンク ,ヒータの機能不全
上部事象 に至るまでの時間を確保
上部事象 に至る状態を作る
タンク1内の液位Low
タンク1内の温度High
タンク1とタンク2の液位が異常であると気が付かない
タンク1とタンク2の温度が異常であると気が付かない
タンク1の流出弁を全開
ヒータのコントローラAuto→Manu
al
ヒータ出力をある一定の値以上にする
インターロック解除
タンク1の温度を正常で
あるかのように隠蔽
タンク1の温度を正常で
あるかのように隠蔽
T1iのHighアラームを 解
除・監視画面を表示しない
タンク1の目標設定値 を正常であるかのように隠蔽
タンク1の液位を正常であ
るかのように隠蔽
タンク2の液位を正常であ
るかのように隠蔽
L2iのHighアラームを 解
除・監視画面を表示しない
タンク1液位のLowアラームを解除・監視画面 を表示しない
タンク1水位コントロールを破綻
同時に攻撃されなければ発生確率 は低下
隠蔽されていても 事故に至るまでに異常に気づけば発生確率 は低下
タンク1の流入弁 を閉
じる
タンク1水位の設定値 を低く
Nagoya Institute of Technology
ゾーニングについてテストベッドにおけるゾーニング
14
• Tank1の液位コントロールとHeaterのコントロールを同時に操作されないような分割ができている。
• 異なるセキュリティ対策を各ゾーンに施すことによって、事故を引き起こすまでの時間を稼ぐことができる。
ゾーニングの一例
Nagoya Institute of Technology
ゾーニングについてゾーン設計支援ツール
▪ 大規模なプラントになればなるほど、人間の手でゾーン分割を求めることは困難になってくる。
▪ そこで、ゾーン設計をグラフィカルに行えるツールを開発された。ツールには以下の 2つの機能が備わっている。
① ゾーン分割設計評価 ユーザが指定したセンサ・アクチュエータのゾーンの振り分け方を
評価② ゾーン分割設計提案 センサ・アクチュエータの振り分け方を提案
15
Nagoya Institute of Technology
ゾーニングについてゾーン設計支援ツール
▪ モジュールライブラリから装置を選択・配置する
16
Nagoya Institute of Technology
ゾーニングについてゾーン設計支援ツール
▪ ゾーン分割設計提案例
17
Nagoya Institute of Technology
ゾーニングについてゾーニング手法のレビュー
▪ IEC62443 and Knapp 通信中の機能グループを分離する実用的なアプローチである。
▪ Prof. Hashimoto 機能的な完全性のクロスチェックに基づいて安全性とセキュリティを同時に実現する分析的なアプローチである。
▪ これらのアプローチはプラントの状況を固定して、制御システムの機能が限定されている時に有効である。
▪ 機能が限定されているゾーニングだからこそ、制御系ネットワークの通信経路も固定されている。
18
Nagoya Institute of Technology
ゾーニングについて制御システムの運転モード
▪ 制御システムは様々な運転モードを持っている Start-up, Load-change, Shutdown
▪ 各運転モードごとに様々なオペレーションが存在する パイプのフラッシュ , タンクに水を入れる , ポンプの起動 などなど・・・
▪ 各オペレーションによって、プラントの状況は変化していく バルブの開度 , タンクの水量 などなど・・・
▪ 運転モードに合わせて、制御システムやプラントのStateは様々に変更されなくてはいけない
19
Nagoya Institute of Technology
ゾーニングについて運転モードによる変化
▪ Start-upにおけるプラントの一部分の状態の変化を観察する。
20
H
L
Tank1
SP
V10
V11
V12
WR
WR
S8
LG1
PLC6
PLC1
LT1
PLC2
PLC5
PLC3
PLC4
SCADA
S7
PW
V・・・バルブS・・・水センサーLT・・・差圧計PW・・・水を供給するLG・・・水位計WR・・・ドレイン
Nagoya Institute of Technology
ゾーニングについて運転モードによる変化
▪ 各機器の状態は操作手順ごとに以下の表のように変化していく。
21
STATE PW V10 V11 V12 S7 S8 LT1 LG1 LevelTank1 WR1Flash WR2Flash1 0 0 0 0 0 0 0 0 00 0 02 1 0 0 0 0 0 0 1 01 0 0
2.5 1 0 0 0 0 0 0 1 10 0 03 0 0 0 0 0 0 0 1 10 0 04 0 0 0 1 0 0 0 1 10 0 05 0 0 0 1 0 1 0 1 01 1 06 0 0 0 0 0 0 0 1 01 1 07 1 0 0 0 0 0 0 1 01 1 0
7.5 1 0 0 0 0 0 0 1 10 1 08 0 0 0 0 0 0 0 1 10 1 09 0 0 1 0 0 0 0 1 10 1 0
10 0 0 1 0 0 0 0 1 01 1 011 1 0 1 0 0 0 1 1 01 1 0
11.5 1 0 1 0 0 0 1 1 10 1 012 0 0 1 0 0 0 1 1 10 1 013 0 1 1 0 0 0 1 1 01 1 014 0 1 1 0 1 0 1 1 01 1 115 0 0 1 0 0 0 1 1 01 1 116 1 0 1 0 0 0 1 1 01 1 1
16.5 1 0 1 0 0 0 1 1 10 1 117 0 0 1 0 0 0 1 1 10 1 118 0 0 1 1 0 0 1 1 01 1 119 0 0 1 1 0 1 1 0 01 1 120 0 1 1 1 0 1 0 0 00 1 121 0 1 1 1 0 1 0 0 00 1 122 0 1 1 1 0 0 0 0 00 1 1
0 1 1 1 0 0 0 0 00 1 1
Nagoya Institute of Technology
ゾーニングについて運転モードによる変化
▪ プラントにおいて、通信される部分とされない部分は以下の図のように変化する。
22
通信が不要なゾーン
通信が必要な経路
通信が不要な経路
通信が必要なゾーン
H
L
Tank1
SP
V10
V11
V12
WR
WR
S8
LG1
PLC6
PLC1
LT1
PLC2
PLC5
PLC3
PLC4
SCADA
S7
PWH
L
Tank1
SP
V10
V11
V12
WR
WR
S8
LG1
PLC6
PLC1
LT1
PLC2
PLC5
PLC3
PLC4
SCADA
S7
PWH
L
Tank1
SP
V10
V11
V12
WR
WR
S8
LG1
PLC6
PLC1
LT1
PLC2
PLC5
PLC3
PLC4
SCADA
S7
PW
H
L
Tank1
SP
V10
V11
V12
WR
WR
S8
LG1
PLC6
PLC1
LT1
PLC2
PLC5
PLC3
PLC4
SCADA
S7
PWH
L
Tank1
SP
V10
V11
V12
WR
WR
S8
LG1
PLC6
PLC1
LT1
PLC2
PLC5
PLC3
PLC4
SCADA
S7
PW
Nagoya Institute of Technology
ゾーニングについてゾーニングにおける課題
▪ 課題 1(Security & Safety) 運転モードごとにセキュリティ要件やセーフティ要件は、操作手順や制御システムの構造に基づいて定められなければならない。
▪ 課題 2(Minimum Communication links) 運転モードに応じて、必要な通信のみ行い、不要な通信は切断されなければならない。
▪ 課題 3(Tagout & Takeover) 各ゾーンを同時に攻撃されても、隔離をした上で安全にコントロールできなければならない。
23
Nagoya Institute of Technology
24
ゾーニングについて課題解決ための方策
▪ 運転モードに応じて、 動的にゾーニングを決定する
プラントから得られる情報に基づいて最適なゾーニングを求める
動的に通信経路を切り替える 侵入されていないゾーンにコントロールを切り替える 運転モードに応じて、不要な通信を切断する 最適なゾーニングに応じて、ネットワーク構成を切り替える
Nagoya Institute of Technology
動的ゾーニングOpenState Mechanism
▪ 運転モードに応じた、最適なゾーニングを決定するためには プラントの状況変化を監視する必要がある。
このプラントの一部の情報だけでも変数が 11 個あるため 2048通りの状況が存在することになる。
右図はプラント構造情報と操作プロセスから、通常状態で起こり得る状況のみに縮約したものである。
▪ 大量の情報を人間が扱うことは難しい。 状況変化を機械的に抽出し、
縮約する仕組みが必要となる。
25
STATE PW V10 V11 V12 S7 S8 LT1 LG1 LevelTank1 WR1Flash WR2Flash1 0 0 0 0 0 0 0 0 00 0 02 1 0 0 0 0 0 0 1 01 0 0
2.5 1 0 0 0 0 0 0 1 10 0 03 0 0 0 0 0 0 0 1 10 0 04 0 0 0 1 0 0 0 1 10 0 05 0 0 0 1 0 1 0 1 01 1 06 0 0 0 0 0 0 0 1 01 1 07 1 0 0 0 0 0 0 1 01 1 0
7.5 1 0 0 0 0 0 0 1 10 1 08 0 0 0 0 0 0 0 1 10 1 09 0 0 1 0 0 0 0 1 10 1 0
10 0 0 1 0 0 0 0 1 01 1 011 1 0 1 0 0 0 1 1 01 1 0
11.5 1 0 1 0 0 0 1 1 10 1 012 0 0 1 0 0 0 1 1 10 1 013 0 1 1 0 0 0 1 1 01 1 014 0 1 1 0 1 0 1 1 01 1 115 0 0 1 0 0 0 1 1 01 1 116 1 0 1 0 0 0 1 1 01 1 1
16.5 1 0 1 0 0 0 1 1 10 1 117 0 0 1 0 0 0 1 1 10 1 118 0 0 1 1 0 0 1 1 01 1 119 0 0 1 1 0 1 1 0 01 1 120 0 1 1 1 0 1 0 0 00 1 121 0 1 1 1 0 1 0 0 00 1 122 0 1 1 1 0 0 0 0 00 1 1
0 1 1 1 0 0 0 0 00 1 1
Nagoya Institute of Technology
動的ゾーニングOpenState Mechanism
▪ LSA(Latent Semantic Analysis) LSAは、文書群とそこに含まれる用語群について、それらに関連した概念の集合を生成することで、その関係を分析する技術である。
この概念空間は文書の比較 (クラスタリング )や用語間の関係 ( 類義性や多義性 )を探す場面に応用されてきた。
http://ja.wikipedia.org/wiki/%E6%BD%9C%E5%9C%A8%E6%84%8F%E5%91%B3%E8%A7%A3%E6%9E%90
26
LSA
Nagoya Institute of Technology
動的ゾーニングOpenState Mechanism
▪ LSA(Latent Semantic Analysis)による状況変化の縮約 LSAにおいて、プラントを構成する機器同士の構造式を文書群とし、
構成する機器を用語群とすることで分析を行う。
27
r(Tank2,Pipe1)=0.97r(Pipe4,V15)=-0.19
LSA
縮約
Nagoya Institute of Technology
28
動的経路切り替えOpenFlow Mechanism
▪ SDN(Software Defined Network) ネットワークの構成、機能、性能などをソフトウェアの操作
だけで動的に設定、変更できるネットワーク、あるいはそのためのコンセプトを指す。
コンセプトの実装事例の一つがOpenFlowである。
▪ OpenFlow OpenFlowではネットワークをコントロールすることができるプロトコルが定められており、どのようにコントロールするかは開発者のアプリケーション次第である。
簡単なハブスイッチやルータのアプリケーションは出回っているが、プラントの状況に合わせて通信経路を切り替えるアプリケーションは存在しない。
Nagoya Institute of Technology
動的経路切り替えOpenFlow Mechanism
▪ 運転モードに応じて、ネットワーク構成をコントロールするアプリケーションを開発する。 常時接続されるのではなく、必要な時のみ通信を行うことが可能になる。
通信が行われない状況を作り出すことで、攻撃者にとってはどのようなネットワークであるのかを把握することが困難になり、よりセキュアにすることができる。
運転モードに応じた最適なゾーニングがネットワーク構成を変更することで可能になる。
コントローラがどのゾーンに接続されるかが変わっていくため、攻撃者が事故を引き起こすことがより困難になり、よりセーフティにすることができる。
29
Nagoya Institute of Technology
動的経路切り替えOpenFlow Mechanismのプロトタイプ
▪ RaspberryPiと呼ばれる小型ボードと USB-LANアダプタを組み合わせることで、 OpenFlow Controllerと Switchを実装し、 Switchに接続される端末同士の通信経路を動的に切り替えることができるアプリケーションを開発した。
30
OPC-コントローラ間やゾーン間の通信を自在にコントロールすることが可能になった。
OPC へ接続
PLC へ接続
OpenFlow Controller
+OpenFlow Switch
Nagoya Institute of Technology
まとめ
▪ これまでは「空間上」でのゾーニングを行ってきた。 IEC62443 and Knappによる Secure Enclaves
Prof. Hashimotoによるゾーニング手法
▪ 新たに動的ゾーニング手法を提案した。 この手法は「時間軸上」でのゾーニングを行う。 時間軸上でのゾーニングは制御システムにおいては特に有効であると考える。
制御システムやプラントでは、人間が直接制御するのではなく、機械が制御している世界であるからこそ、一定時間で状況が変化していくことを把握しやすい。
「時間軸上」で制御系システムが変化していくことによって、攻撃者にとっては状況を把握することが難しくなる。
31
Nagoya Institute of Technology
Thank you.
32
