Kraftsamling 2015 IT-säkerhetsdemonstration. Angrepp mot en anläggning

Transkript

1 1 Kraftsamling 2015 IT-säkerhetsdemonstration Angrepp mot en anläggning

2 2 Upplägg > Kort historisk exposé > Förklaring av scenario > Demonstration > Sammanfattning av demonstration och lärdommar > Översikt skydd > Kort kommentar om angrepp och hot > Sammanfattning

3 3 Vi börjar med ett återbesök Kraftsamling 2014

4 4

5 Scenario 2015 Fokus är mot Femhärads el, ockå känt som fel.se Huvudperson är Evelina, den elaka angriparen Biroll spelas av driftschef Lars Larsson. IT-chef Inga Svensson är omedveten statist

6 Scenario 2015 Angreppet kommer bli en s.k. spearphising-attack Ett riktat e-postbrev till en given person personen luras att göra något, som uppfattas som ofarligt

7 Utrustning (1/2) 4 Laptops, som är en minivariant av internet + företag 1 Angripare från Internet + Presentation 1 Kontorsarbetsplats, FEL 1 Operatörsarbetsplats, Driftcentral FEL 1 Engineering workstation, Driftcentral FEL PLC + lokal styrpanel Fysisk utrustning som styrs: Dammlucka, Turbin och generator

8 Utrustning (2/2) Nätverk Brandvägg Routers Switchar Nätverkskameror

9 Tjänster Tjänster Fel.se extern webb, intern webb, mail, tidssynk, etc Internetsimulator Root-DNS gmail.com energisäkerhetsportalen.se specialistrekrytering.se

10

11 Femhärads El, IT-miljö Internet WWW SCADA-nät nätet Brandvägg Femhärads företagsnät Router Säkerhets-nät nätet Kontorsarbetsplatser WWW intranet.fel.se

12 HMI SCADA-nät nätet /24 Panel Lokal styrning / /24 PLC

13 Angrip Lars dator + studsa vidare mot SCADA Infektera webbplats Operatörsarbetsplats Skicka e-post till lars@fel.se Infektera Samla information Lars dator om offer att angripa FRÅN inga.svensson@fel.se TILL lars@fel.se inga.svensson@fel.se lars@fel.se Surfa till specialistrekrytering.se Samla information om interna strukturer

14 Angrepp, variant 1 Angrepp mot operatörsdatorns fjärrskrivbord

15 Analys angrepp 1 En angripare kan lätt - utan att i detalj förstå fysisk process eller ICS-system - manipulera en automationslösning, då man bara ändrar i de grafiska inställningarna Operatören skulle lätt bli misstänksam om datorn uppträdde konstigt eller fjärrstyrt

16 Angrepp, variant 2 tunnlat angrepp via kontorsdatorn Lars dator vidarebefodrar PROFINETkommandon

17 HMI SCADA-nät nätet /24 Panel Lokal styrning / /24 PLC

18 Analys angrepp 2 Operatören gränssnitt visar viss driftstatus som skiljer sig från verkligheten Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning

19 HMI SCADA-nät nätet /24 Panel Lokal styrning / /24 PLC

20 Analys angrepp 3 Vad händer om någon slår ut lokal HMI-panel, så den är låst, SAMTIDIGT som operatörs-pc är utslagen och serverdelar ändrade? Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning

21 Engineering workstation /24 SCADA-nät nätet /24 HMI / /24

22

23 Engineering workstation /24 SCADA-nät nätet /24 HMI /24? /24

24 Analys angrepp 4 Någon modifierar steglogik/plc-programmet i själva Engineering Workstation Remote desktop nattetid? Uppladdade färdiga binärer? Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning

25 Lärdomar att ta med sig Det är lätt att förfalska mail Det går att bli angripen genom att klicka på en enda länk Angreppet i exemplet sker med omedveten hjälp inifrån Åsidosätter en massa skyddsmekanismer

26 Lärdomar att ta med sig Angreppen gjordes mestadels med standardverktyg Kali Linux, metasploit Angrepp mot servrar eller Engineering Workstation hade kunnat resultera i dolda permanenta förändringar

27 Olika skydd Tekniska skydd IT-säkerhetsarkitektur Intern uppdelning av nätverket i separata delar, som vart är skyddat i sig själv Existerande och snabba rutiner för att lägga på patchar Inte direkt eller indirekt exponera gamla programvaruversioner mot Internet

28 Olika skydd Administrativa skydd Ha styrdokument i ordning Göra ordentliga riskanalyser, förstå moderna hot Kraftsamling - Informera och utbilda om hot, risker och säkerhet

29

30

31 Skydd IT-säkerhet (1/2) Delprojekt 2015 Ta fram säkerhetskomponenter som kan användas av elbolag Nätverksbaserade IT-säkerhetsövervakningsnoder Loggservrar Brandväggar Baserade på öppen källkod (FOSS), dvs fritt tillgängliga

32 Skydd IT-säkerhet (2/2) Skall integreras med demonstratorn, så att även skydd förevisas Är tänkt att användas av elbolag sin inte har budget, resurser, kunnande eller ideer hur man skall utforma sina skydd

33

34

35 Sammanfattning Visat en vanlig IT-miljö på ett elbolag Visat på ett av de idag vanligaste intrångs-sätten Visat varianter på angrepp när väl intrånget skett Värre angrepp än de vi visat idag går att göra Angrepp sker i verkligheten, som en del av akademisk forskning, industriforskning mm. Nya hot uppstår kontinuerligt Det finns en massa insatser och åtgärder att göra baserat på vägledningar och tekniska skydd, administrativa rutiner mm