Kraftsamling 2015 IT-säkerhetsdemonstration. Angrepp mot en anläggning

Relevanta dokument
EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

SurfinBird IX78 kopplad till PBX och kundens egen brandvägg

FÖRHINDRA DATORINTRÅNG!

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS

LULEÅ KOMMUN DELRAPPORT 1 (7) Barn- & utbildningsförvaltningen DELRAPPORT IT

IT-säkerhet. Vårdval Fysioterapi Joakim Bengtzon IT-säkerhetsansvarig Landstings IT Tel:

FJÄRRKOMMUNIKATION 3G

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Handbok Fjärranslutning till skrivbord. Brad Hards Urs Wolfer Översättare: Stefan Asserhäll

Datorer finns överallt, men kan man lita på dem?

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

tclogin.com Service Desk Tillgång till TeleComputing TCAnyWare

Granskning av IT-säkerhet - svar

Collectric Min El Manual för Användare

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Helmholz Wall-IE. Supportdokument

ISA Informationssäkerhetsavdelningen

seminarier& våren 2008 utbildningar

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

RISKHANTERING FÖR SCADA

Felsökningsguide Scoutguard

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Varje dag säkras 3 miljoner svenskars vattenförsörjning med Linux

IT-säkerhet Internt intrångstest

Snabbguide trådlös router

Säkra trådlösa nät - praktiska råd och erfarenheter

Polisens incidenthantering

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

Översikt Banstyrning v. 0.5 Sida 1 av 6

CLOUDair. Det enklaste sättet att få kontroll över dina installationer

Handbok Remote Access TBRA

En felsökningsguide för rcloud Office tjänsterna och lite manualer.

Handbok Dela Skrivbord. Brad Hards Översättare: Stefan Asserhäll

Allt du behöver veta för att koppla in din trådlösa router!

Felsökningsguide Bolyguard

Policy för informationssäkerhet

Locum AB. Anders Gidrup säkerhetschef Locum AB

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

Access till Centrum För Affärssystems Virtuella Affärssystemspark.

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

Säkerhet vid konvergens av nät

Spam ur ett myndighetsperspektiv vilka åtgärder är tillåtna? Johan Bålman Verksjurist

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Winternet Ett svenskt inititativ för avancerad Internetforskning. Grand Finale workshop IVA, Stockholm 18 augusti 2005

Internet ombord på våra tåg

Dovado Tiny - installationsguide

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

HANTERA DIN PROFIL I

Manual Trådlös router

Inlämningsuppgift 11e Nätvärksskrivare

Planering och RA/DHCPv6 i detalj

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

DATA CIRKEL VÅREN 2014

Gör en egen webbplats

skriva ut för alla Enkelt att

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Vulnerability Assessment Tjänstebeskrivning

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Handbok Dela Skrivbord. Brad Hards Översättare: Stefan Asserhäll

Fast internet. Installationshandbok 5 enkla steg för att komma igång

Introduktion till git

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Allt om datalogging och datakommunikation!

Så här enkelt kommer du igång med dina tjänster.

VAD VI SKA KIKA PÅ.. Tekniska verktyg Opponering

Att Säkra Internet Backbone

Svensk Standard SS ISO/IEC SS

Raycore RC-CP9. Inkopplingsinstruktion

Lägga in ett protokoll i en Dokumentlista i SharePoint

Generell IT-säkerhet

ipad och VNC Viewer KI*****

Kort om World Wide Web (webben)

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Instruktion: Trådlöst nätverk för privata enheter

Internet OMBORD PÅ VÅRA TÅG

Konfiguration av LUPP synkronisering

1 Systemkrav avantraupphandling

IPv6. MarkCheck. Maj 2012

Din guide till en säkrare kommunikation

Kom igång med din öppna fiber!

DGC IT Manual Citrix Desktop - Fjärrskrivbord

Visma.net Approval. Versionsbrev

Allt du behöver veta för att koppla in din trådlösa router! Technicolor TG389

Palo Alto Networks. 10 saker din brandvägg måste klara av (För annars är det inte en riktig brandvägg)

Har nu fått mitt första större projekt att programmera men känner att vissa funktioner har jag inte riktigt koll på.

Revu handledning: Spara markeringsverktyg i Verktygslådan

Konfiguration av synkronisering fo r MSB RIB Lupp

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Granskning av räddningstjänstens ITverksamhet

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

snabbmanual för installation av trådlöst bredband och telefoni

KARLSBORGS ENERGI AB ADSL INSTALLATIONSHANDBOK REV

Transkript:

1 Kraftsamling 2015 IT-säkerhetsdemonstration Angrepp mot en anläggning

2 Upplägg > Kort historisk exposé > Förklaring av scenario > Demonstration > Sammanfattning av demonstration och lärdommar > Översikt skydd > Kort kommentar om angrepp och hot > Sammanfattning

3 Vi börjar med ett återbesök Kraftsamling 2014

4

Scenario 2015 Fokus är mot Femhärads el, ockå känt som fel.se Huvudperson är Evelina, den elaka angriparen Biroll spelas av driftschef Lars Larsson. IT-chef Inga Svensson är omedveten statist

Scenario 2015 Angreppet kommer bli en s.k. spearphising-attack Ett riktat e-postbrev till en given person personen luras att göra något, som uppfattas som ofarligt

Utrustning (1/2) 4 Laptops, som är en minivariant av internet + företag 1 Angripare från Internet + Presentation 1 Kontorsarbetsplats, FEL 1 Operatörsarbetsplats, Driftcentral FEL 1 Engineering workstation, Driftcentral FEL PLC + lokal styrpanel Fysisk utrustning som styrs: Dammlucka, Turbin och generator

Utrustning (2/2) Nätverk Brandvägg Routers Switchar Nätverkskameror

Tjänster Tjänster Fel.se extern webb, intern webb, mail, tidssynk, etc Internetsimulator Root-DNS gmail.com www.svk.se energisäkerhetsportalen.se specialistrekrytering.se

Femhärads El, IT-miljö Internet WWW www.fel.se SCADA-nät 10.10.10-nätet Brandvägg Femhärads företagsnät 192.168.1 Router Säkerhets-nät 10.10.20-nätet Kontorsarbetsplatser WWW intranet.fel.se

HMI SCADA-nät 10.10.10-nätet 10.10.10.20/24 Panel Lokal styrning 10.10.10.30/24 10.10.10.10/24 PLC

Angrip Lars dator + studsa vidare mot SCADA Infektera webbplats Operatörsarbetsplats Skicka e-post till lars@fel.se Infektera Samla information Lars dator om offer att angripa FRÅN inga.svensson@fel.se TILL lars@fel.se inga.svensson@fel.se lars@fel.se Surfa till specialistrekrytering.se Samla information om interna strukturer

Angrepp, variant 1 Angrepp mot operatörsdatorns fjärrskrivbord

Analys angrepp 1 En angripare kan lätt - utan att i detalj förstå fysisk process eller ICS-system - manipulera en automationslösning, då man bara ändrar i de grafiska inställningarna Operatören skulle lätt bli misstänksam om datorn uppträdde konstigt eller fjärrstyrt

Angrepp, variant 2 tunnlat angrepp via kontorsdatorn Lars dator vidarebefodrar PROFINETkommandon

HMI SCADA-nät 10.10.10-nätet 10.10.10.20/24 Panel Lokal styrning 10.10.10.30/24 10.10.10.10/24 PLC

Analys angrepp 2 Operatören gränssnitt visar viss driftstatus som skiljer sig från verkligheten Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning

HMI SCADA-nät 10.10.10-nätet 10.10.10.20/24 Panel Lokal styrning 10.10.10.30/24 10.10.10.10/24 PLC

Analys angrepp 3 Vad händer om någon slår ut lokal HMI-panel, så den är låst, SAMTIDIGT som operatörs-pc är utslagen och serverdelar ändrade? Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning

Engineering workstation 10.10.10.40/24 SCADA-nät 10.10.10-nätet 10.10.10.20/24 HMI 10.10.10.30/24 10.10.10.10/24

Engineering workstation 10.10.10.40/24 SCADA-nät 10.10.10-nätet 10.10.10.20/24 HMI 10.10.10.30/24? 10.10.10.10/24

Analys angrepp 4 Någon modifierar steglogik/plc-programmet i själva Engineering Workstation Remote desktop nattetid? Uppladdade färdiga binärer? Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning

Lärdomar att ta med sig Det är lätt att förfalska mail Det går att bli angripen genom att klicka på en enda länk Angreppet i exemplet sker med omedveten hjälp inifrån Åsidosätter en massa skyddsmekanismer

Lärdomar att ta med sig Angreppen gjordes mestadels med standardverktyg Kali Linux, metasploit Angrepp mot servrar eller Engineering Workstation hade kunnat resultera i dolda permanenta förändringar

Olika skydd Tekniska skydd IT-säkerhetsarkitektur Intern uppdelning av nätverket i separata delar, som vart är skyddat i sig själv Existerande och snabba rutiner för att lägga på patchar Inte direkt eller indirekt exponera gamla programvaruversioner mot Internet

Olika skydd Administrativa skydd Ha styrdokument i ordning Göra ordentliga riskanalyser, förstå moderna hot Kraftsamling - Informera och utbilda om hot, risker och säkerhet

Skydd IT-säkerhet (1/2) Delprojekt 2015 Ta fram säkerhetskomponenter som kan användas av elbolag Nätverksbaserade IT-säkerhetsövervakningsnoder Loggservrar Brandväggar Baserade på öppen källkod (FOSS), dvs fritt tillgängliga

Skydd IT-säkerhet (2/2) Skall integreras med demonstratorn, så att även skydd förevisas Är tänkt att användas av elbolag sin inte har budget, resurser, kunnande eller ideer hur man skall utforma sina skydd

Sammanfattning Visat en vanlig IT-miljö på ett elbolag Visat på ett av de idag vanligaste intrångs-sätten Visat varianter på angrepp när väl intrånget skett Värre angrepp än de vi visat idag går att göra Angrepp sker i verkligheten, som en del av akademisk forskning, industriforskning mm. Nya hot uppstår kontinuerligt Det finns en massa insatser och åtgärder att göra baserat på vägledningar och tekniska skydd, administrativa rutiner mm