1 Kraftsamling 2015 IT-säkerhetsdemonstration Angrepp mot en anläggning
2 Upplägg > Kort historisk exposé > Förklaring av scenario > Demonstration > Sammanfattning av demonstration och lärdommar > Översikt skydd > Kort kommentar om angrepp och hot > Sammanfattning
3 Vi börjar med ett återbesök Kraftsamling 2014
4
Scenario 2015 Fokus är mot Femhärads el, ockå känt som fel.se Huvudperson är Evelina, den elaka angriparen Biroll spelas av driftschef Lars Larsson. IT-chef Inga Svensson är omedveten statist
Scenario 2015 Angreppet kommer bli en s.k. spearphising-attack Ett riktat e-postbrev till en given person personen luras att göra något, som uppfattas som ofarligt
Utrustning (1/2) 4 Laptops, som är en minivariant av internet + företag 1 Angripare från Internet + Presentation 1 Kontorsarbetsplats, FEL 1 Operatörsarbetsplats, Driftcentral FEL 1 Engineering workstation, Driftcentral FEL PLC + lokal styrpanel Fysisk utrustning som styrs: Dammlucka, Turbin och generator
Utrustning (2/2) Nätverk Brandvägg Routers Switchar Nätverkskameror
Tjänster Tjänster Fel.se extern webb, intern webb, mail, tidssynk, etc Internetsimulator Root-DNS gmail.com www.svk.se energisäkerhetsportalen.se specialistrekrytering.se
Femhärads El, IT-miljö Internet WWW www.fel.se SCADA-nät 10.10.10-nätet Brandvägg Femhärads företagsnät 192.168.1 Router Säkerhets-nät 10.10.20-nätet Kontorsarbetsplatser WWW intranet.fel.se
HMI SCADA-nät 10.10.10-nätet 10.10.10.20/24 Panel Lokal styrning 10.10.10.30/24 10.10.10.10/24 PLC
Angrip Lars dator + studsa vidare mot SCADA Infektera webbplats Operatörsarbetsplats Skicka e-post till lars@fel.se Infektera Samla information Lars dator om offer att angripa FRÅN inga.svensson@fel.se TILL lars@fel.se inga.svensson@fel.se lars@fel.se Surfa till specialistrekrytering.se Samla information om interna strukturer
Angrepp, variant 1 Angrepp mot operatörsdatorns fjärrskrivbord
Analys angrepp 1 En angripare kan lätt - utan att i detalj förstå fysisk process eller ICS-system - manipulera en automationslösning, då man bara ändrar i de grafiska inställningarna Operatören skulle lätt bli misstänksam om datorn uppträdde konstigt eller fjärrstyrt
Angrepp, variant 2 tunnlat angrepp via kontorsdatorn Lars dator vidarebefodrar PROFINETkommandon
HMI SCADA-nät 10.10.10-nätet 10.10.10.20/24 Panel Lokal styrning 10.10.10.30/24 10.10.10.10/24 PLC
Analys angrepp 2 Operatören gränssnitt visar viss driftstatus som skiljer sig från verkligheten Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning
HMI SCADA-nät 10.10.10-nätet 10.10.10.20/24 Panel Lokal styrning 10.10.10.30/24 10.10.10.10/24 PLC
Analys angrepp 3 Vad händer om någon slår ut lokal HMI-panel, så den är låst, SAMTIDIGT som operatörs-pc är utslagen och serverdelar ändrade? Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning
Engineering workstation 10.10.10.40/24 SCADA-nät 10.10.10-nätet 10.10.10.20/24 HMI 10.10.10.30/24 10.10.10.10/24
Engineering workstation 10.10.10.40/24 SCADA-nät 10.10.10-nätet 10.10.10.20/24 HMI 10.10.10.30/24? 10.10.10.10/24
Analys angrepp 4 Någon modifierar steglogik/plc-programmet i själva Engineering Workstation Remote desktop nattetid? Uppladdade färdiga binärer? Angreppet är svårare - angriparen måste förstå ICS-system och hur PLC är uppsatt för att framgångsrikt lyckas manipulera en automationslösning
Lärdomar att ta med sig Det är lätt att förfalska mail Det går att bli angripen genom att klicka på en enda länk Angreppet i exemplet sker med omedveten hjälp inifrån Åsidosätter en massa skyddsmekanismer
Lärdomar att ta med sig Angreppen gjordes mestadels med standardverktyg Kali Linux, metasploit Angrepp mot servrar eller Engineering Workstation hade kunnat resultera i dolda permanenta förändringar
Olika skydd Tekniska skydd IT-säkerhetsarkitektur Intern uppdelning av nätverket i separata delar, som vart är skyddat i sig själv Existerande och snabba rutiner för att lägga på patchar Inte direkt eller indirekt exponera gamla programvaruversioner mot Internet
Olika skydd Administrativa skydd Ha styrdokument i ordning Göra ordentliga riskanalyser, förstå moderna hot Kraftsamling - Informera och utbilda om hot, risker och säkerhet
Skydd IT-säkerhet (1/2) Delprojekt 2015 Ta fram säkerhetskomponenter som kan användas av elbolag Nätverksbaserade IT-säkerhetsövervakningsnoder Loggservrar Brandväggar Baserade på öppen källkod (FOSS), dvs fritt tillgängliga
Skydd IT-säkerhet (2/2) Skall integreras med demonstratorn, så att även skydd förevisas Är tänkt att användas av elbolag sin inte har budget, resurser, kunnande eller ideer hur man skall utforma sina skydd
Sammanfattning Visat en vanlig IT-miljö på ett elbolag Visat på ett av de idag vanligaste intrångs-sätten Visat varianter på angrepp när väl intrånget skett Värre angrepp än de vi visat idag går att göra Angrepp sker i verkligheten, som en del av akademisk forskning, industriforskning mm. Nya hot uppstår kontinuerligt Det finns en massa insatser och åtgärder att göra baserat på vägledningar och tekniska skydd, administrativa rutiner mm