Next Generation Network Security Platform for SCADA and Industrial
Transcripción
Next Generation Network Security Platform for SCADA and Industrial
Next Generation Network Security Platform for SCADA and Industrial Control Systems Octubre 2013 Retos a superar en la gestión de la seguridad Segmentación de la red Visión y Control del tráfico Riesgos asociados a la convergencia IT/OT Enterprise Zone Conduit IT Plant Zone Control Zone Conduit Gestión de los riesgos asociados a la exposición de los datos OT Retos típicos que aparecen en cualquier entorno de control Malware & APTs Exploits Parque de sistemas obsoleto Remote Access CIP Standards CFATS Cumplimiento de normativas y legislación Incremento de amenazas Necesidad de abordar todo lo anterior sin afectar al productivo 2 | ©2013, Palo Alto Networks. Confidential and Proprietary. Como ayudamos a resolver los retos 1 Zone 1 IT Network Segmentación con visibilidad y control Zone 2 OT Network Zone 3 Remote/ 3rd Party Access Zone 4 • Visibilidad tanto del tráfico interno como de los accesos remotos • Librería de aplicaciones SCADA y modelado de propietarias • Gestión de conductas positivas 2 Protección de amenazas nativa • Técnicas de protección frente a amenazas de ciclo combinado • Protección a los sistemas sin parches de seguridad • Librería de vulnerabilidades conocidas de sistemas de control 3 OT Admin Enterprise FW Control Center FW APTs / C&C OT Network Unknown OT Admin • Fácil de gestionar, administrar y personalizar • Catálogo de informes para cumplimiento de normativas y análisis forenses Remote Station FW Nuestro sistema de seguridad de nueva y alto rendimiento protege los sistemas de control y los mantiene en funcionamiento 3 | ©2013, Palo Alto Networks. Confidential and Proprietary. File/Content Gestión centralizada y reporting Central Management IT Admin Known Malware La necesidad de una mejor segmentación OPC SCADA Historian 3rd Party Support / Service Provider Enterprise Network HMI / SCADA Client Workstation PLC / RTU / IED Centro de Conrol Exposición tanto a la red corporativa como a las empresas proveedoras de servicios Intra-OT Subestación / Estación Remota Perímetro SIS Los niveles de riesgo y los requisitos de seguridad varían en función del sistema y del grado de madurez Visibilidad del tráfico Intra-OT (las amenazas no vienen sólo de Internet) Se deben crear zonas y definir las conductas que permitan el tráfico entre ellas 4 | ©2013, Palo Alto Networks. Confidential and Proprietary. Segmentación con Palo Alto Networks OPC Server Zone SCADA Remote / Support Zone Historian Enterprise Zone 3rd Party Support / Service Provider Process Zone User Zone Enterprise Network HMI / SCADA Client Workstation Control Center PLC / RTU / IED SIS Substation / Remote Station Definir zonas de seguridad y políticas que determinen conductas permitidas entre cada pareja de zonas Sin necesidad de realizar una reingeniería de la red Layer 3, Layer 2, Layer 1, VLAN, VPN 5 | ©2013, Palo Alto Networks. Confidential and Proprietary. Arquitectura SP3 de propósito específico Un único análisis Múltiples aplicaciones sobre cada paquete Identificación de aplicación Identificación de usuario Escaneo de contenidos Una única política de control Soporte de alta disponibilidad Control del ancho de banda Hardware Paralelizado Planos de control (reporting) y procesado idependientes Procesadores dedicados Diseñados para sistemas de control de tiempo real y baja latencia Librería de aplicaciones SCADA / ICS Protocol / Application Protocol / Application Protocol / Application Modbus base ICCP (IEC 60870-6 / TASE.2) CIP Ethernet/IP Modbus function control Cygnet Synchrophasor (IEEE C.37.118) Supported today DNP3 Elcom 90 Foundation Fieldbus In progress IEC 60870-5-104 base FactoryLink Profinet IO (CM) IEC 60870-5-104 function control MQTT OPC (UA) OSIsoft PI Systems Control sobre más de 1700 aplicaciones con soporte de específicas para SCADA/ICS 7 | ©2013, Palo Alto Networks. Confidential and Proprietary. Ejemplo de aplicación reconocida Function Control Variants (15 total) Applipedia entry for Modbus-base App-ID Modbus-base Modbus-write-multiple-coils Modbus-write-file-record Modbus-read-write-register Modbus-write-single-coil Modbus-write-single-register Modbus-write-multiple-registers Modbus-read-input-registers Modbus-encapsulated-transport Modbus-read-coils Modbus-read-discrete-inputs Modbus-mask-write-registers Modbus-read-fifo-queue Modbus-read-file-record Modbus-read-holding-registers Beneficio: Visibilidad y control del uso de los aplicativos • • Ej.1: El analista del centro de control puede leer datos del PLC pero no modificarlos Ej.2: El Ingeniero de PLCs tiene acceso a todas las funciones de Modbus 8 | ©2013, Palo Alto Networks. Confidential and Proprietary. User-ID: Múltiples maneras de identificar al usuario 9 Políticas aplicadas a usuarios o a grupos Tendencias en el acceso remoto Usuarios tanto internos como externos accediendo remotamente Empresas de servicio Teletrabajo Incremento en el uso de tecnologías de acceso remoto Terminal Services FTP SSH Telnet La Cyberseguridad en la agendas de todos los centros de control Control por usuarios garantiza los comportamientos Monitoring (KPI, Alarms, Analytics) & Maintenance Field operator/analyst 10 | ©2013, Palo Alto Networks. Confidential and Proprietary. 3rd party support Ejemplo User-ID: Acceso por Terminal Services Terminal Server (Single IP Address) Taylor, Richard (Internal employee) SSL RDP Application: Sharepoint User: Unknown To SCADA / Control Network VPN Router/FW SSL RDP Application: OSIsoft PI User: Unknown Smith, John (3rd Party) Motivación: Los sistemas de control suelen requerir del mantenimiento continuado por parte de empresas especializadas Objetivo Garantizar que se podrán aplicar políticas diferenciadas a cada uno de los usuarios del servidor de Terminal Services 11 | ©2013, Palo Alto Networks. Confidential and Proprietary. Ejemplo User-ID: Agente TS Palo Alto Networks Terminal Server (Single IP Address) Taylor, Richard (Internal employee) SSL RDP Terminal Services Agent Application: Sharepoint User: Taylor, Richard Port range: 1025-2048 To SCADA / Control Network VPN Router/FW SSL PA Firewall RDP Application: OSISoft PI User: Smith, John Port range: 2049-3073 Smith, John (3rd Party) Terminal Services Agent Asigna rangos de puertos a los diferentes usuarios Ahra ya podemos discriminar y aplicar políticas diferenciadas Beneficios Mejora la visibilidad de la actividad producida por el servidor de Terminal Services Permite control granular de conductas incluso para acesos compartidos 12 | ©2013, Palo Alto Networks. Confidential and Proprietary. Los sistemas SCADA también son vulnerables Multiple Vectors for Exploitation OPC Server (CVE-2011-1914) Historian Server (CVE-2012-2516) Internet / Support Network Removable Media Example CVE numbers for different types of SCADA/ICS system components Portable Computing PLC / RTU / IED (CVE-2010-2772) SCADA Master / HMI (CVE-2012-0233) Muchos sistemas se mantienen sin aplicar parches de seguridad “Si no falla no lo toques” Múltiples vectores de propagación de exploits (no sólo Internet) Malware dirigido como amenaza creciente 13 | ©2013, Palo Alto Networks. Confidential and Proprietary. La lección de “Stuxnet” El Antivirus Tradicional ya no aporta seguridad El malware moderno implementa técnicas para: - Evitar manifestarse en los “HoneyPots” (AntiVirus) - Usa polimorfismo o cifrado para no exponer el contenido malicioso ☣ Malware dirigido ☣ Malware polimórfoco ☣ Nuevas instancias de malware ¡Escudo de protección comprometido! 14 | ©2013, Palo Alto Networks. Confidential and Proprietary. WildFire: SandBoxing para protección “Zero-Day” • Escaneado de ficheros de alto rendimiento • Todo el tráfico, en todos los puertos, en todo momento 15 | ©2013, Palo Alto Networks. Confidential and Proprietary. • Ejecución en entorno controlado con libertad de acción • Actualizaciones del “sandbox” sin afectación del cliente • Control de Malware OnLine que garantiza protección EAL4+ Certification Palo Alto Networks firewalls have achieved Common Criteria certification at Evaluation Assurance Level 4+ (EAL4+) The highest level of globally recognized certification for the firewall category Expands Palo Alto Networks growing list of technical credentials Includes recognition by ICSA Labs (Network firewall certification), Telcordia (NEBS) and NIST (FIPS 140-2), among others. 16 | ©2013, Palo Alto Networks. Confidential and Proprietary. ¿Qué aplicaciones tiene su red de control? Aplicaciones encontradas en evaluaciones de Palo Alto Networks realizadas en redes de control Cloud storage Peer-to-peer file sharing (Known vulnerabilities) Web-based distributed authoring & versioning (May carry DLLs that could be use for exploits) ¿Deberían estar estas aplicaciones en la red de control? ¿Quien las consume? ¿Que vulnerabilidades manifiestan? Posibilidad de realizar una prueba de concepto (PoC) gratuita con generación de informe de visibilidad y análisis de riesgos 17 | ©2013, Palo Alto Networks. Confidential and Proprietary. 18 | ©2013, Palo Alto Networks. Confidential and Proprietary.