Next Generation Network Security Platform for SCADA and Industrial

Transcripción

Next Generation Network Security Platform
for SCADA and Industrial Control Systems
Octubre 2013
Retos a superar en la gestión de la seguridad
Segmentación de la red
Visión y Control del tráfico
Riesgos asociados a la
convergencia IT/OT
Enterprise
Zone
Conduit
IT
Plant
Zone
Control
Zone
Conduit
Gestión de los riesgos
asociados a la exposición
de los datos
OT
Retos típicos que
aparecen en
cualquier entorno
de control
Malware & APTs
Exploits
Parque de sistemas obsoleto
Remote Access
CIP
Standards
CFATS
Cumplimiento de normativas y
legislación
Incremento de amenazas
Necesidad de abordar todo lo anterior sin afectar al productivo
2 | ©2013, Palo Alto Networks. Confidential and Proprietary.
Como ayudamos a resolver los retos
1
Zone 1
IT Network
Segmentación con visibilidad y control
Zone 2
OT Network
Zone 3
Remote/
3rd Party
Access
Zone 4
•
Visibilidad tanto del tráfico interno como de los accesos
remotos
•
Librería de aplicaciones SCADA y modelado de propietarias
•
Gestión de conductas positivas
2 Protección de amenazas nativa
•
Técnicas de protección frente a amenazas de ciclo combinado
•
Protección a los sistemas sin parches de seguridad
•
Librería de vulnerabilidades conocidas de sistemas de control
3
OT Admin
Enterprise FW
Control Center FW
APTs / C&C
OT Network
Unknown
OT Admin
•
Fácil de gestionar, administrar y personalizar
•
Catálogo de informes para cumplimiento de normativas
y análisis forenses
Remote Station
FW
Nuestro sistema de seguridad de nueva y alto rendimiento protege los
sistemas de control y los mantiene en funcionamiento
File/Content
Gestión centralizada y reporting
Central Management
IT
Admin
Known Malware
La necesidad de una mejor segmentación
OPC
SCADA
Historian
3rd Party Support / Service Provider
Enterprise Network
HMI / SCADA Client
Workstation
PLC / RTU / IED
Centro de Conrol

Exposición tanto a la red corporativa como a las empresas proveedoras de servicios
Intra-OT



Subestación / Estación Remota
Perímetro


SIS
Los niveles de riesgo y los requisitos de seguridad varían en función del sistema y del grado de madurez
Visibilidad del tráfico Intra-OT (las amenazas no vienen sólo de Internet)
Se deben crear zonas y definir las conductas que permitan el tráfico entre ellas
Segmentación con Palo Alto Networks
OPC
Server Zone
SCADA
Remote / Support Zone
Historian
Enterprise Zone
3rd Party Support / Service Provider
Process Zone
User Zone
Enterprise Network
HMI / SCADA Client
Workstation
Control Center
PLC / RTU / IED
SIS
Substation / Remote Station

Definir zonas de seguridad y políticas que determinen conductas permitidas entre cada pareja de
zonas

Sin necesidad de realizar una reingeniería de la red

Layer 3, Layer 2, Layer 1, VLAN, VPN
Arquitectura SP3 de propósito específico

Un único análisis
 Múltiples aplicaciones sobre
cada paquete
 Identificación de aplicación
 Identificación de usuario
 Escaneo de contenidos
 Una única política de control
 Soporte de alta
disponibilidad
 Control del ancho de banda

Hardware Paralelizado
 Planos de control (reporting)
y procesado idependientes
 Procesadores dedicados
Diseñados para sistemas de control de tiempo real y baja latencia
Librería de aplicaciones SCADA / ICS
Protocol / Application
 Modbus base
 ICCP (IEC 60870-6 / TASE.2)
 CIP Ethernet/IP
 Modbus function control
 Cygnet
 Synchrophasor (IEEE C.37.118)
 Supported today
 DNP3
 Elcom 90
 Foundation Fieldbus
 In progress
 IEC 60870-5-104 base
 FactoryLink
 Profinet IO (CM)
 IEC 60870-5-104 function control
 MQTT
 OPC (UA)
 OSIsoft PI Systems
Control sobre más de 1700 aplicaciones con soporte de específicas para SCADA/ICS
Ejemplo de aplicación reconocida
Function Control Variants (15 total)
Applipedia entry for Modbus-base App-ID
Modbus-base
Modbus-write-multiple-coils
Modbus-write-file-record
Modbus-read-write-register
Modbus-write-single-coil
Modbus-write-single-register
Modbus-write-multiple-registers
Modbus-read-input-registers
Modbus-encapsulated-transport
Modbus-read-coils
Modbus-read-discrete-inputs
Modbus-mask-write-registers
Modbus-read-fifo-queue
Modbus-read-file-record
Modbus-read-holding-registers
Beneficio: Visibilidad y control del uso de los aplicativos
•
•
Ej.1: El analista del centro de control puede leer datos del PLC pero no modificarlos
Ej.2: El Ingeniero de PLCs tiene acceso a todas las funciones de Modbus
User-ID: Múltiples maneras de identificar al usuario

9
Políticas aplicadas a usuarios o a grupos
Tendencias en el acceso remoto

Usuarios tanto internos como
externos accediendo
remotamente
 Empresas de servicio
 Teletrabajo

Incremento en el uso de
tecnologías de acceso remoto




Terminal Services
FTP
SSH
Telnet

La Cyberseguridad en la
agendas de todos los centros
de control

Control por usuarios garantiza
los comportamientos
Monitoring (KPI,
Alarms, Analytics)
& Maintenance
Field operator/analyst
3rd party support
Ejemplo User-ID: Acceso por Terminal Services
Terminal Server
(Single IP Address)
Taylor, Richard
(Internal employee)
SSL
RDP
Application: Sharepoint
User: Unknown
To SCADA /
Control Network
VPN
Router/FW
SSL
RDP
Application: OSIsoft PI
User: Unknown
Smith, John
(3rd Party)

Motivación:


Los sistemas de control suelen requerir del mantenimiento continuado por parte de empresas
especializadas
Objetivo

Garantizar que se podrán aplicar políticas diferenciadas a cada uno de los usuarios del
servidor de Terminal Services
Ejemplo User-ID: Agente TS Palo Alto Networks
Terminal Server
(Single IP Address)
Taylor, Richard
(Internal employee)
SSL
RDP
Terminal
Services
Agent
Application: Sharepoint
User: Taylor, Richard
Port range: 1025-2048
To SCADA /
Control Network
VPN
Router/FW
SSL
PA
Firewall
RDP
Application: OSISoft PI
User: Smith, John
Port range: 2049-3073
Smith, John
(3rd Party)

Terminal Services Agent



Asigna rangos de puertos a los diferentes usuarios
Ahra ya podemos discriminar y aplicar políticas diferenciadas
Beneficios


Mejora la visibilidad de la actividad producida por el servidor de Terminal Services
Permite control granular de conductas incluso para acesos compartidos
Los sistemas SCADA también son vulnerables
Multiple Vectors for Exploitation
OPC
Server
(CVE-2011-1914)
Historian
Server
(CVE-2012-2516)
Internet / Support Network
Removable Media
Example CVE numbers for different types
of SCADA/ICS system components
Portable Computing
PLC / RTU / IED
(CVE-2010-2772)

SCADA Master /
HMI
(CVE-2012-0233)
Muchos sistemas se mantienen sin aplicar parches de seguridad

“Si no falla no lo toques”

Múltiples vectores de propagación de exploits (no sólo Internet)

Malware dirigido como amenaza creciente
La lección de “Stuxnet”
El Antivirus Tradicional ya no aporta seguridad
El malware moderno implementa técnicas para:
-
Evitar manifestarse en los “HoneyPots” (AntiVirus)
-
Usa polimorfismo o cifrado para no exponer el contenido
malicioso
☣ Malware dirigido
☣ Malware polimórfoco
☣ Nuevas instancias de malware
¡Escudo de protección comprometido!
WildFire: SandBoxing para protección “Zero-Day”
• Escaneado de ficheros de
alto rendimiento
• Todo el tráfico, en todos
los puertos, en todo
momento
• Ejecución en entorno
controlado con libertad de
acción
• Actualizaciones del
“sandbox” sin afectación
del cliente
• Control de Malware
OnLine que garantiza
protección
EAL4+ Certification

Palo Alto Networks firewalls have achieved Common Criteria certification at
Evaluation Assurance Level 4+ (EAL4+)


The highest level of globally recognized certification for the firewall category
Expands Palo Alto Networks growing list of technical credentials

Includes recognition by ICSA Labs (Network firewall certification), Telcordia (NEBS) and
NIST (FIPS 140-2), among others.
¿Qué aplicaciones tiene su red de control?
Aplicaciones encontradas en evaluaciones de Palo Alto Networks
realizadas en redes de control
Cloud storage
Peer-to-peer file
sharing
(Known vulnerabilities)
Web-based distributed
authoring & versioning
(May carry DLLs that could
be use for exploits)

¿Deberían estar estas aplicaciones en la red de control? ¿Quien las
consume? ¿Que vulnerabilidades manifiestan?

Posibilidad de realizar una prueba de concepto (PoC) gratuita con
generación de informe de visibilidad y análisis de riesgos

Next Generation Network Security Platform for SCADA and Industrial

Transcripción

Documentos relacionados

Nuevo - Popular

Firewalls de Siguiente Generación Expandiendo la