Beskyttelsesteknologier Paul-Christian Garpe Senior Principal Consultant, Symantec Oktober 2011
Agenda 1 Utfordringen 2 Smart grid et eksempel 3 Aktuell sikkerhetsteknologi 4 Oppsummering 2
*Disclaimer: Jeg er ikke en SCADA-ekspert. Jeg er sikkerhetsspesialist. 3
Hvordan sikre produksjonsnett? 4
Før og nå Hva vi er vant til Hva vi har i dag 5 5
Trusselbilde i endring nok en gang Newest Motivation Political Highly sophisticated Infinite financial resource Well-planned and executed with unprecedented levels of control. Espionage and Sabotage The goal is to do damage, destruct, influence, reach political goals, or support a conventional attack. 6
Smart Grid et eksempel 7
Smart Grid: IT- og produksjonsarkitektur Innhold Lagrede data Infrastruktur Tiltak Intern drift Data-sentrisk sikkerhet: autentisering av enheter og personer, kryptering og beskyttelse av data Compliance Herding av servere Effektiv håndtering av lagring Katastrofeberedskap Håndtering av eiendeler Eksterne tjenesteleverandører Nettverk Data i transitt Sertifikatadministrasjon Nøkkeladministrasjon Network access control SCADA Private & Public Networks AMI Data Private Wireless Network Customer Demand Response Public / Internet Enheter Data i bruk Sikring av endepunkter Autentisering av enheter (AMI, SCADA) Kryptering av data Klientadministrasjon Produksjon og distribusjon Produksjon Overføring Distribusjon Kunde 8
Hvordan kan teknologi bidra? 9
SCADA-sikkerhet for fremtiden Informasjon beskyttelse og kontroll Infrastruktursikkerhet Identitetshåndtering SCADA security Infrastrukturadministrasjon Informasjonspolicy og risiko 10
Informasjonsbeskyttelse og -kontroll 341K Dokumenter 11
Informasjonsbeskyttelse og -kontroll Potensielle tiltak: Beskyttelse mot informasjonslekkasje Harddiskkryptering på klientenheter Også mobile enheter, Apple Mac... Kryptering av eksterne lagringsenheter Minnepenner, eksterne harddisker osv Kryptering av nettverksområder med konfidensiell informasjon Kryptering av konfidensiell e-post 12
Informasjonsbeskyttelse og -kontroll Hvor er dine konfidensielle data? Hvordan blir de brukt? Hvordan beskytte mot tap? DISCOVER MONITOR PROTECT DATA LOSS PREVENTION (DLP) 13
Informasjonsbeskyttelse og -kontroll Data Loss Prevention + kryptering DLP for nettverk / Gatewaykryptering Automatisk kryptering av e-post som inneholder konfidensiell informasjon Varsling i sanntid av brukere om krypteringspolicy og -verktøy DLP for lagring / Filbasert kryptering Finn ut hvor konfidensiell informasjon er lagret, og krypter informasjonen automatisk Aksesseres transparent av brukerne DLP for endepunkter / Fulldiskkryptering Beskytt høyrisiko brukere gjennom beskyttelse av laptops som inneholder konfidensiell informasjon Beskytt virksomheten gjennom målretting av krypteringen mot konfidensiell informasjon 14
Infrastruktursikkerhet Vanlige angrep mot servere Uautorisert servertilgang Filserver Sårbarhetsutnyttelse for å oppnå tilgang Uautoriserte endringer i privilegier og informasjon Databaseserver Skadelig kode installert for å stjele data og endre oppsett Webserver E-postserver Domenekontroller Angrep vha e-postvedlegg eller link til fil Applikasjonsserver Internett Bakdør muliggjør uautorisert tilgang SOURCE: NIST Guide to General Server Security (July 2008) 15
Potensielle tiltak: Infrastruktursikkerhet Brannmur mellom hvert nett Internett, produksjonsnett, kontornett osv Klientbeskyttelse mot skadelig kode, inkl brannvegg Nettverksbasert innbruddsbeskyttelse Ikke glem webtrafikk E-post sikkerhet Tilgangskontroll til nettverket (Network Access Control) Sikring av servere og kritiske maskiner Integritetsbeskyttelse Hostbasert brannmur Ikke glem regelsettene! Herding av maskiner, ved konfigurasjon eller beskyttelsesløsning Ikke anta at maskiner frakoblet nettverket er sikre! Husk virtuelle servere OBS: Vedlikehold! Vurder å skille maskiner nettverksmessig der annen sikring ikke er mulig 16
Identitetshåndtering Potensielle tiltak: Autentisering av individer: Flerfaktor autentisering «Passordkalkulator» og smartkort/sertifikater Autentisering av maskiner: Sertifikater Løsninger for effektiv brukeradministrasjon Husk eksterne brukere Kun individuelle brukerkonti Kun nødvendig aksess Logg all tilgang 17
Identitetshåndtering kombinere autentisering og risikovurdering Device ID Device Fingerprint Device Reputation User Behavior Actionable Risk Score Risikovurdering Kjenner vi denne enheten? Er det fortsatt samme enhet? Er enheten tillitverdig? Er adferd som forventet? før tiltak Lav risiko: Gi tilgang uten ekstra autentiseringsfaktor Høy risiko: Involver separat (out-ofband) autentiseringsprosess 18
Infrastrukturadministrasjon Potensielle tiltak: Strukturer og automatiser utrulling av patcher der dette er mulig Automatisk oppdag nye enheter i nettet Det kan være en inntrenger som har satt et trådløst aksesspunkt i ditt nett Hvor mange nye virtuelle servere mangler beskyttelse? Klienter? Mobile enheter? Apple Mac? Automatiser utrulling av beskyttelse til nye enheter Vurder alternative tiltak for systemer som ikke kan beskyttes direkte Oversikt over eget miljø en forutsetning for sikkerhet! Gir også stor gevinst driftsmessig 19
Infrastrukturadministrasjon sammenkobling av mennesker, prosesser og teknologi Bruk mennesker til beslutningene, automatiser utførelsen av oppgavene basert på menneskenes respons Koble sammen systemer på tvers av leverandører Overvåk prosesser for kontinuerlig forbedring 20
Infrastrukturadministrasjon sammenkobling av mennesker, prosesser og teknologi 21
Informasjonspolicy og risiko Potensielle tiltak: Implementer løsning for å følge opp interne instrukser, policies og rutiner på en risikobasert måte Instrukser må kommuniseres til brukere Brukere må læres opp Avvik må detekteres automatisk Benytt teknologi for å oppdage sårbarheter automatisk Husk sårbarheter i SCADA-teknologi! Logger finnes av en årsak teknologi gir muligheten til å oppdage sikkerhetshendelser og hendelser som kan føre til sikkerhetsbrudd før skade har skjedd Umulig å analysere logger manuelt i dag Nøkkelen er automatisering 22
Oppsummering 23
Oppsummering Trusselbildet medfører at sikkerhetsutfordringene er større enn noen gang tidligere Helhetlig sikring er nødvendig: Beskyttelse av konfidensiell informasjon Beskyttelse av infrastruktur God håndtering av identiteter Effektiv administrasjon av infrastruktur Målrettede, risikobaserte policies Automatisering er essensielt uten vil en neppe oppnå tilstrekkelig sikkerhet til akseptabel kostnad 24
25
Takk for oppmerksomheten! Paul-Christian Garpe, paulchristian_garpe@symantec.com Senior Principal Consultant, Symantec