Workshop Phoenix saf2015 - Sacchi Automation Forum
Transcript
Workshop Phoenix saf2015 - Sacchi Automation Forum
29/09/2015 La Cyber Security è nelle nostre mani Ing. Michael Kehl Market Segment Manager Control & Industry Solutions Summary • La rivoluzione Industry 4.0 cambia il nostro mondo • Sicurezza nel mondo della automazione – Introduzione – Tipo di attacco • • • • Esterno La protezione contro questi attacchi Interno La protezione contro questi attacchi 1 29/09/2015 La storia verso Industry 4.0 Industry 4.0 Cyber-Physical Systems • Sono la base per la produzione «Smart» di domani • Sono sistemi con un embedded Software • Sono connessi con una comunicazione digitale • Sono connessi con una rete digitale p.e Internet of Things, Services , data e human 2 29/09/2015 Industrie 4.0 Internet of Things, Data, Services and Humans Internet of Things, Data, Services and Human • Usare dati e servizi world wide + IP capability Cyber-Physical Systems (CPS) + Linked to the Internet + Machine-to-Machine Comm. Wireless Communication Profiles & Standards PLC, IPC & embedded systems + Sensors, Actuators + Integration high performant embedded Systems Physical Objects, Components, … • Comunicazione via Interfaces • L‘ interazione funziona via multimodale Human-MachineInterfaces • Programmazione – controllo del sistema • Attori attivi e reattivi • Sensori attivi e intelligenti Source: Forschungsunion Wirtschaft – Wissenschaft Dal mondo IT-Powered verso Industry 4.0 integrazione verticale e orizzontale La rete diventa intelligente (networking) Processo aziendale, macchine , tools, componenti e umani 3 29/09/2015 PROFICLOUD-Technology 001 Magazzino empty Massaging SmartWatch „Please Refill magazzino“ „Internet of Things“ via PROFINET Produzione 4.0 • Ethernet p.e Profinet arriva fino al livello di sensori e dei prodotti in produzione 4 29/09/2015 Isole e Percorsi: un esempio Icons designed by Freepik Approccio «Isole e Percorsi» • È necessario suddividere una rete industriale in «Isole» (Zones) separate tra loro • Le zone comunicano tra loro usando esclusivamente dei «Percorsi» (conduits) precedentemente individuati • Tutto il traffico in entrata/uscita da un conduit è protetto da un firewall o da appositi sistemi che garantiscono l’integrità e la confidenzialità della comunicazione (es. VPN) • Tale approccio è suggerito anche da ICS-CERT e dallo standard ISA99 5 29/09/2015 Il buco nero di Internet Introduzione • Secondo un rapporto UNICRI del 2014 sulla criminalità informatica, questi sono i numeri per l’Italia: – 875 milioni di dollari all’anno di perdite per danni diretti – danni di immagine e reputazionali, costi di recovery e perdita di business, 8,5 miliardi (0,6% del PIL) (dati McAfee) – 9 miliardi di dollari spesi per la perdita di dati sensibili – perdite da interruzioni operative dei sistemi 14,1 miliardi di dollari (dati Emc) Il problema ci riguarda più da vicino di quanto potremmo pensare! http://www.unicri.it/in_focus/files/2014_highlights%20Lucca_ITA.pdf 6 29/09/2015 Cosa spinge qualcuno ad attaccare? ¼ degli attacchi è subito dall’industria per spionaggio Proteggere il proprio impianto è quindi necessario Fonte: Rapporto Clusit 2014, dati Fastweb Tipi di ATTACCO • Esterno – Teleassistenza – Connessione Internet non sicuro – Mail • Interno – Uomo – Data storage p.e Stick USB – Mail 7 29/09/2015 Top Ten secondo BSI (governo tedesco) Top Ten secondo BSI Nr Top 10 nel 2014 Top 10 nel 2012 1 (2)e(3) Software hackerato tramite Intranet e Internet L’ uso non autorizzato della teleassistenza 2 (6) Introdurre codici «modificato» tramite USB o altri sistemi di scambio Online attacco tramite la rete Office o enterprise 3 (-) Social Engineering Attacchi nei componenti standard nella rete ICS (vecchio) Interno 4 (5) Errore umano o sabotaggio Attacchi - (D) DoS 5 (1) Attacco tramite il accesso della teleassistenza Errore umano o sabotaggio 6 (-) PLC collegato in Rete Introdurre codici «modificato» tramite USB o altri sistemi di scambio 7 (10) Errore tecnico e forza maggiore Leggere e scrivere dei messaggi nella rete ICS 8 (-) Compromette dei Smartphone nei ambiente di produzione Usare le re source non autorizzati 9 (-) Compromettere Extranet e Cloud Attacchi nei componenti di rete 10 (4) Attacchi - (D) DoS Errore tecnico e forza maggiore Esterno 8 29/09/2015 La sicurezza nazionale www.sicurezzanazionale.gov.it Introduzione • La Cyber Security nel ambiente della produzione e del processo ha rischi e tipi di attacchi diversi rispetto all’ ambiente IT (password, banche , spam , …) – Perdita di dati e know-how – Fermi di produzione / impianti ( soprattutto nei settori dell’ energia, acqua, infrastrutture) – Danni fisici alle macchine / impianti – Sicurezza delle persone 9 29/09/2015 Stima dei Costi Perdita dei dati: Improvvisamente tutti i dati vengono persi. Quale potrebbe essere il costo della ricostruzione di tali dati? Perdita di know-how: Un competitor riesce ad accedere ai tuoi dati sensibili (progettazione, ingegnerizzazione, …). Quanto può valere economicamente il danno? Fermi di produzione: A causa di problemi legati alla security, la produzione deve arrestarsi per alcune ore. Quanto può essere il costo della mancata produzione? Reputazione: Quanto potrebbe essere importante un danno alla tua reputazione se i clienti non riponessero in te la giusta fiducia circa la protezione da Cyber attacchi? Tipi di ATTACCO • Esterno – Teleassistenza – Connessione Internet non sicura – Mail • Interno – Uomo – Data storage p.e Stick USB – Mail 10 29/09/2015 Phising • Rubare password, accesso, strutture pin …. Phising 11 29/09/2015 Come e dove Come e dove 12 29/09/2015 La mail è un ingresso per gli Hacker Isole e Percorsi: un esempio Icons designed by Freepik 13 29/09/2015 Come ci si può proteggere Gli attacchi esterni accadono perché l’ interfaccia verso esterno ha delle falle. Molto spesso si pensa che la responsabilità cada sempre sull’ IT, ma con la Industry 4.0 questo scenario è cambiato • Impostare Firewall – Regole – Regole condizionali – Login Funzionalità di Firewall • Un Firewall consente la definizione di politiche di accesso da una LAN ad una rete esterna (WAN) insicura • Di default, la comunicazione da LAN a WAN è possibile mentre non è possibile il viceversa LAN Internet WAN 14 29/09/2015 LAN Internet WAN 192.168.0.2 Port: 80 Stateful firewall: Firewall Condizionale Switch: - Regola 1 - Regola 2 - Regola 3 Manutenzione Firmware update Att. quotidiana • Firewall sicuri contengono regole stringenti • In base allo scenario di utilizzo, queste regole a volte devono essere adattate. • Attraverso un selettore a chiave anche personale non esperto può cambiare le regole del firewall senza nessuna difficoltà. 15 29/09/2015 Tipi di ATTACCO • Esterno – Teleassistenza – Connessione Internet non sicura – Mail • Interno – Uomo – Data storage p.e Stick USB – Mail Esterno: Cyberthreat in real time http://cybermap.kaspersky.com/ 16 29/09/2015 PLC collegato in Rete PLC collegato in Rete 17 29/09/2015 PLC collegato in Rete PLC collegato in Rete 18 29/09/2015 PLC in www senza protezione Icons designed by Freepik Come ci si protegge • Router – Nascondo il prodotto dietro – Chiude le porte – Accesso limitato 19 29/09/2015 Tipi di ATTACCO • Esterno – Teleassistenza – Connessione Internet non sicura – Mail • Interno – Uomo – Data storage p.e Stick USB – Mail I problemi di una teleassistenza su Internet Sicurezza Internet è un mezzo che introduce molti rischi: Configurazioni sbagliate dei PC causano buchi nella sicurezza e aprono le porte a Virus, Trojans e Worms Dati non criptati possono essere intercettati e manipolati Hackers possono attaccare dall‘esterno Una connessione ad Internet non protetta può portare a sabotaggi dell‘intero impianto. Nasce l‘esigenza di creare collegamenti sicuri attraverso una rete non sicura: i „tunnel VPN“. 20 29/09/2015 I problemi di una teleassistenza su Internet Internet è di fatto una grossa rete in cui ogni nodo è indirizzabile tramite un indirizzo IP e non un numero di telefono. Di norma questo indirizzo non è fisso ma cambia ogni volta che ci colleghiamo. Nasce il concetto di IP dinamico. Centro Manutenzione Impianto Remoto Accesso Internet: ADSL router Accesso Internet: ADSL router Internet IP Dinamico IP Dinamico Come possono parlare tra loro due nodi di una rete che hanno un indirizzo che cambia costantemente? I diversi tipi di Teleassistenza Velocità Centro Manutenzione Soluzione 1 Impianto Remoto ADSL router ADSL router Dipendenza Provider Internet IP Pubblico IP Dinamico Centro Manutenzione Soluzione 2 Impianto Remoto Internet IP Dinamico Velocità MIS ADSL router ADSL router MIS No Mobile IP Dinamico DynDNS IP Pubblico Centro Manutenzione ADSL router ADSL router Internet IP Dinamico Soluzione 3 Impianto Remoto MIS Velocità IP Dinamico Agenda 21 29/09/2015 mGuard Secure Cloud Massima disponibilità Costruttore di macchina / Tecnico di servizio VPN-Servizio Gateway servizio (virtuale) VPN: online Secure Cloud App Routing & Management Internet Macchina presso il cl. finale VPN: online VPN macchina Gateway macchina (virtuale) Raggungibile tramite il indirizzo IP reale VPN e Firewall VPN tunnel, Opzione 1 VPN tunnel, Opzione 2 VPN tunnel, Opzione 3 • Se viene usato un tunnel VPN i pacchetti sono criptati. Questa è una sfida per i firewall • Tre opzioni possibili: – Il tunnel termina prima del firewall (=> è possibile analizzare i pacchetti che arrivano) – Il tunnel attraversa il firewall. In questo caso i pacchetti sono criptati per il firewall e dunque non analizzabili. – Viene implementato un firewall all’interno del tunnel. In questo modo è possibile controllare i pacchetti che appartengono alla VPN. Con il nostro mGuard tutte le opzioni sono disponibili • 22 29/09/2015 Certificati Digitali Analogia: Passaporto = certificato digitale emesso da un ente ufficiale, Certificate Authority (CA) Analogia: Badge di accesso = Certificato digitale auto creato I certificati digitali sono delle credenziali per il mondo online. Esattamente come dei passaporti o dei documenti ufficiali nella vita di tutti i giorni Lo standard per i certificati è l’X.509. Gli elementi base di un certificato sono costituiti da: User’s Name, User’s organization, Expiration Date. Un certificato digitale può essere acquistato da una Certificate Authority (CA) oppure può essere creato autonomamente con sofware specifici. Tipi di ATTACCO • Esterno – Teleassistenza – Connessione Internet non sicura – Mail • Interno – Uomo – Data storage p.e Stick USB – Mail 23 29/09/2015 Tipi di ATTACCO • Esterno – Teleassistenza – Connessione Internet non sicuro – Mail • Interno – Uomo – Data storage p.e Stick USB – Mail USB STICK • Il prezzo della convivenza • Gli attacchi sviluppati da Security Research Labs sottolineano la difficoltà di avere allo stesso tempo la versatilità dello standard USB e la sicurezza. La più grande caratteristica dell’ USB è la sua capacità plug- and-play, ma che è di fatto la sua più grande vulnerabilità, secondo Nohl • (fonte https://srlabs.de/ and www.PcWorld.com) • Come si cambiano gli stick usb https://github.com/adamcaudill/Psychson 24 29/09/2015 Malware http://jtbevis.files.wordpress.com/2013/04/fireeye-stats.png Newsletter Cyber security 25 29/09/2015 Cybersecurity Heartblead • Heartbleed è un bug di sicurezza che si trova nella libreria crittografica open-source, OpenSSL, • Circa il 20% dei server sono stati infestati da questo bug • Le chiavi non erano sicure • La teleassistenza utilizzata con i LOGIN non era sicura al 100% 26 29/09/2015 HAVEX • Un programma specifico per le reti ICS e SCADA • Spia i sistemi e spedisce i dati ai siti «dedicati» in Internet – Spam emails – Exploit kits (sistema software che rimane nel webserver e fa un upload sul cliente che visita la pagina) – Trojan installato nell’ area download del costruttore del prodotto (PLC, scada…) La soluzione Phoenix: Common Internet File System Integrity Monitoring Integrity Monitoring = Integrity Checking + AV Scan Connector 27 29/09/2015 CIFS Integrity Checking (1) • • • • Non richiede l’installazione di software sul sistema da proteggere Allo scan iniziale viene creato un database criptato contenente gli hash di tutti i file analizzati del sistema target Ciclicamente esegue lo scan di tutte le directory accessibili e compara i risultati ottenuti con quelli dello scan iniziale CIFS IC rileva automaticamente tutti i cambiamenti apportati ai file (cancellazione, creazione, modifica) posti sotto controllo Rileva ogni cambiamento del File System !! LAN WAN CIFS Integrity Checking (2) • • • • Può essere configurato per includere o escludere alcuni tipi di file o directory Ogni risultato anomalo crea un’entry nel Syslog server e/o un messaggio SNMP per richiedere un’analisi ulteriore e/o una segnalazione Email I risultati possono essere processati da un Antivirus per una prima ispezione LAN Software SNMP di terze parti possono WAN essere utilizzati per attivare processi automatici (es. attivare un set di regole particolari per il firewall) Rileva ogni cambiamento del File System !! 28 29/09/2015 CIFS AV Scan Connector • Non richiede l’installazione di Antivirus sul sistema da proteggere Rende accessibile, in modo sicuro, una o più cartelle ad un Antivirus posto su una rete esterna (WAN) per cui la LAN interna è in realtà irraggiungibile. L’Antivirus risiede su una macchina diversa rispetto al PC di linea e solo questa necessita di aggiornamenti L’elaborazione legata allo Scan non sovraccarica il PC di macchina Eliminazione dei possibili problemi di incompatibilità tra versioni di Antivirus e SCADA. • • • • LAN WAN CIFS AV Scan Connector Perchè usare la soluzione CIFS piuttosto che un virus scanner? • • • • • Individuazione instantanea delle vulnerabilità, o dei programmi designati per gli attacchi, già dal giorno 0 grazie al fatto che entrabi necessitano di effettuare dei cambi nei files. CIFS AV Scan Connector non resta limitato alle minacce provenienti dalla rete (firewalling), bensì è in grado di intercettare anche minacce provenienti da supporti removibili! Controllo Antivirus anche DURANTE la produzione! CIFS non necessita di updates e quindi neanche di una connessione Internet Nessun software specifico, antivirus, deve essere installato sul PC da mantenere sotto analisi (valido per tutti gli OS Linux & Microsoft) 29 29/09/2015 LIVE DEMO Allo spazio Phoenix Contact presentiamo una live demo sull’ argomento DOMANDE? 30 29/09/2015 Grazie per l’attenzione 31