Network and Information Security in Industrial Automation

Transkriptio

1 Network and Information Security in Industrial Automation Pasi Ahonen, VTT Technical Research Centre of Finland Suomen Automaatioseura ry, Security seminar in Finland 2006 Contents Network and Information Security in Industrial Automation Drivers, motivation Operating environment & vulnerabilities Current VTT topics & project preparation Attributes much to NIST TURVALLISUUSSEMINAARI , Pasi Ahonen 2 1

2 Drivers Use of ICT in Other Business Fields Telecom & IP networks, wireless communication and remote control are used more and more in traditional industry. Diffusion Drivers, incidents TURVALLISUUSSEMINAARI , Pasi Ahonen 3 Typical incident January 2003 Slammer Ohio David-Besse Nuclear Plant! Worm disabled safety monitoring system Plant was shut down for repair at that time Worm was in a contractor s infected computer, bypassing the firewall Drivers, incidents TURVALLISUUSSEMINAARI , Pasi Ahonen 4 2

3 Drivers, incidents Also security work or security element itself can cause incidents 2(2) Vulnerability scanner incidents While a ping sweep was being performed on an active SCADA network that controlled 9-foot robotic arms, one arm suddenly became active and swung around 180 degrees. On a PCS network, a ping sweep was being performed to identify all hosts that were attached to the network, for inventory purposes, and it caused a system controlling the creation of ICs to hang. A gas utility hired an IT security consulting company to conduct penetration testing on their corporate IT network and carelessly ventured into a part of the network that was directly connected to the SCADA system. The penetration test locked up the SCADA system and the utility was not able to send gas through its pipelines for four hours. TURVALLISUUSSEMINAARI , Pasi Ahonen 5 Comparing IT and ICS systems Difference Performance Availability Risk management Security focus Time critical System operation Resources Communications Change management Lifetime Standard IT system Consistent response. High throughput. Occasional unavailability. Rebooting often accepted. Major risks are data related. Business asset and data protection. IT assets (e.g. servers) and data. Application dependent. Typically not time critical. As MS Windows, Linux. Usually resources available for security solution. Standard or commercial protocols. On-line automatic updates. Typically 3 years. Real-time response. Modest throughput. Always available. Only planned maintenance breaks. Human safety essential. Fault tolerant design. Controlled access to ICS. Functional edge clients. Critical interaction in emergency. Limited security capabilities. Carefully planned SW upgrades. Optimized memory and processing capabilities. Often no room for security. Many proprietary and standard communication protocols. Complex networks. Carefully tested upgrades. Incremental deployment of changes years. ICS Maintenance Easy locally or remotely. Industrial Automation Environment Isolated components difficult to access for maintenance. TURVALLISUUSSEMINAARI , Pasi Ahonen 6 3

4 The major components in Industrial Automation Environment Modems Routers FW FW Exemplary Distributed Control System (DCS) Control N/W Remote Access point Fieldbus TURVALLISUUSSEMINAARI , Pasi Ahonen 7 How to recognize a risky state of matters General indicators to follow up risk levels Active, installed countermeasures Estimate of attacking difficulty Architectural setup and maintenance condition Probability of detection of attacks Estimated consequences of the incident Cost of the incident Information Security Vulnerabilities TURVALLISUUSSEMINAARI , Pasi Ahonen 8 4

5 Vulnerabilities example Platform configuration Vulnerability OS and vendor software patches may not be developed OS and application security patches are not maintained OS and application security patches are implemented without exhaustive testing Default configurations are used Critical configurations are not stored or backed up Data unprotected on portable device Lack of adequate password policy Description Because of the complexity of ICS software and possible modifications to the underlying OS, changes must undergo comprehensive regression testing. The elapsed time for such testing and subsequent distribution of updated software provides a long window of vulnerability Out-of-date OSs and applications may contain newly discovered vulnerabilities that could be exploited. Documented procedures should be developed for how security patches will be maintained. OS and application security patches deployed without testing could compromise normal operation of the ICS. Documented procedures should be developed for testing new security patches. Using default configurations often leads to insecure and unnecessary open ports and exploitable services and applications running on hosts. Procedures should be available for restoring ICS configuration settings in the event of accidental or adversary-initiated configuration changes to maintain system availability and prevent loss of data. If sensitive data (e.g., passwords, dial-up numbers) is stored in the clear on portable devices such as laptops and PDAs and these devices are lost or stolen, system security could be compromised. Password policies are needed to define when passwords must be used, how strong they must be, and how they must be maintained. Without a password policy, systems might not have appropriate password controls, making unauthorized access to systems more likely. TURVALLISUUSSEMINAARI , Pasi Ahonen 9 There are much more technical vulnerabilities in Platform HW Platform malware protection Network configuration Network HW Network perimeter Network monitoring and logging Communication Wireless connection Information Security Vulnerabilities TURVALLISUUSSEMINAARI , Pasi Ahonen 10 5

6 Basic security mechanisms Ref: ABB Review 2/2005 TURVALLISUUSSEMINAARI , Pasi Ahonen 11 Typical deployment areas of the different security protocols WPA(2) Ref: PROCEEDINGS OF THE IEEE, VOL. 93, NO. 6, JUNE 2005 TURVALLISUUSSEMINAARI , Pasi Ahonen 12 6

7 Network layers and common security protocols Ref: PROCEEDINGS OF THE IEEE, VOL. 93, NO. 6, JUNE 2005 Ref: TURVALLISUUSSEMINAARI , Pasi Ahonen 13 But, ICT diffusion create complexity Look Future IEC TC57 sketch Ref: TURVALLISUUSSEMINAARI , Pasi Ahonen 14 7

8 Solutions for Network protection Network segregation Defense-in-depth architecture Firewalls General policies Service specific FW rules Specific ICS issues Logically separated control network NAT Single points of failure Redundancy and fault tolerance Preventing man-in-the-middle attacks Modems Routers FW FW Control N/W Remote FieldbusAccess point TURVALLISUUSSEMINAARI , Pasi Ahonen 15 Network segregation Paired Firewalls & DMZ principle TURVALLISUUSSEMINAARI , Pasi Ahonen 16 8

9 Defense-in-depth architecture Control System Security Program (CSSP) recomm. TURVALLISUUSSEMINAARI , Pasi Ahonen 17 Example Services & FW Service DNS HTTP FTP & TFTP Telnet SMTP SNMP DCOM Ind. protocols Guideline In most cases there is little reason to allow DNS requests out of the control network to the corporate network and no reason to allow DNS requests into the control network. Local DNS or the use of host files is recommended. HTTP should not be allowed to cross from the corporate to the control network. If it is, then HTTP proxies should be configured on the firewall to block all inbound scripts and Java applications. Incoming HTTP connections should not be allowed. If HTTP are absolutely required, HTTPS is recommended and only to specific devices. All TFTP communications should be blocked, while FTP communications should be allowed for outbound sessions only or if secured with additional token-based two-factor authentication and an encrypted tunnel. Use Secure Copy (SCP) protocol instead. Inbound telnet sessions from the corporate to control network should be prohibited unless secured with token-based two-factor authentication and an encrypted tunnel. Outbound telnet should be allowed only in encrypted tunnels to specific devices. messages often contain malware, so inbound should not be allowed to any control network device. Outbound SMTP mail messages from the control network to the corporate network are acceptable to send alert messages. SNMP V1 & V2 commands both to and from the control network should be prohibited unless it is over a separate, secured management network whereas SNMP V3 commands may be able to be sent to the ICS using the security features. OPC, which utilizes DCOM, dynamically opens a wide range of ports (1024 to 65535) difficult to filter at the FW. This protocol should only be allowed between control network and DMZ and explicitly blocked between the DMZ and corporate network. SCADA and insecure industrial protocols, e.g. MODBUS/TCP, EtherNet/IP, and DNP3, are used in most control devices. These protocols should only be allowed within the control network and not allowed to cross into the corporate network. TURVALLISUUSSEMINAARI , Pasi Ahonen 18 9

10 Evaluation of solutions Standard example STOE Components Physical Boundary Protection Example Hardware/Software Components Access control for ICS perimeter and control center security NIST System Protection Profile - Industrial Control Systems, V 1.0 Logical Boundary Protection Data authentication Data Confidentiality User Authentication Firewall and other gateway security devices (e.g. intrusion detection systems) Data authentication service performed by ICS components (e.g. authenticators) Encryption services, such as link encryption devices between trusted endpoints User authentication service, integration with physical access control Continuity of Operations System backup and recovery, backup power, etc Operating procedures Training System policies and procedures (e.g. backup frequency, password requirements, etc) Security awareness & training courses, etc. Management procedures Staff selection criteria, disciplinary measures and other relevant personnel security policies TURVALLISUUSSEMINAARI , Pasi Ahonen 19 Teollisuuden ohjausjärjestelmien tietoturvamekanismit - Ohjeita Miten välttää yleisimmät sudenkuopat Ennakoi ja minimoi tietoturvan murtamisen vaikutukset Suunniteltava erityisen hyvin ihmisten terveyden ja turvallisuuden varmistaminen, laitteiston ja tehdaslaitosten suojaaminen vahingoilta ja tuotantotoiminnan jatkuvuuden ylläpitäminen. Keskity hajautettuihin järjestelmin - Hajauta toiminnallisia yksiköitä ja varmista niiden oikea toiminta. Yksinkertaisuuden etsiminen ratkaisuissa. Varmista tiedon ja palvelujen saatavuus - Useimmat tuotantojärjestelmät ovat jatkuvatoimisia, jolloin odottamattomat seisokit eivät ole hyväksyttävissä. Järjestelmiä ei voida useinkaan pysäyttää ilman merkittävää haittaa tuotantomääriin tai laatuun. Satsaa luotettavuuteen ja järjestelmän kypsyyden varmistamiseen. Testaa kaikki tietoturvatoiminteet - Tuotantojärjestelmät voivat olla hyvin monimutkaisia ja kaikki tietoturvatoiminnot, joita yhdistetään tuotantoprosessiin, on huolellisesti testattava ennen niiden käyttöönottoa. Aikakriittisyys suunniteltava arkkitehtuuriin - Monissa järjestelmissä vasteajat ovat kriittisiä. Tosiaikaisuutta vaativissa järjestelmissä ei voida hyväksyä poikkeuksellisia viiveitä. Lisäksi esim. koneautomaatiossa on oltava mahdollista nopeasti keskeyttää ja uudelleen käynnistää tehtävät ja tuotanto- sekä käyttöjärjestelmän prosessit. TURVALLISUUSSEMINAARI , Pasi Ahonen 20 10

11 Teollisuuden ohjausjärjestelmien tietoturvamekanismit - Ohjeita Miten välttää yleisimmät sudenkuopat (jatkuu): Käytä erityisasiantuntijoita - Tuotantojärjestelmien ohjelmistot voivat olla tyypillisesti monimutkaisempia kuin tavallisissa tietoteknisissä järjestelmissä, ainakin niiden ylläpitoon vaaditaan erityisasiantuntemusta. Suunnittele arkkitehtuuriin rajallisten resurssien vaikutus - Automaatiojärjestelmät ja niihin liittyvät tosiaikajärjestelmät ovat usein resursseiltaan rajoittuneita, eikä niissä yleensä ole voitu käyttää tyypillisiä tietoturvateknologioita kuten salausta, käyttäjäntunnistusta tai järjestelmälokeja. Varmista tiedon eheys - Tiedon eheys on erittäin tärkeää ohjausjärjestelmien toiminnalle. Perehdy tiedonsiirron erityispiirteisiin - Ohjausjärjestelmien protokollat ja tiedonsiirtotavat ovat yleensä erilaisia verrattuna yleisiin tietoteknisiin ympäristöihin. Päivitykset suunniteltava - Ohjelmistojen ja laitteiden päivittäminen on vaikeampaa, koska on tunnettava myös automaatiosovelluksen tai -järjestelmän toiminta ja käytettävien ohjelmistojen väliset riippuvuussuhteet. Tietoturvan korjaus- ja ylläpitoohjelmia ei voida aina päivittää välittömästi, koska automaatiojärjestelmän toimittajan on ensin testattava ne. TURVALLISUUSSEMINAARI , Pasi Ahonen 21 VTT Information security framework for SMEs Developed by: Jarkko Holappa (jarkko.holappa@vtt.fi), Timo Wiander (timo.wiander@vtt.fi) VTT s Solutions TURVALLISUUSSEMINAARI , Pasi Ahonen 22 11

12 The deliverables Risk management tool Benchmarking data ASD kick-off - goals - timetables - resources Risk Analysis (e-risk) Information Security mapping (on-site) Model for information security development that meets the unique needs of the organization (resources and timetables) Current status of the Information Security report ASD tools Evaluation DB ASD method Best Practices -documents Documentation needed Agile Information Security management system Information Security audit and certification (on-site) Maintenance process Laws Client docs and other guiding docs Audit report, certification TURVALLISUUSSEMINAARI , Pasi Ahonen 23 Management meeting - Requirements in terms of overall organizational function - Management s statement of commitment Education - Definition, materials -Execution Measurement - Definition of the measures, -Testingand execution Instructions - Definition and execution - Communications -Scope ASD method opened - Agile iteration cycles - Business know-how within the organization - VTT consults on information security Information security policy - Definition and execution - Compatibility with interest groups - Communications Strategic security - Information security organization, clarification of liabilities - Asset classification and controls - Personnel safety -Physicalsafety Operational safety - Access control - Systems usage, development, maintenance, acquisition - Actions in case of information security incidents Continuity planning - Definition and execution - Creation of the scenarios TURVALLISUUSSEMINAARI , Pasi Ahonen 24 12

13 Some On-going Research Projects at VTT IRRIIS (EC), 02/ /2009: critical infrastructure protection, threat cross-dependencies, application: electricity distribution telecommunications TNT (TEKES), 01/ /2007: security testing and monitoring, measuring of security IPLU (TEKES), 01/ /2008: trustworthiness of IP networks, measuring of dependability SHOPS (ITEA Eureka), 07/ /2006: payment services, SSO, identity information management, M2M, security evaluation and auditing SERKET (ITEA Eureka), 03/ /2008: integrated security platform TRUST4ALL (ITEA Eureka), 07/ /2007: trustworthy component-based middleware architecture, measuring of trustworthiness Customer R&D projects, e.g. telecom sec, sec SW arch&platf. and sec auditing Some past projects: SONET (Tekes), BIOSEC (EC), MAGNET (EC) TNT IPLU TURVALLISUUSSEMINAARI , Pasi Ahonen 25 IRRIIS-EC project IRRIIS Integrated Risk Reduction of Information-based Infrastructure Systems LCCI - Large Complex Critical Infrastructures Focus on the electrical power infrastructures and telecommunication infrastructures. A main issue is interdependencies between the infrastructures. EU project, (three years). Project manager at VTT: Heimo Pentikäinen (heimo.pentikainen@vtt.fi) Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 26 13

14 IRRIIS research area IRRIIS Research Area Economy Ecology Society Global Environment Politics Technology Elem 1 Telecom. Elem 2 Intradependencies Elem n Elem 2 Intradependencies Elem n Elem 1 Electricity Elem 1 Internet Elem 2 Intradependencies Interdependencies Elem n Specific Environment Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 27 Irriis: Two Scenarios developed High Low Concentration and private networks D1.2.B Weak Reliance on Energy Sources outside EU D1.3.B Diminished Protection of the Environment and Energy Saving D1.4.B Diminished Security Management D2.1.A Shareholder Business Models D2.2.B Internal Energy Markets D2.3.B Decreasing Penetration of Distributed Generation and Renewable Energy Sources D4.1.B Isolated Solutions and Increased Complexity D4.3.B Weakened Information Security of ICT Sophisticated and converging networks based on the Internet Internet-driven open market Liberalisation of CI-markets (Politics) D1.2.A Strong Reliance on Energy Sources outside EU D1.3.A Advanced Protection of the Environment and Energy Saving D1.4.A Developed Security Management D2.2.A Competitive Open Energy Markets D2.3.A Growing Distributed Generation and Renewable Energy Sources D3.1.A Advanced Skills of Personnel D4.1.A Holistic Solutions and Reduced Complexity D4.3.A Strengthened Information Security of ICT High Low TURVALLISUUSSEMINAARI , Pasi Ahonen 28 14

15 Teollisuusautomaation tietoturvan kehittäminen Ehdotus tavoitetutkimushankkeeksi Hankkeen päätavoite Selvittää ja edelleen kehittää parhaat menettelytavat ja tekniikat teollisuusautomaation tietoturvaan, erityisesti suomalaisten alan yritysten tarpeet huomioiden Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 29 Taustaa tutkimukselle Vielä muutamia vuosia sitten prosessien ja koneiden ohjausjärjestelmät olivat täysin erillään tuotantolaitoksen muista tietojärjestelmistä. Verkottuneen tuotantotavan yleistyessä ja erilaisten tieto- ja ohjausjärjestelmien vähitellen yhdistyessä on teollisuusautomaation tietoturva noussut verkottuneen tuotantotavan keskeiseksi ongelmaksi. Toimiston tyypilliset tietoturvaratkaisut eivät sellaisenaan sovi teollisuusautomaatioon tai prosessien reaaliaikaiseen ohjaukseen, sillä teollisuusautomaatiolla on muusta tietotekniikasta poikkeavia erityispiirteitä (ks. seur. kalvot) Sekä: Kompleksisuuden lisääntyminen (toiminnallisuuden lisääntyminen) Uusia teknologioita otetaan käyttöön (RFID, WLAN, ad hoc verkot, sensorit, 3G/2G, jne.) Asennusten ja päivitysten kustannukset Diagnostiikka lisääntyy Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 30 15

16 Yleistä hankkeesta Hankkeen kesto 2 vuotta 4 työpakettia Tavoitetutkimushanke: Rahoitus yhdessä Tekes/VTT/Yritykset Tutkimuskohteiden määrittely oleellista: Yrityslähtöiset yleiset tavoitteet, jotka määritellään osallistuvien yritysten toimesta Erityisten, yrityskohtaisten tutkimuskohteiden (yleensä salassa pidettäviä) tarkempi määrittely projektin kuluessa Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 31 Osapuolet Tutkimustyö: VTT, mm. Yliopistoverkostot hyödyntäen Rahoittajat: TEKES (60 %, jos hanke TEKES ohjelmassa) VTT (20 %) Yritykset (20 %) Current topics at VTT Ideoita rahoittajayrityksiksi (osa jo lupautunut mukaan): Metso Honeywell ABB Metsäteollisuus Remion Outokumpu Stora Enso UPM TVO Neste Microsoft F-Secure Tietoenator Helsingin Energia Helsingin Vesi Siemens Inspecta TURVALLISUUSSEMINAARI , Pasi Ahonen 32 16

17 Luonnos hankkeen lopputuloksista (1/2) 1. Uusi kokemustietokanta teollisuusautomaation tietoturvasta: Kirjallisten kyselytutkimusten ja haastattelujen tulokset automaatiojärjestelmien valmistajille, toimittajille, kokoonpanijoille, käyttäjille (eri toimialat, eri yrityskoot) ja syvähaastattelut valikoiduille tahoille 2. Malli, jatkokehitys ja ohjeistus tietoturvan hallinnasta teollisuuslaitoksissa, sisältäen mm. seuraavia elementtejä: Teollisuusautomaation erityispiirteet (mm. rajaukset, teollisuusautomaation ominaisuudet tietoturvan kannalta, toimistoautomaation ja teollisuusautomaation tietoturvan hallinnan yhteinen /erillinen organisointi). Tehtävät ja niihin liittyvät vastuut eri organisaatiomalleissa (mm. automaatiojärjestelmän toimittaja vs. ostaja, vs. operaattori; hajautettu palvelutuotanto, sopimuspolitiikat ja -käytännöt, säädökset. Ammattitaitovaatimukset (mm. pätevyyskriteerit ja -todistukset). Menetelmäkehitys tietoturvariskien arviointiin ja hallintaan (mm. integrointi laatujärjestelmiin, elinkaarimalli, riskin ja haavoittuvuuden arviointi, tietojen luokittelu, fyysinen pääsynesto, tietoturvan tason arviointi sisältäen arviointimenetelmät, luokitukset). Tietoturvakäytännöt (mm. käyttäjien velvoitteet, ohjeet, koulutus, valvonta ja seuranta, työasemien käytön hallinta, automaation kunnossapidon ja käytön aikaiset toimenpiteet). Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 33 Luonnos hankkeen lopputuloksista (2/2) 3. Tietoturvatekniikoiden soveltamisen teoreettiset ja kokeelliset tulokset, kohteena mm.: Automaatiojärjestelmät, verkkorakenne, komponentit ja alijärjestelmät, tietoturvan tekniset ratkaisut ja niiden soveltuvuus Laitteiden, ohjelmistojen ja komponenttien ominaisuuksien vertailu tietoturvan kannalta Valintakriteerit Testausmenetelmät, sertifikaatit 4. Uusien tekniikoiden ongelmien kuvaus ja syyt tietoturvan kannalta, kohteena mm.: Käyttöjärjestelmät (mm. IPv6 pino) WEB Services (Safety & Security) TeollisuusEthernet (Safety) Kenttäväylät (mm. turvaväylät) Langattomuus Etävalvonta ja -ohjaus Internet-verkon käyttö 5. Ihminen-kone-vuorovaikutuksen kuvaus prosessien tietoturvassa Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 34 17

18 Luonnos työpaketeiksi TP1: Esiselvitykset Tutkimuskohteisiin liittyvät esiselvitykset, suunnitelmien tarkennukset ja merkityksellisimpien kohdejärjestelmien tai tutkimuskohteiden määritykset yrityksissä (hankkeen alussa) TP2: Tietoturvatekniikat Käytännöllinen tutkimus sisältäen tekniset laitteistot, ohjelmistot, komponenttien ominaisuudet, vertailut ja valintakriteerit, standardit, ongelmat ja erityisesti soveltamiseen liittyvät asiat TP3: Tietoturvan hallinta teollisuuslaitoksissa Tietoturvan hallinnan tutkimus ja kehitys sisältäen mm. tehtävät ja vastuut eri organisaatiomalleissa, kokeellisen osan, menetelmäkehitys tietoturvariskien arviointiin ja hallintaan, tietoturvakäytännöt, sertifikaatit, jne. TP4: Hankkeen hallinnointi Hankkeen johtamiseen, organisointiin, koordinointiin, raportointiin ja kommunikoinnin hallintaan liittyvät tehtävät Current topics at VTT TURVALLISUUSSEMINAARI , Pasi Ahonen 35 Teollisuusautomaation tietoturvan kehittäminen Summary in english Main goal To clarify and further develop the best network and information security procedures and techniques for industrial automation, based on companies needs Examples for research targets below (in Red) Technologies for distributed control: Standards development for security Remote access, VPN & transport level encryption Security domains, inter-domain exchanges XML technologies for administrative Intrusion detection and intrusion prevention System O&M security controls Process and organisation view: Security policy Risk analysis & vulnerability assessment tools Audit methods, audit frameworks Main results 1. New information security knowledge base for the area 2. Improved information security management tailoring and instructions 3. Better fit for security technologies 4. Studied problems of new technologies 5. Man-machine interaction effects found Current topics at VTT Figure from "Security for Industrial Communication Systems", PROCEEDINGS OF THE IEEE, VOL. 93, NO. 6, JUNE 2005 In constrained environments: Improved logging & security diagnosis Management of credentials for authentication Optimized encryption/decryption TURVALLISUUSSEMINAARI , Pasi Ahonen Network and data link security, incl. wireless 36 18

19 Thank you! PASI AHONEN Team Leader, SW Technologies, Security Tel GSM Fax Kaitoväylä 1, Oulu, FINLAND PL 1100, Oulu, FINLAND TURVALLISUUSSEMINAARI , Pasi Ahonen 37 19