Pomáhá zvýšit odolnost vůči útokům
Průmyslová bezpečnost
© Siemens 2014. Všechna práva vyhrazena.
Průmyslová bezpečnost • Trendy • Siemens řešení • Aplikační příklady
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Řetěz bezpečnosti je tak silný, jako jeho nejslabší článek Bezpečnost může selhat z těchto důvodů • Zaměstnanec • Smartphone • Laptop • PC stanice • Síťová infrastruktura • Mobilní datová úschovna • Tablet PC • Počítačové centrum • Pravidla a koncepce • Tiskárna • Produkční systém © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Zprávy o zranitelnosti plní titulky novin Tlak na projektanty SCADA Stárnoucí průmyslové řídicí systémy se stávají stále více zranitelnými ke kyber útokům Útok na energetickou síť U.S. at Risk of Hack Attack Dangerous Security Holes in U.S. Power Plant & Factory Software
German Source: http://www.energie-und-technik.de/automatisierung/news/article/94110 V ICS-CERT fiskálním roce (od září 2011 do října 2012) ICS-CERT detekovalo 198 útoků na řídicí systémy v USA.
Příchod hackerů: červ WANK a útok na NASA Červ WANK, jehož obětí se staly především NASA a americké Ministerstvo energetiky, byl jedním z prvních případů hackerského aktivismu a jedním z největších kybernetických útoků v oblasti jaderné energetiky. Nebyl sice destruktivní, dokázal ale vyvolat paniku v síti vesmírných programů a jaderného výzkumu v USA. Lukáš Erben, www.root.cz
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost • Trendy • Siemens řešení • Aplikační příklady
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Koncept ochrany Provozní bezpečnost (Plant security) Přístupová práva uživatelů Preventivní fyzická ochrana kritických úseků
Síťová bezpečnost (Network security) Řízené rozhranní mezi kanceláří a provozem např. s pomocí firewallu Segmentace provozní sítě
Integrita systému (System integrity)
Antivirus a whitelisting software System hardening Proces správy a aktualizace Autentizace operátorů na provozní úrovni Mechanismus integrované ochrany přístupu automatizačních komponent
Industrial Security levels according to current standards and regulations
Bezpečnostní řešení v průmyslovém prostředí musí zahrnovat všechny ochranné úrovně © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens přístup k bezpečnosti
Siemens přístup k bezpečnosti
Implementace Správy zabezpečení Rozhraní jsou předmětem regulací – a jsou podle toho monitorována PC systémy musí být chráněny Řídicí úroveň musí být chráněna Komunikace musí být monitorována a vhodně segmentovaná
Siemens přístup je založen na pěti klíčových bodech © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens řešení pro bezpečnost provozu
Správa zabezpečení Rozhraní jsou pečlivě monitorována.
Plant security Systémy založené na PC musí být chráněny. Řídicí úroveň musí být chráněna. Komunikace musí být monitorována a je možné ji segmentovat.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Správa zabezpečení Proces správy zabezpečení 1
• Analýza rizik a návrhy jejich zmírnění • Nastavení pravidel a koordinace organizačních opatření • Koordinace technických opatření • Pravidelné / událostí řízené opakování analýzy rizik
Risk analysis
4
2 Validation & improvement
Policies, Organizational measures
3 Technical measures
Správa zabezpečení je základní předpoklad pro bezpečnostní koncept. © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens řešení pro síťovou bezpečnost
Správa zabezpečení Rozhraní jsou pečlivě monitorována. Systémy založené na PC musí být chráněny.
Network security
Řídicí úroveň musí být chráněna. Komunikace musí být monitorována a je možné ji segmentovat.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost
Integrovaná bezpečnost je základní komponenta konceptu Defense in Depth Bezpečnost provozu • Přístup je odepřen neautorizovaným osobám • Fyzická ochrana přístupu ke kritickým komponentám Síťová bezpečnost • Rozhraní jsou kontrolována SCALANCE firewallem • Další segmentace s Advanced CP Systémová integrita • Ochrana know-how • Ochrana proti kopírování • Ochrana proti manipulaci s daty • Kontrola přístupu
Siemens produkty se Security Integrated poskytují bezpečnostní prvky jako integrovaný firewall, VPN komunikaci, kontrolu přístupu, ochranu proti manipulaci. © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Security Integrated – Přehled
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení : SCALANCE S Security moduly Požadavky zákazníků
Naše řešení
Ochrana sítě a segmentace
SCALANCE S security moduly s Integrovaným zabezpečením poskytují:
Ochrana proti:
SCALANCE S 602/612/623
•
Stateful Inspection Firewall
•
Odposlech komunikace
•
VPN (šifrování dat a autentizace)
•
Manipulace s daty
•
NAT/NAPT (překlad adres)
•
Neautorizovaný přístup
•
Funkce routeru (PPPoE, DynDNS) pro širokopásmový přístup k internetu (DSL, kabel)
•
S623 s dodatečným VPN portem (DMZ), dovolujícím bezpečně připojit další síť pro servisní a diagnostické účely.
•
Redundance bezpečnostních modulů včetně směrovacích a firewall funkcí s pomocí S623
Umožnit bezpečný vzdálený přístup pro: •
Telecontrol
•
Teleservice
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení : SCALANCE S627-2M Security Module
SCALANCE S627-2M
Požadavky zákazníků
Naše řešení
•
Více flexibility díky bezpečnostním konceptům
•
Zabezpečení redundantních topologií
•
Vysoká dostupnost díky redundantnímu párování
•
Použití v průmyslovém prostředí
SCALANCE S627-2M bezpečnostní modul s Integrovaným zabezpečením poskytuje: Všechny funkce SCALANCE S623 A navíc: • Dva další sloty pro dvouportové media moduly, které lze integrovat do kruhové nebo liniové topologie •
Přímí přístup do optických sítí s pomocí optického media modulu
•
Zabezpečení kruhových topologií využívajících protokoly MRP nebo HRP.
•
Redundantní zapojení. Záložní modul je připraven převzít veškerou komunikaci.
•
Router a firewall redundance
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení : CP pro SIMATIC S7-300/400 CP 343-1/CP 443-1 Advanced Požadavky zákazníků
Naše řešení
Síťová bezpečnost a oddělení bez speciálních bezpečnostních zařízení
CP343-1 / CP443-1 Advanced s Integrovaným zabezpečením poskytuje:
Ochrana proti: • Odposlech komunikace • Manipulace s daty • Neautorizovaný přístup
•
Stateful Inspection Firewall
•
VPN (šifrování dat a autentizace)
•
HTTPS (šifrovaný přístup k webovým stránkám přes SSL)
•
FTP (bezpečný přenos souborů)
•
NTP secure (bezpečná synchronizace času)
•
SNMP V3 (bezpečný přenos informací o síti)
CP 343-1 Advanced CP 443-1 Advanced
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: CP1628 Požadavky zákazníků
Naše řešení
Ochrana inženýrských a operátorských stanic
CP 1628 s Integrovaným zabezpečením poskytuje: •
Stateful Inspection Firewall
•
VPN (šifrování dat a autentizace)
Ochrana proti:
•
NTP secure (bezpečná synchronizace času)
•
Odposlech komunikace
•
SNMP V3 (bezpečný přenos informací o síti)
•
Manipulace s daty
•
Neautorizovaný přístup
CP 1628
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: SOFTNET Security Client Požadavky zákazníků
Naše řešení
Bezpečný přístup z inženýrských a servisních PC
SOFTNET Security Client s Integrovaným zabezpečením poskytuje: •
VPN (šifrování dat a autentizace)
•
Komunikace může probíhat pouze mezi autentizovanými uživateli a zařízeními
•
Integrovaný bezpečnostní koncept pro automatizaci zahrnující SIMATIC-CP / PC-CP / SCALANCE S / SCALANCE M
Ochrana proti: •
Odposlech komunikace
•
Manipulace s daty
•
Neautorizovaný přístup
SOFTNET Security Client
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: SCALANCE M874
SCALANCE M874-x
Požadavky zákazníků
Naše řešení
Ochrana sítě Ochrana proti:
UMTS Router SCALANCE M874-3 (UMTS) a M874-2 (EDGE) s Integrovaným zabezpečením poskytuje:
•
Odposlech komunikace
•
Stateful Inspection Firewall
•
Manipulace s daty
•
VPN (šifrování dat a autentizace)
•
Neautorizovaný přístup
•
NAT/NAPT (překlad adres)
• Umožnit bezpečný vzdálený přístup pro:
Funkce routeru pro mobilní širokopásmový přístup k Internetu (GPRS - UMTS)
•
Širší pole aplikací díky šířce pásma, výkonu a rychlosti
•
Telecontrol
•
Připojení přes mobilní sítě druhé a třetí generace
•
Teleservice
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: SCALANCE M81x/M826
SCALANCE M812 SCALANCE M816
Požadavky zákazníků
Naše řešení
Ochrana sítě
ADSL2+ Router SCALANCE M81x s integrovaným zabezpečením poskytuje:
Ochrana proti:
•
Stateful Inspection Firewall
•
Odposlech komunikace
•
VPN (šifrování dat a autentizace)
•
Manipulace s daty
•
NAT/NAPT (překlad adres)
•
Neautorizovaný přístup
•
Funkce routeru pro pevnolinkový širokopásmový přístup k Internetu (ADSL2+)
Umožnit bezpečný vzdálený přístup pro:
•
Širší pole aplikací díky šířce pásma, výkonu a rychlosti
•
Telecontrol
•
Teleservice
SHDSL Router SCALANCE M826 s integrovaným zabezpečením pro privátní sítě
SCALANCE M826 © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost První výrobce s certifikací Achilles Level 2 Achilles Level 2 certifikovaná PLC S7- 300 PN/DP
Achilles Level 2 certifikovaná DP ET200 PN/DP CPUs
S7- 400 PN/DP S7- 1500 PN/DP
Achilles Level 2 certifikovaná CP CP343-1 Advanced
+ Ochrana proti DoS útokům
CP443-1 Advanced
+ Definované chování v případě útoku
CP1543-1
Zvýšená dostupnost
CP1628 CPU 410-5H
IP ochrana Mezinárodní standard
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens řešení pro řízení přístupu
Implementace Správy zabezpečení Rozhraní jsou pečlivě monitorována Systémy založené na PC musí být chráněny
System Integrity
Řídicí úroveň musí být chráněna Komunikace musí být monitorována a je možné ji segmentovat
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost STEP 7 V5.5 Požadavky zákazníků
Naše řešení
Ochrana Know-How
STEP 7 V5.5 poskytují několik bezpečnostních prvků: •
Zvýšená ochrana Know-How
Ochrana proti:
Program block STEP 7 Download
Upload
S7-Controller
•
Ochrana programového kódu heslem a S7-Block Privacy
•
Odposlechu
•
Ochrana proti čtení a změnám v obsahu
•
Neautorizovanému přístupu
•
K programový blokům mají přístup pouze autentizovaní uživatelé
•
Manipulaci s daty •
Programovatelná ochrana kopírování •
Programy s ochranou Know-how mohou být rozšířeny
•
Porovnání se sériovým číslem paměťové karty nebo CPU
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC Logon
© Siemens 2014. Všechna práva vyhrazena.
Požadavky zákazníků
Naše řešení
•
Centrální uživatelská správa
Bezpečná správa přístupu …se SIMATIC Logon
•
Konfigurace za běhu (přidat / zamykat / odstranit uživatelské účty)
Správa uživatelů ve WinCC/PCS7 založená na SIMATIC Logon s…
•
Vysoká bezpečnost ve spolupráci s MS Windows
•
Podporuje koncept domén a pracovních skupin (Windows workgroups)
•
Centralizovaná správa (stárnutí hesel, automatické odhlášení po určité době neaktivity nebo opakovaně špatně zadaném heslu, zamknutí obrazovky)
•
Konfigurace za běhu (přidat / zamykat / odstranit uživatelské účty)
•
Všechny WinCC konfigurace jsou podporovány včetně webu
•
Podporuje koncept domén a pracovních skupin (workgroups)
Správa uživatelů a autentizace pro bezpečnost provozu Industrial Security
Průmyslová bezpečnost Antivirus a whitelisting Požadavky zákazníků
Naše řešení
Detekce a prevence proti škodlivému software (Viruses, Worms and Trojans)
Antivirus a whitelisting řešení poskytuje tyto bezpečnostní funkce:
Ochrana proti: •
Škodlivému software
•
Manipulaci
•
Ochrana proti škodlivému software (Viruses, Worms a Trojans)
•
Zabránit běhu neautorizovaných aplikací a malware
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost PCS7 podporuje všechny ochranné úrovně
Implementace Správy Zabezpečení Rozhraní jsou pečlivě monitorována Systémy založené na PC musí být chráněny Řídicí úroveň musí být chráněna Komunikace musí být monitorována a je možné ji segmentovat
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC PCS 7 – Zabezpečení, kterému věříte Požadavky zákazníků
Naše řešení
Ochrana proti:
SIMATIC PCS 7 – Snížení rizik s pomocí Defense-in-Depth Strategy
• Ztrátě kontroly • Prostojům • Ochrana kvality
• Segmentace / Security Cells • Bezpečné přístupové body • Autentizace uživatelů • Bezpečná komunikace • Správa bezpečnostních záplat • System Hardening • Virus Scanner • Whitelisting
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost • Trendy • Siemens řešení • Aplikační příklady
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Přehled síťové bezpečnosti Opatření pro průmyslové aplikace Kontrola přístupu • Rozhraní do IT sítí: Zabezpečená architektura s DMZ (SCALANCE S623 a S627) • Zabezpečený přístup přes Internet • Lokální zabezpečení přes autentizaci uživatelů a zařízení Redundance • Ochrana redundantních síťových topologií se SCALANCE S627-2M Ochrana úseků sítě • Snížení rizika s pomocí segmentace sítě • Ochrana síťových úseků se zabezpečovacím zařízením nebo s S7-Security CP • Použití protokolů pro bezpečnou komunikaci (např. https) zabraňuje odposlouchávání a manipulaci s daty © Siemens 2014. Všechna práva vyhrazena.
Produkty s firewall a VPN funkcemi Industrial Security
Aplikace se SCALANCE S623 Vytvoření demilitarizované zóny (DMZ) s Firewallem Zadání Síťový uživatelé (např. MES servery) by měly být přístupné z vnitřní i vnější sítě (Internet) bez toho, aby obě sítě byly přímo propojeny. Řešení Demilitarizovaná zóna DMZ může být vytvořena na žlutém portu SCALANCE S623, v které může být umístěn výše zmíněný server.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace se SCALANCE S623 Zabezpečený vzdálený přístup bez přímé komunikace s automatizačním segmentem Zadání Přístup k vzdálené sítí za pomoci Internetu a šifrovaného VPN tunelu.
Řešení Počáteční bod (např. systémový integrátor): např. SSC, CP1628 nebo SCALANCE M jako VPN klient Koncový bod (např. systém koncového klienta): SCALANCE S623 jako VPN server • Červený port: Připojení k síti provozu • Žlutý port: Připojení k modemu / routeru • Zelený port: Připojení k vnitřnímu segmentu © Siemens 2014. Všechna práva vyhrazena.
Výhody • • •
Zabezpečený přístup přes Internet nebo mobilní síť jako UMTS za pomoci virtuální privátní sítě VPN (protokol IPSec) Omezení přístupu integrovanými funkcemi firewallu Zabezpečený vzdálený přístup bez přímé komunikace s automatizačním segmentem díky DMZ protu SCALANCE S623
Industrial Security
Zabezpečená redundance s CP1628 a CP443-1 Advanced
Zadání Ochrana redundantních připojení mezi PC systémem a automatem S7-400H v provozech s vysokou dostupností.
Řešení VPN tunel je vytvořen mezi komunikačními procesory CP1628 a CP 443-1 Advanced, které dovolují přenos H-komunikace. Navíc CP1628 chrání PC systém od neautorizovaného přístupu díky integrovanému firewallu.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace se SCALANCE S627-2M Zabezpečené a redundantní propojení kruhů Zadání Dva kruhy mají být propojeny bezpečným a redundantním způsobem.
Řešení Kruh A je připojen přes porty prvního media modulu (červené porty) a kruh B je připojen pomocí portů druhého media modulu (zelené porty). S627-2M funguje jako router a firewall. Druhý redundantní SCALANCE S627-2M je připojen stejným způsobem a je v pohotovostním režimu kdykoliv připraven nahradit první S627. Synchronizaci konfigurací a sledování chybového stavu zařízení provádějí přes žlutý (DMZ) port. © Siemens 2014. Všechna práva vyhrazena.
*) Alternativně k MRP by oba kruhy mohly využívat protokol HRP
Výhody • Bezpečné redundantní propojení redundantních kruhů • Firewall kontrola komunikace mezi redundantními kruhy • Vysoká dostupnost sítě díky redundantnímu designu SCALANCE S627-2M Industrial Security
Řešený aplikační příklad s Radius serverem Scalance S s firewall user rules a Radius server autentizací
Řešený aplikační příklad:
Firewall uživatelská pravidla:
• SCALANCE S uživatelská firewall pravidla v kombinaci s Radius server autentizací • http://support.automation.siemens.com/WW/view/en/100630897
• Uživatel se autentizuje jmenem a heslem, pokud je známým uživatelem jsou mu přiřazena příslušná práva přístupu k zařízením (TCP/IP pravidla)
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikační příklad s Radius serverem II Scalance X300/XM400/XR500 a Radius server Zadání Klienti, kteří se chtějí přpojit do sítě
2
1
SCALANCE X300
Uživatelé musí být autentizováni pro přístup do sítě. Ale pro PLC nelze použít EAP protokol. Radius server pro 802.1x autentizaci EAP nebo MAC
Radius server MAC autentizace:
3
SCALANCE XM416-4C
SCALANCE XR528
• Klienti se autentizují EAP protokolem (např. PC), ale pro PLC systémy toto není možné. • Řešením je MAC autentizace na Radius serveru • Autentizovaný prvek je přiřazen do sítě (např. do správné VLAN) • Neautentizovaný prvek zůstává v Guest VLAN Nutný hardware: • Scalance XM400/XR500 od firmware V4.0 • Scalance X300 od firmware V3.9 • Radius Server sw – různí dodavatelé
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Děkuji za pozornost! Vladimír VladimírŠevčík Ševčík Promotér a konzultant Industrial & Routers PromotérSwitches & konzultant SCALANCE & RUGGEDCOM Simatic NET & SCALANCE Siemens, s.r.o. Industrial Switches & Routers Organizační úsek: DP PA Siemenova Mobil: +4201731 198 738 155 00 Praha 13 Email:
[email protected] Mobil: +420 731 198 738 E-mail:
[email protected] siemens.com/industrialsecurity www.siemens.com/industrialsecurity © Siemens 2014. Všechna práva vyhrazena. Industrial Security
