Security in a changing DSO world “We zijn geen kauwgomballenfabriek…”
~/$ whoami Ing. Erwin Kooi, MSIT CISSP SCP RCX … Information Security Architect bij Alliander, Digitale Netten
Primaire focus op ICS en “nieuwe ontwikkelingen” Achtergrond in gezondheidszorg IT en energie IT
[email protected], PGP key 0x45914eee Nerd creds: µControllers (AVR FTW!), 3D printing, lockpicking, Club Mate en egeltjes, ((ma)eb)db (ma)ebdb (ma)1mod((nb)) (ma)1 + k (nb) ma (ma)k (nb) ma ((ma)(nb) )k ma (1)k ma mod(nb)
Wat is Alliander? Electriciteit distributie Klanten: 3,0 M Net / Stations: 88.000 km / 48.000
Gas distributie Klanten: Net / Stations:
2.7 M 42.700 km / 1500
€ 7700 M balanstotaal € 1700 M netto omzet € 570 M investeringein 7170 medewerkers 921 Kton CO2 uitstoot 19.9 storingsverbruikersminuten
Energiedistributie Balanceren tussen vraag en aanbod • Teveel aanbod -> net in onbalans (> 50,5 Hz / > 253V) • Teveel vraag -> net in onbalans < 49,5 Hz / < 207 V)
Renewable energy
Flexible production
Peak Wind
Semi-peak
Base
Base
0H
Sun
24H
0H
24H
2014: terugleverinstallaties van 47.617 naar 72.804, Laadpunten van 5876 naar 12114 4
Een voorbeeld…
Een voorbeeld…
Een voorbeeld…
Een voorbeeld…
Een voorbeeld…
Een voorbeeld…
Een voorbeeld…
Een voorbeeld… 12 december 2007 19:05 - GRIP4 50.000 huishoudens zonder elektriciteit
Lijnen doorgesneden boven 600m brede, snel-stromende rivier Meer dan 48 uur voordat laatste huishouden weer aangesloten was
€ 8 M schade € 4 M compensatie voor SVBM Maar de lijn werd op het moment van het ongeluk voor slechts 3% belast…
Real life example
Smart grids FTW! Uitbreiden van bewaken/besturen op middenspanningsniveau (10kV / 20kV) Slim laden van elektrische auto’s Energieopslag (voor balancering) Home Energy Management Flexibel schakelen openbare verlichting
s
15
SCADA?
ISBN 978-1491275122
16
ISC/SCADA/DCS/PCS/WTFBBQ Industrial Control System Supervisory Control And Data Acquisition Distributed Control System Process Control System
ICS: alles: SCADA: groot geografisch gebied DCS: een locatie PCS: een stap in het proces
OS Winselingseweg – oud SCADA
OS Winselingseweg – nieuw SCADA
RTU = Remote Terminal Unit
HMI = Human-Machine Interface (MMI)
(PLC = Programmable Logic Controller)
OS Winselingseweg – installatie
Op geografisch verspreide locaties,
Op geografisch verspreidere locaties
En centraal bestuurd
Smart grids FTW! Uitbreiden van bewaken/besturen op middenspanningsniveau (10kV / 20kV) Slim laden van elektrische auto’s Energieopslag (voor balancering) Home Energy Management Flexibel schakelen openbare verlichting
NIST Smart Grid Framework 2.0 (simplified model)
Van kasteel…
26
…naar hotel
27
Smart grids FTW! Uitbreiden van bewaken/besturen op middenspanningsniveau (10kV / 20kV) Slim laden van elektrische auto’s Energieopslag (voor balancering) Home Energy Management Flexibel schakelen openbare verlichting Maar… erg complex en business maakt zich niet druk over • 0-days • 1024bit / 2048bit / >4096bit keys • SHA-3 / AES-ECB/CBC/XTS/OCB (ai, patents…) / Dual_EC_DRBG (en dat moeten ze ook niet!)
OMG
Average IT security expert
Dus…
Alliander security Alliander resilience visie*: “Alliander is een weerbare organisatie die anticipeert op een scala aan dreigingen gericht op het moedwillig verstoren van onze kerntaken.” Alliander security definitie: “Het tot een aanvaardbaar risiconiveau beschermen van informatie, materieel en mensen, tegen mogelijke schade als gevolg van moedwillig menselijk handelen, met als doel de sociale veiligheid en de continuïteit en kwaliteit van onze diensten te kunnen waarborgen.” * Mede-ondertekenaar van de WEF resilience principes
Alliander security
Alliander security Alliander resilience visie*: “Alliander is een weerbare organisatie die anticipeert op een scala aan dreigingen gericht op het moedwillig verstoren van onze kerntaken.” Alliander security definitie: “Het tot een aanvaardbaar risiconiveau beschermen van informatie, materieel en mensen, tegen mogelijke schade als gevolg van moedwillig menselijk handelen, met als doel de sociale veiligheid en de continuïteit en kwaliteit van onze diensten te kunnen waarborgen.” * Mede-ondertekenaar van de WEF resilience principes
Menselijk handelen? De regen probeert de paraplu niet te ontwijken…
Menselijk handelen? …een reiger wel!
Menselijk handelen Kans x impact = risico (pindakaas x straalmotor = glanzend) • Asset Management statistische aanpak • Werkt niet voor gemotiveerde aanvallers
De natuur is er niet op uit om je te grazen te nemen (is althans niet bewezen) Sommige mensen wel, gemotiveerde aanvallers Ander risicomodel (socio-economisch complex systeem) -> speltheorie Skiddies / hobbyist / researchers / criminal / states Capability / Motivation / Opportunity
Security aanpak
Security aanpak Baseline + aanvullende maatregelen en • detectie • detectie • detectie + flexibele reactie -> CERT / CSIRT Cyber inbreuken zullen voorkomen me • Voorkom stommiteiten • detecteer en reageer op de anderen “Design and build for failure”
me too
Design and build for failure 1e college civiele techniek
Design and build for failure 1e college elektrotechniek
Design and build for failure? 1e college informatica:
#include <stdio.h> int main(void) { printf(“Hello world!”); } Bonuspunten: ontdek de fout(-en) in dit programma.
Failure is not an option… “Black out” van Oostenrijkse schrijver Marc Elsberg
ISBN 978-9000315352 Een Europees blackout scenario met zijn impact op de samenleving via een paar slimme meter / SCADA hacks
Verbieden of verplichte kost?...
Failure is not an option… Energiebedrijven moeten virtuele voordeur vergrendelen, maar wie trekt de buidel? AMSTERDAM (Energeia)- Analoog aan de vergroening moet er ter financiering van de beveiliging van de stroomvoorziening tegen fysieke gevaren en tegen gevaren in cyber space een opslag op de stroomprijs komen. Dat zegt Jaap Schekkerman, directeur Global Cyber Security bij CGI. Energiebedrijven realiseren zich heel goed dat er iets moet gebeuren, maar de kosten die dit met zich meebrengt zijn volgens Schekkerman niet te financieren uit de huidige stroomprijs. Probleem: massale desinteresse bij publiek en politiek.
Jaap Schekkerman
Detecteren en flexibel reageren Reageren op wat? En wat is een incident eigenlijk?
Meten is weten (als je weet wat je meet)
Meten is weten “Data Driven Security” van Jay Jacobs en Bob Rudis (Verizon DBIR) ISBN 978-1118793725 “From hunch and best-practice to data, basing your security on solid measurements and analysis”
Detectie Wat gebeurt er om me heen? Kwetsbaarheden (heb ik de bewuste kwetsbare producten?) • Penetratietesten op RTU’s en PLC Onderzoek (is mijn baseline nog steeds afdoende?) Trends in aanvallen en aandacht (verandert mijn risicoprofiel?) Responsible Disclosure
Detectie Huidige IDS sterk gericht op IT How low can you go? • IEC 60870-5-101 / -104? • IEC 61850? GOOZE? • ICCP? • Modbus?
Maar een babbelende Windows of *NIX op mijn 104 netwerk is nooit acceptabel = eenvoudig te detecteren. Bekende bots zijn nooit acceptabel = eenvoudig te detecteren Wat vertellen je huidige devices je (en luister je eigenlijk wel naar ze?)
Detectie Leveranciers zijn bezig met een inhaalslag SCADA protocols niet langer exotisch
Pilots in ons 104 netwerk met anomaly detection: • 5 mins training -> 7 false positives in een week • 1 dag training -> 3 false positives in een maand Handelbaar!
Maar wie gaat de logs en alerts monitoren?
Detectie IDS -> IPS strategie Hangt af van de plek in het netwerk • Bekende rottigheid (signature-based) automatisch blokkeren? • Anomalieën ter beoordeling van een mens? Received From: 192.168.265.12->/var/log/auth.log Rule: 5712 fired (level 10) -> "SSHD brute force trying to get access to the system." Src Location: US,Pennsylvania,Scranton Portion of the log(s): Mar 12 04:39:33 vs3547 sshd[25648]: Invalid user user from 66.197.183.133 Mar 12 04:39:33 vs3547 sshd[25622]: Invalid user x from 66.197.183.133 Mar 12 04:39:29 vs3547 sshd[25514]: Invalid user mmroot from 66.197.183.133 Mar 12 04:39:28 vs3547 sshd[25482]: Invalid user kai from 66.197.183.133 Mar 12 04:39:24 vs3547 sshd[25373]: Invalid user mythtv from 66.197.183.133 Mar 12 04:39:21 vs3547 sshd[25255]: Invalid user postgres from 66.197.183.133 Mar 12 04:39:19 vs3547 sshd[25180]: Invalid user prueba from 66.197.183.133 Mar 12 04:39:17 vs3547 sshd[25149]: Invalid user db2inst1 from 66.197.183.133
Detectie / correlatie Niet alleen netwerk en systeem events, maar ook de omgeving (NOTE: dit introduceert weer hele nieuwe interessante kwetsbaarheden… security devices != secure devices) https://blogs.cisco.com/tag/playbook/ • Jeff Bollinger • Brandon Enright
Detectie – SIEM Console processor
processor
processor
Nflow
flow
flow
log
IT DC 1 & 3
log OT DC 1
log OT DC 2
Liander Control Room
Reactie – beperken en oplossen SOC team • Ook het team dat kwetsbaarheidsanalyses / dreigingsanalyses doet • Ook het team dat monitort • Diepgaande kennis nodig van de operationele / business processen Voorbereiden, afstemmen en mandateren van standaard scenario’s • Tijdelijk ontkoppelen van een station van het bedrijfsvoeringscentrum • Herstart van systemen in het bedrijfsvoeringscentrum Escaleren naar crisisteam voor niet-gemandateerde scenario’s • Uitschakelen van een station • Uitschakelen SCADA netwerk • Uitschakelen Internetverbinding
Reactie – beperken en oplossen
Reactie – beperken en oplossen IT IR aanpak: Red de server! Kill het proces! OT IR aanpak: Red het proces! Kill de server!
And then there is forensics… Generiek IR proces (ISO 27035) • Identify/Triage – initiele inschatting • Mobilize – stel een reactieplan op en maak middelen vrij • Manage – voer het plan uit en stel bij waar nodig • Resolve – stel een oplos plan op en stem dit af met de business • Finalize – documenteer de geleerde lessen, plussen en delta’s
Oude aanpak
Nieuwe aanpak
Nieuwe aanpak
Reactie – beperken en oplossen virustotal.com / malwr.com (cuckoo sandbox) / inetsim.org / Remnux Wat doet de malware? • Welke kwetsbaarheden worden misbruikt • Welke executables worden gedropt • Welke URL’s worden benaderd • Hoe overleeft het reboots, hoe ontwijkt het detectie • Zijn wij het doelwit Kunnen we IoC’s afleiden en hebben we deze dan op andere plaatsen gezien? Wapenwedloop tussen malware schrijvers en onderzoekers
Reactie – beperken en oplossen Dit is niet onze kern competentie, maar we moeten wel snappen wat er gebeurt Het team wordt anders ingericht en uitgebreid -> skillz? Hackers!
Reactie – beperken en oplossen Fixen or mitigate? Fixen kan vaak alleen met een patch van de leverancier En dan moeten we de patch nog uitrollen zonder downtime (en wie heeft een 100% accurate CMDB?) Mitigeren met andere maatregelen • In het netwerk • Op het systeem • Door gebruikers Mitigeren koopt je wat tijd en/of het verlaagt het risico tot aanvaardbare levels
Reactie – evalueren & leren Delen van IoC’s en incidenten with leveranciers and community Daar is vertrouwen voor nodig tussen leveranciers, concullega’s en community. • Dit soort sessies, bier en stroopwafels helpen daarbij Incidenten zijn input voor continue verbetering, niet direct om schandpalen te vullen