Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Security: Laat je inspireren en neem actie! 1

Security: Laat je inspireren en neem actie!

Brecht Schamp Network & Security Specialist Phoenix Contact

Security: Laat je inspireren en neem actie! 2

Security Auditor tijdens Blackhat 2006

Source: David Maynor & Robert Graham, Internet Security Systems

Is er sindsdien iets veranderd?

Security: Laat je inspireren en neem actie! 3

Security: ICT vs. industrie • Andere prioriteiten ‐ (A)vailability, (I)ntegrity, (C)onfidentiality – ICT: C‐I‐A  – Industrie: A‐I‐C • Updates: niet (don’t touch a running system) of vertraagd • Bij aanval niet onmiddellijk platgooien

• Realtime eisen belangrijker • Ander soort data • Locatie security hardware – ICT: Centraal • Firewall waar internet binnen komt

– Industrie: Decentraal • Zo dicht mogelijk tegen de machine

Security: Laat je inspireren en neem actie! 4

Applicatie 1: Security @ containerterminal

Security: Laat je inspireren en neem actie! 5

Logistieke marathon 24/365:  • Waar hebben we het over? > 7miljoen ton per jaar > 30 containerkranen   > 250 AGV’s > 2000 werknemers

• Volautomatisch communicatienetwerk • Veiligheid van personeel en goederen garanderen

Security: Laat je inspireren en neem actie! 6

Security maatregelen 1. Verregaande authenticatie voor beveiliging &  traceerbaarheid 2. Redundantie moet de uptime garanderen 3. Doorgedreven filtering van het dataverkeer 4. Fysieke beveiliging

Security: Laat je inspireren en neem actie! 7

1. Verregaande authenticatie • Rechten centraal geregeld adhv RADIUS  authenticatie • User firewall funcionaliteit voor tijdelijke toegang • Uitgebreide logging voor traceerbaarheid & forensics 2. 1.

4.

3.

Security: Laat je inspireren en neem actie! 8

Redundantie • Redundante rekencentra: 2 redundante controlecentra sturen de automatisering en  verzekeren een hot‐standby backup van de data

• Netwerkredundantie: Switch als glasvezel medium converter  en maakt snelle omschakeling naar een  radiolink backup toe

Security: Laat je inspireren en neem actie! 9

Decentrale Security Decentrale filtering houdt regels overzichtelijk, uniform en verhoogt security  niveau in een industrieel netwerk

Security: Laat je inspireren en neem actie! 10

Fysieke beveiliging • Toegangsbewaking aan de poort • Ruimtes en kasten afgesloten: – sleutels, badges of toegangscodes

• Layer 1 security elementen tegen menselijke fouten

Security: Laat je inspireren en neem actie! 11

Applicatie 2: Mobiele camerabewaking

Security: Laat je inspireren en neem actie! 12

Fysieke bewaking moet secure • Mobiel & snelle ontplooiing • Communicatie: – Sturing van camera – Opvragen en streamen van camerabeelden – Mondelinge waarschuwingen via speaker

• Stabiliteit 24/7 • Beveiligde verbinding overal ter wereld

Security: Laat je inspireren en neem actie! 13

Security Maatregelen • Hoogperformante IPsec VPN tunneling – – – – – –

Uitgaand naar een centrale VPN gateway Redundante centrale & actieve monitoring Lokale en remote logging voor diagnose en forensics Op certificaten gebaseerde authenticatie Hardware‐ondersteunde encryptie Filtering binnen VPN tunnel

• Fysieke beveiliging door via unit zelf

Security: Laat je inspireren en neem actie! 14

Uitgaande VPN verbindingen in het veld • Uitgaande tunnels kunnen met elk standaard data‐ abonnement • Port Forwarding enkel eventueel in de centrale noodzakelijk

Security: Laat je inspireren en neem actie! 15

Redundante centrale & actieve monitoring • Specifieke maatregelen voor een hoge uptime – – – –

De centrale infrastructuur is redundant Verbindingen in het veld worden continu actief getest UPS systemen zowel centraal als in het veld aanwezig 2 SIM‐kaarten voor provider redundantie in het veld

“This redundant system is redundant.”

Security: Laat je inspireren en neem actie! 16

Op certificaten gebaseerde authenticatie • X.509 is een internationaal erkende standaard voor  certificatie‐infrastructuren • Hiërarchisch systeem • Optioneel revocatie‐mechanisme • Gegevens van het certificaat worden gebruikt voor: – Authenticatie – Integriteitscontrole – Geheimhouding

Security: Laat je inspireren en neem actie! 17

Hardware‐ondersteunde encryptie • Hardware versneld • Asymmetrische encryptie • Performantie genoeg voor – streamen van audio – streamen van video – controlesignalen 

over het mobiele 2G & 3G netwerk

Security: Laat je inspireren en neem actie! 18

Filtering binnen VPN tunnel • Ook VPN tunnels vormen een ingang naar je netwerk Firewall binnen VPN tunnel • Beperkte toegang tot het noodzakelijke – In‐ en uitgaand – Op basis van IP‐adressen, poortnummers en protocollen – Nodige logging van gebeurtenissen

Security: Laat je inspireren en neem actie! 19

Basisprincipes security in industriële netwerken • • • • • • • •

Het principe van de denkbeeldige koepel Wat moet, mag. Wat niet moet, mag niet. Uitgebreide segmentatie Default‐Deny Security by obscurity is geen goed idee Air gaps zijn niet voldoende Security is meer dan het inzetten van een module Defense in depth

Security: Laat je inspireren en neem actie! 20

Security aanpak

Proactieve security

Periodiek herhalen!

20  / Name / Department /  Date

Security: Laat je inspireren en neem actie! 21

Security: Laat je inspireren en neem actie! 22

Links •

IAS – Industrial Automation Security –

•

Phoenix Contact België –

•

http://www.iso.org

CERT –

•

http://www.isa‐99.com/

ISO – International Organization for Standardization –

•

http://www.innominate.com

ISA99 – Industrial Automation and Control Systems Security –

•

http://www.phoenixcontact.be

Innominate (Phoenix Contact dochteronderneming) –

•

http://www.industrialautomationsecurity.com

https://www.cert.be/

US CERT –

http://www.us‐cert.gov/

Security: Laat je inspireren en neem actie! 23

Brecht Schamp Industrial Network & Security Specialist Phoenix Contact [email protected]