internet of thingsand industrial control system securitymarino.miculan/wordpress/wp-content/... ·...

Internet of Things and Industrial Control System Security

Udine, 26 Gennaio 2016

Chi sono?

IoT & ICS Security

Luglio 2010Laurea – Università degli Studi di Udine

2010 -2012Security Analyst – Accenture

2012 – ??Senior Security Consultant - Horizon Security

2014EcCouncil C|EH Certification

2015SANS ICS410: ICS/SCADA Security

Agenda

• Internet of Things Security

• Industrial Control System Security

• Demo

IoT & ICS Security

Evolution

IoT & ICS Security

“We shall be able to witness and hear events--the inauguration of a President , the playing of a world series game, thehavoc of an earthquake or the terror of a battle--just as though we were present.”

“When the wireless transmission of power is made commercial, transport and transmission will be revolutionized.Already motion pictures have been transmitted by wireless over a short distance. Later the distance will be illimitable,and by later I mean only a few years hence. Pictures are transmitted over wires--they were telegraphed successfullythrough the point system thirty years ago.”

“When wireless is perfectly applied the whole earth will be converted into a huge brain, which in fact it is, all things beingparticles of a real and rhythmic whole. We shall be able to communicate with one another instantly, irrespective ofdistance. Not only this, but through television and telephony we shall see and hear one another as perfectly as thoughwe were face to face, despite intervening distances of thousands of miles; and the instruments through which we shall beable to do his will be amazingly simple compared with our present telephone. A man will be able to carry one in his vestpocket”

An interview with Nikola Tesla by John B. Kennedy, 1926

Definizione di IoT

IoT & ICS Security

https://danielmiessler.com/blog/better-names-internet-of-things/

[ WIKIPEDIA ] The Internet of Things (IoT) is the network of physical objects or "things" embeddedwith electronics, software, sensors and connectivity to enable it to achieve greater value and service by exchanging data with the manufacturer, operator and/or other connected devices.!!

[ OXFORD ] A proposed development of the Internet in which everyday objects have network connectivity, allowing them to send and receive data.

[ MY PREFERRED ] The interface between the physical and digital world that allows one to gather information from —and control—everyday objects.


Definizione di IoT

IoT & ICS Security


[ WIKIPEDIA ] The Internet of Things (IoT) is the network of physical objects or "things" embeddedwith electronics, software, sensors and connectivity to enable it to achieve greater value and service by exchanging data with the manufacturer, operator and/or other connected devices.!!

[ OXFORD ] A proposed development of the Internet in which everyday objects have network connectivity, allowing them to send and receive data.

[ MY PREFERRED ] The interface between the physical and digital world that allows one to gather information from —and control—everyday objects.

Universal Daemonization. This is a name I came up with that attempts to capture the concept of every object being interactive using a universal protocol/API stack based on TCP/IP, HTTP, and REST-based web services. The name should be intuitive: everything gets a daemon.

Universal Object Interaction (UOI). This is a similar way of saying the same thing, but it could be that having three words will be better than two.

Transfurigated Phase Inversion. I don’t know what that means, but it’s better than Internet of Things

I(diozia) o T(ecnologia)


Things of IoT

IoT & ICS Security

Quello che le persone pensano di avere …

Things of IoT

IoT & ICS Security

Quello che le persone pensano di avere …

… quello che le persone effettivamente hanno!!

Things of IoT

IoT & ICS Security

Smart City … or Dumb City?

IoT & ICS Security

Smart City … or Dumb City?

IoT & ICS Security

Entro il 2020 ci saranno più di 50 miliardi di dispositivi connessi ad internet, i qualitrasformeranno il modo in cui viviamo e lavoriamo.

Top 7 Smart City nel mondo … ma anche più vulnerabili!!

• Santander, Spagna• New York City, USA• Aguas De Sao Pedro, Brasile• Songdo, Korea del Sud• Tokyo, Giappone• Hong Kong• Arlington County, Virginia, USA

Smart House

IoT & ICS Security

Smart Building

IoT & ICS Security

IoT & ICS Security

Smart Space

IoT Infrastructure Model

IoT & ICS Security

IoT Problem

IoT & ICS Security

Concerns have been raised that the Internet of Things is being developed rapidly without appropriate consideration of the profound security challenges involved and the regulatory changes that might be necessary.

In particular, as the Internet of Things spreads widely, cyber attacks are likely to become an increasingly physical (rather than simply virtual) threat. In a January 2014 article in Forbes, cybersecurity columnist listed many Internet-connected appliances that can already "spy on people in their own homes" including televisions, kitchen appliances, cameras, and thermostats.

Criticità

• Eterogeneità ed interoperabilità• Scalabilità• Gestibilità di grandi quantità di dispositivi• Mobilità• Sicurezza e privacy• Affidabilità• Sviluppo futuro

Aree di Rischio

• Accessibilità• Integrità• Identità e non ripudiabilità• Confidenzialità• Disponibilità• Ambiente• Sicurezza fisica (safety)

IoT Problem

IoT & ICS Security

NetworkServices, Protocol, Encryption, Firewall, Input, Providers, Third Party Access Point, etc

IoT Problem

IoT & ICS Security

Network

Application

Services, Protocol, Encryption, Firewall, Input, Providers, Third Party Access Point, etc

authN, authZ, Input Validation, Web BasedAttack, etc

IoT Problem

IoT & ICS Security

Network

Application

Mobile



Rooted Device, Malware APP, Insecure APIs, Lack of Encryption, etc

IoT Problem

IoT & ICS Security

Network

Application

Mobile

Cloud




yadda yadda AuthSessionAccess, Service Provider, etc

IoT Problem

IoT & ICS Security

Network

Application

Mobile

Cloud

IoT




yadda yadda AuthSessionAccess, Service Provider, etc

Network + Application + Mobile + Cloud = IoT

IoT Problem

IoT & ICS Security

Network

Application

Mobile

Cloud

IoT

IoT Problem

IoT & ICS Security

OWASP Top 10 IoTVulnerabilities

IoT & ICS Security

A1: Insecure Web Interface

A2: InsufficientAuthentication/Aut

orization

A3: InsecureNetwork Services

A4:Lack of Transport Encryption

A5: Privacy ConcernA6 : Insecure Cloud

InterfaceA8: Insecure Security

Configurability

A10: Poor PhysicalSecurity

A7: Insecure Mobile Interface

A9: InsecureSoftware / Firmware

L’OWASP, nel 2014, aveva creato una classifica delle TOP 10 vulnerabilità inerenti al mondo IoT, basata sull’esperienza della TOP 10 mantenuta per il mondo Web Application.

OWASP Top 10 IoTVulnerabilities

IoT & ICS Security

A1: Insecure Web Interface

A2: InsufficientAuthentication/Aut

orization

A3: InsecureNetwork Services

A4:Lack of Transport Encryption

A5: Privacy ConcernA6 : Insecure Cloud

InterfaceA8: Insecure Security

Configurability

A10: Poor PhysicalSecurity

A7: Insecure Mobile Interface

A9: InsecureSoftware / Firmware

L’OWASP, nel 2014, aveva creato una classifica delle TOP 10 vulnerabilità inerenti al mondo IoT, basata sull’esperienza della TOP 10 mantenuta per il mondo Web Application.

Si sono però accorti che non è sufficiente classificare delle vulnerabilità per definire la sicurezza dei dispositivi e del mondo IoT …

Different Approach

IoT & ICS Security

1. Let me check against this list of vulns;2. Let me check my favorite go-to issues;3. What common surface areas do IoT systems share that I need to make sure I don’t

miss?

Future of IoT

IoT & ICS Security

To a large extent, the future of the Internet of Things will not be possible without the support of IPv6; and consequently the global adoption of IPv6 in the coming years will be critical for the successful development of the IoT in the future.

In the future the Internet of Things may be a non-deterministic and open network in which auto-organized or intelligent entities, virtual objects will be interoperable and able to act independently depending on the context, circumstances or environments.

Agenda



• Demo

IoT & ICS Security

Tipologie di Control System

Che cosa è un ICS?

• Un dispositivo, o un insieme di dispositivi che gestiscono, comandano, dirigono e regolamentano il comportamento di altri dispositivi e sistemi

• Sistemi che collegano il mondo fisico al mondo cibernetico, indipendentemente dalla loro dimensione, siano essi grandi centrali energetiche o piccoli strumenti casalinghi

• Sono dispositivi che possono influenzare il mondo reale

Caratteristiche degli ICS

• Automatizzare i processi industriali, liberando il carico di lavoro all’uomo

• Fornire feedback sulla situazione nel campo e azionare processi

• Indipendentemente dal processo, i sistemi moderni sono sempre più spesso costruiti utilizzando gli stessi sistemi di campo

• Un processo complesso è quasi sempre composto da processi più piccoli

IoT & ICS Security


Che cosa è un ICS?

IoT & ICS Security


ICS Security Information Webinar

Tipologie di ICS

• DCS – Distribuited Control System• Insieme di controller digitali distribuiti geograficamente o funzionalmente su vasti siti industriali

• PCS – Process Control System

• Controllori elettronici dei processi manifatturieri

• EMS – Energy Management System

• Sistema utilizzato per monitorare, controllare e ottimizzare le performance dei sistemi di generazione e trasmissione di energia

• BMS – Building Management System

• Monitora e controlla le componenti elettroniche e meccaniche degli edifici

• SIS – Safety Instrumented System

• Effettua precise misurazioni e funzionalità di controllo per mantenere la sicurezza nel lavoro

• SCADA – Supervisory Control and Data Acquisition

• Differisce dagli altri per dimensione, è un insieme di processi su ampia scala che include numerosi siti su una vasta area geografica

• PLC-based system

• Un singolo processo ingegnerizzato e costruito attorno ad un PLC (Programmable Logic Unit) con dispositivi di input e output direttamente connessi al PLC stesso

Modelli Industriali –Infrastrutture Critiche

Le definizioni di Infrastruttura Critica variano nel mondo, ma elementi e riferimenti comuni tipicamente includono:

• Descrizione di oggetti fisici ed elettronici che costituiscono l’infrastruttura

• Identificazione delle comunicazioni che abilitano l’infrastruttura

• Conseguenze che possono impattare la pubblica sicurezza, la stabilità economica e il livello di difesa dello stato

L’Unione Europea promuove fortemente attività di ricerca, normative e regolamentazioni con la proposizione del EPCIP (European Program on Critical Infrastructure Protection).

Il Consiglio dell'Unione Europea ha emanato delle direttive relative all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione.

Inoltre fornisce una definizione di infrastruttura critica, per la quale intende "un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell'impossibilità di mantenere tali funzioni".

IoT & ICS Security

Modelli Industriali –Infrastrutture Critiche

Esempi di Infrastrutture Critiche:

• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il petrolio, il gas naturale, l’eolico, etc;

• Telecomunicazioni e telematica;

• Risorse idriche e gestione delle acque reflue;

• Agricoltura, produzione delle derrate alimentari e loro distribuzione;

• Sanità, ospedali e reti di servizi e interconnessione;

• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessità;

• Banche e servizi finanziari;

• Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico);

• Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze.

IoT & ICS Security

Evoluzione ICS

I sistemi industriali hanno subito una importante evoluzione di esposizione alle minacce di sicurezza negli ultimi anni.

Le misure di sicurezza dell’infrastruttura ICS non sono paragonabili all’attuale livello previsto sulle infrastrutture standard IT; le difese sono prevalentemente incentrate su una separazione fisica dal mondo esterno.

IoT & ICS Security

Evoluzione ICS



Malware Sofisticati e Complessi

A partire dal 2010 si è verificata una escalation di malware con target il contesto ICS:

Es. Stuxnet, Duqu, Flame

IoT & ICS Security

Evoluzione ICS






Attivismo Politico

Organizzazioni a livello mondiale orientano le proteste politiche e sociali con il sabotaggio di Impianti

industriali.

Es.Anonymous, Lulzsec

IoT & ICS Security

Evoluzione ICS






Attivismo Politico


industriali.


L’incremento delleinterconnessioni con il mondo

esterno richiede l’innalzamento dellemisure a protezione delle infrastrutture ICS:

Sistemi di Business, Terze Parti, Proliferazioni delle reti (WiFi, 3G), Mobilità delle persone e dei dati, etc.

Convergenza IT

IoT & ICS Security

Evoluzione ICS






Attivismo Politico


industriali.


La digitalizzazione delle informazionie la loro mobilità e fruibilità ha incrementato esponenzialmente le probabilità di furto, distruzione perdita di informazioni sensibili.

Furto d’Informazioni




Convergenza IT

IoT & ICS Security

Evoluzione ICS






Attivismo Politico


industriali.


La digitalizzazione delle informazionie la loro mobilità e fruibilità ha incrementato esponenzialmente le probabilità di furto, distruzione perdita di informazioni sensibili.

Furto d’Informazioni




Convergenza IT

ICSCyber Security

IoT & ICS Security

Differenze tra IT e ICS

IT ICS TrendCapacità di trasmissione elevata, ma non real-time

Real-time, ritardi non sono accettati Ci sono delle emergenti similitudini tra il mondo mobile ed embedded

La disponibilità è importante, con finestre di manutenzione e modifiche ai sistemi pianificate

La disponibilità è di primaria importanza e i cambiamenti ai sistemi sono pianificati nei fermi industriali o gestiti con sistemi ad alta ridondanza

ICS, storicamente, ha evitato di gestire la manutenzione el’aggiornamento dei sistemi, ma di recente ha accettato usi e pratiche del mondo IT

I profili di rischio salvaguardano le informazioni e l’integrità dei sistemi (dati)

I profili di rischio coinvolgono l’incolumità dell’operatore umano, la sicurezza degli strumenti e la protezione del sistema industriale (vita)

Statico

Ambienti di lavoro standard e data-center controllati dal punto di vista ambientale

Impianti industriali e di campo richiedono strumenti che siano in grado di operare a condizioni estreme (temperature, polvere, vibrazioni, etc.)

I dispositivi mobile sono progettatiper tollerare le condizioni di campo

Le differenze tra il mondo IT e il mondo ICS sono molte e di varia natura.

A partire da una differenza culturale tra le persone (operative ed informatiche) fino ad arrivare ad una diversa natura degli strumenti e lo scopo che devono perseguire.

IoT & ICS Security


IT ICS TrendStrumenti di sicurezza sono creati per sistemi e applicazioni specifiche

Gli strumenti di sicurezza devono essere adattati per gli ambienti industriali

Alcuni strumenti di sicurezza stanno cominciando ad essere progettati specificatamente per lCS

Sistemi operativi comuni Mix tra sistemi operativi comuni e sviluppi custom ad-hoc per il processo industriale (RTOS – Real Time Operating System)

L’utilizzo di sistemi operativi comuni sta riemergendo in ambito ICS;Nel mondo mobile sono utilizzati sistemi RTOS

Abilità e competenze generiche sufficienti per manutenzione e supporto

Specifiche conoscenze di campo e persone dedicate con competenze ad-hoc

Funzioni IT generiche cominciano a supportare funzionalità e applicazioni ICS

Energia e memoria standard e facilmente espandibili

Energia e memoria sono spesso limitate e costrette allo specifico sistema

I componenti di campo stanno diventando sempre più potenti e capaci

Utilizzo di protocolli di comunicazione standard, molto con funzionalità di sicurezza

Misto di protocolli proprietari e protocolli industriali open

Statico, alcuni protocolli ICS stanno aggiungendo funzionalità di autenticazione

Ciclo di vita breve, 3-5 anni Ciclo di vita lungo, 10-18 anni Avvio a soluzioni in grado di cambiare più rapidamente nel mondo ICS (software)

Utilizzo di capacità di calcolo sempre maggiori

Scarse potenzialità di calcolo, dovuto alla necessità di avere poche operazioni da eseguire

Anche i sistemi ICS stanno aumentando le funzionalità degli strumenti di campo

IoT & ICS Security


IT ICS TrendUtilizzo di capacità di calcolo sempre maggiori


Anche i sistemi ICS si stanno potenziando con l’aumento delle funzionalità degli strumenti di campo

Supporto e manutenzione disponibili da molte parti (vendor, outsourcing, contractor, etc.)

Manutenzione e supporto sono tipicamente forniti dal vendor o da terze parti certificate

Statico

Integrazione di dispositivi personali (BYOD)

Tradizionalmente limitato all’utilizzo di sistemi dedicati

ICS sta aprendo all’utilizzo di dispositivi mobili e tablet

Difficoltà di effettuare whitelisting Grande abilità nel whitelistingdovuta alla natura statica e deterministica dell’ambiente

L’ambiente ICS sta diventando più complesso e sta espandendo l’utilizzo di strumenti ed applicazioni di terze parti

Componenti interconnessi ma geograficamente vicini (internet, Datacenter)

Componenti non connessi ad internet, ma geograficamente distanti e distribuiti sul suolo mondiale (SCADA)

Alcuni sistemi di campo stanno aprendo alla connessione versointernet

IoT & ICS Security


IT ICS TrendUtilizzo di capacità di calcolo sempre maggiori


Anche i sistemi ICS si stanno potenziando con l’aumento delle funzionalità degli strumenti di campo

Supporto e manutenzione disponibili da molte parti (vendor, outsourcing, contractor, etc.)

Manutenzione e supporto sono tipicamente forniti dal vendor o da terze parti certificate

Statico

Integrazione di dispositivi personali (BYOD)

Tradizionalmente limitato all’utilizzo di sistemi dedicati

ICS sta aprendo all’utilizzo di dispositivi mobili e tablet

Difficoltà di effettuare whitelisting Grande abilità nel whitelistingdovuta alla natura statica e deterministica dell’ambiente

L’ambiente ICS sta diventando più complesso e sta espandendo l’utilizzo di strumenti ed applicazioni di terze parti

Componenti interconnessi ma geograficamente vicini (internet, Datacenter)

Componenti non connessi ad internet, ma geograficamente distanti e distribuiti sul suolo mondiale (SCADA)

Alcuni sistemi di campo stanno aprendo alla connessione versointernet

CIA vs AIC – La disponibilità è l’interesse primario per i sistemi ICS?

IoT & ICS Security

Architettura di riferimento

Architettura di riferimento suddivisa in livelli e in zone.

I componenti, i servizi e le funzionalità dei diversi sistemi sono inserite in una struttura a livelli.

Tali livelli sono ordinati dal basso verso l’alto in ordine di trust, ciò vuol dire che il livello inferiore sarà quello più sicuro ma anche più sensibile in termini di rischio per l’impianto.

I livelli sono a loro volta raggruppati in 3 Zone logiche, rappresentanti differenti livelli di segmentazione:

• Business Zone• Demilitarized Zone• Operations Zone

Architettura di riferimento proposta dal SANS: https://www.sans.org/industrial-control-systems/resources

IoT & ICS Security

Architettura di riferimento

Architettura di riferimento suddivisa in livelli e in zone.

I componenti, i servizi e le funzionalità dei diversi sistemi sono inserite in una struttura a livelli.

Tali livelli sono ordinati dal basso verso l’alto in ordine di trust, ciò vuol dire che il livello inferiore sarà quello più sicuro ma anche più sensibile in termini di rischio per l’impianto.

I livelli sono a loro volta raggruppati in 3 Zone logiche, rappresentanti differenti livelli di segmentazione:

• Business Zone• Demilitarized Zone• Operations Zone

IoT & ICS Security

Security Lifecycle – NERC CIP

IoT & ICS Security

Tipical Layout

IoT & ICS Security

Casi Reali di Incidenti Informatici

Giugno 1999 – Una combinazione di eventi porta all’esplosione di una tubatura di benzina causando 3 morti e danni per oltre 50M di dollari (Olympic Pipeline –Washington). Una causa dell’evento è da ricondursi ad un’errata configurazione di un historian il quale ha causato un delay e un rallentamento nelle trasmissioni di dati (da 3 secondi a oltre 6 minuti) rendendo il sistema SCADA incapace di avere informazioni real-time e di operare di conseguenza.

IoT & ICS Security



Febbraio-Aprile 2000 – Oltre 3000 mq di acque nere vengono scaricati in parchi e fiumi danneggiando la vita marina e la salute delle persone della zona (Maroochy, Queensland). La causa è una serie di attacchi (46 in 3 mesi) attuati da un hacker; Vitek Boden ha utilizzato apparecchi radio commerciali e software SCADA rubato per far apparire il proprio laptop come una stazione di pompaggio dell’acqua.

IoT & ICS Security



Agosto 2003 – Il worm Slammer infetta la centrale nucleare di Davis Besse (Ohio) e rende inutilizzabile per 5 ore il sistema di monitoraggio della sicurezza. Il worm si è propagato nella rete di processo tramite la rete corporate di una terza parte.


IoT & ICS Security



Agosto 2003 – Il worm Slammer infetta la centrale nucleare di Davis Besse (Ohio) e rende inutilizzabile per 5 ore il sistema di monitoraggio della sicurezza. Il worm si è propagato nella rete di processo tramite la rete corporate di una terza parte.


Agosto 2006 – 2 ingegneri del traffico, dipendenti dell’azienda dei trasporti di Los Angeles, hanno modificato il comportamento di alcuni semafori allungando il tempo del rosso nei momenti di picco di traffico su strade e incroci molto trafficati (da e per l’aeroporto) causando ingorghi e caos.

IoT & ICS Security


Gennaio 2008 – Un ragazzo di 14 anni di Lodz, Polonia, modifica un comune telecomando a infrarossi per manomettere il sistema di controllo dei tram della città, causando il deragliamento di 4 veicoli e il ferimento di 12 persone.

IoT & ICS Security



Luglio 2010 – Viene scoperta Stuxnet, la più famosa minaccia informatica del mondo ICS, la quale dà inizio all’era del cyberwarfare.Un attacco complesso e ben indirizzato (APT) ha messo fuori uso la centrale nucleare iraniana di Natanz; il malware è stato veicolato tramite una chiavetta USB. Molte altre minacce sono state costruite sulla base di Stuxnet (Duqu, Flame, Equation).

IoT & ICS Security



Dal 2010 si intensificano i movimenti di Hacktivism e Cyber-Espionage spinti da associazioni attivisti e pirati informatici (quali Anonymous, Lulzsec, etc.). Per la maggior parte si tratta di campagne di DDoS e defacciamento di portali web.


IoT & ICS Security



Dal 2010 si intensificano i movimenti di Hacktivism e Cyber-Espionage spinti da associazioni attivisti e pirati informatici (quali Anonymous, Lulzsec, etc.). Per la maggior parte si tratta di campagne di DDoS e defacciamento di portali web.


Dal 2010 in poi sono aumentate in modo vertiginoso le segnalazioni di vulnerabilità nel mondo ICS, segno di una crescente attenzione alla realtà industriale e alla relativa sicurezza informatica che è messa sempre più a dura prova da crescenti attacchi ed interesse.

IoT & ICS Security

Agenda



• Demo

IoT & ICS Security

Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:

Superfici di Attacco

Perché attaccare i Siti Industriali?

IoT & ICS Security




• Dipendente corrotto o scontento

IoT & ICS Security




• Ethical Hacking Errato (gray hat)


IoT & ICS Security





• Riconoscimento dei propri pari


IoT & ICS Security






• Hacktivismo


IoT & ICS Security






• Hacktivismo

• Spionaggio Industriale


IoT & ICS Security






• Hacktivismo


• Guadagno (o rovina) Finanziario


IoT & ICS Security






• Hacktivismo



• Azioni Terroristiche


IoT & ICS Security






• Hacktivismo




• Spionaggio Nazionale e Governativo


IoT & ICS Security






• Hacktivismo




• Spionaggio Nazionale e Governativo

• Cyber Warfare


IoT & ICS Security


IoT & ICS Security


IoT & ICS Security

• Attacchi alle HMI e Workstation

• Dispositivi USB infetti;

• Social Engineering;

• Phishing, Spear Phishing e Water Holing;

• Password deboli o di default;

• Malware (worm, virus, APT, etc.);

• Attacchi Web Based:

• Weak Session Management;

• SQL Injection;

• Cross-Site Scripting (XSS);

• Cross-Site Request Forgery (XSRF);

• File Inclusion;

• DoS;

• Attacchi ai Server di Controllo

• Configurazioni di default e/o errate;

• Assenza di patch di sicurezza;

• Buffer Overflow & Remote Code Execution;

• Historian & Database;

• Input Validation;

• Attacchi alla Rete

• Protocolli in Chiaro;

• MiTM – Man in The Middle;

• Spoofing;

• Fuzzing;

• Wireless Attack;

• Protocolli Seriali;

• Attacchi ai Dispositivi di Campo

• Accesso Fisico;

• Interfacce di Management;

• Dispositivi Embedded;

• Firmware;

ICS Security Information Webinar

La necessità di mantenere sempre operativi i sistemi comporta l’impossibilità di effettuareuna pianificazione per le patch di sicurezza.Considerata la lentezza del ciclo di vita di questi sistemi (10-15 anni) e l’elevata velocità discoperta di nuove vulnerabilità (più di 10 ogni giorno), i sistemi industriali sono soggetti anumerosissime vulnerabilità che non sono mai state sanate. Da tali vulnerabilità vengonocreati specifici exploit e malware che riescono a sfruttarne le debolezze per poterprendere il controllo del sistema.

Il grafico di sinistra rappresenta un esito «medio» di VA effettuati su sistemi IT, mentrequello di destra riporta i valori «medi» di VA effettuati su sistemi ICS.

Assenza di Patch di Sicurezza


Defense in Depth

IoT & ICS Security

Applicare il concetto di Defense in Depth, tra gli altri, è fondamentale per potersegmentare le superfici di attacco e ridurre le probabilità che uno di essi vada a buon fine.

Defense in Depth

IoT & ICS Security

Quello visto in precedenza era un modello tipico di Defense in Depth, ma quelloevidenziato in questa figura rappresenta ciò che probabilmente risulta nella realtà.

Difesa Perimetrale

IoT & ICS Security

Applicare il concetto di Difesa Perimetrale, tra gli altri, è fondamentale per poterproteggere i confini esterni dell’infrastruttura, senza dover mettere in sicurezza ognisingolo dispositivo o componente interno.

Difesa Perimetrale

IoT & ICS Security

Quello visto in precedenza era un modello tipico di Difesa Perimetrale, ma quelloevidenziato in questa figura rappresenta ciò che probabilmente risulta nella realtà.

Business Zone

DMZ

External Network

Operation Zone

Internet Remote Support

Serial Link


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone

InternetInfected LaptopRemote Support

Serial Link


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone

InternetInfected LaptopMalware in

Corporate NetworkRemote Support

Serial Link


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone

InternetInfected Laptop

MisconfiguredFirewall

Malware inCorporate Network

Remote Support

Serial Link


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone

InsecureRemote SupportInternetInfected Laptop



Serial Link


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi


Serial Link


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi


Serial Link

InsecureModem


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi

Third Party Issue


Serial Link

InsecureModem


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi

Third Party Issue

InfectedUSB Key


Serial Link

InsecureModem


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi

Third Party Issue

InfectedUSB Key

SyncMisconfig


Serial Link

InsecureModem


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi

Third Party Issue

InfectedUSB Key

SyncMisconfig


ApplicationMalware Exploit

Serial Link

InsecureModem


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi

Infected PLC Logic

Third Party Issue

InfectedUSB Key

SyncMisconfig



Serial Link

InsecureModem


IoT & ICS Security

Business Zone

DMZ

External Network

Operation Zone



Insecure WiFi

Infected PLC Logic

Third Party Issue

InfectedUSB Key

SyncMisconfig



InsecureSerial Link

InsecureModem


IoT & ICS Security

Attack Process

IoT & ICS Security

Surveillance

System Mapping

Initial Infection & Compromise

Information Exfiltration

Preparing the Final Attack

Testing Incident Detection & Response

Launch the Attack

Attacchi Ipotetici

IoT & ICS Security

Turbine Overspeed – Power Generation• Disable overspeed shutdowns, disconnect load• Phishing scam posing as ICS cyber-security research firm

Ammonia Plant Explosion• Manipulate heating during process, disable alarms and

safety system, increase CO in methanator• Disgruntled employee

Boiler Explosion• Stop feedwater, overheat drum,

reintroduce feedwater• Weaponized proof-of-concept

exploit from white-hat researcher

Demo

IoT & ICS Security

Horizon Security. Grazie per l'attenzione.

www.horizonsecurity.it

Filippo Morgan+39 342 [email protected]

internet of thingsand industrial control system securitymarino.miculan/wordpress/wp-content/... ·...

Documents