internet of thingsand industrial control system securitymarino.miculan/wordpress/wp-content/... ·...
TRANSCRIPT
Internet of Things and Industrial Control System Security
Udine, 26 Gennaio 2016
Chi sono?
IoT & ICS Security
Luglio 2010Laurea – Università degli Studi di Udine
2010 -2012Security Analyst – Accenture
2012 – ??Senior Security Consultant - Horizon Security
2014EcCouncil C|EH Certification
2015SANS ICS410: ICS/SCADA Security
Agenda
• Internet of Things Security
• Industrial Control System Security
• Demo
IoT & ICS Security
Evolution
IoT & ICS Security
“We shall be able to witness and hear events--the inauguration of a President , the playing of a world series game, thehavoc of an earthquake or the terror of a battle--just as though we were present.”
“When the wireless transmission of power is made commercial, transport and transmission will be revolutionized.Already motion pictures have been transmitted by wireless over a short distance. Later the distance will be illimitable,and by later I mean only a few years hence. Pictures are transmitted over wires--they were telegraphed successfullythrough the point system thirty years ago.”
“When wireless is perfectly applied the whole earth will be converted into a huge brain, which in fact it is, all things beingparticles of a real and rhythmic whole. We shall be able to communicate with one another instantly, irrespective ofdistance. Not only this, but through television and telephony we shall see and hear one another as perfectly as thoughwe were face to face, despite intervening distances of thousands of miles; and the instruments through which we shall beable to do his will be amazingly simple compared with our present telephone. A man will be able to carry one in his vestpocket”
An interview with Nikola Tesla by John B. Kennedy, 1926
Definizione di IoT
IoT & ICS Security
https://danielmiessler.com/blog/better-names-internet-of-things/
[ WIKIPEDIA ] The Internet of Things (IoT) is the network of physical objects or "things" embeddedwith electronics, software, sensors and connectivity to enable it to achieve greater value and service by exchanging data with the manufacturer, operator and/or other connected devices.!!
[ OXFORD ] A proposed development of the Internet in which everyday objects have network connectivity, allowing them to send and receive data.
[ MY PREFERRED ] The interface between the physical and digital world that allows one to gather information from —and control—everyday objects.
Definizione di IoT
IoT & ICS Security
https://danielmiessler.com/blog/better-names-internet-of-things/
[ WIKIPEDIA ] The Internet of Things (IoT) is the network of physical objects or "things" embeddedwith electronics, software, sensors and connectivity to enable it to achieve greater value and service by exchanging data with the manufacturer, operator and/or other connected devices.!!
[ OXFORD ] A proposed development of the Internet in which everyday objects have network connectivity, allowing them to send and receive data.
[ MY PREFERRED ] The interface between the physical and digital world that allows one to gather information from —and control—everyday objects.
Universal Daemonization. This is a name I came up with that attempts to capture the concept of every object being interactive using a universal protocol/API stack based on TCP/IP, HTTP, and REST-based web services. The name should be intuitive: everything gets a daemon.
Universal Object Interaction (UOI). This is a similar way of saying the same thing, but it could be that having three words will be better than two.
Transfurigated Phase Inversion. I don’t know what that means, but it’s better than Internet of Things
I(diozia) o T(ecnologia)
Things of IoT
IoT & ICS Security
Quello che le persone pensano di avere …
Things of IoT
IoT & ICS Security
Quello che le persone pensano di avere …
… quello che le persone effettivamente hanno!!
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Things of IoT
IoT & ICS Security
Smart City … or Dumb City?
IoT & ICS Security
Smart City … or Dumb City?
IoT & ICS Security
Entro il 2020 ci saranno più di 50 miliardi di dispositivi connessi ad internet, i qualitrasformeranno il modo in cui viviamo e lavoriamo.
Top 7 Smart City nel mondo … ma anche più vulnerabili!!
• Santander, Spagna• New York City, USA• Aguas De Sao Pedro, Brasile• Songdo, Korea del Sud• Tokyo, Giappone• Hong Kong• Arlington County, Virginia, USA
Smart House
IoT & ICS Security
Smart Building
IoT & ICS Security
IoT & ICS Security
Smart Space
IoT Infrastructure Model
IoT & ICS Security
IoT Infrastructure Model
IoT & ICS Security
IoT Infrastructure Model
IoT & ICS Security
IoT Infrastructure Model
IoT & ICS Security
IoT Problem
IoT & ICS Security
Concerns have been raised that the Internet of Things is being developed rapidly without appropriate consideration of the profound security challenges involved and the regulatory changes that might be necessary.
In particular, as the Internet of Things spreads widely, cyber attacks are likely to become an increasingly physical (rather than simply virtual) threat. In a January 2014 article in Forbes, cybersecurity columnist listed many Internet-connected appliances that can already "spy on people in their own homes" including televisions, kitchen appliances, cameras, and thermostats.
Criticità
• Eterogeneità ed interoperabilità• Scalabilità• Gestibilità di grandi quantità di dispositivi• Mobilità• Sicurezza e privacy• Affidabilità• Sviluppo futuro
Aree di Rischio
• Accessibilità• Integrità• Identità e non ripudiabilità• Confidenzialità• Disponibilità• Ambiente• Sicurezza fisica (safety)
IoT Problem
IoT & ICS Security
NetworkServices, Protocol, Encryption, Firewall, Input, Providers, Third Party Access Point, etc
IoT Problem
IoT & ICS Security
Network
Application
Services, Protocol, Encryption, Firewall, Input, Providers, Third Party Access Point, etc
authN, authZ, Input Validation, Web BasedAttack, etc
IoT Problem
IoT & ICS Security
Network
Application
Mobile
Services, Protocol, Encryption, Firewall, Input, Providers, Third Party Access Point, etc
authN, authZ, Input Validation, Web BasedAttack, etc
Rooted Device, Malware APP, Insecure APIs, Lack of Encryption, etc
IoT Problem
IoT & ICS Security
Network
Application
Mobile
Cloud
Services, Protocol, Encryption, Firewall, Input, Providers, Third Party Access Point, etc
authN, authZ, Input Validation, Web BasedAttack, etc
Rooted Device, Malware APP, Insecure APIs, Lack of Encryption, etc
yadda yadda AuthSessionAccess, Service Provider, etc
IoT Problem
IoT & ICS Security
Network
Application
Mobile
Cloud
IoT
Services, Protocol, Encryption, Firewall, Input, Providers, Third Party Access Point, etc
authN, authZ, Input Validation, Web BasedAttack, etc
Rooted Device, Malware APP, Insecure APIs, Lack of Encryption, etc
yadda yadda AuthSessionAccess, Service Provider, etc
Network + Application + Mobile + Cloud = IoT
IoT Problem
IoT & ICS Security
Network
Application
Mobile
Cloud
IoT
IoT Problem
IoT & ICS Security
Network
Application
Mobile
Cloud
IoT
IoT Problem
IoT & ICS Security
OWASP Top 10 IoTVulnerabilities
IoT & ICS Security
A1: Insecure Web Interface
A2: InsufficientAuthentication/Aut
orization
A3: InsecureNetwork Services
A4:Lack of Transport Encryption
A5: Privacy ConcernA6 : Insecure Cloud
InterfaceA8: Insecure Security
Configurability
A10: Poor PhysicalSecurity
A7: Insecure Mobile Interface
A9: InsecureSoftware / Firmware
L’OWASP, nel 2014, aveva creato una classifica delle TOP 10 vulnerabilità inerenti al mondo IoT, basata sull’esperienza della TOP 10 mantenuta per il mondo Web Application.
OWASP Top 10 IoTVulnerabilities
IoT & ICS Security
A1: Insecure Web Interface
A2: InsufficientAuthentication/Aut
orization
A3: InsecureNetwork Services
A4:Lack of Transport Encryption
A5: Privacy ConcernA6 : Insecure Cloud
InterfaceA8: Insecure Security
Configurability
A10: Poor PhysicalSecurity
A7: Insecure Mobile Interface
A9: InsecureSoftware / Firmware
L’OWASP, nel 2014, aveva creato una classifica delle TOP 10 vulnerabilità inerenti al mondo IoT, basata sull’esperienza della TOP 10 mantenuta per il mondo Web Application.
Si sono però accorti che non è sufficiente classificare delle vulnerabilità per definire la sicurezza dei dispositivi e del mondo IoT …
Different Approach
IoT & ICS Security
1. Let me check against this list of vulns;2. Let me check my favorite go-to issues;3. What common surface areas do IoT systems share that I need to make sure I don’t
miss?
Future of IoT
IoT & ICS Security
To a large extent, the future of the Internet of Things will not be possible without the support of IPv6; and consequently the global adoption of IPv6 in the coming years will be critical for the successful development of the IoT in the future.
In the future the Internet of Things may be a non-deterministic and open network in which auto-organized or intelligent entities, virtual objects will be interoperable and able to act independently depending on the context, circumstances or environments.
Agenda
• Internet of Things Security
• Industrial Control System Security
• Demo
IoT & ICS Security
Tipologie di Control System
Che cosa è un ICS?
• Un dispositivo, o un insieme di dispositivi che gestiscono, comandano, dirigono e regolamentano il comportamento di altri dispositivi e sistemi
• Sistemi che collegano il mondo fisico al mondo cibernetico, indipendentemente dalla loro dimensione, siano essi grandi centrali energetiche o piccoli strumenti casalinghi
• Sono dispositivi che possono influenzare il mondo reale
Caratteristiche degli ICS
• Automatizzare i processi industriali, liberando il carico di lavoro all’uomo
• Fornire feedback sulla situazione nel campo e azionare processi
• Indipendentemente dal processo, i sistemi moderni sono sempre più spesso costruiti utilizzando gli stessi sistemi di campo
• Un processo complesso è quasi sempre composto da processi più piccoli
IoT & ICS Security
Tipologie di Control System
Che cosa è un ICS?
IoT & ICS Security
Tipologie di Control System
ICS Security Information Webinar
Tipologie di ICS
• DCS – Distribuited Control System• Insieme di controller digitali distribuiti geograficamente o funzionalmente su vasti siti industriali
• PCS – Process Control System
• Controllori elettronici dei processi manifatturieri
• EMS – Energy Management System
• Sistema utilizzato per monitorare, controllare e ottimizzare le performance dei sistemi di generazione e trasmissione di energia
• BMS – Building Management System
• Monitora e controlla le componenti elettroniche e meccaniche degli edifici
• SIS – Safety Instrumented System
• Effettua precise misurazioni e funzionalità di controllo per mantenere la sicurezza nel lavoro
• SCADA – Supervisory Control and Data Acquisition
• Differisce dagli altri per dimensione, è un insieme di processi su ampia scala che include numerosi siti su una vasta area geografica
• PLC-based system
• Un singolo processo ingegnerizzato e costruito attorno ad un PLC (Programmable Logic Unit) con dispositivi di input e output direttamente connessi al PLC stesso
Modelli Industriali –Infrastrutture Critiche
Le definizioni di Infrastruttura Critica variano nel mondo, ma elementi e riferimenti comuni tipicamente includono:
• Descrizione di oggetti fisici ed elettronici che costituiscono l’infrastruttura
• Identificazione delle comunicazioni che abilitano l’infrastruttura
• Conseguenze che possono impattare la pubblica sicurezza, la stabilità economica e il livello di difesa dello stato
L’Unione Europea promuove fortemente attività di ricerca, normative e regolamentazioni con la proposizione del EPCIP (European Program on Critical Infrastructure Protection).
Il Consiglio dell'Unione Europea ha emanato delle direttive relative all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione.
Inoltre fornisce una definizione di infrastruttura critica, per la quale intende "un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell'impossibilità di mantenere tali funzioni".
IoT & ICS Security
Modelli Industriali –Infrastrutture Critiche
Esempi di Infrastrutture Critiche:
• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il petrolio, il gas naturale, l’eolico, etc;
• Telecomunicazioni e telematica;
• Risorse idriche e gestione delle acque reflue;
• Agricoltura, produzione delle derrate alimentari e loro distribuzione;
• Sanità, ospedali e reti di servizi e interconnessione;
• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessità;
• Banche e servizi finanziari;
• Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico);
• Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze.
IoT & ICS Security
Evoluzione ICS
I sistemi industriali hanno subito una importante evoluzione di esposizione alle minacce di sicurezza negli ultimi anni.
Le misure di sicurezza dell’infrastruttura ICS non sono paragonabili all’attuale livello previsto sulle infrastrutture standard IT; le difese sono prevalentemente incentrate su una separazione fisica dal mondo esterno.
IoT & ICS Security
Evoluzione ICS
I sistemi industriali hanno subito una importante evoluzione di esposizione alle minacce di sicurezza negli ultimi anni.
Le misure di sicurezza dell’infrastruttura ICS non sono paragonabili all’attuale livello previsto sulle infrastrutture standard IT; le difese sono prevalentemente incentrate su una separazione fisica dal mondo esterno.
Malware Sofisticati e Complessi
A partire dal 2010 si è verificata una escalation di malware con target il contesto ICS:
Es. Stuxnet, Duqu, Flame
IoT & ICS Security
Evoluzione ICS
I sistemi industriali hanno subito una importante evoluzione di esposizione alle minacce di sicurezza negli ultimi anni.
Le misure di sicurezza dell’infrastruttura ICS non sono paragonabili all’attuale livello previsto sulle infrastrutture standard IT; le difese sono prevalentemente incentrate su una separazione fisica dal mondo esterno.
Malware Sofisticati e Complessi
A partire dal 2010 si è verificata una escalation di malware con target il contesto ICS:
Es. Stuxnet, Duqu, Flame
Attivismo Politico
Organizzazioni a livello mondiale orientano le proteste politiche e sociali con il sabotaggio di Impianti
industriali.
Es.Anonymous, Lulzsec
IoT & ICS Security
Evoluzione ICS
I sistemi industriali hanno subito una importante evoluzione di esposizione alle minacce di sicurezza negli ultimi anni.
Le misure di sicurezza dell’infrastruttura ICS non sono paragonabili all’attuale livello previsto sulle infrastrutture standard IT; le difese sono prevalentemente incentrate su una separazione fisica dal mondo esterno.
Malware Sofisticati e Complessi
A partire dal 2010 si è verificata una escalation di malware con target il contesto ICS:
Es. Stuxnet, Duqu, Flame
Attivismo Politico
Organizzazioni a livello mondiale orientano le proteste politiche e sociali con il sabotaggio di Impianti
industriali.
Es.Anonymous, Lulzsec
L’incremento delleinterconnessioni con il mondo
esterno richiede l’innalzamento dellemisure a protezione delle infrastrutture ICS:
Sistemi di Business, Terze Parti, Proliferazioni delle reti (WiFi, 3G), Mobilità delle persone e dei dati, etc.
Convergenza IT
IoT & ICS Security
Evoluzione ICS
I sistemi industriali hanno subito una importante evoluzione di esposizione alle minacce di sicurezza negli ultimi anni.
Le misure di sicurezza dell’infrastruttura ICS non sono paragonabili all’attuale livello previsto sulle infrastrutture standard IT; le difese sono prevalentemente incentrate su una separazione fisica dal mondo esterno.
Malware Sofisticati e Complessi
A partire dal 2010 si è verificata una escalation di malware con target il contesto ICS:
Es. Stuxnet, Duqu, Flame
Attivismo Politico
Organizzazioni a livello mondiale orientano le proteste politiche e sociali con il sabotaggio di Impianti
industriali.
Es.Anonymous, Lulzsec
La digitalizzazione delle informazionie la loro mobilità e fruibilità ha incrementato esponenzialmente le probabilità di furto, distruzione perdita di informazioni sensibili.
Furto d’Informazioni
L’incremento delleinterconnessioni con il mondo
esterno richiede l’innalzamento dellemisure a protezione delle infrastrutture ICS:
Sistemi di Business, Terze Parti, Proliferazioni delle reti (WiFi, 3G), Mobilità delle persone e dei dati, etc.
Convergenza IT
IoT & ICS Security
Evoluzione ICS
I sistemi industriali hanno subito una importante evoluzione di esposizione alle minacce di sicurezza negli ultimi anni.
Le misure di sicurezza dell’infrastruttura ICS non sono paragonabili all’attuale livello previsto sulle infrastrutture standard IT; le difese sono prevalentemente incentrate su una separazione fisica dal mondo esterno.
Malware Sofisticati e Complessi
A partire dal 2010 si è verificata una escalation di malware con target il contesto ICS:
Es. Stuxnet, Duqu, Flame
Attivismo Politico
Organizzazioni a livello mondiale orientano le proteste politiche e sociali con il sabotaggio di Impianti
industriali.
Es.Anonymous, Lulzsec
La digitalizzazione delle informazionie la loro mobilità e fruibilità ha incrementato esponenzialmente le probabilità di furto, distruzione perdita di informazioni sensibili.
Furto d’Informazioni
L’incremento delleinterconnessioni con il mondo
esterno richiede l’innalzamento dellemisure a protezione delle infrastrutture ICS:
Sistemi di Business, Terze Parti, Proliferazioni delle reti (WiFi, 3G), Mobilità delle persone e dei dati, etc.
Convergenza IT
ICSCyber Security
IoT & ICS Security
Differenze tra IT e ICS
IT ICS TrendCapacità di trasmissione elevata, ma non real-time
Real-time, ritardi non sono accettati Ci sono delle emergenti similitudini tra il mondo mobile ed embedded
La disponibilità è importante, con finestre di manutenzione e modifiche ai sistemi pianificate
La disponibilità è di primaria importanza e i cambiamenti ai sistemi sono pianificati nei fermi industriali o gestiti con sistemi ad alta ridondanza
ICS, storicamente, ha evitato di gestire la manutenzione el’aggiornamento dei sistemi, ma di recente ha accettato usi e pratiche del mondo IT
I profili di rischio salvaguardano le informazioni e l’integrità dei sistemi (dati)
I profili di rischio coinvolgono l’incolumità dell’operatore umano, la sicurezza degli strumenti e la protezione del sistema industriale (vita)
Statico
Ambienti di lavoro standard e data-center controllati dal punto di vista ambientale
Impianti industriali e di campo richiedono strumenti che siano in grado di operare a condizioni estreme (temperature, polvere, vibrazioni, etc.)
I dispositivi mobile sono progettatiper tollerare le condizioni di campo
Le differenze tra il mondo IT e il mondo ICS sono molte e di varia natura.
A partire da una differenza culturale tra le persone (operative ed informatiche) fino ad arrivare ad una diversa natura degli strumenti e lo scopo che devono perseguire.
IoT & ICS Security
Differenze tra IT e ICS
IT ICS TrendStrumenti di sicurezza sono creati per sistemi e applicazioni specifiche
Gli strumenti di sicurezza devono essere adattati per gli ambienti industriali
Alcuni strumenti di sicurezza stanno cominciando ad essere progettati specificatamente per lCS
Sistemi operativi comuni Mix tra sistemi operativi comuni e sviluppi custom ad-hoc per il processo industriale (RTOS – Real Time Operating System)
L’utilizzo di sistemi operativi comuni sta riemergendo in ambito ICS;Nel mondo mobile sono utilizzati sistemi RTOS
Abilità e competenze generiche sufficienti per manutenzione e supporto
Specifiche conoscenze di campo e persone dedicate con competenze ad-hoc
Funzioni IT generiche cominciano a supportare funzionalità e applicazioni ICS
Energia e memoria standard e facilmente espandibili
Energia e memoria sono spesso limitate e costrette allo specifico sistema
I componenti di campo stanno diventando sempre più potenti e capaci
Utilizzo di protocolli di comunicazione standard, molto con funzionalità di sicurezza
Misto di protocolli proprietari e protocolli industriali open
Statico, alcuni protocolli ICS stanno aggiungendo funzionalità di autenticazione
Ciclo di vita breve, 3-5 anni Ciclo di vita lungo, 10-18 anni Avvio a soluzioni in grado di cambiare più rapidamente nel mondo ICS (software)
Utilizzo di capacità di calcolo sempre maggiori
Scarse potenzialità di calcolo, dovuto alla necessità di avere poche operazioni da eseguire
Anche i sistemi ICS stanno aumentando le funzionalità degli strumenti di campo
IoT & ICS Security
Differenze tra IT e ICS
IT ICS TrendUtilizzo di capacità di calcolo sempre maggiori
Scarse potenzialità di calcolo, dovuto alla necessità di avere poche operazioni da eseguire
Anche i sistemi ICS si stanno potenziando con l’aumento delle funzionalità degli strumenti di campo
Supporto e manutenzione disponibili da molte parti (vendor, outsourcing, contractor, etc.)
Manutenzione e supporto sono tipicamente forniti dal vendor o da terze parti certificate
Statico
Integrazione di dispositivi personali (BYOD)
Tradizionalmente limitato all’utilizzo di sistemi dedicati
ICS sta aprendo all’utilizzo di dispositivi mobili e tablet
Difficoltà di effettuare whitelisting Grande abilità nel whitelistingdovuta alla natura statica e deterministica dell’ambiente
L’ambiente ICS sta diventando più complesso e sta espandendo l’utilizzo di strumenti ed applicazioni di terze parti
Componenti interconnessi ma geograficamente vicini (internet, Datacenter)
Componenti non connessi ad internet, ma geograficamente distanti e distribuiti sul suolo mondiale (SCADA)
Alcuni sistemi di campo stanno aprendo alla connessione versointernet
IoT & ICS Security
Differenze tra IT e ICS
IT ICS TrendUtilizzo di capacità di calcolo sempre maggiori
Scarse potenzialità di calcolo, dovuto alla necessità di avere poche operazioni da eseguire
Anche i sistemi ICS si stanno potenziando con l’aumento delle funzionalità degli strumenti di campo
Supporto e manutenzione disponibili da molte parti (vendor, outsourcing, contractor, etc.)
Manutenzione e supporto sono tipicamente forniti dal vendor o da terze parti certificate
Statico
Integrazione di dispositivi personali (BYOD)
Tradizionalmente limitato all’utilizzo di sistemi dedicati
ICS sta aprendo all’utilizzo di dispositivi mobili e tablet
Difficoltà di effettuare whitelisting Grande abilità nel whitelistingdovuta alla natura statica e deterministica dell’ambiente
L’ambiente ICS sta diventando più complesso e sta espandendo l’utilizzo di strumenti ed applicazioni di terze parti
Componenti interconnessi ma geograficamente vicini (internet, Datacenter)
Componenti non connessi ad internet, ma geograficamente distanti e distribuiti sul suolo mondiale (SCADA)
Alcuni sistemi di campo stanno aprendo alla connessione versointernet
CIA vs AIC – La disponibilità è l’interesse primario per i sistemi ICS?
IoT & ICS Security
Architettura di riferimento
Architettura di riferimento suddivisa in livelli e in zone.
I componenti, i servizi e le funzionalità dei diversi sistemi sono inserite in una struttura a livelli.
Tali livelli sono ordinati dal basso verso l’alto in ordine di trust, ciò vuol dire che il livello inferiore sarà quello più sicuro ma anche più sensibile in termini di rischio per l’impianto.
I livelli sono a loro volta raggruppati in 3 Zone logiche, rappresentanti differenti livelli di segmentazione:
• Business Zone• Demilitarized Zone• Operations Zone
Architettura di riferimento proposta dal SANS: https://www.sans.org/industrial-control-systems/resources
IoT & ICS Security
Architettura di riferimento
Architettura di riferimento suddivisa in livelli e in zone.
I componenti, i servizi e le funzionalità dei diversi sistemi sono inserite in una struttura a livelli.
Tali livelli sono ordinati dal basso verso l’alto in ordine di trust, ciò vuol dire che il livello inferiore sarà quello più sicuro ma anche più sensibile in termini di rischio per l’impianto.
I livelli sono a loro volta raggruppati in 3 Zone logiche, rappresentanti differenti livelli di segmentazione:
• Business Zone• Demilitarized Zone• Operations Zone
IoT & ICS Security
Security Lifecycle – NERC CIP
IoT & ICS Security
Tipical Layout
IoT & ICS Security
Casi Reali di Incidenti Informatici
Giugno 1999 – Una combinazione di eventi porta all’esplosione di una tubatura di benzina causando 3 morti e danni per oltre 50M di dollari (Olympic Pipeline –Washington). Una causa dell’evento è da ricondursi ad un’errata configurazione di un historian il quale ha causato un delay e un rallentamento nelle trasmissioni di dati (da 3 secondi a oltre 6 minuti) rendendo il sistema SCADA incapace di avere informazioni real-time e di operare di conseguenza.
IoT & ICS Security
Casi Reali di Incidenti Informatici
Giugno 1999 – Una combinazione di eventi porta all’esplosione di una tubatura di benzina causando 3 morti e danni per oltre 50M di dollari (Olympic Pipeline –Washington). Una causa dell’evento è da ricondursi ad un’errata configurazione di un historian il quale ha causato un delay e un rallentamento nelle trasmissioni di dati (da 3 secondi a oltre 6 minuti) rendendo il sistema SCADA incapace di avere informazioni real-time e di operare di conseguenza.
Febbraio-Aprile 2000 – Oltre 3000 mq di acque nere vengono scaricati in parchi e fiumi danneggiando la vita marina e la salute delle persone della zona (Maroochy, Queensland). La causa è una serie di attacchi (46 in 3 mesi) attuati da un hacker; Vitek Boden ha utilizzato apparecchi radio commerciali e software SCADA rubato per far apparire il proprio laptop come una stazione di pompaggio dell’acqua.
IoT & ICS Security
Casi Reali di Incidenti Informatici
Giugno 1999 – Una combinazione di eventi porta all’esplosione di una tubatura di benzina causando 3 morti e danni per oltre 50M di dollari (Olympic Pipeline –Washington). Una causa dell’evento è da ricondursi ad un’errata configurazione di un historian il quale ha causato un delay e un rallentamento nelle trasmissioni di dati (da 3 secondi a oltre 6 minuti) rendendo il sistema SCADA incapace di avere informazioni real-time e di operare di conseguenza.
Agosto 2003 – Il worm Slammer infetta la centrale nucleare di Davis Besse (Ohio) e rende inutilizzabile per 5 ore il sistema di monitoraggio della sicurezza. Il worm si è propagato nella rete di processo tramite la rete corporate di una terza parte.
Febbraio-Aprile 2000 – Oltre 3000 mq di acque nere vengono scaricati in parchi e fiumi danneggiando la vita marina e la salute delle persone della zona (Maroochy, Queensland). La causa è una serie di attacchi (46 in 3 mesi) attuati da un hacker; Vitek Boden ha utilizzato apparecchi radio commerciali e software SCADA rubato per far apparire il proprio laptop come una stazione di pompaggio dell’acqua.
IoT & ICS Security
Casi Reali di Incidenti Informatici
Giugno 1999 – Una combinazione di eventi porta all’esplosione di una tubatura di benzina causando 3 morti e danni per oltre 50M di dollari (Olympic Pipeline –Washington). Una causa dell’evento è da ricondursi ad un’errata configurazione di un historian il quale ha causato un delay e un rallentamento nelle trasmissioni di dati (da 3 secondi a oltre 6 minuti) rendendo il sistema SCADA incapace di avere informazioni real-time e di operare di conseguenza.
Agosto 2003 – Il worm Slammer infetta la centrale nucleare di Davis Besse (Ohio) e rende inutilizzabile per 5 ore il sistema di monitoraggio della sicurezza. Il worm si è propagato nella rete di processo tramite la rete corporate di una terza parte.
Febbraio-Aprile 2000 – Oltre 3000 mq di acque nere vengono scaricati in parchi e fiumi danneggiando la vita marina e la salute delle persone della zona (Maroochy, Queensland). La causa è una serie di attacchi (46 in 3 mesi) attuati da un hacker; Vitek Boden ha utilizzato apparecchi radio commerciali e software SCADA rubato per far apparire il proprio laptop come una stazione di pompaggio dell’acqua.
Agosto 2006 – 2 ingegneri del traffico, dipendenti dell’azienda dei trasporti di Los Angeles, hanno modificato il comportamento di alcuni semafori allungando il tempo del rosso nei momenti di picco di traffico su strade e incroci molto trafficati (da e per l’aeroporto) causando ingorghi e caos.
IoT & ICS Security
Casi Reali di Incidenti Informatici
Gennaio 2008 – Un ragazzo di 14 anni di Lodz, Polonia, modifica un comune telecomando a infrarossi per manomettere il sistema di controllo dei tram della città, causando il deragliamento di 4 veicoli e il ferimento di 12 persone.
IoT & ICS Security
Casi Reali di Incidenti Informatici
Gennaio 2008 – Un ragazzo di 14 anni di Lodz, Polonia, modifica un comune telecomando a infrarossi per manomettere il sistema di controllo dei tram della città, causando il deragliamento di 4 veicoli e il ferimento di 12 persone.
Luglio 2010 – Viene scoperta Stuxnet, la più famosa minaccia informatica del mondo ICS, la quale dà inizio all’era del cyberwarfare.Un attacco complesso e ben indirizzato (APT) ha messo fuori uso la centrale nucleare iraniana di Natanz; il malware è stato veicolato tramite una chiavetta USB. Molte altre minacce sono state costruite sulla base di Stuxnet (Duqu, Flame, Equation).
IoT & ICS Security
Casi Reali di Incidenti Informatici
Gennaio 2008 – Un ragazzo di 14 anni di Lodz, Polonia, modifica un comune telecomando a infrarossi per manomettere il sistema di controllo dei tram della città, causando il deragliamento di 4 veicoli e il ferimento di 12 persone.
Dal 2010 si intensificano i movimenti di Hacktivism e Cyber-Espionage spinti da associazioni attivisti e pirati informatici (quali Anonymous, Lulzsec, etc.). Per la maggior parte si tratta di campagne di DDoS e defacciamento di portali web.
Luglio 2010 – Viene scoperta Stuxnet, la più famosa minaccia informatica del mondo ICS, la quale dà inizio all’era del cyberwarfare.Un attacco complesso e ben indirizzato (APT) ha messo fuori uso la centrale nucleare iraniana di Natanz; il malware è stato veicolato tramite una chiavetta USB. Molte altre minacce sono state costruite sulla base di Stuxnet (Duqu, Flame, Equation).
IoT & ICS Security
Casi Reali di Incidenti Informatici
Gennaio 2008 – Un ragazzo di 14 anni di Lodz, Polonia, modifica un comune telecomando a infrarossi per manomettere il sistema di controllo dei tram della città, causando il deragliamento di 4 veicoli e il ferimento di 12 persone.
Dal 2010 si intensificano i movimenti di Hacktivism e Cyber-Espionage spinti da associazioni attivisti e pirati informatici (quali Anonymous, Lulzsec, etc.). Per la maggior parte si tratta di campagne di DDoS e defacciamento di portali web.
Luglio 2010 – Viene scoperta Stuxnet, la più famosa minaccia informatica del mondo ICS, la quale dà inizio all’era del cyberwarfare.Un attacco complesso e ben indirizzato (APT) ha messo fuori uso la centrale nucleare iraniana di Natanz; il malware è stato veicolato tramite una chiavetta USB. Molte altre minacce sono state costruite sulla base di Stuxnet (Duqu, Flame, Equation).
Dal 2010 in poi sono aumentate in modo vertiginoso le segnalazioni di vulnerabilità nel mondo ICS, segno di una crescente attenzione alla realtà industriale e alla relativa sicurezza informatica che è messa sempre più a dura prova da crescenti attacchi ed interesse.
IoT & ICS Security
Agenda
• Internet of Things Security
• Industrial Control System Security
• Demo
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Riconoscimento dei propri pari
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Riconoscimento dei propri pari
• Hacktivismo
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Riconoscimento dei propri pari
• Hacktivismo
• Spionaggio Industriale
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Riconoscimento dei propri pari
• Hacktivismo
• Spionaggio Industriale
• Guadagno (o rovina) Finanziario
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Riconoscimento dei propri pari
• Hacktivismo
• Spionaggio Industriale
• Guadagno (o rovina) Finanziario
• Azioni Terroristiche
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Riconoscimento dei propri pari
• Hacktivismo
• Spionaggio Industriale
• Guadagno (o rovina) Finanziario
• Azioni Terroristiche
• Spionaggio Nazionale e Governativo
• Dipendente corrotto o scontento
IoT & ICS Security
Ci sono numerose ragioni e motivazioni sul perché i Siti Industriali sono oggetto di frequenti e crescenti attacchi informatici:
Superfici di Attacco
Perché attaccare i Siti Industriali?
• Ethical Hacking Errato (gray hat)
• Riconoscimento dei propri pari
• Hacktivismo
• Spionaggio Industriale
• Guadagno (o rovina) Finanziario
• Azioni Terroristiche
• Spionaggio Nazionale e Governativo
• Cyber Warfare
• Dipendente corrotto o scontento
IoT & ICS Security
Superfici di Attacco
IoT & ICS Security
Superfici di Attacco
IoT & ICS Security
• Attacchi alle HMI e Workstation
• Dispositivi USB infetti;
• Social Engineering;
• Phishing, Spear Phishing e Water Holing;
• Password deboli o di default;
• Malware (worm, virus, APT, etc.);
• Attacchi Web Based:
• Weak Session Management;
• SQL Injection;
• Cross-Site Scripting (XSS);
• Cross-Site Request Forgery (XSRF);
• File Inclusion;
• DoS;
• Attacchi ai Server di Controllo
• Configurazioni di default e/o errate;
• Assenza di patch di sicurezza;
• Buffer Overflow & Remote Code Execution;
• Historian & Database;
• Input Validation;
• Attacchi alla Rete
• Protocolli in Chiaro;
• MiTM – Man in The Middle;
• Spoofing;
• Fuzzing;
• Wireless Attack;
• Protocolli Seriali;
• Attacchi ai Dispositivi di Campo
• Accesso Fisico;
• Interfacce di Management;
• Dispositivi Embedded;
• Firmware;
ICS Security Information Webinar
La necessità di mantenere sempre operativi i sistemi comporta l’impossibilità di effettuareuna pianificazione per le patch di sicurezza.Considerata la lentezza del ciclo di vita di questi sistemi (10-15 anni) e l’elevata velocità discoperta di nuove vulnerabilità (più di 10 ogni giorno), i sistemi industriali sono soggetti anumerosissime vulnerabilità che non sono mai state sanate. Da tali vulnerabilità vengonocreati specifici exploit e malware che riescono a sfruttarne le debolezze per poterprendere il controllo del sistema.
Il grafico di sinistra rappresenta un esito «medio» di VA effettuati su sistemi IT, mentrequello di destra riporta i valori «medi» di VA effettuati su sistemi ICS.
Assenza di Patch di Sicurezza
Superfici di Attacco
Defense in Depth
IoT & ICS Security
Applicare il concetto di Defense in Depth, tra gli altri, è fondamentale per potersegmentare le superfici di attacco e ridurre le probabilità che uno di essi vada a buon fine.
Defense in Depth
IoT & ICS Security
Quello visto in precedenza era un modello tipico di Defense in Depth, ma quelloevidenziato in questa figura rappresenta ciò che probabilmente risulta nella realtà.
Difesa Perimetrale
IoT & ICS Security
Applicare il concetto di Difesa Perimetrale, tra gli altri, è fondamentale per poterproteggere i confini esterni dell’infrastruttura, senza dover mettere in sicurezza ognisingolo dispositivo o componente interno.
Difesa Perimetrale
IoT & ICS Security
Quello visto in precedenza era un modello tipico di Difesa Perimetrale, ma quelloevidenziato in questa figura rappresenta ciò che probabilmente risulta nella realtà.
Business Zone
DMZ
External Network
Operation Zone
Internet Remote Support
Serial Link
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InternetInfected LaptopRemote Support
Serial Link
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InternetInfected LaptopMalware in
Corporate NetworkRemote Support
Serial Link
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InternetInfected Laptop
MisconfiguredFirewall
Malware inCorporate Network
Remote Support
Serial Link
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Malware inCorporate Network
Serial Link
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Malware inCorporate Network
Serial Link
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Malware inCorporate Network
Serial Link
InsecureModem
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Third Party Issue
Malware inCorporate Network
Serial Link
InsecureModem
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Third Party Issue
InfectedUSB Key
Malware inCorporate Network
Serial Link
InsecureModem
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Third Party Issue
InfectedUSB Key
SyncMisconfig
Malware inCorporate Network
Serial Link
InsecureModem
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Third Party Issue
InfectedUSB Key
SyncMisconfig
Malware inCorporate Network
ApplicationMalware Exploit
Serial Link
InsecureModem
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Infected PLC Logic
Third Party Issue
InfectedUSB Key
SyncMisconfig
Malware inCorporate Network
ApplicationMalware Exploit
Serial Link
InsecureModem
Superfici di Attacco
IoT & ICS Security
Business Zone
DMZ
External Network
Operation Zone
InsecureRemote SupportInternetInfected Laptop
MisconfiguredFirewall
Insecure WiFi
Infected PLC Logic
Third Party Issue
InfectedUSB Key
SyncMisconfig
Malware inCorporate Network
ApplicationMalware Exploit
InsecureSerial Link
InsecureModem
Superfici di Attacco
IoT & ICS Security
Attack Process
IoT & ICS Security
Surveillance
System Mapping
Initial Infection & Compromise
Information Exfiltration
Preparing the Final Attack
Testing Incident Detection & Response
Launch the Attack
Attacchi Ipotetici
IoT & ICS Security
Turbine Overspeed – Power Generation• Disable overspeed shutdowns, disconnect load• Phishing scam posing as ICS cyber-security research firm
Ammonia Plant Explosion• Manipulate heating during process, disable alarms and
safety system, increase CO in methanator• Disgruntled employee
Boiler Explosion• Stop feedwater, overheat drum,
reintroduce feedwater• Weaponized proof-of-concept
exploit from white-hat researcher
Demo
IoT & ICS Security
Demo
IoT & ICS Security
Horizon Security. Grazie per l'attenzione.
www.horizonsecurity.it
Filippo Morgan+39 342 [email protected]