![Page 1: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/1.jpg)
Nürnberg, 25.11.2014 ‐ Kongress SPS/IPC/Drives 2014
Technische Sicherheitstestsvon Industrial Control Systems (ICS)
![Page 2: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/2.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 2
Autoren
Heiko [email protected]+49 2173 20363-0+49 162 2414691
Aaron [email protected]+49 2173 20363-0+49 162 2414699
![Page 3: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/3.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 3
Unternehmensdarstellung
![Page 4: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/4.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 4
Unternehmensdarstellung
Verbände
Standardisierung
Open Source Projekte
Forschung & Lehre
Förderprojekte
![Page 5: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/5.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 5
Ausgangslage
Ausgangssituation Security-Historie, -Gegenwart & -Zukunft
von ICS– Standard IT-Komponenten & -Protokolle – Lebensdauer der Systeme von 25+ Jahren– Aufweichung der Netzseparierung
Problemlage Bedrohungslage von ICS
die gleiche wie IT-Systeme Schutzziele in umgekehrter
Reihenfolge
![Page 6: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/6.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 6
Warum Security Testing?
Was ist die Angriffsfläche?
Defense in Depth Defense in Width
![Page 7: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/7.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 7
Warum Security Testing?
Security Program wird für ICS benötigt– Größere Angriffsfläche– Attacken/Malware haben größere Auswirkung
• Bsp. Stuxnet
Security Testing muss zum Security Program gehören
Standards– VDI/VDE 2182– ISA99– DHS "Cyber Security Assessment of ICSs"
![Page 8: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/8.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 8
Unterschiede zum Standard Test
Wenn möglich nicht im produktivenBereich testen
Kenntnis über die Umgebung– Zusammenspiel: Funktion <-> System – Funktionsweise der Tools – Keine automatisierten Vulnerability Scans – Selbst ein Portscan kann gefährlich sein– Vorwiegend manuell testen
![Page 9: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/9.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 9
Lösung
de facto Security Test Standard OSSTMM als Basis
Applied Methodology fürICS entwickelt
Neu im Scope: Embedded Devices
![Page 10: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/10.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 10
Interaktions Scope
Vektoren Test Umgebung
– wenn möglich
Angriffstiefe– Abhängig vom
Scope
Test Typ– Crystal Box wenn
möglich– Zumindest
Double Gray
![Page 11: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/11.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 11
Angriffsvektoren
A1 A2
A3
B1
B2
C1C2
A1: initial compromised channel (z.B. Webserver) B1: (z .B. Remote Business Partners & Vendors /A2: compromised trusted channel(1) (z.B. DB Server) Remote Operations & Facilities)A3: compromised trusted channel(2) (z.B Configuration Server) C1: (z.B. Wlan Access Point / Intelligent Electronic Devices)
![Page 12: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/12.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 12
Recursive ICS Test Process
![Page 13: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/13.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 13
ICS Test Prozess
Reconaissance & Mapping
Netzwerkplan Analyse
Analyse des Netzwerk Traffic
Trace von allen DatenEingangspunkten
Polite Port Scans
![Page 14: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/14.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 14
ICS Test Prozess
Exploration & Discovery
Dokumentationsrecherche
Startup Traffic Capture
Versions Erkennung
Vulnerability Nachforschung bei öffentlichen Quellen (CVE...)
![Page 15: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/15.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 15
ICS Test Prozess
Basic Assessment
Interviews
Konfigurations Analyse
Fuzzing
Authentication & Encryption Testing
Service Analyse
![Page 16: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/16.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 16
ICS Test Prozess
Vulnerability Verification& Exploitation
Web Anwendungen für ICS Komponenten immer verbreiteter
Netzwerk
Exploit Development
![Page 17: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/17.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 17
Security TestingTask ICS
• Informationsbeschaffung• Vulnerability Analysis / Basic Assessment• Exploitation / Verification
Server Testing
• Application Mapping• Application Discovery/Basic Assessment• Application Exploitation / Verification
Server Application
Testing
• Electronic Component Analysis• Field Technician Interface Analysis
Embedded Device Testing
![Page 18: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/18.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 18
Anwendungsbeispiel 1
Anwendungsbeispiel 1
IT-Sicherheitskatalog der BNetzA
Aufbau ISMS für EVU
![Page 19: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/19.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 19
Differenzierungsmerkmal
ISMS klassisch (BK) ISMS PLT
Operative Sicherheit durch technisch wirksame ISMS
![Page 20: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/20.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 20
Erste Schritte
Gap-Analyse
•Scope definieren
•Terminplan
•Rollen
KickOff
•Basic Assessment
•Verification Test
•Risk Assessment
OSSTMM-Audit •Posture Review
•Policies & Procedures
•Maßnahmen-Reviews
Gap-Analyse
•Abweichungen 27001 / 27002
•Maßnahmenplan
Bericht
![Page 21: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/21.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 21
Anwendungsbeispiel 2
Anwendungsbeispiel 2
ICT Continuity
BranchenempfehlungStrommarkt Schweiz
Verband Schweizerischer Elektrizitätsunternehmen
![Page 22: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/22.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 22
Anwendungsbeispiel 2
Security Test Interviews
Findings
Gap-Analyse
BIA
![Page 23: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/23.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 23
Anwendungsbeispiel 2
Ziele des Projektes
BranchenempfehlungICT-Continuity
Umzusetzende Handlungsfelder & Maßnahmen
ICT Continuity-Implementierungen
werden an der faktischen Sicherheitslage
ausgerichtet
Nebeneffekt für die Leittechnik
Aktuellen Sicherheitszustand
prüfen
Sicherheitslimitierungen& Schwachstellen
Wirksamkeit der Sicherheitsmaßnahmen
Erhöhung der operativen Sicherheit
Quick Wins& Synergieeffekte
Aktives Sicherheitsmanagement
![Page 24: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/24.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 24
Anwendungsbeispiel 3
Anwendungsbeispiel 3
Windpark
![Page 25: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/25.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 25
Anwendungsbeispiel 3
![Page 26: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/26.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 26
Anwendungsbeispiel 3
GAP-Analyse Beispiel
7
12
38
Betriebs- und Kommunikationsmanagement
2 Vollständig umgesetzt
1 Teilweise umgesetzt
0 Nicht umgesetzt
1 11 45 0
25
2010
17
0%10%20%30%40%50%60%70%80%90%
100%
0 Nicht umgesetzt
1 Teilweise umgesetzt
2 Vollständig umgesetzt
![Page 27: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/27.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 27
Anwendungsbeispiel 4
Anwendungsbeispiel 4
Detailed Risk Assessementnach IEC 62443
bei Chemie-Konzern
![Page 28: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/28.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 28
Anwendungsbeispiel 4
Perform VulnerabiltyAssessment
exploration & discovery
network diagramanalysis
documentationresearch
analyze networktraffic
polite port scans
perform assessment(test execution)
vulnerability scanning
VulnerabilityResearch
fuzzing
Application Testing
configuration analysis
perform vulnerabilityverification & exploitation
penetration testing
exploit development
![Page 29: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/29.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 29
Anwendungsbeispiel 4
Detailed Vulnerability Assessement
•asset register•identify assets use case-/scenario-based
Identify Critical Cyber Assets
•define scope of interaction•determine vectors (i.e. trace all data entry points)
Define Scope and Interaction Vectors
•perform exploration & discovery•perform assessment•identify vulnerabilities
Perform Vulnerabilty Assessment
•provide a summary of all vulnerabilities in a report•prioritize vulnerabilitiesDocument Results
•provide possible remediation suggestions for all vulnerabilities•implement countermeasures•perform verification
Perform Remediation
![Page 30: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/30.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 30
Fragen
…noch Fragen?
![Page 31: TechnischeSicherheitstests von Industrial Control Systems](https://reader036.vdocuments.net/reader036/viewer/2022062305/62a628f80c7e555bdf7d559b/html5/thumbnails/31.jpg)
Technische Sicherheitstest von ICS Anlagen
19.02.2014 Seite 31
Danke
Vielen Dank!
Heiko Rudolph