Pulse The P-CIM Successor

Transcript Pulse The P-CIM Successor

‫מערכות סקאדה מאובטחות למתקני אנרגיה קריטים‬
‫התקפות סייבר על מתקני אנרגיה‬
‫אוקטובר ‪2013‬‬
‫הצורך באבטחת מידע‬
‫תמונת מצב כיום‬
‫‪‬‬
‫בתחילה רשתות ‪ SCADA‬נועדו למקסם את הפונקציונליות שלהם‪,‬‬
‫עם מעט מאד תשומת לב לאבטחת מידע‪.‬‬
‫‪‬‬
‫רשתות בקרה היו בתחילה מבודדות‪ ,‬אך בשנים האחרונות אנו רואים‬
‫אותם יותר ויותר מחוברות לרשת הארגונית לצורך אינטגרציה עם‬
‫תוכנות בארגון וגם עמדות ניהול למערכת ה ‪ SCADA‬עצמה‪.‬‬
‫‪‬‬
‫רוב מערכות ה ‪ SCADA‬הותיקות יותר (רובם כיום בשימוש) לא‬
‫מכילות את מגוון יכולות אבטחת המידע הנדרשות‪.‬‬
‫‪‬‬
‫רמת אבטחת המידע של מערכות ‪ SCADA‬אינו‬
‫תואם את רמת האיומים בעידן הנוכחי‪.‬‬
‫עידן חדש של אקרים‬
‫‪‬‬
‫כבר לא מדובר בהאקרים זוטרים – אלא האקרים מקצועיים‬
‫המייצרים התקפות קשות ומורכבות‪.‬‬
‫‪‬‬
‫תוקפים בעלי אג'דנה ברורה כגון‪ :‬ריגול תעשייתי‪ ,‬פיגוע ממוקד‪,‬‬
‫אג'נדה פוליטית וכו‪...‬‬
‫‪‬‬
‫המטרה‪ ,‬פעילויות הליבה העסקית של הארגון ולא טכנולוגיה ‪.‬‬
‫‪‬‬
‫בעידן הנוכחי רב ההתקפות מייוצרות ע"י מימון נרחב‬
‫תוך השקעה רבה של כספים ובציוד מהמתקדמים‬
‫ביותר‪.‬‬
‫סוגי האקרים‬
‫‪‬‬
‫האקרים זוטרים – בד"כ בני נוער או סטודנטים הפורצים לשם‬
‫ההנאה או האתגר (נחשבים להכי פחות מסוכנים)‪.‬‬
‫‪‬‬
‫פליליים – פושעים מאורגנים המחפשים בעיקר גניבות של כספים‬
‫או סחורות לצורך סחיטת כספים‪.‬‬
‫‪‬‬
‫‪‬‬
‫ריגול תעשיתי – בעיקר לצורך גניבת מידע רגיש מארגונים‪.‬‬
‫פעילי אנטי – גלובליזציה לצורך פריצה אידיאולוגית (בעיקר ‪)DOS‬‬
‫‪‬‬
‫טרוריסטים ‪ -‬רב ההתקפות מייוצרות תוך השקעה‬
‫רבה של כספים ובציוד מהמתקדמים ביותר‪.‬‬
‫סוגי התקפות עקריות‬
DDOS – Distributed Denial Of Service
Attacker sends command to bonet, botnet floods server with
massages
SQL Injection
The hacker utilizes enterprise authentication forms as his
conduit to the SQL data store. He then applies malicious SQL
script to obtain access to the enterprise data store.
Man in the Middle
Attacker captures the communication between you and the web
server. Without encryption he will basically gain access to all your
data!
Buffer Overflow
This is where an application is expecting a maximum amount of information.
Should an attacker subsequently input a larger than expected piece of
information, the application will malfunction in such a way as to allow an arbitrary
piece of any code of the attacker’s choice to be executed.
Spyware/Viruses and Trojans
malicious programs that attackers will bundle into other legitimate programs, or
will try and trick their target into running.
Phishing
phishing attacks whereby someone fraudulently sends out an email
to acquire sensitive information, such as usernames, passwords and
credit card details, by impersonating a trustworthy entity, i.e. a bank.
‫התקפות על מתקני אנרגיה בשנה האחרונה‬
‫התקפת סייבר על ‪ 2‬תחנות כוח בארה"ב‬
‫‪‬‬
‫וירוסים התגלו במערכת הסקאדה של שתי תחנות כוח בארה"ב‪,‬‬
‫מקור הווירוסים הוא כנראה בהתקני דיסק און קי‪ ,‬שהופכים לסכנה‬
‫מספר אחת ברשתות מחשוב אשר אינן מחוברות לאינטרנט‪.‬‬
‫‪‬‬
‫התגלה כאשר עובד שהשתמש בדיסק און קי באחד ממחשבי‬
‫הבקרה נתקל בבעיה והזעיק את צוות תמיכת ה‪ IT -‬של המתקן‪.‬‬
‫‪‬‬
‫לאחר שאיש ה‪ IT -‬חיבר את הדיסק און קי למחשב בעל תוכנת‬
‫אנטי וירוס מעודכנת‪ ,‬זיהתה התוכנה שלושה קבצים חשודים‪.‬‬
‫‪‬‬
‫בפועל נגרם נזק רב למערכות ואף גרם להפסקת‬
‫הפעילות של תחנת הכוח המותקפת ליותר‬
‫משלושה שבועות‪.‬‬
‫היורש של סטוקסנט? תולעת מתוחכמת התגלתה במחשבים באיראן‬
‫‪‬‬
‫חברת האבטחה קספרסקי מדווחת כי התולעת "‪ "FLAME‬הדביקה‬
‫אלפי מחשבים במזרח התיכון‪ ,‬כולל בישראל וברשות‪.‬‬
‫‪‬‬
‫התולעת מסוגלת לבצע פעולות ביון במחשבים שהודבקו‪ ,‬והיא דומה‬
‫מאד באופן הפעולה לסטוקסנט‪.‬‬
‫‪‬‬
‫‪‬‬
‫מסוגלת לבצע מספר רב של פעולת שונות ומגוונות ריגול במקביל‪.‬‬
‫המטרה העיקרית שלה‪ ,‬על פי ההערכות‪ ,‬היא ריגול וגניבת מידע‪.‬‬
‫‪‬‬
‫הערכות היום כי מדובר בנשק הסייבר המתוחכם‬
‫ביותר שיוצר עד כה‪.‬‬
‫קמפיין "אוקטובר האדום" ‪ -‬רשת ריגול מתקדמת המכוונת התקפות‬
‫‪ Cyber‬על סוכנויות דיפלומטיות וממשלתיות‬
‫‪‬‬
‫קמפיין ממוקד התקפה שנמשך כבר לפחות חמש שנים‪ .‬ופגע במאות קורבנות ברחבי‬
‫העולם במספר קטגוריות עיקריות‪:‬‬
‫ממשלה‪ ,‬שגרירויות דיפלומטיות‪ ,‬מוסדות מחקר‪ ,‬במסחר‪ ,‬מחקר גרעיני ‪ /‬אנרגיה‪ ,‬חברות‬
‫נפט וגז‪ ,‬תעופה וחלל‪ ,‬צבאי‬
‫‪‬‬
‫מטרתו העיקרית של הקמפיין הוא איסוף של מידע מסווג ומודיעין גיאופוליטי לצורכי‬
‫מחירה בשוק השחור או לשימוש אישי‪.‬‬
‫‪‬‬
‫חוקרים של קספרסקי בילו מספר חודשים בניתוח תוכנה זדונית זו‪ ,‬אשר מטרתה‬
‫לפגוע בארגונים ספציפיים בעיקר במזרח אירופה‪ ,‬חברי ברית המועצות לשעבר‬
‫ובמדינות במרכז אסיה‪ ,‬במערב אירופה ובצפון אמריקה‪.‬‬
‫המשך‪..‬‬
‫‪‬‬
‫ההתקפה התבצעה ע"י שליחת הקוד הזדוני באמצעות דואר אלקטרוני כקבצים‬
‫מצורפים במספר שלבים‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫שלב א' – הדבקה ראשונית‬
‫שלב ב' – הורדה מהאינטרנט של מודולים נוספים שנפרסו לאיסוף המודיעין‬
‫שלב ג' – התוצר המודיעיני הוצפן ע"י תוכנת הריגול ונשלח בחזרה‪.‬‬
‫מפת ההדבקה בוירוס‬
‫כיצד להתמודד עם התקפות אילו‪.‬‬
‫לוודא שחיבורי הרשת למערכת ה ‪ SCADA‬אכן מאובטחים ברמה הרצויה‪.‬‬
‫‪‬‬
‫לערוך בדיקות חדירה או ניתוח פגיעויות של כל חיבורים שנותרו לרשת ‪SCADA‬‬
‫נתק חיבורי רשת מיותרים לרשת ה ‪SCADA‬‬
‫‪‬‬
‫בודד את רשת ה ‪ SCADA‬מקסימלית במידת האפשר‪.‬‬
‫הקשחת עמדת שרת ה ‪SCADA‬‬
‫‪‬‬
‫הקשחת מערכת ההפעלה מקסימלית ברמת ‪Policy‬‬
‫‪‬‬
‫‪‬‬
‫תקשורת (חסימה של פורטים‪ ,‬כתובות רשת ‪ USB ,‬וכו‪)...‬‬
‫קבצי מערכת וקבצי פרוייקטים‪.‬‬
‫הגדרת תכונות אבטחה בשרת כדי לספק רמה מקסימלית של אבטחה‬
‫‪‬‬
‫ערוך תהליך הערכת סיכונים מעמיקה של ההשלכות של צמצום רמת האבטחה‪.‬‬
‫בצע ביקורת תקופתית טכנית לגבי לוגיים ‪ Audit‬וכו‪...‬‬
‫‪‬‬
‫נתח את נקודות תורפה שזוהו על מנת לקבוע את משמעותם‪ ,‬ולנקוט בפעולות‬
‫מתקנות או מניעתיות על פי צורך‪.‬‬
‫להקים צוותים ”‪ “Red Team‬כדי לזהות ולהעריך תרחישי פגיעה‬
‫אפשריים במערכת ה ‪SCADA‬‬
‫‪‬‬
‫עובדים שיכולים לספק תובנות לגבי נקודות תורפה של רשת‬
‫ה ‪ .SCADA‬הם עובדים עם המערכת יום יום ולעיתים יש‬
‫להם תובנות לגבי הפגיעויות האפשריות של רשת ‪SCADA‬‬
‫במתקן‪.‬‬
‫להגדיר בבירור תפקידים‪ ,‬תחומי אחריות וסמכויות למנהלים‪,‬מנהלי מערכת ומשתמשים‬
‫בתחום ‪Cyber Security‬‬
‫הקמת מבנה ארגוני המגדיר את התפקידים ותחומי אחריות המזהה בבירור כיצד‬
‫‪‬‬
‫בעיות אבטחת הסייבר הסלימו ולמי יש להודיע בשעת חירום‪.‬‬
‫להקים גיבויי מערכת ותוכניות התאוששות מאסון‬
‫‪‬‬
‫להקים תכנית התאוששות מאסון‪ ,‬המאפשרת להתאוששות מהירה מכל מצב‬
‫חירום (כולל מתקפת סייבר)‪.‬‬
‫מה עשינו באפקון עם תוכנת ‪ PULSE‬ברמת‬
‫אבטחת מידע?‬
‫ביצענו פעילות מקיפה של בדיקת התוכנה בשת"פ עם חברת אבטחת‬
‫מידע מתמחה בתחום לצורך ביצוע הפעולות הבאות‪:‬‬
‫‪‬‬
‫בדיקת חדירות מקיפה משלובת לצד ה ‪ Server‬וגם לצד ה ‪ Client‬לרבות‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫תקשורת‬
‫‪Penetration tests‬‬
‫‪Secure system design review‬‬
‫‪Dedicated Code review‬‬
‫‪Attack on Paper‬‬
‫הקשחת ‪ PULSE‬בשת"פ עם ראא"מ‬
‫‪SQL‬‬
‫‪DB‬‬
‫‪Process.‬‬
‫‪Server‬‬
‫‪SQL‬‬
‫‪DB‬‬
‫‪BMS‬‬
‫‪Server‬‬
‫‪SQL‬‬
‫‪DB‬‬
‫‪Security‬‬
‫‪Server‬‬
‫‪ETH SWITCH‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫תצורת שרת ‪ /‬לקוח‪.‬‬
‫‪Pulse Remote‬‬
‫‪HMI Client‬‬
‫ניתוק סביבת התפעול (והפיתוח) מהשרת (אין שיתוף קבצים)‬
‫תאימות לעבודה מול תחנות עבודה מוקשחות‬
‫הזדהות – ‪ Authentication‬מול ‪( Windows‬מע' ההרשאות של האירגון –‬
‫‪)Active Directory‬‬
‫מודול הרשאה תלת מימדית – רמת הרשאה‪ ,‬מידור גיאוגרפי‪ ,‬מידור פונקציונאלי‬
‫‪‬‬
‫‪‬‬
‫הצפנת המידע בין התכנות לשרת ‪Encrypted WCF -‬‬
‫רישום פעולות מפעיל וניסיונות כניסה למערכת שגויים –‬
‫‪ Audit Trail‬בצד שרת‪.‬‬
‫הקשחת ‪ PULSE‬בשת"פ עם ראא"מ‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫קוד התוכנה מעורבל ומוצפן (מניעת ‪ )Hacking‬ומוגן בפני ‪SQL-Injection‬‬
‫שימוש בכלי ‪ McAfee Windows Embedded White list‬לנעילת ספריות‬
‫בדיסק בפני שינוי‬
‫מנגנון מובנה להגנה בפני התקפת ‪Buffer Overflow‬‬
‫אופצייה להצפנת המידע בדיסק הקשיח והצמדתו לחומרת מחשב ייעודית‬
‫אופצייה לעבודה מתחנה מוקשחת ע"ג מעה"פ ‪Windows 7 Embedded‬‬
‫‪‬‬
‫‪‬‬
‫הגבלת הגישה ל ‪ Certificate‬בצד השרת‪.‬‬
‫שמירת סיסמאות מוצפנות במסד הנתונים‪.‬‬
‫מה בהמשך‪...‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫כיום פיתוח מואבטח הוא חלק מה ‪ DNA‬של בית התוכנה‪.‬‬
‫תהליך בדיקות ה ‪ QA‬כולל בדיקות הקוד המאובטח תוך בדיקת תסריטי נסיונות‬
‫פריצה שונים‪.‬‬
‫עולם הסייבר מתקדם ומשתנה כל הזמן‪ ,‬לכן אנו דואגים להתעדכן לגבי המגמות‬
‫השונות בתחום‪.‬‬
‫תודה על ההקשבה‬
‫נשמח להעביר יותר פרטים ולהציג את‬
‫המערכת בדוכן שלנו‬