Pulse The P-CIM Successor
Download
Report
Transcript Pulse The P-CIM Successor
מערכות סקאדה מאובטחות למתקני אנרגיה קריטים
התקפות סייבר על מתקני אנרגיה
אוקטובר 2013
הצורך באבטחת מידע
תמונת מצב כיום
בתחילה רשתות SCADAנועדו למקסם את הפונקציונליות שלהם,
עם מעט מאד תשומת לב לאבטחת מידע.
רשתות בקרה היו בתחילה מבודדות ,אך בשנים האחרונות אנו רואים
אותם יותר ויותר מחוברות לרשת הארגונית לצורך אינטגרציה עם
תוכנות בארגון וגם עמדות ניהול למערכת ה SCADAעצמה.
רוב מערכות ה SCADAהותיקות יותר (רובם כיום בשימוש) לא
מכילות את מגוון יכולות אבטחת המידע הנדרשות.
רמת אבטחת המידע של מערכות SCADAאינו
תואם את רמת האיומים בעידן הנוכחי.
עידן חדש של אקרים
כבר לא מדובר בהאקרים זוטרים – אלא האקרים מקצועיים
המייצרים התקפות קשות ומורכבות.
תוקפים בעלי אג'דנה ברורה כגון :ריגול תעשייתי ,פיגוע ממוקד,
אג'נדה פוליטית וכו...
המטרה ,פעילויות הליבה העסקית של הארגון ולא טכנולוגיה .
בעידן הנוכחי רב ההתקפות מייוצרות ע"י מימון נרחב
תוך השקעה רבה של כספים ובציוד מהמתקדמים
ביותר.
סוגי האקרים
האקרים זוטרים – בד"כ בני נוער או סטודנטים הפורצים לשם
ההנאה או האתגר (נחשבים להכי פחות מסוכנים).
פליליים – פושעים מאורגנים המחפשים בעיקר גניבות של כספים
או סחורות לצורך סחיטת כספים.
ריגול תעשיתי – בעיקר לצורך גניבת מידע רגיש מארגונים.
פעילי אנטי – גלובליזציה לצורך פריצה אידיאולוגית (בעיקר )DOS
טרוריסטים -רב ההתקפות מייוצרות תוך השקעה
רבה של כספים ובציוד מהמתקדמים ביותר.
סוגי התקפות עקריות
DDOS – Distributed Denial Of Service
Attacker sends command to bonet, botnet floods server with
massages
SQL Injection
The hacker utilizes enterprise authentication forms as his
conduit to the SQL data store. He then applies malicious SQL
script to obtain access to the enterprise data store.
Man in the Middle
Attacker captures the communication between you and the web
server. Without encryption he will basically gain access to all your
data!
Buffer Overflow
This is where an application is expecting a maximum amount of information.
Should an attacker subsequently input a larger than expected piece of
information, the application will malfunction in such a way as to allow an arbitrary
piece of any code of the attacker’s choice to be executed.
Spyware/Viruses and Trojans
malicious programs that attackers will bundle into other legitimate programs, or
will try and trick their target into running.
Phishing
phishing attacks whereby someone fraudulently sends out an email
to acquire sensitive information, such as usernames, passwords and
credit card details, by impersonating a trustworthy entity, i.e. a bank.
התקפות על מתקני אנרגיה בשנה האחרונה
התקפת סייבר על 2תחנות כוח בארה"ב
וירוסים התגלו במערכת הסקאדה של שתי תחנות כוח בארה"ב,
מקור הווירוסים הוא כנראה בהתקני דיסק און קי ,שהופכים לסכנה
מספר אחת ברשתות מחשוב אשר אינן מחוברות לאינטרנט.
התגלה כאשר עובד שהשתמש בדיסק און קי באחד ממחשבי
הבקרה נתקל בבעיה והזעיק את צוות תמיכת ה IT -של המתקן.
לאחר שאיש ה IT -חיבר את הדיסק און קי למחשב בעל תוכנת
אנטי וירוס מעודכנת ,זיהתה התוכנה שלושה קבצים חשודים.
בפועל נגרם נזק רב למערכות ואף גרם להפסקת
הפעילות של תחנת הכוח המותקפת ליותר
משלושה שבועות.
היורש של סטוקסנט? תולעת מתוחכמת התגלתה במחשבים באיראן
חברת האבטחה קספרסקי מדווחת כי התולעת " "FLAMEהדביקה
אלפי מחשבים במזרח התיכון ,כולל בישראל וברשות.
התולעת מסוגלת לבצע פעולות ביון במחשבים שהודבקו ,והיא דומה
מאד באופן הפעולה לסטוקסנט.
מסוגלת לבצע מספר רב של פעולת שונות ומגוונות ריגול במקביל.
המטרה העיקרית שלה ,על פי ההערכות ,היא ריגול וגניבת מידע.
הערכות היום כי מדובר בנשק הסייבר המתוחכם
ביותר שיוצר עד כה.
קמפיין "אוקטובר האדום" -רשת ריגול מתקדמת המכוונת התקפות
Cyberעל סוכנויות דיפלומטיות וממשלתיות
קמפיין ממוקד התקפה שנמשך כבר לפחות חמש שנים .ופגע במאות קורבנות ברחבי
העולם במספר קטגוריות עיקריות:
ממשלה ,שגרירויות דיפלומטיות ,מוסדות מחקר ,במסחר ,מחקר גרעיני /אנרגיה ,חברות
נפט וגז ,תעופה וחלל ,צבאי
מטרתו העיקרית של הקמפיין הוא איסוף של מידע מסווג ומודיעין גיאופוליטי לצורכי
מחירה בשוק השחור או לשימוש אישי.
חוקרים של קספרסקי בילו מספר חודשים בניתוח תוכנה זדונית זו ,אשר מטרתה
לפגוע בארגונים ספציפיים בעיקר במזרח אירופה ,חברי ברית המועצות לשעבר
ובמדינות במרכז אסיה ,במערב אירופה ובצפון אמריקה.
המשך..
ההתקפה התבצעה ע"י שליחת הקוד הזדוני באמצעות דואר אלקטרוני כקבצים
מצורפים במספר שלבים:
שלב א' – הדבקה ראשונית
שלב ב' – הורדה מהאינטרנט של מודולים נוספים שנפרסו לאיסוף המודיעין
שלב ג' – התוצר המודיעיני הוצפן ע"י תוכנת הריגול ונשלח בחזרה.
מפת ההדבקה בוירוס
כיצד להתמודד עם התקפות אילו.
לוודא שחיבורי הרשת למערכת ה SCADAאכן מאובטחים ברמה הרצויה.
לערוך בדיקות חדירה או ניתוח פגיעויות של כל חיבורים שנותרו לרשת SCADA
נתק חיבורי רשת מיותרים לרשת ה SCADA
בודד את רשת ה SCADAמקסימלית במידת האפשר.
הקשחת עמדת שרת ה SCADA
הקשחת מערכת ההפעלה מקסימלית ברמת Policy
תקשורת (חסימה של פורטים ,כתובות רשת USB ,וכו)...
קבצי מערכת וקבצי פרוייקטים.
הגדרת תכונות אבטחה בשרת כדי לספק רמה מקסימלית של אבטחה
ערוך תהליך הערכת סיכונים מעמיקה של ההשלכות של צמצום רמת האבטחה.
בצע ביקורת תקופתית טכנית לגבי לוגיים Auditוכו...
נתח את נקודות תורפה שזוהו על מנת לקבוע את משמעותם ,ולנקוט בפעולות
מתקנות או מניעתיות על פי צורך.
להקים צוותים ” “Red Teamכדי לזהות ולהעריך תרחישי פגיעה
אפשריים במערכת ה SCADA
עובדים שיכולים לספק תובנות לגבי נקודות תורפה של רשת
ה .SCADAהם עובדים עם המערכת יום יום ולעיתים יש
להם תובנות לגבי הפגיעויות האפשריות של רשת SCADA
במתקן.
להגדיר בבירור תפקידים ,תחומי אחריות וסמכויות למנהלים,מנהלי מערכת ומשתמשים
בתחום Cyber Security
הקמת מבנה ארגוני המגדיר את התפקידים ותחומי אחריות המזהה בבירור כיצד
בעיות אבטחת הסייבר הסלימו ולמי יש להודיע בשעת חירום.
להקים גיבויי מערכת ותוכניות התאוששות מאסון
להקים תכנית התאוששות מאסון ,המאפשרת להתאוששות מהירה מכל מצב
חירום (כולל מתקפת סייבר).
מה עשינו באפקון עם תוכנת PULSEברמת
אבטחת מידע?
ביצענו פעילות מקיפה של בדיקת התוכנה בשת"פ עם חברת אבטחת
מידע מתמחה בתחום לצורך ביצוע הפעולות הבאות:
בדיקת חדירות מקיפה משלובת לצד ה Serverוגם לצד ה Clientלרבות:
תקשורת
Penetration tests
Secure system design review
Dedicated Code review
Attack on Paper
הקשחת PULSEבשת"פ עם ראא"מ
SQL
DB
Process.
Server
SQL
DB
BMS
Server
SQL
DB
Security
Server
ETH SWITCH
תצורת שרת /לקוח.
Pulse Remote
HMI Client
ניתוק סביבת התפעול (והפיתוח) מהשרת (אין שיתוף קבצים)
תאימות לעבודה מול תחנות עבודה מוקשחות
הזדהות – Authenticationמול ( Windowsמע' ההרשאות של האירגון –
)Active Directory
מודול הרשאה תלת מימדית – רמת הרשאה ,מידור גיאוגרפי ,מידור פונקציונאלי
הצפנת המידע בין התכנות לשרת Encrypted WCF -
רישום פעולות מפעיל וניסיונות כניסה למערכת שגויים –
Audit Trailבצד שרת.
הקשחת PULSEבשת"פ עם ראא"מ
קוד התוכנה מעורבל ומוצפן (מניעת )Hackingומוגן בפני SQL-Injection
שימוש בכלי McAfee Windows Embedded White listלנעילת ספריות
בדיסק בפני שינוי
מנגנון מובנה להגנה בפני התקפת Buffer Overflow
אופצייה להצפנת המידע בדיסק הקשיח והצמדתו לחומרת מחשב ייעודית
אופצייה לעבודה מתחנה מוקשחת ע"ג מעה"פ Windows 7 Embedded
הגבלת הגישה ל Certificateבצד השרת.
שמירת סיסמאות מוצפנות במסד הנתונים.
מה בהמשך...
כיום פיתוח מואבטח הוא חלק מה DNAשל בית התוכנה.
תהליך בדיקות ה QAכולל בדיקות הקוד המאובטח תוך בדיקת תסריטי נסיונות
פריצה שונים.
עולם הסייבר מתקדם ומשתנה כל הזמן ,לכן אנו דואגים להתעדכן לגבי המגמות
השונות בתחום.
תודה על ההקשבה
נשמח להעביר יותר פרטים ולהציג את
המערכת בדוכן שלנו