Next Generation Network Security Platform for SCADA and Industrial Control Systems Octubre 2013
Retos a superar en la gestión de la seguridad Segmentación de la red Visión y Control del tráfico Riesgos asociados a la convergencia IT/OT IT OT Enterprise Zone Conduit Control Zone Conduit Retos típicos que aparecen en cualquier entorno de control Plant Zone Gestión de los riesgos asociados a la exposición de los datos Remote Access CIP Standards CFATS Parque de sistemas obsoleto Malware & APTs Exploits Cumplimiento de normativas y legislación Incremento de amenazas Necesidad de abordar todo lo anterior sin afectar al productivo 2 2013, Palo Alto Networks. Confidential and Proprietary.
Como ayudamos a resolver los retos 1 Segmentación con visibilidad y control IT Network Zone 1 Zone 2 OT Network Zone 3 Zone 4 Remote/ 3 rd Party Access Visibilidad tanto del tráfico interno como de los accesos remotos Librería de aplicaciones SCADA y modelado de propietarias Gestión de conductas positivas 2 Protección de amenazas nativa Known Malware Técnicas de protección frente a amenazas de ciclo combinado Protección a los sistemas sin parches de seguridad Librería de vulnerabilidades conocidas de sistemas de control OT Network APTs / C&C File/Content Unknown IT Admin 3 Central Management OT Admin Gestión centralizada y reporting OT Admin Fácil de gestionar, administrar y personalizar Catálogo de informes para cumplimiento de normativas y análisis forenses Enterprise FW Control Center FW Remote Station FW Nuestro sistema de seguridad de nueva y alto rendimiento protege los sistemas de control y los mantiene en funcionamiento 3 2013, Palo Alto Networks. Confidential and Proprietary.
La necesidad de una mejor segmentación OPC SCADA Historian 3 rd Party Support / Service Provider Enterprise Network HMI / SCADA Client Workstation PLC / RTU / IED SIS Centro de Conrol Subestación / Estación Remota Perímetro Exposición tanto a la red corporativa como a las empresas proveedoras de servicios Intra-OT Los niveles de riesgo y los requisitos de seguridad varían en función del sistema y del grado de madurez Visibilidad del tráfico Intra-OT (las amenazas no vienen sólo de Internet) Se deben crear zonas y definir las conductas que permitan el tráfico entre ellas 4 2013, Palo Alto Networks. Confidential and Proprietary.
Segmentación con Palo Alto Networks Server Zone OPC SCADA Historian Remote / Support Zone Enterprise Zone 3 rd Party Support / Service Provider User Zone Process Zone Enterprise Network HMI / SCADA Client Workstation PLC / RTU / IED SIS Control Center Substation / Remote Station Definir zonas de seguridad y políticas que determinen conductas permitidas entre cada pareja de zonas Sin necesidad de realizar una reingeniería de la red Layer 3, Layer 2, Layer 1, VLAN, VPN 5 2013, Palo Alto Networks. Confidential and Proprietary.
Arquitectura SP3 de propósito específico Un único análisis Múltiples aplicaciones sobre cada paquete Identificación de aplicación Identificación de usuario Escaneo de contenidos Una única política de control Soporte de alta disponibilidad Control del ancho de banda Hardware Paralelizado Planos de control (reporting) y procesado idependientes Procesadores dedicados Diseñados para sistemas de control de tiempo real y baja latencia
Librería de aplicaciones SCADA / ICS Protocol / Application Protocol / Application Protocol / Application Modbus base ICCP (IEC 60870-6 / TASE.2) CIP Ethernet/IP Modbus function control Cygnet Synchrophasor (IEEE C.37.118) DNP3 Elcom 90 Foundation Fieldbus IEC 60870-5-104 base FactoryLink Profinet IO (CM) IEC 60870-5-104 function control MQTT OPC (UA) OSIsoft PI Systems Supported today In progress Control sobre más de 1700 aplicaciones con soporte de específicas para SCADA/ICS 7 2013, Palo Alto Networks. Confidential and Proprietary.
Ejemplo de aplicación reconocida Function Control Variants (15 total) Modbus-base Applipedia entry for Modbus-base App-ID Modbus-write-multiple-coils Modbus-write-file-record Modbus-read-write-register Modbus-write-single-coil Modbus-write-single-register Modbus-write-multiple-registers Modbus-read-input-registers Modbus-encapsulated-transport Modbus-read-coils Modbus-read-discrete-inputs Modbus-mask-write-registers Modbus-read-fifo-queue Modbus-read-file-record Modbus-read-holding-registers Beneficio: Visibilidad y control del uso de los aplicativos Ej.1: El analista del centro de control puede leer datos del PLC pero no modificarlos Ej.2: El Ingeniero de PLCs tiene acceso a todas las funciones de Modbus 8 2013, Palo Alto Networks. Confidential and Proprietary.
User-ID: Múltiples maneras de identificar al usuario Políticas aplicadas a usuarios o a grupos 9
Tendencias en el acceso remoto Usuarios tanto internos como externos accediendo remotamente Empresas de servicio Teletrabajo Incremento en el uso de tecnologías de acceso remoto Terminal Services FTP SSH Telnet La Cyberseguridad en la agendas de todos los centros de control Monitoring (KPI, Alarms, Analytics) & Maintenance Control por usuarios garantiza los comportamientos Field operator/analyst 3 rd party support 10 2013, Palo Alto Networks. Confidential and Proprietary.
Ejemplo User-ID: Acceso por Terminal Services Terminal Server (Single IP Address) Taylor, Richard (Internal employee) SSL RDP Application: Sharepoint User: Unknown VPN Router/FW To SCADA / Control Network SSL RDP Application: OSIsoft PI User: Unknown Smith, John (3 rd Party) Motivación: Los sistemas de control suelen requerir del mantenimiento continuado por parte de empresas especializadas Objetivo Garantizar que se podrán aplicar políticas diferenciadas a cada uno de los usuarios del servidor de Terminal Services 11 2013, Palo Alto Networks. Confidential and Proprietary.
Ejemplo User-ID: Agente TS Palo Alto Networks Taylor, Richard (Internal employee) SSL RDP Terminal Server (Single IP Address) Terminal Services Agent Application: Sharepoint User: Taylor, Richard Port range: 1025-2048 SSL VPN Router/FW RDP PA Firewall To SCADA / Control Network Application: OSISoft PI User: Smith, John Port range: 2049-3073 Smith, John (3 rd Party) Terminal Services Agent Asigna rangos de puertos a los diferentes usuarios Ahra ya podemos discriminar y aplicar políticas diferenciadas Beneficios Mejora la visibilidad de la actividad producida por el servidor de Terminal Services Permite control granular de conductas incluso para acesos compartidos 12 2013, Palo Alto Networks. Confidential and Proprietary.
Multiple Vectors for Exploitation Los sistemas SCADA también son vulnerables OPC Server (CVE-2011-1914) Historian Server (CVE-2012-2516) SCADA Master / HMI (CVE-2012-0233) Internet / Support Network Removable Media Example CVE numbers for different types of SCADA/ICS system components Portable Computing PLC / RTU / IED (CVE-2010-2772) Muchos sistemas se mantienen sin aplicar parches de seguridad Si no falla no lo toques Múltiples vectores de propagación de exploits (no sólo Internet) Malware dirigido como amenaza creciente 13 2013, Palo Alto Networks. Confidential and Proprietary.
La lección de Stuxnet El Antivirus Tradicional ya no aporta seguridad El malware moderno implementa técnicas para: - Evitar manifestarse en los HoneyPots (AntiVirus) - Usa polimorfismo o cifrado para no exponer el contenido malicioso Malware dirigido Malware polimórfoco Nuevas instancias de malware Escudo de protección comprometido! 14 2013, Palo Alto Networks. Confidential and Proprietary.
WildFire: SandBoxing para protección Zero-Day Escaneado de ficheros de alto rendimiento Todo el tráfico, en todos los puertos, en todo momento Ejecución en entorno controlado con libertad de acción Actualizaciones del sandbox sin afectación del cliente Control de Malware OnLine que garantiza protección 15 2013, Palo Alto Networks. Confidential and Proprietary.
EAL4+ Certification Palo Alto Networks firewalls have achieved Common Criteria certification at Evaluation Assurance Level 4+ (EAL4+) The highest level of globally recognized certification for the firewall category Expands Palo Alto Networks growing list of technical credentials Includes recognition by ICSA Labs (Network firewall certification), Telcordia (NEBS) and NIST (FIPS 140-2), among others. 16 2013, Palo Alto Networks. Confidential and Proprietary.
Qué aplicaciones tiene su red de control? Aplicaciones encontradas en evaluaciones de Palo Alto Networks realizadas en redes de control Cloud storage Peer-to-peer file sharing (Known vulnerabilities) Web-based distributed authoring & versioning (May carry DLLs that could be use for exploits) Deberían estar estas aplicaciones en la red de control? Quien las consume? Que vulnerabilidades manifiestan? Posibilidad de realizar una prueba de concepto (PoC) gratuita con generación de informe de visibilidad y análisis de riesgos 17 2013, Palo Alto Networks. Confidential and Proprietary.
18 2013, Palo Alto Networks. Confidential and Proprietary.