Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Aktivt forsvar af ICS/OT
Introduktion til NSM i ICS … Søg og du skal finde
ics2secure.com
Om …
ics2secure.com
Rule Om_Michael_Weng{
meta:date = ”24. juni 2017”author = ”Michael Weng, CISSP”description = ”Ejer af ics2secure.com & Senior ICS/OT Cyber Security Advisor”
strings:$a=”Tilknyttet Novo Nordisk koncernen i 16 år, primært i Produktionen” ascii wide$b=”Løsningsdesign, Projektledelse, Validering, Drift, Netværk, Cyber Security” ascii wide$c=”Specialiseret i NSM i ICS/OT miljøer de seneste 2 år” ascii wide$d=”Threathunter, NSM” ascii wide$d=”SANS ICS515, SANS SEC 511” ascii wide$e=”Weng Security Consulting, 2900 Hellerup, +45 3029 3079, [email protected]”
condition:all of the above
}
Status i ugerne efter WannaCry …
ics2secure.com
Det gik jo godt, men kun fordi en ung englænder fandt en kill-switch, der neutraliserede den værste trussel …
Så vi var heldige … denne gang!!?
ICS/OT systemer er stadig sårbare fordi virksomhederne
stadig ikke kigger efter trusler …
Hvis ICS/OT er så sårbart …
ics2secure.com
… hvorfor ser/hører vi så ikke (om) flere angreb / kompromitteringer?
• (ingen) Intention• (manglende) Motivation
Der mangler visibilitet og gennemsigtighed i vores ICS/OT netværk!!?
… det bør ikke være CfCS eller andre, der banker på og fortæller, at man som virksomhed er blevet kompromitteret …
Bliver man ’hacked’/får Ransomware…
ics2secure.com
Kan man som virksomhed eller kritisk infrastruktur leverandør ikke levere
• varer/produkter (Mælk, Kød, Cement, Pumper, Medicin …)• vand/varme• elektricitet• telefoni
Med andre ord bliver man ramt på forretningen direkte … Det koster produktion og måske hele forretningsgrundlaget til slut …
… og det kan ligeledes have en stor national konsekvens …
Kend dit netværk …
ics2secure.com
Rob Joyce, NSA, Head of TAO @ USENIX Enigma 2016 …
Mitigation Guidance key take-away is ”Know thy network … if you reallywant to protect it … because we will spend time learnning it better thanyou … to compromise it”
Hvis du er ansvarlig for et ICS/OT netværk bør du have set denne præsentation allerede …
Det handler om gennemsigtighed og synlighed … kend og forstå dit netværk … brug NSM (Network Security Monitoring)
Reaktivt vs. Aktivt forsvar
ics2secure.com
Vi ved i dag, at de præventive kontroller før eller siden vil fejle … Og fremmede vil dermed kunne få adgang til vores systemer …
Vi skal ikke undlade at have de præventive kontroller, men udvide vores forsvar …
Vi skal tilføje proaktiv netværksovervågning … NSM
Network Security Monitoring … Defense is doable
(Forsvar af ICS/OT er muligt…)
Network Security Monitoring
ics2secure.com
”The collection, analysis, and escallation of indications and warnings to detectand respond to intrusions. NSM is a way to find intruders on your network and do something about them before they damage your enterprise.”
- The practise of network security monitoring, Richard Beijlitch
NSM cyklus
ics2secure.com
Opsamling
DetektionAnalyse
Model for proaktiv indsats, baseret på data fra netværket
Kræver mennesker og processer, ikke kun teknologi
Fokus på modstanderen, ikke på svagheden i systemerne
Metode
ics2secure.com
• Network tap – Fysisk dims der (passivt) kopierer netværkstrafikken ud til en sensor
• SPAN eller mirror port – Switchbaseret konfiguration, der ligeledes kopierer trafikken på switchens porte (passivt) til en separat port, hvor sensoren så sidder og lytter
• Host NIC – konfigureret til at overvåge al trafik der flyder igennem (sidder oftest direkte på en sensor)
• Seriel port tap – fysisk dims der (passivt) kopierer seriel data trafik til en anden port, kræver oftest special software til at oversætte de serielle data
Hvilke data skal man opsamle
ics2secure.com
• Full content data – ufiltreret opsamling af pakker
• Extracted content – data streams, filer, web sider, etc.
• Session data – trafik imellem noder (5 tuple data)
• Transaction data – forspørgelser og svar mellem noder
• Statistiske data – beskrivelser af trafik såsom protokol og volumener
• Metadata – aspekter af data som f.eks. hvem ejer denne ip adresse
• Alarmer/Log data – triggere fra FW, IDS, bruger logs, Event logs
Besværlige forhold for NSM i ICS/OT
ics2secure.com
• Krypterede netværk
• Overdreven brug af NAT
• Mobile enheder der bevæger sig rundt imellem netværkssegmenterne
• Ekstreme data trafikmængder
• Personlige data
TVÆRTIMOD!!!
Eksempel ICS/OT
ics2secure.com
Enterprise
DMZ
Manufacturing
Control
Device
SIS
Angribers målsætning
ics2secure.com
Angribers mål:• Ødelægge produktionsudstyr• Påvirke eller stjæle proces info• Påvirke sikkerhed eller compliance• Bevæge sig (pivot) fra ICS/OT til ERP
Angribers muligheder:• Opnå fysisk adgang• Opnå fjernadgang• Udnytte administrator maskiner med adgang til ICS/OT
NSM Opsamling
ics2secure.com
• Firewall logfiler• Sessions Data• NIDS/HIDS logfiler• Komplet pakke-data (Full packet capture)• Windows logfiler og syslog filer• SNMP (CPU % etc.)• Alarmer fra div. (sikkerheds) agenter (AV, Whitelising, etc.)
Hvad skal man kigge efter
ics2secure.com
• Baseline afvigelser• Top kommunikatorer• Uventede forbindelser• Kendte ’onde’ ip adresser og domæne navne• Brug af ’default login’• ’out-of-band’ logins• Fejlmeddelelser i sammenhæng med svagheder• Usædvanlige system og firewall logninger• Hostbaserede IDS eller Endpoint sikkerheds alarmer• Uventede filopdateringer (f.eks. Firmware opdateringer)• Uventede nye Services eller programmer
NSM Detektion – at gå på jagt
ics2secure.com
Analytiker ser på de fundne anomale data (mønstre) eller alarmer og eskalerer til Incident Response hvis det findes nødvendigt
• IDS alarmer• Anomale opdagelser• Firmware opdateringer• Default login• Høj CPU eller båndbredde• Døralarm i utide• Enheder der går ’off-line’ af sig selv eller anden usædvanlig opførsel
NSM Analyse
ics2secure.com
• IR analyserer de fundne anormaler for at finde evt. ’onde’ artefakter
• Applikationsudnyttelser (exploits)• 3die parts forbindelser• ICS specifikke protokol angreb (sjældne)• Fjernadgangsudnyttelse (exploits)• Tunneler (udgående)• Direkte adgang til intranet (Fysisk)• USB overført malware
NSM Værktøjer
ics2secure.com
Open Source = Gratis (Fuld support via youtube, GitHub, Google)
Pcaps – Wireshark/NetworkMinerLogs – Syslog
BRO IDSSnort IDSSuricata
IDS GUI’s - squil
… Wireshark er din nye bedste ven!!!
Et NSM værktøj for alle 7 data typer
ics2secure.com
Security Onion (SO) – gratis Linux distro
Full packet capture – Tcpdump/Wireshark/NetworkMinerExtracted – xplico/NetworkMinerSession – BRO/FlowBATTransactional – BROStatistical – capinfos/WiresharkMeta – ELSA (og Whois)Alerts – Snort/Suricata/squil, Snorby
NetFlow værktøjer
ics2secure.com
• SiLK & FlowBAT – Kan installeres i SO nemt og direkte
Security Onion Implementering
ics2secure.com
Nemt, Hurtigt, Gratis …
•Test i lab først• Vælg passende HW med megen RAM og stor HD• Mirrored/SPAN porte på switche eller en god netværks tap• Gennemtænkt og velvalgte sensor placeringer
•Og ALTID i dialog med primære intressenter fra Produktionen
Mennesker (Analytiker)
ics2secure.com
… er den vigtigste del af NSM!
•GB af data & 1000s af IDS alarmer er ubrugelige uden tolkning …
• Analyser de opsamlede data for at forstå det normale – så lærer man hvad det unormale er …
• Identificer dine modstanderes TTPs og udfør målrettet handling for at forhindre dem …
Tak til
ics2secure.com
• Chris Sistrunk (Mandiant) for inspiration (DEF CON 23 NSM 101 for ICS)• Doug Burks (Security Onion) for pulling an awesome tool together• Robert M. Lee (SANS ICS515) for teaching an awesome class of IR & Active Defense in ICS• Robert M. Lee (Dragos) for making CyberLens• Robert M. Lee (Dragos) for making ”Little Booby – SCADA and Me”• Eric Conrad (SANS SEC511) for teaching an awesome class of Continued Monitoring• Richard Bejlich (Taosecurity) for writing awesome books about NSM
•Publikum for at lytte og stille ode spørgsmål …
Husk … det ER muligt at forsvare sit ICS/OT miljø (Defense is doable…)
www.ics2secure.comTuborgvej 56 1.Tv., 2900 Hellerup+45 3029 [email protected]