Cisco IOT Security - download.safeplus.pl Secure 2015/IOT-Security...Cisco IOT Security Zdalny...
Transcript of Cisco IOT Security - download.safeplus.pl Secure 2015/IOT-Security...Cisco IOT Security Zdalny...
Cisco IOT Security
Dlaczego tyle... Modeli/sposobów/twarzy/momentów• Podejście zadaniowe
• Mam konkretny „kejs”
• Mam opisane możliwe rozwiązanie
• Wybieram najlepsze
• Podejście technologiczne• Znam konkretną technologię
• Podejmuję wyzwanie wykorzystania jej w sieciach OT/IOT
• Podejście architektoniczne• Korzystam z rekomendowanych architektur
Cisco IOT SecurityPodejście Zadaniowe
Podejście zadaniowe czyli typowe scenariusze
• Oddzielenie sieci OT od IT
• Separacja segmentów OT
• Separacja OT od innych sieci wspomagających
• Inspekcja komunikacji OT
• Zdalny dostęp
• Segmentacja i szyfrowanie danych
• Dostęp osób trzecich w zdalnych obiektach
• Etc.
• ...
Cisco IOT SecurityZdalny dostęp do sieci ICS
kontra
Dostęp lokalny do zdalnej sieci ICS
Bezpieczeństwo połączenia
• Zastosowanie
• Lokalny dostęp do sieci w zdalnych obiektach – Komunikacja
wychodząca
• Fabryki
• Stacje energetyczne
• Zdalny dostęp do sieci w obiektach– Komunikacja przychodząca
• Fabryki
• Stacje energetyczne
• Dodatkowe funkcjonalności
• Threat Detection and Mitigation
Dostęp do sieci– komunikacja wychodząca
Zapewnienie bezpiecznego i kontrolowanego dostępu w zdalnych obiektach
Zastosowanie w IoT
• Zarządzanie dostępem dla zdalnych pracowników na stacji energetycznej
• Dostęp pracownika/podwykonawcy/gościa do sieci w zdalnej fabryce
• Dostęp dla sieci dla pracowników utrzymania
Wymagania
1. Sprawdzenie tożsamości
2. Kontrola/ograniczenie dostępu do zasobów
3. Kontrola pasma
Dostęp do sieci– komunikacja wychodząca
Kroki Narzędzia Produkty Uwagi
Sprawdzenie tożsamości
•802.1x•Mac Authentication Bypass (MAB)•Port Security ze statycznym MAC
IE2000 (&IE4000)IE2000UIE3000IE3010 (&IE5000)CGS2520
MAB – stosowany względem klientów bez suplikanta 802.1x np. PLC i innych urządzeń końcowych IoT
Kontrola / ograniczenie dostępu do zasobów
•VLAN•ACL – IP based, rozszerzone dla filtracji per port per protokół, stosowane per VLAN
•Time based ACL – czasowa filtracja
IE2000 (&IE4000)IE2000UIE3000IE3010 (&IE5000)CGS2520CGR2010ASR90x819H (829)
ACL na routerach brzegowych ograniczające dostęp do zasobów zewnętrznych np. Interenetu (IP based & Time based)
Kontrola pasma •Rate limiting•QoS – Traffic shaping & policing
IE2000 (&IE4000)IE2000UIE3000IE3010 (&IE5000)CGS2520
Rate limiting i polityki QoS na przełącznikach dostępowych ograniczające pasmo i dopuszczające konkretny typ ruchu
Gbps Link for
Failover Detection
Firewall
(Active)
Cisco
ASA 5500
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal
Services, Application Mirrors,
AV Servers
WLC
AD MDM DNS FTP
Internet
Contractor EmployeeContractorEmployee
AP
802.1x
802.1x
MAB
Port Security
(static mac)
Level 3
DMZ
Level 3.5
Enterprise Network
Levels 4–5
Levels 0-2
Sprawdzenie tożsamościFunkcja celu
• Dopuszczenie tylko znanych
urządzeń
• Ograniczenie liczby urządzeń,
które mogą być dopięte per
port
• Zapobieganie by urządzenia
nieznane/rogue nie mogły
dołączyć się do sieci
Narzędzia
• Uwierzytelnienie 802.1x na
portach dostępowych
przełączników
• MAB dla endpointów które nie
posiadają suplikantów 802.1x
• Port security ze statycznymi
MAC address dla statycznych
urządzeń końcowych
Kontrola i ograniczenie dostępu do zasobów
SiSiSiSiSiSi
HMI
Drive
PTP
I/O
I/O
Controller
Podwykonawca
Funkcja celu:
• Blokowanie dostępu do zasobów, które nie
są przewidziane do prac serwisowych– sieć
biurowa, urządzenia innych dostawców
• Blokowanie podwykonawcy możliwości
wykorzystania sieci przemysłowej do
dostępu do internetu
Narzędzia
1. VLANy – konfiguracja portu dostępowego
ograniczająca dostęp tylko do jednego vlan
2. IP & VLAN ACL na przełączniku
dostępowym pozwalające na dostęp do
wskazanego VLAN lub konkretnego IP
3. Time & IP ACL na routerze brzegowym dla
zablokowania dostępu do internetu
VLAN 10
VLAN 10
VLAN 10
VLAN 10
VLAN 20VLAN 20
VLAN 20
VLAN 10
Internet
Time & IP based
ACLna routerze
brzegowym
access-list ctrl-zone
permit <contractor>
<sis-controller>
<protocol-modbus>
access-list 101 permit tcp
10.1.1.0 0.0.0.255 172.16.1.0
0.0.0.255 eq telnet time-
range EVERYOTHERDAY
time-range
EVERYOTHERDAY periodic
Monday Wednesday Friday
8:00 to 17:00
Dostęp do sieci – Komunikacja przychodzącaZapewnienie bezpiecznego i kontrolowanego dostępu do sieci przemysłowych z internetu
Zastosowanie w IOT
• Zdalny dostęp inżynierski do stacji energetycznej (prace serwisowe / utrzymaniowe)
• Zdalny dostęp do systemów automatyki w fabrykach dla dostawców systemów, producentów linii
produkcyjnych, partnerów
• Dostęp do sieci przemysłowej z sieci biurowej
• Bezpieczena komunikacja Site-to-Site pomiędzy stacjami energetycznymi a centrum kontroli
Wymagania
1. Sprawdzenie tożsamości i roli
2. Poufność (prywatność) i integralność danych
3. Kontrola/ograniczenie dostępu do zasobów
Dostęp do sieci – Komunikacja przychodzącaKroki Narzędzia Produkty Uwagi
Sprawdzenie tożsamości i roli
•Remote access VPN (IPSec,SSL VPN)
•Site-to-Site IPSec VPN•Uwierzytelnienie VPN
• lokalne•Przez serwer (RADIUS, Microsoft AD)
CGR2010819H, 829Stratix 5900ASA FirewallAnyConnect
Site-2-site vpn pomiędzy•Stacjami energetycznymi•Sieć produkcyjna/przemysłowa do control center/sieć administracyjna
Remote Access VPN dla pracowników / partnerów / dostawców
• AnyConnect• Thin Client• Client less
Poufność i integralność danych
•SSH•VPN Encryption –AES, DES/3DES
CGR2010, 819H, 829Stratix 5900, ASA Firewall, AnyConnect
Kontrola i ograniczenie dostępu do zasobów
•ACL•VLAN•QoS – Traffic shaping & policing
IE2000 (&IE4000)IE2000U,IE3000IE3010 (&IE5000)CGS2520, CGR2010, 819H, 829, Stratix 5900, ASA Firewall
Dostęp do sieci – Komunikacja przychodząca
Internet
EnterpriseWAN
EnterpriseExtranet
Link Failover
Remote Access Server
Dostęp inżynierskiPrzez VPN
Dostęp inzynierski z sieci biurowej
Enterprise Edge Firewall
Switch Stack
EtherNet/IP
SSLV PN
IPS
EC
Production Zone Plant Production Ops
Operations and Control
Office Domain
Enterprise Zone
DMZ
Levels 4 and 5
Level 3
Internet
Cell/Area Zones / Levels 0–2
• Enterprise OT network
• Internet -> Enterprise -> OT network
• Clientless, thin client, thick client VPNs
Service
Provider
WAN
Enterprise
Prywatny
WAN
Substation Automation Network
OMS
Gateway
DISTRIBUTED
SERVICES
OMS
AMI/DA
RTU Relay PMUTele-
protection
PROTECTION & CONTROL
Secure Business
Partner Network
OMS
OMS
Sprawdzenie tożsamości i kontrola dostępu
Service
Provider
WAN
Enterprise
Utility
Private
WAN
Sieć na stacji energetycznej
OMS
Gateway
DISTRIBUTED
SERVICES
OMS
AMI/DA
RTU Relay PMUTele-
protection
PROTECTION & CONTROL
Secure Business
Partner Network
OMS
OMS
Cisco ASA
Uwierzytelnienie
użytkownika
- lokalna baza
użytkowników /
RADIUS/LDAP/ AD
Dostęp do VLAN x
Funkcja celu:
• Uwierzytelnienie zdalnego użytkownika
• Klasyfikacja – zdalny pracownik, partner,
dostawca, producent linii
• Autoryzacja i kontrola dostępu
Narzędzia:
• Zestawienie VPN do ASA/routera
brzegowego w organizacji.
• Bezpieczne narzędzia dostępu• AnyConnect (pracownicy)
• Clientless VPN
(dostawcy/podwykonawcy)
• Uwierzytelnenie oparte o• Lokalną bazę użytkowników
• Opcjonalnie z RADIUS, LDAP, MS AD
• Przypisanie VLANu dostępu• Dostawcy ->PROTECTION &CONTROL
• Pracownicy -> cała sieć (???)
• Kontrola dostępu• ACL na routerach dostępowych i/lub
przełącznikach rdzenia/dystrybucji
Serwer uwierzytelnienia
Dostawca
Pracownik
Router brzegowy
-ACL kontrolujący
przepływy ruchu
Poufność i integralność danych
Service Provider WAN
(MPLS/GPRS/3G/4G)
Data Center, Enterprise Apps
Utility Private WAN
(MPLS,SDH/PDH)
DB
Eng
Control Center,
SCADA
SCADA OMSEMS
NMS
Access Control
Certificate
Authority
Identity Services
Engine
Directory
Services
SIEM
Security Services
MEDIA
SERVERVIDEO
ANALYTICS
Sieć na stacji energetycznej
ENG/SYS MULTI SERVICE
OMSHMI
DISTRIBUTED
SERVICES
OMS
Przepływ danych poufnych przez media publiczne,
1. Szyfrowanie dla zapewnienia poufności danych,
2. Integralność danych - SHA 1 & 2
3. Uwierzytelnienie pochodzenia danych – DH dla
wymiany kluczy
Bezpieczne storage kluczy szyfrujących
Szyfracja danych– AES, 3DES, SSL, TLS
Połaczenia szyfrowane
(Site-to-site) – AES, 3DES
Szyfrowany zdalnyc dostęp
(TLS lub SSL lub IPSec )
Management, NOC
RTU Relay PMUTeleprotection
Relay
PROTECTION & CONTROL
Cisco IOT SecurityPodejście technologiczne
Inaczej
Mapowanie technologii
Mapowanie technologii
BEFOREKontrola
WymuszenieWzmocnienie
DURING AFTERWykrycie
BlokowanieOchrona
Określ zakresWyizolowanie
Remediacja
Continuum Ataku
Widoczność i kontekst
Firewall
NAC + Identity Services
VPN NGIPS
Anomaly Detection
Advanced Malware Protection
Network Behavior Analysis
Posture Assessment
Kontrola dostępu do sieci
NAC + Posture Assessment
Kontrola dostępu do sieci = Centralna polityka dla LAN, WLAN i VPN
Gbps Link for Failover Detection
Firewall(Active)
Cisco
ASA 5500
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
Contractor EmployeeContractorEmployee
AP
EmployeeISP
R/A Endpoint
Level 3
DMZ
Level 3.5
Enterprise Network
Levels 4–5
Levels 0-2
ISEADMIN/MnT
Model zastosowania = centralizacja kontroli ze względu na miejsce przyłączenia urządzenia.
1) Wprowadzenie ISE do sieci na level 3
2) Wykorzystanie RADIUS
3) Centralizacja polityki dostępu / uprawnień
4) Pełne raportowanie –widoczność wszystkich endpointów w sieci.
-- Rodzaj urządzenia
-- nazwa użytkownika/MAC/IP
-- miejsce uwierzytelnienia
Zdalny dostęp– użycie ISE dla centralnego uwierzytelnienia i autoryzacji
Gbps Link for Failover Detection
ASA 55XXASA 55XX
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
Contractor EmployeeContractorEmployee
AP
EmployeeISP
R/A Endpoint
ISE + ASA
-- wykorzystanie CoA
-- centralny punkt definiowania polityk
ISEADMIN/MnT
Posture assessment dla urządzeń końcowych
Gbps Link for Failover Detection
Firewall(Active)
Cisco
ASA 5500
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
Contractor EmployeeContractorEmployee
AP
EmployeeISP
R/A Endpoint
1
2
3
POSTURE
1) Tradycyjne urządzenia końcowe (nie iOT)
2) Weryfikacja że maszyna jest „czysta” + zgodna z polityką
3) Endpoint próbuje uzyskać dostęp do sieci
4) NAD - ISE
5) Sprawdzenie urządzenia końcowego
6) Sprawdzenie postureurządzenia końcowego.
ISEADMIN/MnT
Wykrywanie anomalii + lepsza widoczność per zone
Anomaly DetectionIntrusion Detection
Faza During: Pasywne skanowanie sieci Industrial Control Networks (ICS)
Sieci ICS powinny być statyczne, ale zwykle trudno to zweryfikować
Urządzenia ICS są dedykowanymi rozwiązaniami i nie mają nadmiaru zasobów systemowych
Typowe metody dla IT discovery mogą przeciążyć urządzenia a nawet doprowadzić do jego wyłączenia (w tym zainstalowanego systemu operacyjnego)
Pasywne profilowanie sieci
Nie wprowadza latencji pomiędzy urządzeniami i systemem zarządzania
Wpisanie na Whitelist elementów znanych i alarmowanie o anomaliach
Wyzwanie Odpowiedź
Intrusion Detection - Anomaly Detection na pozimie L2 (SP99)
Firewall
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
ISEADMIN/MnT
Contractor EmployeeContractorEmployee
Defense Center
AP
EmployeeISP
HMI
ANOMALY DETECTION
1) Sprawdzenie 5 urządzeń poprzez L2, IDS, bez wprowadzenia dodatkowego opóźnienia
2) Wprowadzenie widoczności dla zone
3) Wiedza o zone – możliwość wykrywania anomalii
4) Kontrolowane przez Defence Center
Wzmocnienie ochrony DMZ
Intrusion Prevention + Malware Defense
Dodanie IPS do firewalla chroniącego DMZ
Firewall
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
Contractor EmployeeContractorEmployee
Defense Center
AP
EmployeeISP
HMI
Ochrona DMZ
1) Segmentacja względem sieci biurowej oraz punktu terminowania połączeń Remote Access.
2) Firepower – dodanie funkcjonalności do ASA
3) Wprowadzenie IPS i narzędzi antimalware
4) ASA kontroluje połączenia
5) Unikalne polityki IPS policies per grupa AD /użytkownik
6) Whitelisty per aplikacja z wykorzystaniem identity
ISEADMIN/MnT
Ochrona przed Malware
Firewall
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
Contractor EmployeeContractorEmployee
Defense Center
AP
ISP
HMI
1
MALWARE
1) FireAMP zwiększa widoczność i wprowadza dodatkową linię obrony
2) W pierwszej kolejności wprowadzenia AMP na sensorach IPS
3) Okreslenie drogi wejścia (pacjent zero)
4) Określenie które systamy są zarażone (file trajectory)
5) Określenie typu zagrożenia (file analysis)
6) Określenie przyczyn infekcji
7) Zapezpieczenie systemu przed ponowną infekcją (blokowanie plików, custom sigs, custom white lists, blokowanie komunikacji call home).
ISEADMIN/MnT
TALOSCSI
Ochrona HMI/Historian
Advanced Malware Protection = FireAMP
Zabezpieczenie HMI + Historian + serwerów
Firewall
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
Contractor EmployeeContractorEmployee
Defense Center
AP
EmployeeISP
FireAMP
1) Kolejny krok–wprowadzenia AMP dfor Endpoint
2) AMP dla HMI/Historian
3) Blokowanie podejrzanych programów / procesów
HMI
Historian
ISEADMIN/MnT
Pracownicy kontra dostawcyjak ich rozdzielić
TrustSec
TrustSec
Gbps Link for Failover Detection
Firewall(Active)
Cisco
ASA 5500
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
SGT/IP Binding Table
WLC
AD MDM DNS FTP
Internet
ISE PSN
Contractor EmployeeContractorEmployee
AP
EmployeeISP
R/A Endpoint
IE3K
1
2
3
Przypisanie znacznika
10.1.10.1 3 Local
10.1.10.4 4 Local
IP Address SGT SRC
4SGT
TRUSTSEC – wykorzystanie infrastruktury Cisco
1) Dostawca chce uzyskać połaczenie
2) ISE sprawdza urządzenie końcowe
3) IE3K nie może dodać SGT
4) Zapięcie sesji SXP do 3750
5) Szybki i prosty sposób zróżnicowania pracownika od dostawcy bez konieczności wcześniejszej konfiguracji VLAN/ACL dla firm zewnętrznych
ISEADMIN/MnT
Zdalny dostęp – Clientless dla dostawców
Gbps Link for Failover Detection
ASA 55XX ASA 55XX
Cisco Catalyst
6500/4500
Cisco Cat. 3750X
Patch Management, Terminal Services, Application Mirrors, AV Servers
WLC
AD MDM DNS FTP
Internet
ISE PSN
ISE ADMIN
Contractor EmployeeContractorEmployee
AP
EmployeeISP
R/A Endpoint
CLIENTLESS PORTAL
-- dla dostawców/podwykonawców
-- oparty o przeglądarkę
-- wystawienie odnośników (Bookmark) w oparciu o uwierzytelnienie
Łącząc to w całość...
IT/OT - Elementy konwergencji Security
Web Apps DNS FTP
Internet
Gbps Link for Failover
Detection
Firewall(Active)
Firewall(Standby)
Factory Application
Servers
Access Switch
Network Services
Core Switches
AggregationSwitch
Patch Mgmt.Terminal ServicesApplication MirrorAV Server
Cell/Area #1(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2(Ring Topology)
Cell/Area #3(Linear Topology)
Layer 2 Access Switch
Controller
Cell/Area ZoneLevels 0–2
Manufacturing ZoneLevel 3
Demilitarized ZoneLevel 3.5
Enterprise NetworkLevels 4–5
Przemysłowy Firewall
Przemysłowy Intrusion Protection (IPS)
Zdalny monitoring / wideomonitoring
Zarządzenie SW, zasobami i konfiguracją
VPN & Remote Access
Next-Generation Firewall
Intrusion Prevention (IPS)
Cloud-based Threat Protection
Całościowe wymuszenie polityki w sieci
Access Control (na poziomie aplikacji)
Stateful Firewall
Intrusion Protection/Detection (IPS/IDS)
Systemy bezpieczeństwa fizycznego
Iden
tity
Serv
ices
ISE
Podejście architektoniczne...czyli sa gotowe architektury
Cisco Connected Factory
Cisco Connected Substation
Cisco Connected Transportation
Podsumowanie
Podsumowanie i wnioski
• Bez wątpienia, sieci przemysłowe są „naturalnym celemi” ataków – APT i nie tylko
• Łączenie i konwergencja sieci IT oraz OT ma swoje ryzyka i korzyści.
• Obecnie są dostępne rozwiązania szeroko adresujące kwestie bezpieczeństwa sieci przemysłowych (defence-in-depth)
• Poza technologią należy położyć nacisk na • Zarządzanie
• Reagowanie na incydenty
• Czynnik ludzki
• Bezpieczeństwo ICS jest uwzględnione w Narodowej Strategii Ochrony Cyberprzestrzeni i regulacjach dotyczących ochrony infrastruktury krytycznej.
Podsumowanie i wnioski
• Ochrona styków – FW, IPS, Antimalware
• Sieci VPN – FW, IPS, Antimalware
• Kontrola dostępu – uwierzytelnienie do sieci
• Ochrona HMI i serwerów w Layer 3
• Monitoring segmentów – IPS (pasywny) + monitoring Netflow
• ... I co najmniej kilka kolejnych.
• ....
Obszary technologiczne do dyskusji
41
Atakujący
Złożona sytuacja geopolityczna
Brak zaangażowania zarządów
Wyzwania bezpieczeństwa są wszechobecne
Niedopasowanie polityki bezpieczeństwa
Dynamika zagrożeń
Obrońcy
Nielojalni pracownicy
Dziękujemy