Cisco IOT Security

Dlaczego tyle... Modeli/sposobów/twarzy/momentów• Podejście zadaniowe

• Mam konkretny „kejs”

• Mam opisane możliwe rozwiązanie

• Wybieram najlepsze

• Podejście technologiczne• Znam konkretną technologię

• Podejmuję wyzwanie wykorzystania jej w sieciach OT/IOT

• Podejście architektoniczne• Korzystam z rekomendowanych architektur

Cisco IOT SecurityPodejście Zadaniowe

Podejście zadaniowe czyli typowe scenariusze

• Oddzielenie sieci OT od IT

• Separacja segmentów OT

• Separacja OT od innych sieci wspomagających

• Inspekcja komunikacji OT

• Zdalny dostęp

• Segmentacja i szyfrowanie danych

• Dostęp osób trzecich w zdalnych obiektach

• Etc.

• ...

Cisco IOT SecurityZdalny dostęp do sieci ICS

kontra

Dostęp lokalny do zdalnej sieci ICS

Bezpieczeństwo połączenia

• Zastosowanie

• Lokalny dostęp do sieci w zdalnych obiektach – Komunikacja

wychodząca

• Fabryki

• Stacje energetyczne

• Zdalny dostęp do sieci w obiektach– Komunikacja przychodząca

• Fabryki

• Stacje energetyczne

• Dodatkowe funkcjonalności

• Threat Detection and Mitigation

Dostęp do sieci– komunikacja wychodząca

Zapewnienie bezpiecznego i kontrolowanego dostępu w zdalnych obiektach

Zastosowanie w IoT

• Zarządzanie dostępem dla zdalnych pracowników na stacji energetycznej

• Dostęp pracownika/podwykonawcy/gościa do sieci w zdalnej fabryce

• Dostęp dla sieci dla pracowników utrzymania

Wymagania

1. Sprawdzenie tożsamości

2. Kontrola/ograniczenie dostępu do zasobów

3. Kontrola pasma

Dostęp do sieci– komunikacja wychodząca

Kroki Narzędzia Produkty Uwagi

Sprawdzenie tożsamości

•802.1x•Mac Authentication Bypass (MAB)•Port Security ze statycznym MAC

IE2000 (&IE4000)IE2000UIE3000IE3010 (&IE5000)CGS2520

MAB – stosowany względem klientów bez suplikanta 802.1x np. PLC i innych urządzeń końcowych IoT

Kontrola / ograniczenie dostępu do zasobów

•VLAN•ACL – IP based, rozszerzone dla filtracji per port per protokół, stosowane per VLAN

•Time based ACL – czasowa filtracja

IE2000 (&IE4000)IE2000UIE3000IE3010 (&IE5000)CGS2520CGR2010ASR90x819H (829)

ACL na routerach brzegowych ograniczające dostęp do zasobów zewnętrznych np. Interenetu (IP based & Time based)

Kontrola pasma •Rate limiting•QoS – Traffic shaping & policing

IE2000 (&IE4000)IE2000UIE3000IE3010 (&IE5000)CGS2520

Rate limiting i polityki QoS na przełącznikach dostępowych ograniczające pasmo i dopuszczające konkretny typ ruchu

Gbps Link for

Failover Detection

Firewall

(Active)

Cisco

ASA 5500

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal

Services, Application Mirrors,

AV Servers

WLC

AD MDM DNS FTP

Internet

Contractor EmployeeContractorEmployee

AP

802.1x

802.1x

MAB

Port Security

(static mac)

Level 3

DMZ

Level 3.5

Enterprise Network

Levels 4–5

Levels 0-2

Sprawdzenie tożsamościFunkcja celu

• Dopuszczenie tylko znanych

urządzeń

• Ograniczenie liczby urządzeń,

które mogą być dopięte per

port

• Zapobieganie by urządzenia

nieznane/rogue nie mogły

dołączyć się do sieci

Narzędzia

• Uwierzytelnienie 802.1x na

portach dostępowych

przełączników

• MAB dla endpointów które nie

posiadają suplikantów 802.1x

• Port security ze statycznymi

MAC address dla statycznych

urządzeń końcowych

Kontrola i ograniczenie dostępu do zasobów

SiSiSiSiSiSi

HMI

Drive

PTP

I/O

I/O

Controller

Podwykonawca

Funkcja celu:

• Blokowanie dostępu do zasobów, które nie

są przewidziane do prac serwisowych– sieć

biurowa, urządzenia innych dostawców

• Blokowanie podwykonawcy możliwości

wykorzystania sieci przemysłowej do

dostępu do internetu

Narzędzia

1. VLANy – konfiguracja portu dostępowego

ograniczająca dostęp tylko do jednego vlan

2. IP & VLAN ACL na przełączniku

dostępowym pozwalające na dostęp do

wskazanego VLAN lub konkretnego IP

3. Time & IP ACL na routerze brzegowym dla

zablokowania dostępu do internetu

VLAN 10

VLAN 10

VLAN 10

VLAN 10

VLAN 20VLAN 20

VLAN 20

VLAN 10

Internet

Time & IP based

ACLna routerze

brzegowym

access-list ctrl-zone

permit <contractor>

<sis-controller>

<protocol-modbus>

access-list 101 permit tcp

10.1.1.0 0.0.0.255 172.16.1.0

0.0.0.255 eq telnet time-

range EVERYOTHERDAY

time-range

EVERYOTHERDAY periodic

Monday Wednesday Friday

8:00 to 17:00

Dostęp do sieci – Komunikacja przychodzącaZapewnienie bezpiecznego i kontrolowanego dostępu do sieci przemysłowych z internetu

Zastosowanie w IOT

• Zdalny dostęp inżynierski do stacji energetycznej (prace serwisowe / utrzymaniowe)

• Zdalny dostęp do systemów automatyki w fabrykach dla dostawców systemów, producentów linii

produkcyjnych, partnerów

• Dostęp do sieci przemysłowej z sieci biurowej

• Bezpieczena komunikacja Site-to-Site pomiędzy stacjami energetycznymi a centrum kontroli

Wymagania

1. Sprawdzenie tożsamości i roli

2. Poufność (prywatność) i integralność danych

3. Kontrola/ograniczenie dostępu do zasobów

Dostęp do sieci – Komunikacja przychodzącaKroki Narzędzia Produkty Uwagi

Sprawdzenie tożsamości i roli

•Remote access VPN (IPSec,SSL VPN)

•Site-to-Site IPSec VPN•Uwierzytelnienie VPN

• lokalne•Przez serwer (RADIUS, Microsoft AD)

CGR2010819H, 829Stratix 5900ASA FirewallAnyConnect

Site-2-site vpn pomiędzy•Stacjami energetycznymi•Sieć produkcyjna/przemysłowa do control center/sieć administracyjna

Remote Access VPN dla pracowników / partnerów / dostawców

• AnyConnect• Thin Client• Client less

Poufność i integralność danych

•SSH•VPN Encryption –AES, DES/3DES

CGR2010, 819H, 829Stratix 5900, ASA Firewall, AnyConnect

Kontrola i ograniczenie dostępu do zasobów

•ACL•VLAN•QoS – Traffic shaping & policing

IE2000 (&IE4000)IE2000U,IE3000IE3010 (&IE5000)CGS2520, CGR2010, 819H, 829, Stratix 5900, ASA Firewall

Dostęp do sieci – Komunikacja przychodząca

Internet

EnterpriseWAN

EnterpriseExtranet

Link Failover

Remote Access Server

Dostęp inżynierskiPrzez VPN

Dostęp inzynierski z sieci biurowej

Enterprise Edge Firewall

Switch Stack

EtherNet/IP

SSLV PN

IPS

EC

Production Zone Plant Production Ops

Operations and Control

Office Domain

Enterprise Zone

DMZ

Levels 4 and 5

Level 3

Internet

Cell/Area Zones / Levels 0–2

• Enterprise OT network

• Internet -> Enterprise -> OT network

• Clientless, thin client, thick client VPNs

Service

Provider

WAN

Enterprise

Prywatny

WAN

Substation Automation Network

OMS

Gateway

DISTRIBUTED

SERVICES

OMS

AMI/DA

RTU Relay PMUTele-

protection

PROTECTION & CONTROL

Secure Business

Partner Network

OMS

OMS

Sprawdzenie tożsamości i kontrola dostępu

Service

Provider

WAN

Enterprise

Utility

Private

WAN

Sieć na stacji energetycznej

OMS

Gateway

DISTRIBUTED

SERVICES

OMS

AMI/DA

RTU Relay PMUTele-

protection

PROTECTION & CONTROL

Secure Business

Partner Network

OMS

OMS

Cisco ASA

Uwierzytelnienie

użytkownika

- lokalna baza

użytkowników /

RADIUS/LDAP/ AD

Dostęp do VLAN x

Funkcja celu:

• Uwierzytelnienie zdalnego użytkownika

• Klasyfikacja – zdalny pracownik, partner,

dostawca, producent linii

• Autoryzacja i kontrola dostępu

Narzędzia:

• Zestawienie VPN do ASA/routera

brzegowego w organizacji.

• Bezpieczne narzędzia dostępu• AnyConnect (pracownicy)

• Clientless VPN

(dostawcy/podwykonawcy)

• Uwierzytelnenie oparte o• Lokalną bazę użytkowników

• Opcjonalnie z RADIUS, LDAP, MS AD

• Przypisanie VLANu dostępu• Dostawcy ->PROTECTION &CONTROL

• Pracownicy -> cała sieć (???)

• Kontrola dostępu• ACL na routerach dostępowych i/lub

przełącznikach rdzenia/dystrybucji

Serwer uwierzytelnienia

Dostawca

Pracownik

Router brzegowy

-ACL kontrolujący

przepływy ruchu

Poufność i integralność danych

Service Provider WAN

(MPLS/GPRS/3G/4G)

Data Center, Enterprise Apps

Utility Private WAN

(MPLS,SDH/PDH)

DB

Eng

Control Center,

SCADA

SCADA OMSEMS

NMS

Access Control

Certificate

Authority

Identity Services

Engine

Directory

Services

SIEM

Security Services

MEDIA

SERVERVIDEO

ANALYTICS

Sieć na stacji energetycznej

ENG/SYS MULTI SERVICE

OMSHMI

DISTRIBUTED

SERVICES

OMS

Przepływ danych poufnych przez media publiczne,

1. Szyfrowanie dla zapewnienia poufności danych,

2. Integralność danych - SHA 1 & 2

3. Uwierzytelnienie pochodzenia danych – DH dla

wymiany kluczy

Bezpieczne storage kluczy szyfrujących

Szyfracja danych– AES, 3DES, SSL, TLS

Połaczenia szyfrowane

(Site-to-site) – AES, 3DES

Szyfrowany zdalnyc dostęp

(TLS lub SSL lub IPSec )

Management, NOC

RTU Relay PMUTeleprotection

Relay

PROTECTION & CONTROL

Cisco IOT SecurityPodejście technologiczne

Inaczej

Mapowanie technologii

Mapowanie technologii

BEFOREKontrola

WymuszenieWzmocnienie

DURING AFTERWykrycie

BlokowanieOchrona

Określ zakresWyizolowanie

Remediacja

Continuum Ataku

Widoczność i kontekst

Firewall

NAC + Identity Services

VPN NGIPS

Anomaly Detection

Advanced Malware Protection

Network Behavior Analysis

Posture Assessment

Kontrola dostępu do sieci

NAC + Posture Assessment

Kontrola dostępu do sieci = Centralna polityka dla LAN, WLAN i VPN

Gbps Link for Failover Detection

Firewall(Active)

Cisco

ASA 5500

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

Contractor EmployeeContractorEmployee

AP

EmployeeISP

R/A Endpoint

Level 3

DMZ

Level 3.5

Enterprise Network

Levels 4–5

Levels 0-2

ISEADMIN/MnT

Model zastosowania = centralizacja kontroli ze względu na miejsce przyłączenia urządzenia.

1) Wprowadzenie ISE do sieci na level 3

2) Wykorzystanie RADIUS

3) Centralizacja polityki dostępu / uprawnień

4) Pełne raportowanie –widoczność wszystkich endpointów w sieci.

-- Rodzaj urządzenia

-- nazwa użytkownika/MAC/IP

-- miejsce uwierzytelnienia

Zdalny dostęp– użycie ISE dla centralnego uwierzytelnienia i autoryzacji

Gbps Link for Failover Detection

ASA 55XXASA 55XX

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

Contractor EmployeeContractorEmployee

AP

EmployeeISP

R/A Endpoint

ISE + ASA

-- wykorzystanie CoA

-- centralny punkt definiowania polityk

ISEADMIN/MnT

Posture assessment dla urządzeń końcowych

Gbps Link for Failover Detection

Firewall(Active)

Cisco

ASA 5500

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

Contractor EmployeeContractorEmployee

AP

EmployeeISP

R/A Endpoint

1

2

3

POSTURE

1) Tradycyjne urządzenia końcowe (nie iOT)

2) Weryfikacja że maszyna jest „czysta” + zgodna z polityką

3) Endpoint próbuje uzyskać dostęp do sieci

4) NAD - ISE

5) Sprawdzenie urządzenia końcowego

6) Sprawdzenie postureurządzenia końcowego.

ISEADMIN/MnT

Wykrywanie anomalii + lepsza widoczność per zone

Anomaly DetectionIntrusion Detection

Faza During: Pasywne skanowanie sieci Industrial Control Networks (ICS)

Sieci ICS powinny być statyczne, ale zwykle trudno to zweryfikować

Urządzenia ICS są dedykowanymi rozwiązaniami i nie mają nadmiaru zasobów systemowych

Typowe metody dla IT discovery mogą przeciążyć urządzenia a nawet doprowadzić do jego wyłączenia (w tym zainstalowanego systemu operacyjnego)

Pasywne profilowanie sieci

Nie wprowadza latencji pomiędzy urządzeniami i systemem zarządzania

Wpisanie na Whitelist elementów znanych i alarmowanie o anomaliach

Wyzwanie Odpowiedź

Intrusion Detection - Anomaly Detection na pozimie L2 (SP99)

Firewall

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

ISEADMIN/MnT

Contractor EmployeeContractorEmployee

Defense Center

AP

EmployeeISP

HMI

ANOMALY DETECTION

1) Sprawdzenie 5 urządzeń poprzez L2, IDS, bez wprowadzenia dodatkowego opóźnienia

2) Wprowadzenie widoczności dla zone

3) Wiedza o zone – możliwość wykrywania anomalii

4) Kontrolowane przez Defence Center

Wzmocnienie ochrony DMZ

Intrusion Prevention + Malware Defense

Dodanie IPS do firewalla chroniącego DMZ

Firewall

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

Contractor EmployeeContractorEmployee

Defense Center

AP

EmployeeISP

HMI

Ochrona DMZ

1) Segmentacja względem sieci biurowej oraz punktu terminowania połączeń Remote Access.

2) Firepower – dodanie funkcjonalności do ASA

3) Wprowadzenie IPS i narzędzi antimalware

4) ASA kontroluje połączenia

5) Unikalne polityki IPS policies per grupa AD /użytkownik

6) Whitelisty per aplikacja z wykorzystaniem identity

ISEADMIN/MnT

Ochrona przed Malware

Firewall

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

Contractor EmployeeContractorEmployee

Defense Center

AP

ISP

HMI

1

MALWARE

1) FireAMP zwiększa widoczność i wprowadza dodatkową linię obrony

2) W pierwszej kolejności wprowadzenia AMP na sensorach IPS

3) Okreslenie drogi wejścia (pacjent zero)

4) Określenie które systamy są zarażone (file trajectory)

5) Określenie typu zagrożenia (file analysis)

6) Określenie przyczyn infekcji

7) Zapezpieczenie systemu przed ponowną infekcją (blokowanie plików, custom sigs, custom white lists, blokowanie komunikacji call home).

ISEADMIN/MnT

TALOSCSI

Ochrona HMI/Historian

Advanced Malware Protection = FireAMP

Zabezpieczenie HMI + Historian + serwerów

Firewall

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

Contractor EmployeeContractorEmployee

Defense Center

AP

EmployeeISP

FireAMP

1) Kolejny krok–wprowadzenia AMP dfor Endpoint

2) AMP dla HMI/Historian

3) Blokowanie podejrzanych programów / procesów

HMI

Historian

ISEADMIN/MnT

Pracownicy kontra dostawcyjak ich rozdzielić

TrustSec

TrustSec

Gbps Link for Failover Detection

Firewall(Active)

Cisco

ASA 5500

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

SGT/IP Binding Table

WLC

AD MDM DNS FTP

Internet

ISE PSN

Contractor EmployeeContractorEmployee

AP

EmployeeISP

R/A Endpoint

IE3K

1

2

3

Przypisanie znacznika

10.1.10.1 3 Local

10.1.10.4 4 Local

IP Address SGT SRC

4SGT

TRUSTSEC – wykorzystanie infrastruktury Cisco

1) Dostawca chce uzyskać połaczenie

2) ISE sprawdza urządzenie końcowe

3) IE3K nie może dodać SGT

4) Zapięcie sesji SXP do 3750

5) Szybki i prosty sposób zróżnicowania pracownika od dostawcy bez konieczności wcześniejszej konfiguracji VLAN/ACL dla firm zewnętrznych

ISEADMIN/MnT

Zdalny dostęp – Clientless dla dostawców

Gbps Link for Failover Detection

ASA 55XX ASA 55XX

Cisco Catalyst

6500/4500

Cisco Cat. 3750X

Patch Management, Terminal Services, Application Mirrors, AV Servers

WLC

AD MDM DNS FTP

Internet

ISE PSN

ISE ADMIN

Contractor EmployeeContractorEmployee

AP

EmployeeISP

R/A Endpoint

CLIENTLESS PORTAL

-- dla dostawców/podwykonawców

-- oparty o przeglądarkę

-- wystawienie odnośników (Bookmark) w oparciu o uwierzytelnienie

Łącząc to w całość...

IT/OT - Elementy konwergencji Security

Web Apps DNS FTP

Internet

Gbps Link for Failover

Detection

Firewall(Active)

Firewall(Standby)

Factory Application

Servers

Access Switch

Network Services

Core Switches

AggregationSwitch

Patch Mgmt.Terminal ServicesApplication MirrorAV Server

Cell/Area #1(Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

DriveDrive

HMI

Distributed I/O

HMI

Cell/Area #2(Ring Topology)

Cell/Area #3(Linear Topology)

Layer 2 Access Switch

Controller

Cell/Area ZoneLevels 0–2

Manufacturing ZoneLevel 3

Demilitarized ZoneLevel 3.5

Enterprise NetworkLevels 4–5

Przemysłowy Firewall

Przemysłowy Intrusion Protection (IPS)

Zdalny monitoring / wideomonitoring

Zarządzenie SW, zasobami i konfiguracją

VPN & Remote Access

Next-Generation Firewall

Intrusion Prevention (IPS)

Cloud-based Threat Protection

Całościowe wymuszenie polityki w sieci

Access Control (na poziomie aplikacji)

Stateful Firewall

Intrusion Protection/Detection (IPS/IDS)

Systemy bezpieczeństwa fizycznego

Iden

tity

Serv

ices

ISE

Podejście architektoniczne...czyli sa gotowe architektury

Cisco Connected Factory

Cisco Connected Substation

Cisco Connected Transportation

Podsumowanie

Podsumowanie i wnioski

• Bez wątpienia, sieci przemysłowe są „naturalnym celemi” ataków – APT i nie tylko

• Łączenie i konwergencja sieci IT oraz OT ma swoje ryzyka i korzyści.

• Obecnie są dostępne rozwiązania szeroko adresujące kwestie bezpieczeństwa sieci przemysłowych (defence-in-depth)

• Poza technologią należy położyć nacisk na • Zarządzanie

• Reagowanie na incydenty

• Czynnik ludzki

• Bezpieczeństwo ICS jest uwzględnione w Narodowej Strategii Ochrony Cyberprzestrzeni i regulacjach dotyczących ochrony infrastruktury krytycznej.

Podsumowanie i wnioski

• Ochrona styków – FW, IPS, Antimalware

• Sieci VPN – FW, IPS, Antimalware

• Kontrola dostępu – uwierzytelnienie do sieci

• Ochrona HMI i serwerów w Layer 3

• Monitoring segmentów – IPS (pasywny) + monitoring Netflow

• ... I co najmniej kilka kolejnych.

• ....

Obszary technologiczne do dyskusji

41

Atakujący

Złożona sytuacja geopolityczna

Brak zaangażowania zarządów

Wyzwania bezpieczeństwa są wszechobecne

Niedopasowanie polityki bezpieczeństwa

Dynamika zagrożeń

Obrońcy

Nielojalni pracownicy

Dziękujemy