comment gérer les problèmes de sécurité scada...hervÉ schauer consultants cabinet de...
Post on 18-Aug-2020
0 Views
Preview:
TRANSCRIPT
HERVÉ SCHAUER CONSULTANTSHERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Cabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetSpécialisé sur Unix, Windows, TCP/IP et Internet
SecureParis, 16 octobre 2013SecureParis, 16 octobre 2013
Comment gérer les problèmes de Comment gérer les problèmes de sécurité SCADA ?sécurité SCADA ?
Hervé SchauerHervé Schauer<Herve.Schauer@hsc.fr>
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite2 / 23
Sommaire
Vocabulaire
Exemple d'attaques anciennes
Exemples d'attaques récentes
Rappels des composants vulnérables
Situation courante
Défense en profondeur / Cloisonnement
Accès distants
Mots de passe
Surveillance
Automates
Sauvegarde & supervision
Organisation
Gestion des risques & BIA
Conclusion
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite3 / 23
Vocabulaire
SCADA : Supervisory Control And Data Acquisition
Télécommande d'équipements industriels
DCS : Distributed Control System
ICS : Industrial Control Systems
SII : Sécurité de l'Informatique Industrielle
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite4 / 23
Exemples d'attaques anciennes
1982 : Piratage du gazoduc russe par les américains par cheval de Troie et bombe logique
Gazoduc transsibérien Urengoy–Pomary–Uzhgorod
Architecture et logiciels avaient volés par le KGB à une firme canadienne
CIA était au courant que le KGB allait voler le logiciel
Sabotage effectué par la CIA, gardé secret par la CIA jusqu'en 2004"The pipeline software that was to run the pumps, turbines and valves was programmed to go haywire, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to the pipeline joints and welds. The result was the most monumental non-nuclear explosion and fire ever seen from space." - Thomas Reed, At the Abyss: An Insider's History of the Cold War
2000 : Apparition des systèmes industriels (SCADA) dans l'informatique sur étagère et les réseaux
2003 : Site nucléaire de Davis-Besse Ohio
Ver SQL Slammer s'est répandu du réseau bureautique à tout le réseau industriel : BSOD
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite5 / 23
Exemples d'attaques récentes
Juin 2010 : découverte de StuxNet / opération Olympic Games
Septembre 2012 : Attaques sur Telvent
Compromission du réseau Telvent Canada
Vol de données client
Mots de passe accès distants NOC
Vol d'informations concernant leur produit OASyS SCADA
Telvent forcé de déconnecter leurs accès distants clients
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite6 / 23
Exemples d'attaques récentes
Avril 2013 : Georgia water plant, traitements des eaux (USA)
Changement du taux de chlore et de fluor
Arrêt de l'usine par précaution
Enquête du FBI
Aucun cas français de système SCADA vulnérable dans la presse...
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite7 / 23
Rappel des composants vulnérables
Dispositifs à commander
Vannes, pompes, moteurs, etc.
Automates
PLC : Programmable Logic Controller
RTU : Remote Terminal Unit
SIS : Safety Instrumented System
IHM (Interface Homme-Machine)
Supervision
WinCC, PC Win, PC Vue, etc.
Développement
Step7, PL7, Unity Pro, TwidoSuite, etc.
Transmission
Protocoles Modbus, S7, CIP, DNP3, IEC 104, IEC 62351, etc.
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite8 / 23
Situation courante
Tout repose sur le filtrage entre les 2 mondes
Ne bloque pas toutes les attaques
Codes malfaisants
Individus
Problème des accès distants
Astreinte
Capteurs extérieurs
Équipements sur Internet
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite9 / 23
Situation courante
Fonctionnement 24h/24, 7j/7, 365j/an
Pas d'antivirus
« Cela empêche le bon fonctionnement, ralentissement »
Pas de mise a jour
« Ça ne va plus marcher »
Pas de veille en vulnérabilités
Sauf la veille technologique pour les nouvelles fonctionnalités
Sécurité = sécurité physique : pas d'accès à l'automate
Présence de barrières
« Même si on pouvait, autant aller ouvrir la vanne à la main, elle est dans les mêmes locaux »
Population non sensibilisée à des risques informatiques
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite10 / 23
Défense en profondeur / Cloisonnement
Augmenter la durée pour l'attaquant
Niveau de sécurité d’un coffre-fort se quantifie en temps
Augmenter les chances de détecter l'attaque à temps
Time of detection / Time of reaction
Interdire l'accès au réseau industriel
Mise en place d'une ou plusieurs DMZ internes
DMZ par fonctions afin de réduire la surface d'attaque
Filtrage réseau
En entrée du réseau industriel
Mais également en sortie !
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite11 / 23
Défense en profondeur / Cloisonnement
Plusieurs niveaux / zones
Niveau 0
Moteurs / pompes / vannes / capteurs
Niveau 1
Automates
Niveau 2
Serveurs et postes de supervision
Niveau 3
Postes de supervision / archivages / journalisation
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite12 / 23
Défense en profondeur / Cloisonnement
Exemple chez Siemens :
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite13 / 23
Défense en profondeur / Cloisonnement
Norme IEC 62443 :
Zones
Groupe d'actifs logiques ou physiques qui partagent les mêmes exigences de sécurité
Conduits
Chaque communication entre zones est effectuée par un conduit
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite14 / 23
Accès distants
Contrôler les accès distants
Interdire les IHM / automates connectés sur Internet
Utiliser le chiffrement sur les accès réseau
VPN
Utilisateurs mobiles
Usines distantes connectées avec l'usine principale
Exemple ABB pour la maintenance
Connexion via un VPN SSL
Qui connaît le compte utilisé ?
Combien de personnes ?Exemple compromission du NOC Telvent
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite15 / 23
Mots de passe
Politique de mots de passe sur tous les noeuds
Serveurs, stations, IHM, équipements réseau, automates, modems, VPN, etc.
Modifier tous les mots de passe par défaut
Éradiquer les portes dérobées des constructeurs
Éviter au maximum les mots de passe administrateurs connus et partagés par plusieurs personnes
Utiliser un login unique par personne
Pas de compte générique
Essayer de respecter le principe du moindre privilège
Bloquer les comptes après des essais d'authentification infructueux
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite16 / 23
Surveillance
Journaliser
Analyser régulièrement les journaux
Requêtes importantes vers le même nom de domaine
Journaux Windows
Authentification des comptes utilisateurs / administrateurs, etc
Analyser le trafic réseau
Snort IDS for SCADA Systems
Détection d'anomalies Modbus et DNP3
Taille des requêtes, etc.Détection d'équipements défectueux ou d'un fuzzing
Contrôle d'accès
Adresse IP source lançant des commandes est-elle bien la station maître légitime ?
Signatures Snort de Digital Bond
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite17 / 23
Automates
Sécuriser les équipements qui le permettent
Filtrage des ports Modbus par adresse source sur les PLC Schneider
Via Unity Pro XL
Port TCP/502 TCP Wrappé sur l'automate
Read only sur les automates et les SIS
Également pare-feu Modbus Read-only devant les automates
Pare-feu Honeywell
Pare-feu Tofino deep packet inspection
Mettre à jour avec des phases de tests intensives préalables
Windows et IHM
Automates
Utiliser les protocoles sécurisés
Imposer leur implémentation
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite18 / 23
Sauvegarde & supervision
Sauvegardes
De la configuration des automates
Des systèmes
Des programmes
Protection des copies de sauvegardes
Tests de restaurations
Supervision
Identifier clairement et physiquement les postes
Stations en lecture seule
Stations pouvant modifier le processus industriel
Identifier clairement les noms des automates
Pour la configuration à distance
Évite de se tromper d'équipements
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite19 / 23
Organisation
Désigner un responsable de la sécurité informatique industrielle
Elaborer et obtenir l'engagement de la direction sur une politique de sécurité informatique industrielle
Politique de cybersécurité ou PGCS
Enjeux, métiers, obligations règlementaires, vision et objectifs
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite20 / 23
Organisation
Intégrer la sécurité des systèmes d'information dans les projets industriels et les systèmes embarqués
Gérer les incidents de sécurité de l'informatique industrielle
Effectuer une veille en vulnérabilités des systèmes industriels
US-CERT (ICS-CERT)
QCERT
Iran National CERT
sites des éditeurs
Sensibiliser, former et informer
Auditer
Appliquer les recommandation des audits
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite21 / 23
Gestion des risques / BIA
Après application des mesures de sécurité de base, faire une gestion des risques en SII :
Prise en compte du contexte et des contraintes
Identification des sites les plus sensibles
Identification et analyse des menaces, sources de menaces, vulnérabilités, conséquences
Ordonnancement des risques à traiter
Sélection de mesures de sécurité
Etc
Intégration des indisponibilités dues aux risques informatiques à la gestion des risques industriels
Continuité d'activité et BIA
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite22 / 23
Conclusion
Fusion de deux mondes
Beaucoup de diplomatie nécessaire
Impossible à ignorer
RSSI en pointe pour susciter la prise en compte de la sécurité dans l'informatique industrielle
...
Questions ? Herve.Schauer@hsc.fr www.hsc.fr
La référence complètedu RSSI !3e édition
Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite23 / 23
Références
Série de normes IEC 62443http://webstore.iec.ch/
Signatures Snorthttp://www.digitalbond.com/tools/quickdraw/
Veillehttp://icscert.uscert.gov/
http://www.qcert.org/
http://www.certcc.ir/
Guide de l'ANSSI : Maitriser la sécurité des systèmes industrielshttp://www.ssi.gouv.fr/IMG/pdf/Guide_securite_industrielle_Version_finale2.pdf
Cartographie des documents liés à la sécurité SCADA par le groupe Sécurité SCADA du Clusif : à paraître décembre 2013
http://www.clusif.fr/
top related