defending the scada network controlling the electrical grid from

Click here to load reader

Post on 10-Feb-2017

242 views

Category:

Documents

21 download

Embed Size (px)

TRANSCRIPT

  • UNIVERSIT DE MONTRAL

    DEFENDING THE SCADA NETWORK CONTROLLING THE ELECTRICAL

    GRID FROM ADVANCED PERSISTENT THREATS

    ANTOINE LEMAY

    DPARTEMENT DE GNIE INFORMATIQUE ET GNIE LOGICIEL

    COLE POLYTECHNIQUE DE MONTRAL

    THSE PRSENTE EN VUE DE LOBTENTION

    DU DIPLME DE PHILOSOPHI DOCTOR

    (GNIE INFORMATIQUE)

    DCEMBRE 2013

    Antoine Lemay, 2013.

  • UNIVERSIT DE MONTRAL

    COLE POLYTECHNIQUE DE MONTRAL

    Cette thse intitule :

    DEFENDING THE SCADA NETWORK CONTROLLING THE ELECTRICAL GRID FROM

    ADVANCED PERSISTENT THREATS

    prsente par : LEMAY Antoine

    en vue de lobtention du diplme de : Philosophi Doctor

    a t dment accepte par le jury dexamen constitu de :

    M. QUINTERO Alejandro, Doct., prsident

    M. FERNANDEZ Jos M., Ph.D., membre et directeur de recherche

    M. KNIGHT Scott., Ph.D., membre et codirecteur de recherche

    M. KOCAR Ilhan, Ph.D., membre

    M. MORRIS Thomas H., Ph.D., membre

  • iii

    ACKNOWLEDGEMENTS

    The completion of this research would not have been possible without the help of a large number

    of people. I would like to start by thanking the research interns that directly contributed to this

    project: Bernard Rosset and tienne Ducharme. Their invaluable work greatly facilitated the

    implementation of a number of concepts and, as such, were integral to the success of the project.

    The work of Pier-Luc St-Onge, former analyst at the SecSI lab, may not be glamorous, but must

    also be recognized as an integral part of this project.

    I would also like to thank Prof. Fernandez and Prof. Knight who provided me with valuable

    guidance and incredible opportunities during the course of this project and managed to tolerate

    my incessant argumentation for the duration of this project. My gratitude also extends to Dr. de

    Jesus who was very generous with his insights and his time. I hope he realizes his dream of

    protecting the critical infrastructure.

    I also take the opportunity to salute my colleagues at the SecSI lab in Montreal and at the CSL

    lab in Kingston who provided both valuable feedback and constant comradeship. In particular, I

    would like to underline the contribution of Joan Calvet who proved it was indeed possible to

    graduate from this place.

    I would be remiss if I did not acknowledge the contribution of the agencies that provided the

    financing for this project. In particular, the ISSNet network provided funding for both the

    research and the frequent travel between Montreal and Kingston. Without their support, the

    amazing ability to get the best of both worlds would not have been possible. The NSERC also

    contributed to the success of this research project by providing the funding for the acquisition of

    specialized SCADA equipment without which none of the engineering work would have been

    possible.

    Finally, I wish to extend my deepest gratitude to my family: my father Guy, my mother Nicole

    and my brother Guillaume who provided their support, even if it usually took the form of snide

    remarks. However, all of this pales in comparison to the debt I owe to Marie-Hlne who knows

    the burden of pursuing a Ph.D. and made sure I had the all the love required to follow this dream.

    So, a big "Thank you".

  • iv

    RSUM

    Les civilisations modernes sont dpendantes des technologies de l'information et des

    communications. Par ce fait, elles requirent une alimentation constante en lectricit pour

    assurer leur prosprit. Un sicle de travaux acharns par des ingnieurs en lectronique de

    puissance permet de garantir la fiabilit des rseaux lectriques. Un des outils pour arriver cette

    fin est une augmentation de l'automatisation et du contrle distance des rseaux lectriques.

    Cette technologie permet aux contrleurs qui oprent le rseau lectrique d'ajuster

    automatiquement des paramtres oprationnels pour faire face aux contraintes extrieures au fur

    et mesure que ces contraintes voluent. Par exemple, une augmentation de la demande suite

    une vague de froid va automatiquement entraner une augmentation de l'approvisionnement par

    l'envoi de commandes distance pour ouvrir les vannes la centrale hydrolectrique et faire

    tourner les turbines plus rapidement. Ceci garanti que le rseau lectrique fonctionne toujours

    pleine capacit et livre l'nergie lectrique avec fiabilit, sans gard aux conditions externes.

    Paradoxalement, les gains offerts par les systmes automatiss ont introduit un risque jusqu'alors

    inconnu la fiabilit du rseau lectrique : les cyber attaques. Pour permettre l'automatisation, les

    oprateurs de rseaux lectriques se sont tourns vers la technologie d'acquisition de donnes et

    de supervision, mieux connu sous le nom de systme SCADA. De nos jours, la technologie

    SCADA se base sur du matriel et des logiciels commerciaux comme les communications

    TCP/IP via Ethernet ou comme le systme d'exploitation Windows. Ceci permet aux entits

    malicieuses de faire usage de leur savoir concernant les techniques offensives qu'ils ont

    dvelopp pour attaquer les systmes traditionnels faisant usage de ces technologies.

    La majorit de ces entits sont des menaces diffuses cherchant principalement acqurir de la

    capacit de stockage servant hberger du contenu illgal, du temps machine pour envoyer du

    spam ou des mots de passe pour permettre la fraude. Cet objectif est plus facile atteindre en

    attaquant des ordinateurs personnels plutt que des machines d'un rseau SCADA. Toutefois,

    certains acteurs ciblent dlibrment les rseaux SCADA puisque ceux-ci ont le potentiel de

    causer des dgts dans le monde physique. Ces acteurs recherchent agressivement les

    vulnrabilits et persvrent dans leurs attaques, mme face une amlioration de la capacit

    dfensive du rseau. Ces acteurs se font affubler le qualificatif de menaces persistantes avances

  • v

    ou APTs. cause de cette volont de cibler un rseau spcifique, il est plus difficile de dtourner

    ces attaquants vers d'autres victimes.

    Si nous souhaitons empcher ces APTs de s'attaquer aux rseaux SCADA qui contrlent

    l'infrastructure critique, nous devons laborer une stratgie qui ne repose pas sur la rduction

    complte des vulnrabilits. Un bon nombre de contraintes oprationnelles, comme le mode

    d'opration 24/7 qui rend la tenue de priodes de maintenance difficile, garantissent qu'il y aura

    toujours au moins une vulnrabilit potentiellement exploitable par un attaquant.

    Dans ce contexte, l'objectif de ce projet de recherche est d'aider les oprateurs de rseaux

    lectriques dfendre leur rseau SCADA contre les menaces persistantes avances. Pour

    atteindre cet objectif, nous visons mieux comprendre comment le comportement des menaces

    persistantes avances se manifeste dans un rseau SCADA et dvelopper, en se basant sur des

    preuves exprimentales, de nouveaux outils et techniques pour se dfendre contre les

    comportements attendus.

    En analysant les travaux antrieurs, on reconnat que la vraie nature d'un rseau SCADA est de

    servir de boucle de contrle pour le rseau lectrique. Une consquence directe est que tout

    attaquant qui obtient accs au rseau SCADA peut altrer l'tat du rseau lectrique sa guise. Si

    un APT voudrait poursuivre ce but, la recherche actuelle en scurit des rseau SCADA ne

    parviendrait pas prvenir cette attaque puisqu'elle n'est pas oriente vers stopper les attaquants

    hautement qualifis. Ceci rend les rseaux SCADA invitants pour les tats engags dans une

    comptition agressive. Malgr cela, aucun cyber incident majeur causant des dgts physiques

    n'est rpertori ce jour.

    En se basant sur cette observation, nous avons dvelopp un modle d'attaque pour le

    comportement d'un APT dans un rseau SCADA qui n'implique pas ncessairement des

    dommages massifs dans le monde physique. Ainsi, nous avons introduit le scnario d'attaque par

    trou d'aiguilles, notre premire contribution majeure, dans lequel un attaquant cause de petits

    dgts qui s'accumulent sur une longue priode pour viter d'tre dtect.

    partir de ce scnario, nous avons dvelopp une stratgie consistant augmenter la capacit de

    surveillance, c'est--dire de renforcer la puissance de la dtection, pour prvenir l'utilisation de ce

    scnario d'attaque par les APTs. En se basant sur notre intuition que la dtection d'intrusion par

  • vi

    anomalie sera particulirement efficace dans le contexte hautement rgulier d'un rseau SCADA,

    l'utilisation de cette technique est favorise.

    Pour tester les capacits de notre dtecteur, nous devons adresser le problme du manque

    d'infrastructures exprimentales adaptes la recherche en scurit des rseaux SCADA. Une

    revue de la littrature montre que les approches exprimentales courantes ne sont pas appropries

    pour gnrer des donnes rseau avec une haute fidlit. Pour rsoudre ce problme, nous avons

    introduit le concept du Carr de sable ICS, notre deuxime contribution majeure, qui utilise une

    approche hybride combinant la haute fidlit des rsultats de l'mulation et le facteur d'chelle et

    le faible cot de la simulation pour crer un montage exprimental capable de produire des

    donnes rseau de haute fidlit, adaptes l'usage exprimental.

    Finalement, nous avons t en mesure de tester une implmentation d'un systme de dtection

    d'intrusion par anomalies, notre troisime contribution majeure, en utilisant le Carr de sable

    ICS. En ut