defending the scada network controlling the electrical grid from

UNIVERSIT DE MONTRAL

DEFENDING THE SCADA NETWORK CONTROLLING THE ELECTRICAL

GRID FROM ADVANCED PERSISTENT THREATS

ANTOINE LEMAY

DPARTEMENT DE GNIE INFORMATIQUE ET GNIE LOGICIEL

COLE POLYTECHNIQUE DE MONTRAL

THSE PRSENTE EN VUE DE LOBTENTION

DU DIPLME DE PHILOSOPHI DOCTOR

(GNIE INFORMATIQUE)

DCEMBRE 2013

Antoine Lemay, 2013.

UNIVERSIT DE MONTRAL

COLE POLYTECHNIQUE DE MONTRAL

Cette thse intitule :

DEFENDING THE SCADA NETWORK CONTROLLING THE ELECTRICAL GRID FROM

ADVANCED PERSISTENT THREATS

prsente par : LEMAY Antoine

en vue de lobtention du diplme de : Philosophi Doctor

a t dment accepte par le jury dexamen constitu de :

M. QUINTERO Alejandro, Doct., prsident

M. FERNANDEZ Jos M., Ph.D., membre et directeur de recherche

M. KNIGHT Scott., Ph.D., membre et codirecteur de recherche

M. KOCAR Ilhan, Ph.D., membre

M. MORRIS Thomas H., Ph.D., membre

iii

ACKNOWLEDGEMENTS

The completion of this research would not have been possible without the help of a large number

of people. I would like to start by thanking the research interns that directly contributed to this

project: Bernard Rosset and tienne Ducharme. Their invaluable work greatly facilitated the

implementation of a number of concepts and, as such, were integral to the success of the project.

The work of Pier-Luc St-Onge, former analyst at the SecSI lab, may not be glamorous, but must

also be recognized as an integral part of this project.

I would also like to thank Prof. Fernandez and Prof. Knight who provided me with valuable

guidance and incredible opportunities during the course of this project and managed to tolerate

my incessant argumentation for the duration of this project. My gratitude also extends to Dr. de

Jesus who was very generous with his insights and his time. I hope he realizes his dream of

protecting the critical infrastructure.

I also take the opportunity to salute my colleagues at the SecSI lab in Montreal and at the CSL

lab in Kingston who provided both valuable feedback and constant comradeship. In particular, I

would like to underline the contribution of Joan Calvet who proved it was indeed possible to

graduate from this place.

I would be remiss if I did not acknowledge the contribution of the agencies that provided the

financing for this project. In particular, the ISSNet network provided funding for both the

research and the frequent travel between Montreal and Kingston. Without their support, the

amazing ability to get the best of both worlds would not have been possible. The NSERC also

contributed to the success of this research project by providing the funding for the acquisition of

specialized SCADA equipment without which none of the engineering work would have been

possible.

Finally, I wish to extend my deepest gratitude to my family: my father Guy, my mother Nicole

and my brother Guillaume who provided their support, even if it usually took the form of snide

remarks. However, all of this pales in comparison to the debt I owe to Marie-Hlne who knows

the burden of pursuing a Ph.D. and made sure I had the all the love required to follow this dream.

So, a big "Thank you".

iv

RSUM

Les civilisations modernes sont dpendantes des technologies de l'information et des

communications. Par ce fait, elles requirent une alimentation constante en lectricit pour

assurer leur prosprit. Un sicle de travaux acharns par des ingnieurs en lectronique de

puissance permet de garantir la fiabilit des rseaux lectriques. Un des outils pour arriver cette

fin est une augmentation de l'automatisation et du contrle distance des rseaux lectriques.

Cette technologie permet aux contrleurs qui oprent le rseau lectrique d'ajuster

automatiquement des paramtres oprationnels pour faire face aux contraintes extrieures au fur

et mesure que ces contraintes voluent. Par exemple, une augmentation de la demande suite

une vague de froid va automatiquement entraner une augmentation de l'approvisionnement par

l'envoi de commandes distance pour ouvrir les vannes la centrale hydrolectrique et faire

tourner les turbines plus rapidement. Ceci garanti que le rseau lectrique fonctionne toujours

pleine capacit et livre l'nergie lectrique avec fiabilit, sans gard aux conditions externes.

Paradoxalement, les gains offerts par les systmes automatiss ont introduit un risque jusqu'alors

inconnu la fiabilit du rseau lectrique : les cyber attaques. Pour permettre l'automatisation, les

oprateurs de rseaux lectriques se sont tourns vers la technologie d'acquisition de donnes et

de supervision, mieux connu sous le nom de systme SCADA. De nos jours, la technologie

SCADA se base sur du matriel et des logiciels commerciaux comme les communications

TCP/IP via Ethernet ou comme le systme d'exploitation Windows. Ceci permet aux entits

malicieuses de faire usage de leur savoir concernant les techniques offensives qu'ils ont

dvelopp pour attaquer les systmes traditionnels faisant usage de ces technologies.

La majorit de ces entits sont des menaces diffuses cherchant principalement acqurir de la

capacit de stockage servant hberger du contenu illgal, du temps machine pour envoyer du

spam ou des mots de passe pour permettre la fraude. Cet objectif est plus facile atteindre en

attaquant des ordinateurs personnels plutt que des machines d'un rseau SCADA. Toutefois,

certains acteurs ciblent dlibrment les rseaux SCADA puisque ceux-ci ont le potentiel de

causer des dgts dans le monde physique. Ces acteurs recherchent agressivement les

vulnrabilits et persvrent dans leurs attaques, mme face une amlioration de la capacit

dfensive du rseau. Ces acteurs se font affubler le qualificatif de menaces persistantes avances

v

ou APTs. cause de cette volont de cibler un rseau spcifique, il est plus difficile de dtourner

ces attaquants vers d'autres victimes.

Si nous souhaitons empcher ces APTs de s'attaquer aux rseaux SCADA qui contrlent

l'infrastructure critique, nous devons laborer une stratgie qui ne repose pas sur la rduction

complte des vulnrabilits. Un bon nombre de contraintes oprationnelles, comme le mode

d'opration 24/7 qui rend la tenue de priodes de maintenance difficile, garantissent qu'il y aura

toujours au moins une vulnrabilit potentiellement exploitable par un attaquant.

Dans ce contexte, l'objectif de ce projet de recherche est d'aider les oprateurs de rseaux

lectriques dfendre leur rseau SCADA contre les menaces persistantes avances. Pour

atteindre cet objectif, nous visons mieux comprendre comment le comportement des menaces

persistantes avances se manifeste dans un rseau SCADA et dvelopper, en se basant sur des

preuves exprimentales, de nouveaux outils et techniques pour se dfendre contre les

comportements attendus.

En analysant les travaux antrieurs, on reconnat que la vraie nature d'un rseau SCADA est de

servir de boucle de contrle pour le rseau lectrique. Une consquence directe est que tout

attaquant qui obtient accs au rseau SCADA peut altrer l'tat du rseau lectrique sa guise. Si

un APT voudrait poursuivre ce but, la recherche actuelle en scurit des rseau SCADA ne

parviendrait pas prvenir cette attaque puisqu'elle n'est pas oriente vers stopper les attaquants

hautement qualifis. Ceci rend les rseaux SCADA invitants pour les tats engags dans une

comptition agressive. Malgr cela, aucun cyber incident majeur causant des dgts physiques

n'est rpertori ce jour.

En se basant sur cette observation, nous avons dvelopp un modle d'attaque pour le

comportement d'un APT dans un rseau SCADA qui n'implique pas ncessairement des

dommages massifs dans le monde physique. Ainsi, nous avons introduit le scnario d'attaque par

trou d'aiguilles, notre premire contribution majeure, dans lequel un attaquant cause de petits

dgts qui s'accumulent sur une longue priode pour viter d'tre dtect.

partir de ce scnario, nous avons dvelopp une stratgie consistant augmenter la capacit de

surveillance, c'est--dire de renforcer la puissance de la dtection, pour prvenir l'utilisation de ce

scnario d'attaque par les APTs. En se basant sur notre intuition que la dtection d'intrusion par

vi

anomalie sera particulirement efficace dans le contexte hautement rgulier d'un rseau SCADA,

l'utilisation de cette technique est favorise.

Pour tester les capacits de notre dtecteur, nous devons adresser le problme du manque

d'infrastructures exprimentales adaptes la recherche en scurit des rseaux SCADA. Une

revue de la littrature montre que les approches exprimentales courantes ne sont pas appropries

pour gnrer des donnes rseau avec une haute fidlit. Pour rsoudre ce problme, nous avons

introduit le concept du Carr de sable ICS, notre deuxime contribution majeure, qui utilise une

approche hybride combinant la haute fidlit des rsultats de l'mulation et le facteur d'chelle et

le faible cot de la simulation pour crer un montage exprimental capable de produire des

donnes rseau de haute fidlit, adaptes l'usage exprimental.

Finalement, nous avons t en mesure de tester une implmentation d'un systme de dtection

d'intrusion par anomalies, notre troisime contribution majeure, en utilisant le Carr de sable

ICS. En ut