Madrock

Dit is een presentatie die ik op SCADA-beveiliging gaf enige tijd geleden. Het was oorspronkelijk vastgesteld op ongeveer 2 uur, hoewel ik brak het in 2 helften, dus als de tijd toegestaan (of de partisipants wilde meer inforamation), de backend van de presentatie is veel meer gebieden en begeleiding aan relaing SCADA, apparaten, milieu veiligheid, enz. .

Ik definieerde de volgende resultaten voor de presentatie:

• Verbreed de bewustwording en de noodzaak van veiligheid binnen de SCADA omgeving.
• Inzicht in zakelijke rol in de governance / risico-identificatie proces.
• Vergroten van het inzicht in technologische risico's.

Ik hoop dat mensen vinden het interessant en nuttig materiaal.

SCADA Security Presentatie Derek Grocke

Ik heb gewerkt in de SCADA engineering, netwerk ontwerp, project-bestuur en veiligheid ruimte voor tal van jaren.

Als gevolg hiervan heb ik een groot aantal documenten en technieken zal ik hier delen. Dit is de eerste van vele documenten waarvan ik hoop dat anderen zullen informatief te vinden en anderen helpen te begrijpen en vorm geven aan hun aanpak van deze omgevingen.

Lokaal bestand

Presentatie SCADA

Een koele document dat ik dacht dat ik zou delen. Het toont een aantal goede begrip en presenteert een aantal goede ideeën.

Algemene vragen

• Hoe kunnen gebruikers toegang krijgen tot de SCADA-applicatie?
• Doelstelling om de toegang tot alle informatiebronnen te consolideren â € "dat wil zeggen om de toegang voor alle gebruikers beschikbaar te maken via een enkele interface
• Zijn er RAS modems gebruikt wordt binnen de SCADA omgeving?
• Is de RAS-call-back functie gebruikt?
• Is de RAS verplichte encryptie gebruikte functie?
• Kunnen gebruikers meerdere pogingen tot authenticatie op het RAS?
• Is de RAS-auditing-functie is ingeschakeld?
• Hoe is de toegang tussen de business / corporate netwerk-en SCADA-netwerk gecontroleerd?
• Hoe is het wachtwoord van de beheerder gecontroleerd?
• Hoe is leverancier toegang tot het netwerk van SCADA-gecontroleerde â € "dat wil zeggen wachtwoord verandert na opdracht is voltooid?
• Zijn SLAA € ™ s voor uitbestede ondersteunende overeenkomsten herzien op een periodieke basis?
• Zijn belangrijke onderdelen van het SCADA-netwerk wordt ondersteund door een UPS en deze batterijen zijn getest op een regelmatige basis om ervoor te zorgen dat zij betrouwbaar zijn?
• Welke capaciteit beheer en monitoring van kritische systemen SCADA-netwerk wordt uitgevoerd (dwz het CPU-gebruik en de harde schijf ruimte)?
• Zijn juridische bijschriften gebruikt tijdens het inloggen op de SCADA-applicatie en de bijbehorende infrastructuur en / of toestellen?
• Heeft een Intrusion Detection System (IDS) is ingezet binnen de SCADA omgeving?
• Is de veiligheid is een aandachtspunt binnen de ontwikkeling en invoering van de SCADA-netwerk?
• Is er extra personeel screenings uitgevoerd wanneer het personeel worden ingehuurd om te werken binnen de SCADA omgeving (inclusief leveranciers, enz.)?

Beleid & Procedures

• Is er een bepaalde beveiliging strategie voor de SCADA omgeving?
• Wie is verantwoordelijk / aansprakelijk voor security management binnen de SCADA omgeving? Heeft de eigenaar van deze verantwoordelijkheid zijn duidelijk omschreven en / of vermeld in de documentatie?
• Zijn er periodieke veiligheidsinspecties van het SCADA-netwerk uitgevoerd?
• Welke procedures zijn om de verwijdering van SCADA-netwerk media en apparaten verwerken? Daarnaast is er een proces in plaats voor de verwijdering van vertrouwelijke informatie / documentatie?
• Zijn er geen beleid of de procedures met betrekking tot de invoering van nieuwe apparaten op de SCADA omgeving?
• Welke formele controleprocedures voor veranderingen bestaan voor de SCADA omgeving?
• Is een formeel ramp herstelplan bestaan voor de SCADA omgeving?
• Is een formele business continuity plan bestaan voor de SCADA omgeving?
• Doe fysieke en logische beveiliging normen verschillen aanzienlijk tussen SCADA-sites?
• Heeft een standaard omgeving (SOE) minimumnorm standaard is ontwikkeld voor systemen worden ingevoerd in de SCADA omgeving?
• Welke security logs worden bijgehouden voor kritische computerapparatuur en hoe vaak worden de logs herzien?
• Wie is verantwoordelijk voor de herziening van de security logs?
• Heeft toegang tot event logs is beperkt?
• Bij het begin van zijn werk, zijn gebruikers die met IT-beveiliging informatie als onderdeel van de inductie-proces? Daarnaast zijn gebruikers die meer informatie over veiligheidskwesties op een periodieke basis?
• Welke procedures zijn er om toezicht te houden dial-in toegang?
• Is er een formeel vastgelegde backup en recovery procedure?
• Zijn encryptie technieken en / of wachtwoorden toegepast op back-up tapes?

Fysieke toegang

• Hoe is de fysieke toegang tot SCADA terminals gecontroleerd?
• Zijn SCADA meldkamers gescheiden van andere kamers?
• Wat is het opbouwen van veiligheid bestaat op remote sites om onbevoegde toegang te voorkomen?
• Wat authenticatie methoden worden gebruikt in de remote sites toegang te verlenen â € "dat wil zeggen uithaal kaarten?
• Zijn er externe ramen op afstandsbedieningen sites geblokkeerd?
• Wat alarmsystemen zijn werkzaam bij externe sites?

Network Security

• Zijn alle routers ingezet geconfigureerd voor het filteren van communicatie, die niet-geautoriseerde of niet verplicht te verzekeren?
• Welke traffic control en monitoring mogelijkheden zijn ingezet â € "dat wil zeggen alle communicatie reist naar een centraal punt voor verdere dwars op het netwerk.
• Hoe worden de dial-in faciliteiten om de beveiligde SCADA omgeving?
• Hoe wordt de verdachte of ongebruikelijke activiteit op de WAN-SCADA ontdekt?
• Welke firewall-configuraties zijn opgericht om de SCADA WAN scheiden van de Verenigde Water bedrijfsnetwerk?
• Zijn alle belangrijke filtering apparaten op het netwerk (zoals routers en firewalls) geconfigureerd om alle pogingen om de toegang tot het netwerk inloggen? Als dat zo is worden ze beoordeeld op een regelmatige basis?
• Zijn de kenmerken van auditing alle routers en firewalls is ingeschakeld?
• Heeft toegang tot event logs is beperkt?
• Hoe is het beheer van patches / hot fixes gecontroleerd betrekking tot firewalls en routers?
• Welke backup en recovery maatregelen zijn ingevoerd voor netwerkbronnen â € "firewalls en routers?
• Heeft SNMP is uitgevoerd op de belangrijkste infrastructuur?
• Heeft een draadloos apparaat is ingezet binnen de SCADA omgeving â € "heeft deze is geconfigureerd om in een veilige toestand?
• Zijn alle standaard wachtwoorden verwijderd van SCADA-apparaten na de implementatie?
• Is een ontwikkelingsomgeving bestaan om veranderingen te testen vóór implementatie in de productie-omgeving SCADA-netwerk?

Workstation Security

• Welke besturingssystemen (versie) zijn geïnstalleerd op SCADA terminals?
• Heb het niveau van het besturingssysteem wachtwoorden is geactiveerd op alle SCADA terminals?
• Heeft wachtwoorden hebben een onbepaalde vervaldatum?
• Welke bestanden en mappen toestemming controles zijn uitgevoerd op SCADA-terminals te beperken ongeoorloofde toegang door algemene gebruikers?
• Wat logs worden gegenereerd op het niveau van het besturingssysteem?
• Heeft toegang tot event logs is beperkt?
• Welke instrumenten en diensten op het niveau van het besturingssysteem beperkt zijn voor algemene gebruikers?
• Wie is verantwoordelijk voor het beheer van de patch SCADA terminals?
• Is er een audit-functie is ingeschakeld voor alle SCADA terminals?
• Zijn standaard services die beschikbaar zijn met het beperkte besturingssysteem?
• Is uitgevoerd virus bescherming? Is deze software handmatig of automatisch bijgewerkt?
• Zijn aandelen ingeschakeld op SCADA terminals / werkstations?
• Zijn SCADA terminals back-up op een regelmatige basis?
• Is register controle van SCADA-terminals uitgevoerd?
• Zijn door de gebruiker reviews en bijbehorende toegangsrechten uitgevoerd op een regelmatige basis?

SCADA Application Security

• Wat zijn de gebruikersnaam en wachtwoord eisen van SCADA-applicatie?
• Zijn sessie time-out functies geactiveerd?
• Zijn complexe wachtwoorden afgedwongen naar de SCADA-applicatie te openen?
• Zijn door de gebruiker reviews en bijbehorende toegangsrechten uitgevoerd op een regelmatige basis?

Systeem penetratie testen

• Interne penetratietesten
• Externe penetratietesten
• Wachtwoord sterkteproeven

Wijzigingen aan het SCADA-netwerk

• Geef / lijst van alle mogelijke wijzigingen die worden overwogen om de SCADA-netwerk.

Procedures

• Corporate Information Protection
• Security Management
• Informatie Classificatie
• Fysieke (en Milieu) Security
• Veiligheid van het personeel
• Security Awareness Training
• Security Incident Response
• Security Monitoring
• Network Security
• PC / werkstation Security
• Ondersteuning en gerelateerde Operationele beveiliging
• Encryptie en informatie Vertrouwelijkheid
• Toestemming Controls
• Identificatie en authenticatie mechanismen
• Security Systems Life Cycle
• Business Continuity Planning
• Media Security
• Third Party Services

Typische problemen en punten besproken:

• Inkomende en uit Bound FTP
• Stuur gebruik van DMZ
• Stuur gebruik van Secure FTP
• Stuur gebruik van IP-adressen beperkt beveiligde / tunneling
• Stuur gebruik van prive-feeds

Modem problemen gebruikt met dial-in diensten

• Geen nummer terug
• Geen Authentication
• Geen Secure ID
• Mogelijk gebruikte geautomatiseerde scripts, zo hard gecodeerde gebruikersnamen en wachtwoorden gebruikt.
• Internet delen kan worden ingeschakeld, zodat routering via werkstations.

Verhoogde veiligheid en integriteit van overwegingen

• Data back-ups
• Systeem redundantie
• Site-en content-filtering
• Virus bescherming
• Standaard systeem voor overheidsopdrachten (kortingen en onderdelen)
• Netwerk redundantie en diensten
• Network Monitoring
• Beschikbaarheid van de dienst toezicht
• Interne controles
• Verkoper / externe dienstverlener
• Capaciteitsmanagement
• Change management systeem
• Asset management systeem
• Telecommunicatie-en telefonie bulk kosten discontering
• Enz.

Gebruik en de ondersteuning voor zakelijke overwegingen toepassing

• E-mail
• Intranet
• Internet
• Corporate virusbescherming
• Asset management
• Change management
• Project management
• Prestaties / beheer van de capaciteit
• Verlaging van de kostprijs
• Gebruik van bedrijfsapplicaties
• Vermindering van handmatige processen

Andere dingen om in gedachten te houden:

• SCADA-systeem van toezicht moeten worden geïsoleerd van netwerk en systemen fouten evenementen. Hiermee wordt voorkomen dat SCADA-systemen operationeel wordt veroorzaakt door een netwerk of systeem van corporate vraagstukken / storingen.
• Review netwerktopologie aan interne en externe kwetsbaarheden te waarborgen zijn momenteel niet zijn en niet kunnen worden misbruikt.
• Herziening van de router configuraties
• Gebruik van change management systeem
• Review remote dial-in systemen
• Firewall-SCADA-systemen af van zakelijke toepassingen
• Ongecontroleerde netwerken en systemen binnen de SCADA omgeving zal afbreuk doen aan de corporate omgevingen integriteit en veiligheid.
• Bepaal of systemen die worden gebruikt binnen de SCADA zijn gebouwd om een standaard omgeving.