Madrock

Detta är en presentation jag gav på SCADA-säkerhet en tid sedan. Den var ursprungligen i ca 2 timmar, även om jag bröt den i två halvor så om tiden tillät (eller partisipants ville ha mer inforamation) har backend av presentationen många fler områden och vägledning relaing till SCADA, utrustning, miljö säkerhet etc. .

Jag fastställt följande resultat för presentationen:

• Bredda medvetenheten och behovet av säkerhet inom SCADA miljön.
• Förståelse för näringslivet roll i styrningen / risk identifieringen.
• Öka förståelsen av tekniska risker.

Jag hoppas att folk hittar materialet intressanta och användbara.

SCADA-säkerhet Presentation Derek Grocke

Jag har arbetat i SCADA-teknik, nätverksdesign, projekt styrning och säkerhet område för massor av år.

Som ett resultat har jag många dokument och tekniker som jag kommer att dela här. Detta är den första av många dokument som jag hoppas att andra kommer att hitta informativ och hjälpa andra att förstå och forma sin inställning till dessa miljöer.

Lokal fil

SCADA Presentation

En cool dokument som jag tänkte jag skulle dela. Det visar en god förståelse och en rad goda idéer.

Allmänna frågor

• Hur kan användarna få tillgång till SCADA ansökan?
• Mål att konsolidera tillgång till alla informationskällor â € "dvs göra tillgänglig för alla användare via ett enda gränssnitt
• Finns det några RAS modem utnyttjas inom SCADA miljön?
• Är RAS call back-funktionen används?
• Är det obligatoriska RAS kryptering används?
• Användarna får flera försök till autentisering på RAS?
• Har RAS revision funktionen aktiverats?
• Hur är tillgången mellan företag / företagsnätverk och SCADA-nätverk som styrs?
• Hur administratörslösenordet kontrolleras?
• Hur säljaren tillgång till SCADA-nätverket kontrollerade â € "har alltså lösenord förändringar efter det att kontraktet fullgjorts?
• Är SLAâ € ™ s för entreprenad stöd avtal ses över regelbundet?
• Är kritiska komponenter i SCADA nätverk som stöds av en UPS och är dessa batterier testas regelbundet för att säkerställa att de är tillförlitliga?
• Vad kapacitet förvaltning och övervakning av kritiska SCADA-nätverkssystem utförs (dvs. processoranvändning och hårddisk utrymme)?
• Är juridiska bildtexter utnyttjas under inloggningsprocessen till SCADA ansökan och tillhörande infrastruktur / enheter?
• Har ett system för upptäckt av intrång (IDS) tagits i bruk inom SCADA miljön?
• Har säkerhet varit ett fokus inom utvecklingen och användningen av SCADA-nätverket?
• Finns det ytterligare personal utförs sållning när personal anställs för att arbeta inom SCADA-miljö (inklusive leverantörer etc.)?

Policyer och rutiner

• Finns det ett fastställt säkerhetsstrategi för SCADA miljön?
• Vem är ansvarig / ansvariga för säkerhetshantering inom SCADA-miljö? Har ägandet av detta ansvar klart definierade och / eller anges i all dokumentation?
• Finns det några återkommande säkerhetsgranskningar av SCADA-nätverk till?
• Vilka rutiner finns för att hantera försäljning av SCADA-nätverk media och enheter? Dessutom är det en process på plats för deponering av konfidentiell information / dokumentation?
• Finns det några riktlinjer eller förfaranden för införandet av nya enheter till SCADA miljön?
• Vad formell ändring rutiner finns för SCADA miljön?
• Har en formell katastrofplan finns för SCADA miljön?
• Har en formell affärskontinuitetsplan finns för SCADA miljön?
• Har fysisk och logisk säkerhet standarderna skiljer sig avsevärt mellan SCADA webbplatser?
• Har en standard verksamhetsmiljö (SOE) minimistandard standard utvecklats för system som förs in i SCADA miljön?
• Vad säkerhet Loggarna behålls för kritiska datorutrustning och hur ofta är de loggar över?
• Vem ansvarar för granskningen av säkerheten loggar?
• Har tillgång till händelseloggar varit begränsad?
• Vid anställningens början, är användare med IT-säkerhet information som en del av induktion processen? Dessutom är användare med ytterligare information om säkerhetsfrågor på regelbunden basis?
• Vilka förfaranden finns för att övervaka uppringd åtkomst?
• Finns det ett formellt fastställda säkerhetskopiering och återställning förfarande?
• Är krypteringsteknik och / eller lösenord tillämpas på backup band?

Fysiskt tillträde

• Hur fysisk åtkomst till SCADA terminaler kontrolleras?
• Är SCADA kontrollrum åtskilda från andra rum?
• Vad bygga upp säkerheten finns på avlägsna platser för att förhindra obehörig åtkomst?
• Vad autentiseringsmetoder används på avlägsna platser för att ge tillgång â € "dvs slå till kort?
• Är yttre fönster på fjärrkontroller platser preskriberad?
• Vad larmsystem har varit anställda på avlägsna platser?

Network Security

• Har alla utplaceras varit routrar konfigureras för att säkerställa filtrering av kommunikation som är otillåten eller inte krävs?
• Vad styr-och övervakningssystem resurser har satts in â € "det vill säga all kommunikation reser till en central punkt innan korsar vidare på nätet.
• Hur är uppringd i anläggningar för SCADA miljön säkras?
• Hur är misstänkta eller ovanliga aktiviteter på SCADA WAN upptäckta?
• Vad brandväggskonfigurationer har inrättats för att avgränsa den SCADA WAN från Förenta Water företagets nätverk?
• Är alla viktiga filtrering enheter i nätverket (till exempel routrar och brandväggar) konfigurerad för att logga alla försök att ansluta till nätverket? Om så är de ses över regelbundet?
• Har revision funktioner i alla routrar och brandväggar varit aktiverat?
• Har tillgång till händelseloggar varit begränsad?
• Hur är hanteringen av patchar / hotfixes kontrolleras i avseende på brandväggar och routrar?
• Vad backup och återställning åtgärder har vidtagits för nätverksresurser â € "brandväggar och routrar?
• Har SNMP utförts på grundläggande infrastruktur?
• Har någon trådlös utrustning satts in inom SCADA miljön â € "har detta varit konfigurerats för en säker stat?
• Är alla standard lösenord bort från SCADA-enheter efter genomförandet?
• Har en utvecklingsmiljö finns för att testa ändringar innan utbyggnaden till SCADA-nätverket produktionsmiljön?

Workstation Security

• Vilka operativsystem (version) är installerade på SCADA-terminaler?
• Har operativsystem lösenord systemnivå aktiverats för alla SCADA terminaler?
• Har lösenord har en obegränsad giltighetstid?
• Vad fil och katalog tillstånd har genomförts på SCADA-terminaler för att begränsa obehörig åtkomst av allmän-användare?
• Vad loggar genereras på operativsystemet nivå?
• Har tillgång till händelseloggar varit begränsad?
• Vilka verktyg och tjänster på operativsystemet nivån har begränsats för allmänna användare?
• Vem ansvarar för patch-hantering av SCADA-terminaler?
• Har en revision har varit aktiv för alla SCADA terminaler?
• Är standard-tjänster tillgängliga med reducerade system?
• Är virusskydd genomföras? Är det här programmet manuellt eller automatiskt uppdateras?
• Är aktier aktiverat i SCADA-terminaler / arbetsstationer?
• Är SCADA terminaler backas upp regelbundet?
• Är registret revision av SCADA-terminaler till?
• Är användarrecensioner och tillhörande nyttjanderätt utföras på en regelbunden basis?

SCADA Application Security

• Vad är användarnamn och lösenord kraven i SCADA ansökan?
• Är session time out funktioner aktiverade?
• Är komplicerade lösenord verkställas för att komma till SCADA ansökan?
• Är användarrecensioner och tillhörande nyttjanderätt utföras på en regelbunden basis?

System Intrångstest

• Interna penetrationstester
• Externa penetrationstester
• Lösenord hållfasthetsprovningen

Ändringar i SCADA nätverk

• Lämna / lista alla potentiella förändringar som övervägs för att SCADA-nätverket.

Förfaranden

• Företagsinformation Skydd
• Säkerhetshantering
• Information Klassificering
• Fysiska (och miljö) Säkerhet
• Personalsäkerhet
• Security Awareness Training
• Security Incident Response
• Säkerhet Övervakning
• Network Security
• PC / arbetsstation Säkerhet
• Stöd och praktisk säkerhetsrelaterade
• Kryptering och information Sekretess
• Tillstånd Kontroller
• Identifiering och autentiseringsmekanismer
• System Life Cycle säkerhet
• Avbrottsplanering
• Media Säkerhet
• Tredjepartstjänster

Typiska problem och frågor diskuteras:

• Inbound och ut bundna FTP
• Föreslå använda DMZ
• Föreslå användning av Secure FTP
• Föreslå nyttan av begränsade säkra IP-adresser / tunneldrivning
• Föreslå användning av privat-flöden

Modemproblem användas med ratten för tjänster

• Inga ringa tillbaka
• Ingen autentisering
• Inga Secure ID
• Möjligen automatiserade används skript, så hårt kodade användarnamn och lösenord som används.
• Internetdelning kan vara på, så att dirigering via arbetsstationer.

Ökad datasäkerhet och integritet överväganden

• Databackuper
• System redundans
• Webbplatsen och innehållsfiltrering
• Virusskydd
• Standard upphandling av system (rabatter och reservdelar)
• Nät och tjänster redundans
• Nätverksövervakning
• Service tillgänglighet övervakning
• Interna kontroller
• Leverantör / extern tjänsteleverantör
• Kapacitetsförvaltning
• Ändra ledningssystem
• Kapitalförvaltning system
• Telekommunikation och telefoni bulk kostnad diskontering
• Etc.

Använd och stöd för företagens ansökan överväganden

• E-post
• Intranät
• Internet
• Företag virusskydd
• Kapitalförvaltning
• Förändringsledning
• Projektledning
• Prestanda / kapacitet förvaltning
• Minskning av kostnad
• Användning av företagens ansökningar
• Minskning av manuella processer

Andra saker att tänka på:

• SCADA övervakningssystem måste isoleras från nätet fel och händelser. Detta förhindrar SCADA operativa system skall ske genom nätverk eller organisationsnummer frågor system / avbrott.
• Översyn Nättopologi att säkerställa inre och yttre hot är inte närvarande och inte kan missbrukas.
• Översyn av router konfigurationer
• Användning av change management system
• Översyn telefontjänst i system
• Brandvägg SCADA-system av från företagens ansökningar
• Okontrollerad nätverk och system inom SCADA miljön äventyrar företagsmiljöer integritet och säkerhet.
• Ta reda på om system som används i SCADA är byggda för en standard omvärld.