sicherheit und stabilität durch netzleittechnik- …...authentification kategorie 2 »architektur...
TRANSCRIPT
Sicherheit und Stabilität durch Netzleittechnik-Monitoring und Anomalieerkennung
3. Praxistag Wasserversorgungsnetze
Thomas Friedel Sales Manager
Rhebo GmbH
ICS-Monitoring und Anomalieerkennung
Automatische Anomalieerkennung
LERNEN SCHÜTZENANALYSIEREN
Monitoring & Dekodierung der Kommunikation und
Bestandsaufnahme der Assets mittels Deep Packet
Inspection (DPI)
Automatisches Lernen der Kommunikationsmuster
Meldung aller Ereignisse („Anomalien“), die zu
Betriebsstörungen führen können
Prävention und Organisation
(Risikomanagementsysteme, Standards, Segmentierung,
DMZ, Firewall, Komponenten-härtung, Trainings)
Reaktion (Anlagensteuerung, Leitstand, Kontrollzentrum, CERT/CSIRT)
Aufklärung (Threat Intelligence)
(Forensik, Verfolgung, Maßnahmen in Prävention, Monitoring und Reaktion)
Monitoring und Detektion
(Anomalieerkennung, Echtzeit-lagebild, Protokollierung,
Aufzeichnung, Archivierung)
Sicherheit und Verfügbarkeit im Leitnetz
B3S Wasser / Abwasser
Anwendungsfälle und Maßnahmen des IT-Sicherheitsleitfadens
OrganisationOM Wer verantwortet die IT- und Cybersicherheit innerhalb oder außerhalb der Organisation? 1
ArchitekturAR Wie genau wird das PNLT segmentiert, bzw. erfolgt eine Trennung von IT & PNLT? 4
NetzwerkmanagementNM Erfolgt das Netzwerkmanagement lokal oder über Fernzugriff? 3
BenutzerzugangUA Wie erfolgt der Zugriff auf Daten und Systeme? 5
SPS/PLS-Programmierung und WartungPLC Wie erfolgt der Zugriff auf Steuerungen? 3
ProgrammzugangPA Wie erfolgt der Datenaustausch (auch Updates) zwischen zentralem System und fernen Standorten? 6
Abk. Kernkategorie Fragestellung Anwendungsfälle
Kategorie 1 »Organisation OM« Rolle des Netzwerkmonitoring mit Anomalieerkennung
Maßnahmen für den stabilen Betrieb der PNLT (Auszug)
Datenbanksicherheitskonzept
Sicherheitskonzepte
Sicherheitsmanagementstrategie
Sicherheitsgateway-Konzept
Notfallkonzept inkl. Meldung
Grundlegende Aspekte (klassische ISMS-Bestandteile)
Zieldefinition
Personelle Struktur
Integration der Mitarbeiter
Prozessen und Berechtigten
Prozessdokumentation
Firewall
DMZ
Segmentation
Anomaly Detection
ISMS
Security-By-Design
Authentification
Kategorie 2 »Architektur AR« Rolle des Netzwerkmonitoring mit Anomalieerkennung
Maßnahmen an dedizierte Netzwerke (Auszug)
gesicherte Aufstellung der Komponenten
gesicherte Netzzugänge
Kriterien für Beschaffung von Komponenten
regelmäßige Kontrolle von Router & Switches
sicherer Betrieb von Router & Switches
physische Segmentierung
Datensicherung & Recovery
Analyse Report Workshop Operativer Betrieb
Kategorie 3 »Netzwerkmanagement NM« Rolle des Netzwerkmonitoring mit Anomalieerkennung
Ist- und Risikoanalyse (Auszug)
Istaufnahme der Netzsituation
Dokumentation der System-konfiguration von Routern & Switches
Prüfung und Sicherstellung der lokalen Grundkonfiguration
Notfallvorsorge von Routern & Switches
Logische Segmentierung
sicherer Betrieb von Switchports
Sichere Konfiguration der Access Points
Regelmäßige Sicherheitschecks des Netzes
Kategorie 4 »Benutzerzugang UA« Rolle des Netzwerkmonitoring mit Anomalieerkennung
Sicherheitsmaßnahmen (Auszug)
Zeitnahes Einspielen sicherheits-relevanter Patches und Updates
Sichere Installation eines IT-Systems mit sicherer Grundkonfiguration
Einrichtung eingeschränkter Benutzergruppen
Management und Dokumentation von Veränderungen am System
Verbot nicht freigegebener Hard- und Software
Durchgehender Passwortschutz
Virenschutzprogramme
Notfallvorsorge
Kategorie 5 »SPS/PLS-Programmierung und Wartung PLC« Rolle des Netzwerkmonitoring mit Anomalieerkennung
Sicherheitsanforderungen (Auszug)
Meldung von Schadprogramm-Infektionen
sichere Installation des IT-Systems
eingeschränkte Benutzerumgebung
sichere Konfiguration eines IT-Systems
Datensicherung und Dokumentation
Einsatz eines lokalen Paketfilters
logische Segmentierung
sicherer Betrieb und Monitoring der VPNs
Kategorie 6 »Programmzugang PA« Rolle des Netzwerkmonitoring mit Anomalieerkennung
Sicherheitsmaßnahmen (Auszug)
Fernanzeige von Störungen
Zugriffskontrolle einer Datenbank
SNMP verwenden, aber Sicherheits-aspekte berücksichtigen
Protokollierung von IT-Systemen
sicherer Betrieb der Sicherheitsgateways
Integrität und Authentizität der Datenpakete sicherstellen
Protokollierung der Sicherheitsgateway-Aktivitäten
sichere Protokolle
Integration
Leitfaden „B3S Wasser/Abwasser in der Praxis“
• Netzwerkmonitoring in Wasser- und Abwasser-unternehmen
• Struktur des IT-Sicherheits-Branchenstandard • Kernaspekte des Merkblatts DWA-M-1060
Managementsysteme • Anwendungsfälle und Maßnahmen des IT-
Sicherheitsleitfadens
Success Story „Überprüfung der Netzsegmentierung bei den Leipziger Wasserwerken“
• Ergebnis unseres Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudit (RISSA)
• Asset Inventory der Netzleittechnik • Analyse der Kommunikationsverbindungen
aktuell unterstützte Protokolle (v2.6)IndustrieprotokolleABB RNRP BACnet CIP DNP3 ELCOM-90 EtherCAT General Electric GigE Vision Control Haag Damon HART iba Device Config. Prot. IEC60870-5-104 IEC61850-GOOSE IEC61850-GSSE IEC61850-MMS IEC61850-SMV LonTalk Modbus MQTT
MRP Omicron OMFind OPC UA OpenProtocol Powerlink Proficy iFix Profinet Profinet IO CM PSI QNX Qnet RK 512 S7 Sercos III SICAM PAS/PQS Sinec H1 SMA STOMP WinCC
NetzwerkprotokolleAcronis Backup Adobe Server ARP AXIS Camera Man. Canon BJNP Cisco _/CDP/CGMP /DCE/DTP /EIGRP/WLCCP COTP DCE/RPC DEC DHCP DNS EAP over LAN ECTP EGP FTP Control FTP Data
General Inter-ORB HP _/DTC/Ext. LLC /Probe HSR HSRP HTTP/HTTPS ICMP IGMP Intel ans IPv6 ISMP Java RMI Kerberos LACP LDAP LPD LLC LLDP
LLMNR McAfee ePO mDNS MRP NetBIOS NFS NTP OSPF PIM PTP QUIC RDP Remote Shell Rhebo RRCP SentinelSRM SKINNY SCCP Slow Protocol
SMB SMTP SNMP SQLNET2 SOAP SSDP SSH SSL STP Symantec Endp. Pr. Syslog TDS Telnet TFTP TNS TSM VMWare-Lab-Man. VNC