Het verhaal over hoe Stuxnet een wake-up call is voor IT-auditors, of dat zou moeten zijn. En wat \'wij\' informatiebeveiligers / IT-auditors kunnen leren van de proces-IT-wereld, en andersom. Er is nog veel te doen...
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsJurgen van der Vlugt
油
How we exclude people from information security (design) which takes away the overwhelmingly biggest threat-AND-vulnerability; how we need to ditch the top-down compliance approach, and how to do security bottom-up. KISS.
The document discusses operational risk management. It summarizes that traditionally, information security has been approached from the bottom-up rather than top-down. It then critiques common risk management methodologies for making unrealistic assumptions and using oversimplified models that do not accurately capture complex relationships. The presentation goes on to argue that attempting to perfect bureaucracy and control through risk management leads to an illusion of being in control and a totalitarian system, as unforeseen events will always occur.
On the necessary re-design of security controls. To provide guiding rails to keep only those that sway too far out, instead of slamming everyone into compliance with too-tight rails.
1) The document discusses the future of risk management and outlines some issues with current approaches.
2) Regulations like Basel II aimed to improve risk management but ended up creating large compliance overhead without meaningfully addressing operational risks.
3) Guidance can go wrong when it is poorly understood, implemented as directives rather than suggestions, and lacks clarity around definitions, classifications and how to apply results. This led to formal compliance without better risk management.
\'Cloud\' brings many advantages. Among others, that much of your social media data will disappear ever more quickly -- as all the storage in the world cannot keep up with the growth of Big Data, hence ever more will be lost. For companies, that may be a problem...
On how the current top-down (command-and-)control approach, and the \'middle-out\' modelling aproach, will and can not work in the end. A new paradigm, bottom-up KISS risk management will be needed.
The document discusses the Stuxnet worm and issues with process control systems (SCADA/ICS). It notes that Stuxnet targeted Siemens WinCC/PCS7 systems used in industrial control and exploited previously unknown vulnerabilities. The talk will cover process control systems, their components and architecture, problems with current security approaches, potential consequences of failures or attacks, and the need for improved controls and a control loop approach to security management.
On how the current top-down (command-and-)control approach, and the \'middle-out\' modelling aproach, will and can not work in the end. A new paradigm, bottom-up KISS risk management will be needed.
The document discusses the Stuxnet worm and issues with process control systems (SCADA/ICS). It notes that Stuxnet targeted Siemens WinCC/PCS7 systems used in industrial control and exploited previously unknown vulnerabilities. The talk will cover process control systems, their components and architecture, problems with current security approaches, potential consequences of failures or attacks, and the need for improved controls and a control loop approach to security management.
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
1. Stuxnet:
Beveiliging en audit van proces-IT
Jurgen van der Vlugt
Noordbeek B.V.
JvdVlugt@xs4all.nl
25 november 2010, Regio Rotterdam / Afdeling IT-Auditing
2. Stuxnet: Beveiliging en audit van proces-IT 2
Intro; ik =
Ir.drs. J. (Jurgen) van der Vlugt RE CISA CRISC
Bedrijfseconomie (Rotterdam)
Technische Informatica (Delft)
Post-grad IT-auditing (VU)
KPMG EDP Auditors / IRM (WinNT, Y2K)
Sogeti
ABN AMRO (Group Audit, Group Security)
Noordbeek (Tot 1 december 2010)
NGI, NOREA (VC, CBr, ), ISACA, ISSA, PvIB
3. Stuxnet: Beveiliging en audit van proces-IT 3
Agenda
Maeslant en 鎬鎬鎬)1 )
Proces-IT
Security
Administratieve systemen en zo
Wat nu ..?
Uitsmijter
(1) Wat heb ik nou aan me fiets hangen?
6. Stuxnet: Beveiliging en audit van proces-IT 6
Stuxnet
Sinds juni (?) in omloop / in beeld
(Note: Eerste variant vd worm: juni 2009)1
Zeer veel kennis erin
Team effort
Niet uit op creditcard-info. Huh?
September:
Vooral anti-Iran
Opstart kerncentrale uitgesteld
Round up the usual suspects
Verspreiding: 65k Iran, 12k India, 180 NL; 155 landen)
Sporen van politieke boodschappen (?)
Isra谷l ..? Wie?
1 Bron: Eric Luijff (TNO/NICC)
7. Stuxnet: Beveiliging en audit van proces-IT 7
Analyse
Siemens S7-300 CPU + CP-342-5 Profibus communications
modules
which monitor and control frequency converter drives
build by two companies (one in Iran, one in Finland)
motors must run between 807 Hz and 1210 Hz
THEN during short intervals/ month to 1402 Hz, 2 Hz, 1064 Hz
8. Stuxnet: Beveiliging en audit van proces-IT 8
It giet oan
Probleem: Slechte beheersing proces-IT
Al lang bekend
NICC, Govcert.nl, et al.
Genoegzaam gewaarschuwd?
Na bragging rights over virussen
En na financieel gewin via banking trojans
Nu third wave
Cyberwarfare
9. Stuxnet: Beveiliging en audit van proces-IT 9
Agenda
Maeslant en 鎬鎬鎬
Proces-IT
Security
Administratieve systemen en zo
Wat nu ..?
Uitsmijter
10. Stuxnet: Beveiliging en audit van proces-IT 10
Proces-IT
Vanuit de elektrotechniek
Specialistisch
Kritieke systemen!
12. Stuxnet: Beveiliging en audit van proces-IT 12
Elementen
HMI: Human-Machine Interface
Monitoring
Control
Supervisory (computer) system
Data-acquisitie
Control commands sturen
RTUs: Remote Terminal Units
Connect sensors in het proces
Converteren sensorsignalen naar digitaal
Zenden digitale signalen naar supervisory system
PLCs: Programmable Logic Controllers
Field devices: goedkoper en flexibeler dan special-purpose RTUs
Communicatie-devices/kabels
15. Stuxnet: Beveiliging en audit van proces-IT 15
SCADA
Nota bene:
PLCs controllen standaardproces
RTUs pakken afwijkingen op
Mensen pakken afwijkingen op hoger niveau op
(iff)
Tag db:
Tags/points = gemonitorde I/O waarde
Hard (1) / soft (combi)
+ Timestamp, + Metadata
21. Stuxnet: Beveiliging en audit van proces-IT 21
P-roblemen
Geen aandacht voor beveiliging en
autenticatie in ontwerp, uitrol, operations
in huidige generaties SCADA-netwerken
(Geen) security through obscurity (meer)
Vertrouwen op speciale protocollen,
proprietary interfaces (nog!)
Fysieke beveiliging is voldoende
Hangen niet aan het Internet
22. Stuxnet: Beveiliging en audit van proces-IT 22
Wat als het misgaat
Zichtbaar ?
Positieve feedforward ?
Te laat ?
Ingrijpen mogelijk ?
23. Stuxnet: Beveiliging en audit van proces-IT 23
Ook
Shattered Shield
'I Had A Funny Feeling in My Gut' By David Hoffman
Washington Post Foreign Service
Wednesday, February 10, 1999; Page A19
It was just past midnight as Stanislav Petrov settled into the commander's chair inside the secret bunker at Serpukhov-
15, the installation where the Soviet Union monitored its early-warning satellites over the United States.
Then the alarms went off. On the panel in front him was a red pulsating button. One word flashed: "Start."
It was Sept. 26, 1983, and Petrov was playing a principal role in one of the most harrowing incidents of the nuclear age,
a false alarm signaling a U.S. missile attack. Although virtually unknown to the West at the time, the false alarm at the
closed military facility south of Moscow came during one of the most tense periods of the Cold War. And the episode
resonates today because Russia's early-warning system has fewer than half the satellites it did back then, raising the
specter of more such dangerous incidents.
As Petrov described it in an interview, one of the Soviet satellites sent a signal to the bunker that a nuclear missile
attack was underway. The warning system's computer, weighing the signal against static, concluded that a missile had
been launched from a base in the United States.
The responsibility fell to Petrov, then a 44-year-old lieutenant colonel, to make a decision: Was it for real? Petrov was
situated at a critical point in the chain of command, overseeing a staff that monitored incoming signals from the
satellites. He reported to superiors at warning-system headquarters; they, in turn, reported to the general staff, which
would consult with Soviet leader Yuri Andropov on the possibility of launching a retaliatory attack.
Petrov's role was to evaluate the incoming data. At first, the satellite reported that one missile had been launched
then another, and another. Soon, the system was "roaring," he recalled five Minuteman intercontinental ballistic
missiles had been launched, it reported.
Despite the electronic evidence, Petrov decided and advised the others that the satellite alert was a false alarm, a
call that may have averted a nuclear holocaust. But he was relentlessly interrogated afterward, was never rewarded for
his decision and today is a long-forgotten pensioner
24. Stuxnet: Beveiliging en audit van proces-IT 24
Wat gaat goed (pIT)
Focus op control loops
Wat goed gaat, laten doorlopen
Triggers / melding van afwijking
Monitoren om bij te sturen
25. Stuxnet: Beveiliging en audit van proces-IT 25
Wat gaat niet goed (pIT)
Onvoldoende overall systems view
Als het werkt, dan blijft het werken
Software analoge signaalverwerking
Data-integriteit, beschikbaarheid
Voor control: OK
Voor mgt.info: Who cares?
Beveiliging op derde (?) plaats
26. Stuxnet: Beveiliging en audit van proces-IT 26
Agenda
Maeslant en 鎬鎬鎬
Proces-IT
Security
Administratieve systemen en zo
Wat nu ..?
Uitsmijter
27. Stuxnet: Beveiliging en audit van proces-IT 27
SecurityFrequentie
Schade
Opera
tionele
ver
liezen
Beveiligings-
incidenten
Continu誰teitsbedreigingen
Veel kleine foutjes; gemakkelijk herstelbaar of insignificant
Materi谷le (significante) schade; komt met enige regelmaat
voor (maar is geen routine)
Break-the-business incidenten; organisatie
overleeft klap niet
Ontploffende
Kerncentrales ..?
28. Stuxnet: Beveiliging en audit van proces-IT 28
ORM
Evaluate design & set-
up
Analysis Monitor & react
Incident
Mgt
CLD
Insu-
rance
Mgt
KRI
(Mgt)
(K)ORC
(Mgt)
R(S)A
(+Audit)
Operational Risk
Management
ORAP
Designed,
Selected for
efficiency
Tuning,
Mandatory
Near
misses
KRI
values
Corrective
actions
Incidents Indemnities
Controls Risk indicators
Incidents
for analysis
(Problems)
Inherent
risks
Process
Problem
Mgt
Breach
29. Stuxnet: Beveiliging en audit van proces-IT 29
Analyse: Bedreigingen
Acts of Man
Actief / Passief (blijven)
Im sorry-attacks
Domheid
Operational risks..!
Sorry!
Overstroming
Windhoos
Aardbeving
Grieppandemie
Zonder opzet
Crackers
Fraudeurs
Actiegroepen
Tegenzin / Geen tijd
?Met opzet
Acts of Man
Acts of nature
(Acts of God)
30. Stuxnet: Beveiliging en audit van proces-IT 30
(Agenda)
Maeslant en 鎬鎬鎬
Proces-IT
Security
Administratieve systemen en zo
Wat nu ..?
Uitsmijter
31. Stuxnet: Beveiliging en audit van proces-IT 31
Focus: gegevensintegriteit?
Alles is een (transactieverwerkend) proces
On-menselijk (?)
Afbeelding van de werkelijkheid!
Geen oordeel over re谷le betekenis transactie
Re: Transactie gedaan, vastlegging key
Re: Integriteit? 1=1, 0=0
Papieren werkelijkheid
Risico-analytisch !
Wet op de Jaarrekeningcontrole ...!?
32. Stuxnet: Beveiliging en audit van proces-IT 32
En dan: Controls
= Maatregelen, bijsturingsmiddelen
Organisatorisch (functiescheiding)
Procedureel (afvinken rapporten)
Fysiek (toegang)
IT ()
Geld (verzekering)
In combinatie (Er is geen silver bullet!)
33. Stuxnet: Beveiliging en audit van proces-IT 33
Controls (bescherming?)
Afschrikkende
Preventieve,
Detectieve,
Repressieve,
Beperkende en opvangende,
Corrigerende en terugwinnende
Hoe eerder hoe beter
Net beter dan de buren
34. Stuxnet: Beveiliging en audit van proces-IT 34
Controls (vervolg)
Traditioneel: Accountantshobby
Maar niet langer alleen t.b.v. jaarrekeningcontrole
Taalprobleem:
Operationeel doen
Op managementniveau uitleggen
Modes
RBAC
Classificatie
Architectuur
35. Stuxnet: Beveiliging en audit van proces-IT 35
Controls: kosten, baten
Schade kosten van controls
(direct, indirect, reputatie?)
Vantevoren cijfers nodig!
Frequentie / kans
Impact, schade (2x)
Kosten continu rapporteren (niks merkbaar?)
Effectiviteit
FUD werkt misschien toch beter
36. Stuxnet: Beveiliging en audit van proces-IT 36
Waar is de control loop-gedachte?
Nergens.
Administratievelingen kennen die niet
Nou ja, maar dan
PDCA Deming
Focus komt op uitzonderingen
afvangen of herstellen
Beperkte visie op alle inputs
37. Stuxnet: Beveiliging en audit van proces-IT 37
ControlControl
Control
ControlControl
Control
ControlControl
Control
ThreatThreatThreat
ThreatThreatThreat
Threat
ThreatThreat
VulnerVulner
Vulner
VulnerVulner
Vulner
Vulner
VulnerVulner
?
Realiteit
39. Stuxnet: Beveiliging en audit van proces-IT 39
Ook op andere gebieden, niveaus
Pino, Nepino
Watervalontwikkelmethode
Testen, testen, testen. !?
Projectrisicos > Deliverable-risicos
Auditability > control
We hebben een certificaat
40. Stuxnet: Beveiliging en audit van proces-IT 40
Traditioneel
Business Information Mgt IT
Strat
Tact
Oper
41. Stuxnet: Beveiliging en audit van proces-IT 41
Wat breder en dieper
Business Information Mgt ITOverheid?Burger
42. Stuxnet: Beveiliging en audit van proces-IT 42
Wat gaat goed (aIT)
Controls-gerichtheid
(uitgaan van foutgaan)
Enige keten-gerichtheid (?)
Cultuur van controlesystemen
43. Stuxnet: Beveiliging en audit van proces-IT 43
Wat gaat niet goed (aIT)
De abstractie van de werkelijkheid
Te beperkt, analytisch, te hoog niveau
Te simpel! Event 1 Oorzaak 1 Gevolg
Focus op transparantie = auditability
2e
afgeleide van primaire info
Tbv gemakkelijk leventje auditors
(Management) controls-discussie weer
losgeraakt van software
Beveiliging = C; I en A hobbelen erachter
44. Stuxnet: Beveiliging en audit van proces-IT 44
Agenda
Maeslant en 鎬鎬鎬
Proces-IT
Security
Administratieve systemen en zo
Wat nu ..?
Uitsmijter
45. Stuxnet: Beveiliging en audit van proces-IT 45
Wat nu ..?
Proces-IT
Is nieuw
Moet nog veel leren
Ondoorzichtig (voor kantoortijgers)
Administratieve (IT) beveiliging
Heeft modellen (een oogje voor een heel land ..?)
Veroorlooft zich foutmarges
(Relatief) incidentele, discrete
transacties, missers
46. Stuxnet: Beveiliging en audit van proces-IT 46
Wat hebben wij te leren?
C, I en A in balans (geen mono-focus)
Bescheidenheid
Urgentie (Hoewel geen Cassandras, Boy Cried Wolf)
Onze diensteneconomie draait op fysieke wereld
Decennia te gaan`?
Verbetering (consistentie, volledigheid) van
engineering van control
Modellen (waterval/andere(!), testen, control)
47. Stuxnet: Beveiliging en audit van proces-IT 47
Wat hebben wij te leren (II)
Terug naar software
Administratief Bottom-up incident mgt
Proces Top-down keten incl externalities
Software-testen
Doen!
Uitbreiden methodologie谷n
Full-scope what-if
Ook op requirements-niveau etc.
Beter horizontaal en verticaal ge誰ntegreerd totaal
48. Stuxnet: Beveiliging en audit van proces-IT 48
Kan dat ..?
Kan niet, kan niet
Kritieke infra
Geen Plan B / herstel
Vergt v辿辿l verdieping en verbreding kennis,
kunde, vaardigheden
Spanning diepgang/specialisme vs. overzicht
Inhoudelijk en qua vaardigheden
Wie gaat dat betalen ..?
Agency vs externalities
49. Stuxnet: Beveiliging en audit van proces-IT 49
Agenda
Maeslant en 鎬鎬鎬
Proces-IT
Security
Administratieve systemen en zo
Wat nu ..?
Uitsmijter
51. Stuxnet: Beveiliging en audit van proces-IT 51
Ubi-problemen
Wheres your data ? (Cloud2
)
Wie zit er aan de gegevens, wie is in control ?
Privacy
Trawling for patterns
Herstelbaarheid fouten
Overschatting eenvoud
52. Stuxnet: Beveiliging en audit van proces-IT 52
Agenda
Maeslant en 鎬鎬鎬
Proces-IT
Security
Administratieve systemen en zo
Wat nu ..?
Uitsmijter