NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
0 likes338 views
Het verhaal over hoe Stuxnet een wake-up call is voor IT-auditors, of dat zou moeten zijn. En wat \'wij\' informatiebeveiligers / IT-auditors kunnen leren van de proces-IT-wereld, en andersom. Er is nog veel te doen...
More Related Content
More from Jurgen van der Vlugt (12)
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
- 1. Stuxnet: Beveiliging en audit van proces-IT Jurgen van der Vlugt Noordbeek B.V. JvdVlugt@xs4all.nl 25 november 2010, Regio Rotterdam / Afdeling IT-Auditing
- 2. Stuxnet: Beveiliging en audit van proces-IT 2 Intro; ik = Ir.drs. J. (Jurgen) van der Vlugt RE CISA CRISC Bedrijfseconomie (Rotterdam) Technische Informatica (Delft) Post-grad IT-auditing (VU) KPMG EDP Auditors / IRM (WinNT, Y2K) Sogeti ABN AMRO (Group Audit, Group Security) Noordbeek (Tot 1 december 2010) NGI, NOREA (VC, CBr, ), ISACA, ISSA, PvIB
- 3. Stuxnet: Beveiliging en audit van proces-IT 3 Agenda Maeslant en 鎬鎬鎬)1 ) Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter (1) Wat heb ik nou aan me fiets hangen?
- 4. Stuxnet: Beveiliging en audit van proces-IT 4 Neerlands Trots
- 5. Stuxnet: Beveiliging en audit van proces-IT 5
- 6. Stuxnet: Beveiliging en audit van proces-IT 6 Stuxnet Sinds juni (?) in omloop / in beeld (Note: Eerste variant vd worm: juni 2009)1 Zeer veel kennis erin Team effort Niet uit op creditcard-info. Huh? September: Vooral anti-Iran Opstart kerncentrale uitgesteld Round up the usual suspects Verspreiding: 65k Iran, 12k India, 180 NL; 155 landen) Sporen van politieke boodschappen (?) Isra谷l ..? Wie? 1 Bron: Eric Luijff (TNO/NICC)
- 7. Stuxnet: Beveiliging en audit van proces-IT 7 Analyse Siemens S7-300 CPU + CP-342-5 Profibus communications modules which monitor and control frequency converter drives build by two companies (one in Iran, one in Finland) motors must run between 807 Hz and 1210 Hz THEN during short intervals/ month to 1402 Hz, 2 Hz, 1064 Hz
- 8. Stuxnet: Beveiliging en audit van proces-IT 8 It giet oan Probleem: Slechte beheersing proces-IT Al lang bekend NICC, Govcert.nl, et al. Genoegzaam gewaarschuwd? Na bragging rights over virussen En na financieel gewin via banking trojans Nu third wave Cyberwarfare
- 9. Stuxnet: Beveiliging en audit van proces-IT 9 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
- 10. Stuxnet: Beveiliging en audit van proces-IT 10 Proces-IT Vanuit de elektrotechniek Specialistisch Kritieke systemen!
- 11. Stuxnet: Beveiliging en audit van proces-IT 11 Levels
- 12. Stuxnet: Beveiliging en audit van proces-IT 12 Elementen HMI: Human-Machine Interface Monitoring Control Supervisory (computer) system Data-acquisitie Control commands sturen RTUs: Remote Terminal Units Connect sensors in het proces Converteren sensorsignalen naar digitaal Zenden digitale signalen naar supervisory system PLCs: Programmable Logic Controllers Field devices: goedkoper en flexibeler dan special-purpose RTUs Communicatie-devices/kabels
- 13. Stuxnet: Beveiliging en audit van proces-IT 13 Meer
- 14. Stuxnet: Beveiliging en audit van proces-IT 14 Control
- 15. Stuxnet: Beveiliging en audit van proces-IT 15 SCADA Nota bene: PLCs controllen standaardproces RTUs pakken afwijkingen op Mensen pakken afwijkingen op hoger niveau op (iff) Tag db: Tags/points = gemonitorde I/O waarde Hard (1) / soft (combi) + Timestamp, + Metadata
- 16. Stuxnet: Beveiliging en audit van proces-IT 16 Plaatje (Historian)
- 17. Stuxnet: Beveiliging en audit van proces-IT 17
- 18. Stuxnet: Beveiliging en audit van proces-IT 18
- 19. Stuxnet: Beveiliging en audit van proces-IT 19
- 20. Stuxnet: Beveiliging en audit van proces-IT 20
- 21. Stuxnet: Beveiliging en audit van proces-IT 21 P-roblemen Geen aandacht voor beveiliging en autenticatie in ontwerp, uitrol, operations in huidige generaties SCADA-netwerken (Geen) security through obscurity (meer) Vertrouwen op speciale protocollen, proprietary interfaces (nog!) Fysieke beveiliging is voldoende Hangen niet aan het Internet
- 22. Stuxnet: Beveiliging en audit van proces-IT 22 Wat als het misgaat Zichtbaar ? Positieve feedforward ? Te laat ? Ingrijpen mogelijk ?
- 23. Stuxnet: Beveiliging en audit van proces-IT 23 Ook Shattered Shield 'I Had A Funny Feeling in My Gut' By David Hoffman Washington Post Foreign Service Wednesday, February 10, 1999; Page A19 It was just past midnight as Stanislav Petrov settled into the commander's chair inside the secret bunker at Serpukhov- 15, the installation where the Soviet Union monitored its early-warning satellites over the United States. Then the alarms went off. On the panel in front him was a red pulsating button. One word flashed: "Start." It was Sept. 26, 1983, and Petrov was playing a principal role in one of the most harrowing incidents of the nuclear age, a false alarm signaling a U.S. missile attack. Although virtually unknown to the West at the time, the false alarm at the closed military facility south of Moscow came during one of the most tense periods of the Cold War. And the episode resonates today because Russia's early-warning system has fewer than half the satellites it did back then, raising the specter of more such dangerous incidents. As Petrov described it in an interview, one of the Soviet satellites sent a signal to the bunker that a nuclear missile attack was underway. The warning system's computer, weighing the signal against static, concluded that a missile had been launched from a base in the United States. The responsibility fell to Petrov, then a 44-year-old lieutenant colonel, to make a decision: Was it for real? Petrov was situated at a critical point in the chain of command, overseeing a staff that monitored incoming signals from the satellites. He reported to superiors at warning-system headquarters; they, in turn, reported to the general staff, which would consult with Soviet leader Yuri Andropov on the possibility of launching a retaliatory attack. Petrov's role was to evaluate the incoming data. At first, the satellite reported that one missile had been launched then another, and another. Soon, the system was "roaring," he recalled five Minuteman intercontinental ballistic missiles had been launched, it reported. Despite the electronic evidence, Petrov decided and advised the others that the satellite alert was a false alarm, a call that may have averted a nuclear holocaust. But he was relentlessly interrogated afterward, was never rewarded for his decision and today is a long-forgotten pensioner
- 24. Stuxnet: Beveiliging en audit van proces-IT 24 Wat gaat goed (pIT) Focus op control loops Wat goed gaat, laten doorlopen Triggers / melding van afwijking Monitoren om bij te sturen
- 25. Stuxnet: Beveiliging en audit van proces-IT 25 Wat gaat niet goed (pIT) Onvoldoende overall systems view Als het werkt, dan blijft het werken Software analoge signaalverwerking Data-integriteit, beschikbaarheid Voor control: OK Voor mgt.info: Who cares? Beveiliging op derde (?) plaats
- 26. Stuxnet: Beveiliging en audit van proces-IT 26 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
- 27. Stuxnet: Beveiliging en audit van proces-IT 27 SecurityFrequentie Schade Opera tionele ver liezen Beveiligings- incidenten Continu誰teitsbedreigingen Veel kleine foutjes; gemakkelijk herstelbaar of insignificant Materi谷le (significante) schade; komt met enige regelmaat voor (maar is geen routine) Break-the-business incidenten; organisatie overleeft klap niet Ontploffende Kerncentrales ..?
- 28. Stuxnet: Beveiliging en audit van proces-IT 28 ORM Evaluate design & set- up Analysis Monitor & react Incident Mgt CLD Insu- rance Mgt KRI (Mgt) (K)ORC (Mgt) R(S)A (+Audit) Operational Risk Management ORAP Designed, Selected for efficiency Tuning, Mandatory Near misses KRI values Corrective actions Incidents Indemnities Controls Risk indicators Incidents for analysis (Problems) Inherent risks Process Problem Mgt Breach
- 29. Stuxnet: Beveiliging en audit van proces-IT 29 Analyse: Bedreigingen Acts of Man Actief / Passief (blijven) Im sorry-attacks Domheid Operational risks..! Sorry! Overstroming Windhoos Aardbeving Grieppandemie Zonder opzet Crackers Fraudeurs Actiegroepen Tegenzin / Geen tijd ?Met opzet Acts of Man Acts of nature (Acts of God)
- 30. Stuxnet: Beveiliging en audit van proces-IT 30 (Agenda) Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
- 31. Stuxnet: Beveiliging en audit van proces-IT 31 Focus: gegevensintegriteit? Alles is een (transactieverwerkend) proces On-menselijk (?) Afbeelding van de werkelijkheid! Geen oordeel over re谷le betekenis transactie Re: Transactie gedaan, vastlegging key Re: Integriteit? 1=1, 0=0 Papieren werkelijkheid Risico-analytisch ! Wet op de Jaarrekeningcontrole ...!?
- 32. Stuxnet: Beveiliging en audit van proces-IT 32 En dan: Controls = Maatregelen, bijsturingsmiddelen Organisatorisch (functiescheiding) Procedureel (afvinken rapporten) Fysiek (toegang) IT () Geld (verzekering) In combinatie (Er is geen silver bullet!)
- 33. Stuxnet: Beveiliging en audit van proces-IT 33 Controls (bescherming?) Afschrikkende Preventieve, Detectieve, Repressieve, Beperkende en opvangende, Corrigerende en terugwinnende Hoe eerder hoe beter Net beter dan de buren
- 34. Stuxnet: Beveiliging en audit van proces-IT 34 Controls (vervolg) Traditioneel: Accountantshobby Maar niet langer alleen t.b.v. jaarrekeningcontrole Taalprobleem: Operationeel doen Op managementniveau uitleggen Modes RBAC Classificatie Architectuur
- 35. Stuxnet: Beveiliging en audit van proces-IT 35 Controls: kosten, baten Schade kosten van controls (direct, indirect, reputatie?) Vantevoren cijfers nodig! Frequentie / kans Impact, schade (2x) Kosten continu rapporteren (niks merkbaar?) Effectiviteit FUD werkt misschien toch beter
- 36. Stuxnet: Beveiliging en audit van proces-IT 36 Waar is de control loop-gedachte? Nergens. Administratievelingen kennen die niet Nou ja, maar dan PDCA Deming Focus komt op uitzonderingen afvangen of herstellen Beperkte visie op alle inputs
- 37. Stuxnet: Beveiliging en audit van proces-IT 37 ControlControl Control ControlControl Control ControlControl Control ThreatThreatThreat ThreatThreatThreat Threat ThreatThreat VulnerVulner Vulner VulnerVulner Vulner Vulner VulnerVulner ? Realiteit
- 38. Stuxnet: Beveiliging en audit van proces-IT 38 Effect
- 39. Stuxnet: Beveiliging en audit van proces-IT 39 Ook op andere gebieden, niveaus Pino, Nepino Watervalontwikkelmethode Testen, testen, testen. !? Projectrisicos > Deliverable-risicos Auditability > control We hebben een certificaat
- 40. Stuxnet: Beveiliging en audit van proces-IT 40 Traditioneel Business Information Mgt IT Strat Tact Oper
- 41. Stuxnet: Beveiliging en audit van proces-IT 41 Wat breder en dieper Business Information Mgt ITOverheid?Burger
- 42. Stuxnet: Beveiliging en audit van proces-IT 42 Wat gaat goed (aIT) Controls-gerichtheid (uitgaan van foutgaan) Enige keten-gerichtheid (?) Cultuur van controlesystemen
- 43. Stuxnet: Beveiliging en audit van proces-IT 43 Wat gaat niet goed (aIT) De abstractie van de werkelijkheid Te beperkt, analytisch, te hoog niveau Te simpel! Event 1 Oorzaak 1 Gevolg Focus op transparantie = auditability 2e afgeleide van primaire info Tbv gemakkelijk leventje auditors (Management) controls-discussie weer losgeraakt van software Beveiliging = C; I en A hobbelen erachter
- 44. Stuxnet: Beveiliging en audit van proces-IT 44 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
- 45. Stuxnet: Beveiliging en audit van proces-IT 45 Wat nu ..? Proces-IT Is nieuw Moet nog veel leren Ondoorzichtig (voor kantoortijgers) Administratieve (IT) beveiliging Heeft modellen (een oogje voor een heel land ..?) Veroorlooft zich foutmarges (Relatief) incidentele, discrete transacties, missers
- 46. Stuxnet: Beveiliging en audit van proces-IT 46 Wat hebben wij te leren? C, I en A in balans (geen mono-focus) Bescheidenheid Urgentie (Hoewel geen Cassandras, Boy Cried Wolf) Onze diensteneconomie draait op fysieke wereld Decennia te gaan`? Verbetering (consistentie, volledigheid) van engineering van control Modellen (waterval/andere(!), testen, control)
- 47. Stuxnet: Beveiliging en audit van proces-IT 47 Wat hebben wij te leren (II) Terug naar software Administratief Bottom-up incident mgt Proces Top-down keten incl externalities Software-testen Doen! Uitbreiden methodologie谷n Full-scope what-if Ook op requirements-niveau etc. Beter horizontaal en verticaal ge誰ntegreerd totaal
- 48. Stuxnet: Beveiliging en audit van proces-IT 48 Kan dat ..? Kan niet, kan niet Kritieke infra Geen Plan B / herstel Vergt v辿辿l verdieping en verbreding kennis, kunde, vaardigheden Spanning diepgang/specialisme vs. overzicht Inhoudelijk en qua vaardigheden Wie gaat dat betalen ..? Agency vs externalities
- 49. Stuxnet: Beveiliging en audit van proces-IT 49 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
- 50. Stuxnet: Beveiliging en audit van proces-IT 50 Ubicomp / Ubiinfo
- 51. Stuxnet: Beveiliging en audit van proces-IT 51 Ubi-problemen Wheres your data ? (Cloud2 ) Wie zit er aan de gegevens, wie is in control ? Privacy Trawling for patterns Herstelbaarheid fouten Overschatting eenvoud
- 52. Stuxnet: Beveiliging en audit van proces-IT 52 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
- 53. Stuxnet: Beveiliging en audit van proces-IT 53 Vragen ?
- 54. Stuxnet: Beveiliging en audit van proces-IT 54 The End
- 55. Stuxnet: Beveiliging en audit van proces-IT 55 Further Reading TNO/KEMA http://www.samentegencybercrime.nl/