Comment gérer les problèmes de sécurité SCADA...HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP

HERVÉ SCHAUER CONSULTANTSHERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Cabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetSpécialisé sur Unix, Windows, TCP/IP et Internet

SecureParis, 16 octobre 2013SecureParis, 16 octobre 2013

Comment gérer les problèmes de Comment gérer les problèmes de sécurité SCADA ?sécurité SCADA ?

Hervé SchauerHervé Schauer<[email protected]>

Copyright Hervé Schauer Consultants 2000-2012 – Reproduction interdite2 / 23

Sommaire

Vocabulaire

Exemple d'attaques anciennes

Exemples d'attaques récentes

Rappels des composants vulnérables

Situation courante

Défense en profondeur / Cloisonnement

Accès distants

Mots de passe

Surveillance

Automates

Sauvegarde & supervision

Organisation

Gestion des risques & BIA

Conclusion


Vocabulaire

SCADA : Supervisory Control And Data Acquisition

Télécommande d'équipements industriels

DCS : Distributed Control System

ICS : Industrial Control Systems

SII : Sécurité de l'Informatique Industrielle


Exemples d'attaques anciennes

1982 : Piratage du gazoduc russe par les américains par cheval de Troie et bombe logique

Gazoduc transsibérien Urengoy–Pomary–Uzhgorod

Architecture et logiciels avaient volés par le KGB à une firme canadienne

CIA était au courant que le KGB allait voler le logiciel

Sabotage effectué par la CIA, gardé secret par la CIA jusqu'en 2004"The pipeline software that was to run the pumps, turbines and valves was programmed to go haywire, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to the pipeline joints and welds. The result was the most monumental non-nuclear explosion and fire ever seen from space." - Thomas Reed, At the Abyss: An Insider's History of the Cold War

2000 : Apparition des systèmes industriels (SCADA) dans l'informatique sur étagère et les réseaux

2003 : Site nucléaire de Davis-Besse Ohio

Ver SQL Slammer s'est répandu du réseau bureautique à tout le réseau industriel : BSOD



Juin 2010 : découverte de StuxNet / opération Olympic Games

Septembre 2012 : Attaques sur Telvent

Compromission du réseau Telvent Canada

Vol de données client

Mots de passe accès distants NOC

Vol d'informations concernant leur produit OASyS SCADA

Telvent forcé de déconnecter leurs accès distants clients



Avril 2013 : Georgia water plant, traitements des eaux (USA)

Changement du taux de chlore et de fluor

Arrêt de l'usine par précaution

Enquête du FBI

Aucun cas français de système SCADA vulnérable dans la presse...


Rappel des composants vulnérables

Dispositifs à commander

Vannes, pompes, moteurs, etc.

Automates

PLC : Programmable Logic Controller

RTU : Remote Terminal Unit

SIS : Safety Instrumented System

IHM (Interface Homme-Machine)

Supervision

WinCC, PC Win, PC Vue, etc.

Développement

Step7, PL7, Unity Pro, TwidoSuite, etc.

Transmission

Protocoles Modbus, S7, CIP, DNP3, IEC 104, IEC 62351, etc.


Situation courante

Tout repose sur le filtrage entre les 2 mondes

Ne bloque pas toutes les attaques

Codes malfaisants

Individus

Problème des accès distants

Astreinte

Capteurs extérieurs

Équipements sur Internet


Situation courante

Fonctionnement 24h/24, 7j/7, 365j/an

Pas d'antivirus

« Cela empêche le bon fonctionnement, ralentissement »

Pas de mise a jour

« Ça ne va plus marcher »

Pas de veille en vulnérabilités

Sauf la veille technologique pour les nouvelles fonctionnalités

Sécurité = sécurité physique : pas d'accès à l'automate

Présence de barrières

« Même si on pouvait, autant aller ouvrir la vanne à la main, elle est dans les mêmes locaux »

Population non sensibilisée à des risques informatiques



Augmenter la durée pour l'attaquant

Niveau de sécurité d’un coffre-fort se quantifie en temps

Augmenter les chances de détecter l'attaque à temps

Time of detection / Time of reaction

Interdire l'accès au réseau industriel

Mise en place d'une ou plusieurs DMZ internes

DMZ par fonctions afin de réduire la surface d'attaque

Filtrage réseau

En entrée du réseau industriel

Mais également en sortie !



Plusieurs niveaux / zones

Niveau 0

Moteurs / pompes / vannes / capteurs

Niveau 1

Automates

Niveau 2

Serveurs et postes de supervision

Niveau 3

Postes de supervision / archivages / journalisation



Exemple chez Siemens :



Norme IEC 62443 :

Zones

Groupe d'actifs logiques ou physiques qui partagent les mêmes exigences de sécurité

Conduits

Chaque communication entre zones est effectuée par un conduit


Accès distants

Contrôler les accès distants

Interdire les IHM / automates connectés sur Internet

Utiliser le chiffrement sur les accès réseau

VPN

Utilisateurs mobiles

Usines distantes connectées avec l'usine principale

Exemple ABB pour la maintenance

Connexion via un VPN SSL

Qui connaît le compte utilisé ?

Combien de personnes ?Exemple compromission du NOC Telvent


Mots de passe

Politique de mots de passe sur tous les noeuds

Serveurs, stations, IHM, équipements réseau, automates, modems, VPN, etc.

Modifier tous les mots de passe par défaut

Éradiquer les portes dérobées des constructeurs

Éviter au maximum les mots de passe administrateurs connus et partagés par plusieurs personnes

Utiliser un login unique par personne

Pas de compte générique

Essayer de respecter le principe du moindre privilège

Bloquer les comptes après des essais d'authentification infructueux


Surveillance

Journaliser

Analyser régulièrement les journaux

Requêtes importantes vers le même nom de domaine

Journaux Windows

Authentification des comptes utilisateurs / administrateurs, etc

Analyser le trafic réseau

Snort IDS for SCADA Systems

Détection d'anomalies Modbus et DNP3

Taille des requêtes, etc.Détection d'équipements défectueux ou d'un fuzzing

Contrôle d'accès

Adresse IP source lançant des commandes est-elle bien la station maître légitime ?

Signatures Snort de Digital Bond


Automates

Sécuriser les équipements qui le permettent

Filtrage des ports Modbus par adresse source sur les PLC Schneider

Via Unity Pro XL

Port TCP/502 TCP Wrappé sur l'automate

Read only sur les automates et les SIS

Également pare-feu Modbus Read-only devant les automates

Pare-feu Honeywell

Pare-feu Tofino deep packet inspection

Mettre à jour avec des phases de tests intensives préalables

Windows et IHM

Automates

Utiliser les protocoles sécurisés

Imposer leur implémentation


Sauvegarde & supervision

Sauvegardes

De la configuration des automates

Des systèmes

Des programmes

Protection des copies de sauvegardes

Tests de restaurations

Supervision

Identifier clairement et physiquement les postes

Stations en lecture seule

Stations pouvant modifier le processus industriel

Identifier clairement les noms des automates

Pour la configuration à distance

Évite de se tromper d'équipements


Organisation

Désigner un responsable de la sécurité informatique industrielle

Elaborer et obtenir l'engagement de la direction sur une politique de sécurité informatique industrielle

Politique de cybersécurité ou PGCS

Enjeux, métiers, obligations règlementaires, vision et objectifs


Organisation

Intégrer la sécurité des systèmes d'information dans les projets industriels et les systèmes embarqués

Gérer les incidents de sécurité de l'informatique industrielle

Effectuer une veille en vulnérabilités des systèmes industriels

US-CERT (ICS-CERT)

QCERT

Iran National CERT

sites des éditeurs

Sensibiliser, former et informer

Auditer

Appliquer les recommandation des audits


Gestion des risques / BIA

Après application des mesures de sécurité de base, faire une gestion des risques en SII :

Prise en compte du contexte et des contraintes

Identification des sites les plus sensibles

Identification et analyse des menaces, sources de menaces, vulnérabilités, conséquences

Ordonnancement des risques à traiter

Sélection de mesures de sécurité

Etc

Intégration des indisponibilités dues aux risques informatiques à la gestion des risques industriels

Continuité d'activité et BIA


Conclusion

Fusion de deux mondes

Beaucoup de diplomatie nécessaire

Impossible à ignorer

RSSI en pointe pour susciter la prise en compte de la sécurité dans l'informatique industrielle

...

Questions ? [email protected] www.hsc.fr

La référence complètedu RSSI !3e édition

mailto:[email protected]


Références

Série de normes IEC 62443http://webstore.iec.ch/

Signatures Snorthttp://www.digitalbond.com/tools/quickdraw/

Veillehttp://icscert.uscert.gov/

http://www.qcert.org/

http://www.certcc.ir/

Guide de l'ANSSI : Maitriser la sécurité des systèmes industrielshttp://www.ssi.gouv.fr/IMG/pdf/Guide_securite_industrielle_Version_finale2.pdf

Cartographie des documents liés à la sécurité SCADA par le groupe Sécurité SCADA du Clusif : à paraître décembre 2013

http://www.clusif.fr/

http://www.digitalbond.com/tools/quickdraw/

Documents

Comment gérer les problèmes de sécurité SCADA...HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP