Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité Industrielle 101

Cybersécurité industrielle 101

Sthack 2015 Adrien REVOL / Wilfrid BLANC

• 500+ customers

• 200+ cyber-security experts

• 20% growth each year

• 15 years of frontline experience

• 3 continents: Europe, North-America, Asia

• 1st CERT in EU

• 1 obsession: defend enterprises against cybercrime

3/55

Anticipate | Retaliate A proven defense strategy

Threat Defense Center

Audit

Consulting

Training

USB Malware Cleaner

Multiproxies

Investigation

Consulting

Incident response

4/55

Agenda

1. Introduction

2. Panorama cybersécurité industrielle

3. Retours d’expérience

4. Conclusion

5/55

Agenda

1. Introduction



4. Conclusion

6/55

Introduction Réseaux industriels ?

Oil & Gaz Énergie

Gestion de l’eau Industries Manufacturières

Smart Grid

Transports

Et bien d’autres : Chimie, Métallurgie, Zones portuaires, Gestion de bâtiments, … etc.

7/55

Introduction Deux définitions

Industrial Control System (ICS) Système ayant pour finalité de gérer des capteurs et actionneurs

interagissant avec le monde « physique »

Supervisory Control and Data Acquisition (SCADA)

Ensemble de serveurs, postes de travail et applications de l’ICS permettant de contrôler et superviser le procédé industriel

8/55

Introduction Schéma d’architecture

9/55

Introduction Quelques composants d’une architecture industrielle (1/3)

API Modicon m340 API Simatic S7 300

API Simatic S7 1500 Switch Scalance

Pupitre SIEMENS

10/55


Poste d’ingénierie : Développement de la logique d’un automate

11/55


Contrôle et Supervision du procédé industriel via l’IHM

12/55

Introduction Différence IT/ICS

L’informatique de gestion manipule des données

On veut protéger la confidentialité et l’intégrité des données

L’informatique industrielle manipule le monde « physique »

On veut protéger la santé des personnes, l’environnement et l’outil de production

Informatique de gestion

Protocoles standards

Interconnexions/Internet

Cycle de vie de 3-5 ans

Composants évoluent tous les jours

Une panne peut engendrer des pertes financières

Culture confidentialité/intégrité

Problématiques généralement connues

Introduction Deux approches différentes de l’informatique

Informatique industrielle

Prédominance de protocoles propriétaires

Mythe du « air-gap »

Cycle de vie de 15-20 ans

Composants hard/soft figés dans le temps

Une panne peut engendrer des pertes humaines

Culture sûreté/fiabilité

Problématiques cybersécurité généralement inconnues

14/55

Agenda

1. Introduction



4. Conclusion

15/55

Panorama cybersécurité industrielle Avant 2014-2015

0

50

100

150

200

250

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Stuxnet Projet Aurora (INL)

Vulnérabilités ICS dévoilées/an (source scadahacker.com)

16/55


0

50

100

150

200

250

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Stuxnet Projet Aurora (INL)

Vulnérabilités ICS dévoilées/an (source scadahacker.com)

17/55


Et pourtant le « modbus hack » est connu depuis plus de 10 ans…

L’un des protocoles industriels les plus anciens et plus déployés

Conçu en 1979 par Modicon (racheté par SCHNEIDER Electric) Basé sur des query/response en mode client/serveur Variante : Modbus/TCP Pas de chiffrement ni authentification

Modbus

18/55

Panorama cybersécurité industrielle Démo

ALIM CPU ETH CARTE I/O

CAPTEURS/ACTIONNEURS

Modbus/TCP

+12

V/-

12

V

PLC = API

19/55

Panorama cybersécurité industrielle Évènements significatifs 2014-2015

Courant 2014 Cyberattaque sur une aciérie Allemande

Tout au long de 2014 ANSSI Groupes de travail sectoriels

Janvier 2014 Publications référentiels ANSSI

Octobre 2014 Sandworm/Blackenergy Ciblage IHM GE Cimplicity

Juin 2014 DragonFly/Havex Scanner OPC

Avril 2014 Heartbleed

?

01/2014 03/2015

Mars 2015 Nouveau patch pour la CVE-2010-2568 exploitée par Stuxnet en 2010

Septembre 2014 Shellshock

20/55

Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années

Menace Vulnérabilité Impact Risque

21/55



Menace croissante

Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels

Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE

(Shodan-hq, modules metasploit, scripts divers, etc.) Menace

22/55



Menace croissante




23/55



Menace croissante




24/55



Progression du nombre de vulnérabilités publiquement dévoilées

+ de 850 vulnérabilités ICS dévoilées depuis 2010 Vulnérabilité

25/55



Impact constant

L’impact consécutif à la réalisation du risque industriel est constant Impact

26/55



Par où commencer pour diminuer/maîtriser le risque ?

De manière pragmatique, on ne peut travailler que sur les vulnérabilités

Démarche LEXSI : Analyse de risques + Audit Risque

27/55

Panorama cybersécurité industrielle LEXSI : l’approche par les risques

L’analyse de risques identifie les risques et impacts associés

L’audit identifie les vulnérabilités, scenarios d’attaque et

vraisemblance des risques

Classification réaliste des risques (matrice) Intégration dans les analyses de sûreté

existantes (AMDEC, HAZOP, etc.) Plan d’action de correction des vulnérabilités

28/55

Agenda

1. Introduction



4. Conclusion

29/55

Retours d’expérience Pentest en environnement industriel

La couche SCADA (composée de serveurs et postes généralement Windows) supporte les tests intrusifs

Néanmoins certains équipements industriels ne les tolèrent pas et peuvent crasher

Les différentes tests intrusifs sur des équipements terrain sont systématiquement réalisés sur maquette

30/55

Retours d’expérience Opérateur autoroutier

INTERNET #Absence de capacités de détection Aucune solution de SIEM, IPS ou IDS ne permet de détecter/bloquer l’attaquant dans ses phases de découverte (scans)

31/55


INTERNET #Sécurité des systèmes d’exploitation Identification d’une machine vulnérable sur le SI de gestion et compromission de cette dernière, récupération de différents mots de passe.

32/55


INTERNET #Interconnexion SII/SIG non sécurisée La machine est un poste d’ingénierie disposant de 2 cartes réseau…

33/55


INTERNET

34/55


INTERNET #Absence d’antivirus Installation d’un trojan permettant d’utiliser la station comme point de pivot vers le SI industriel

35/55


INTERNET #Mauvaise gestion des comptes Le mot de passe récupéré peut être utilisé sur le serveur d’acquisition SCADA

36/55


INTERNET

# Utilisation de protocoles non sécurisés

Utilisation de VNC sur l’ensemble des serveurs et postes de supervision

# Mauvaise gestion des comptes

Mot de passe VNC identique sur tous les postes

37/55


INTERNET # IHM connectée en permanence

La session Windows n’est pas verrouillée et l’opérateur est authentifié sur le logiciel de supervision. Nous pouvons agir sur la signalisation.

38/55


39/55


40/55


41/55

Retours d’expérience Industrie manufacturière

Interconnexions ICS/* non sécurisées

Machines SCADA à double attachement

42/55


Utilisation de protocoles non sécurisés

L’équipe de maintenance, depuis leurs postes de travail via VNC :

• Maintient les postes SCADA

• Programme les PLC depuis les postes SCADA

MITM pour récupérer un C/R VNC

Attaque off-line sur le C/R

43/55


Gestion des comptes non sécurisée

Le mdp VNC :

• est trivial

• est le même sur tous les serveurs SCADA

44/55


Sécurité des OS et firmwares

Le compte logué est admin local, sa session ne se verrouille pas

IHM connectée en permanence

Accès immédiat à l’IHM SCADA

Accès aux fichiers de conf de l’IHM

Possibilité de configurer les PLC

45/55

Retours d’expérience Conclusion

Du point de vue de l’attaquant, la cybersécurité du système industriel repose sur la sécurité de sa/ses interconnexions avec l’extérieur

Si arrive à s’introduire dans le SI industriel, il a de très bonnes chances de pouvoir influer illégitimement sur le process industriel

46/55

Retours d’expérience

Vulnérabilités fréquentes dans les ICS*

1. Sécurité des OS et firmwares 93%

2. Utilisation de protocoles non sécurisés 93%

3. Absence de capacités de détection d’intrusion 93%

4. IHM connectée en permanence 92%

5. Absence de veille en sécurité 90%

6. Absence d’antivirus 90%

7. Interconnexions ICS/* non sécurisées 89%

8. Gestion des comptes non sécurisée 87%

9. Pas de tests sécurité 86%

10.Pas de consignes de développement sécurisé 86%

*Étude interne LEXSI basée sur les résultats des missions réalisées depuis 2011

47/55

Agenda

1. Introduction



4. Conclusion

48/55

Conclusion Axes de correction des 10 vulnérabilités fréquentes

1. Patcher, upgrader, configurer

2. Utiliser des protocoles sécurisés

3. IPS/IDS

4. Déconnecter les IHM en cas d’inactivité

5. Initier une veille en sécurité, sensibiliser, évangéliser

6. Installer des antivirus

7. Cloisonner, filtrer, rebondir

8. Utiliser des mdp complexes, appliquer le principe de moindre privilèges

9. Évaluer le niveau de sécurité (autoéval, audit externe)

10. Inclure des clauses de cybersécurité dans les contrats

49/55

Conclusion Top 10 des axes d’amélioration ICS

50/55

Conclusion Initialiser une démarche de cybersécurité industrielle

• Fortes contraintes opérationnelles :

Impossibilité de stopper la production

Forte dépendance aux intégrateurs/éditeurs

L’obligation (réglementaire) d’homologation

L’absence de plateforme de pré-production

Etc.

• La culture industrielle de sûreté et fiabilité

« If it works, don’t fix it »

51/55


Organiser Évaluer Améliorer

Communiquer, sensibiliser, « évangéliser » Impliquer la Direction Générale Créer un groupe de travail multi-compétence (IT/ICS) Travailler avec les volontaires/ateliers moteurs

Organiser

52/55


Organiser Évaluer Améliorer

Auto évaluation en se basant sur un référentiel (CSET de l’ICS-CERT, questionnaire maison, etc.)

Évaluation via un partenaire externe (Analyse de risques/Audit)

Identification de non conformités/vulnérabilités Plan d’amélioration/plan d’action de correction Évaluer

53/55


Organiser Évaluer

Améliorer

A très court terme : Traiter les vulnérabilités/risques les plus critiques Travailler sur les Quick-Wins

A court terme : Detection A moyen terme : Defense En Profondeur cf. Référentiels ANSSI, ISA99/IEC62443, ou autre

Améliorer

54/55

Conclusion

• Systèmes d’informations industriels encore très vulnérables

• MAIS :

• Prise de conscience du législateur

• Prise de conscience des éditeurs industriels (au moins les leaders)

Beaucoup de travail reste à mener de la part des industriel et intégrateurs

La route sera longue mais la dynamique générale va dans le bon sens

55/55

Merci Questions ?

Education

Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité Industrielle 101