Upload
sthack
View
428
Download
2
Embed Size (px)
Citation preview
Cybersécurité industrielle 101
Sthack 2015 Adrien REVOL / Wilfrid BLANC
• 500+ customers
• 200+ cyber-security experts
• 20% growth each year
• 15 years of frontline experience
• 3 continents: Europe, North-America, Asia
• 1st CERT in EU
• 1 obsession: defend enterprises against cybercrime
3/55
Anticipate | Retaliate A proven defense strategy
Threat Defense Center
Audit
Consulting
Training
USB Malware Cleaner
Multiproxies
Investigation
Consulting
Incident response
4/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
5/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
6/55
Introduction Réseaux industriels ?
Oil & Gaz Énergie
Gestion de l’eau Industries Manufacturières
Smart Grid
Transports
Et bien d’autres : Chimie, Métallurgie, Zones portuaires, Gestion de bâtiments, … etc.
7/55
Introduction Deux définitions
Industrial Control System (ICS) Système ayant pour finalité de gérer des capteurs et actionneurs
interagissant avec le monde « physique »
Supervisory Control and Data Acquisition (SCADA)
Ensemble de serveurs, postes de travail et applications de l’ICS permettant de contrôler et superviser le procédé industriel
8/55
Introduction Schéma d’architecture
9/55
Introduction Quelques composants d’une architecture industrielle (1/3)
API Modicon m340 API Simatic S7 300
API Simatic S7 1500 Switch Scalance
Pupitre SIEMENS
10/55
Introduction Quelques composants d’une architecture industrielle (2/3)
Poste d’ingénierie : Développement de la logique d’un automate
11/55
Introduction Quelques composants d’une architecture industrielle (3/3)
Contrôle et Supervision du procédé industriel via l’IHM
12/55
Introduction Différence IT/ICS
L’informatique de gestion manipule des données
On veut protéger la confidentialité et l’intégrité des données
L’informatique industrielle manipule le monde « physique »
On veut protéger la santé des personnes, l’environnement et l’outil de production
Informatique de gestion
Protocoles standards
Interconnexions/Internet
Cycle de vie de 3-5 ans
Composants évoluent tous les jours
Une panne peut engendrer des pertes financières
Culture confidentialité/intégrité
Problématiques généralement connues
Introduction Deux approches différentes de l’informatique
Informatique industrielle
Prédominance de protocoles propriétaires
Mythe du « air-gap »
Cycle de vie de 15-20 ans
Composants hard/soft figés dans le temps
Une panne peut engendrer des pertes humaines
Culture sûreté/fiabilité
Problématiques cybersécurité généralement inconnues
14/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
15/55
Panorama cybersécurité industrielle Avant 2014-2015
0
50
100
150
200
250
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Stuxnet Projet Aurora (INL)
Vulnérabilités ICS dévoilées/an (source scadahacker.com)
16/55
Panorama cybersécurité industrielle Avant 2014-2015
0
50
100
150
200
250
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Stuxnet Projet Aurora (INL)
Vulnérabilités ICS dévoilées/an (source scadahacker.com)
17/55
Panorama cybersécurité industrielle Avant 2014-2015
Et pourtant le « modbus hack » est connu depuis plus de 10 ans…
L’un des protocoles industriels les plus anciens et plus déployés
Conçu en 1979 par Modicon (racheté par SCHNEIDER Electric) Basé sur des query/response en mode client/serveur Variante : Modbus/TCP Pas de chiffrement ni authentification
Modbus
18/55
Panorama cybersécurité industrielle Démo
ALIM CPU ETH CARTE I/O
CAPTEURS/ACTIONNEURS
Modbus/TCP
+12
V/-
12
V
PLC = API
19/55
Panorama cybersécurité industrielle Évènements significatifs 2014-2015
Courant 2014 Cyberattaque sur une aciérie Allemande
Tout au long de 2014 ANSSI Groupes de travail sectoriels
Janvier 2014 Publications référentiels ANSSI
Octobre 2014 Sandworm/Blackenergy Ciblage IHM GE Cimplicity
Juin 2014 DragonFly/Havex Scanner OPC
Avril 2014 Heartbleed
?
01/2014 03/2015
Mars 2015 Nouveau patch pour la CVE-2010-2568 exploitée par Stuxnet en 2010
Septembre 2014 Shellshock
20/55
Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
21/55
Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.) Menace
22/55
Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.) Menace
23/55
Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.) Menace
24/55
Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Progression du nombre de vulnérabilités publiquement dévoilées
+ de 850 vulnérabilités ICS dévoilées depuis 2010 Vulnérabilité
25/55
Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Impact constant
L’impact consécutif à la réalisation du risque industriel est constant Impact
26/55
Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Par où commencer pour diminuer/maîtriser le risque ?
De manière pragmatique, on ne peut travailler que sur les vulnérabilités
Démarche LEXSI : Analyse de risques + Audit Risque
27/55
Panorama cybersécurité industrielle LEXSI : l’approche par les risques
L’analyse de risques identifie les risques et impacts associés
L’audit identifie les vulnérabilités, scenarios d’attaque et
vraisemblance des risques
Classification réaliste des risques (matrice) Intégration dans les analyses de sûreté
existantes (AMDEC, HAZOP, etc.) Plan d’action de correction des vulnérabilités
28/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
29/55
Retours d’expérience Pentest en environnement industriel
La couche SCADA (composée de serveurs et postes généralement Windows) supporte les tests intrusifs
Néanmoins certains équipements industriels ne les tolèrent pas et peuvent crasher
Les différentes tests intrusifs sur des équipements terrain sont systématiquement réalisés sur maquette
30/55
Retours d’expérience Opérateur autoroutier
INTERNET #Absence de capacités de détection Aucune solution de SIEM, IPS ou IDS ne permet de détecter/bloquer l’attaquant dans ses phases de découverte (scans)
31/55
Retours d’expérience Opérateur autoroutier
INTERNET #Sécurité des systèmes d’exploitation Identification d’une machine vulnérable sur le SI de gestion et compromission de cette dernière, récupération de différents mots de passe.
32/55
Retours d’expérience Opérateur autoroutier
INTERNET #Interconnexion SII/SIG non sécurisée La machine est un poste d’ingénierie disposant de 2 cartes réseau…
33/55
Retours d’expérience Opérateur autoroutier
INTERNET
34/55
Retours d’expérience Opérateur autoroutier
INTERNET #Absence d’antivirus Installation d’un trojan permettant d’utiliser la station comme point de pivot vers le SI industriel
35/55
Retours d’expérience Opérateur autoroutier
INTERNET #Mauvaise gestion des comptes Le mot de passe récupéré peut être utilisé sur le serveur d’acquisition SCADA
36/55
Retours d’expérience Opérateur autoroutier
INTERNET
# Utilisation de protocoles non sécurisés
Utilisation de VNC sur l’ensemble des serveurs et postes de supervision
# Mauvaise gestion des comptes
Mot de passe VNC identique sur tous les postes
37/55
Retours d’expérience Opérateur autoroutier
INTERNET # IHM connectée en permanence
La session Windows n’est pas verrouillée et l’opérateur est authentifié sur le logiciel de supervision. Nous pouvons agir sur la signalisation.
38/55
Retours d’expérience Opérateur autoroutier
39/55
Retours d’expérience Opérateur autoroutier
40/55
Retours d’expérience Opérateur autoroutier
41/55
Retours d’expérience Industrie manufacturière
Interconnexions ICS/* non sécurisées
Machines SCADA à double attachement
42/55
Retours d’expérience Industrie manufacturière
Utilisation de protocoles non sécurisés
L’équipe de maintenance, depuis leurs postes de travail via VNC :
• Maintient les postes SCADA
• Programme les PLC depuis les postes SCADA
MITM pour récupérer un C/R VNC
Attaque off-line sur le C/R
43/55
Retours d’expérience Industrie manufacturière
Gestion des comptes non sécurisée
Le mdp VNC :
• est trivial
• est le même sur tous les serveurs SCADA
44/55
Retours d’expérience Industrie manufacturière
Sécurité des OS et firmwares
Le compte logué est admin local, sa session ne se verrouille pas
IHM connectée en permanence
Accès immédiat à l’IHM SCADA
Accès aux fichiers de conf de l’IHM
Possibilité de configurer les PLC
45/55
Retours d’expérience Conclusion
Du point de vue de l’attaquant, la cybersécurité du système industriel repose sur la sécurité de sa/ses interconnexions avec l’extérieur
Si arrive à s’introduire dans le SI industriel, il a de très bonnes chances de pouvoir influer illégitimement sur le process industriel
46/55
Retours d’expérience
Vulnérabilités fréquentes dans les ICS*
1. Sécurité des OS et firmwares 93%
2. Utilisation de protocoles non sécurisés 93%
3. Absence de capacités de détection d’intrusion 93%
4. IHM connectée en permanence 92%
5. Absence de veille en sécurité 90%
6. Absence d’antivirus 90%
7. Interconnexions ICS/* non sécurisées 89%
8. Gestion des comptes non sécurisée 87%
9. Pas de tests sécurité 86%
10.Pas de consignes de développement sécurisé 86%
*Étude interne LEXSI basée sur les résultats des missions réalisées depuis 2011
47/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
48/55
Conclusion Axes de correction des 10 vulnérabilités fréquentes
1. Patcher, upgrader, configurer
2. Utiliser des protocoles sécurisés
3. IPS/IDS
4. Déconnecter les IHM en cas d’inactivité
5. Initier une veille en sécurité, sensibiliser, évangéliser
6. Installer des antivirus
7. Cloisonner, filtrer, rebondir
8. Utiliser des mdp complexes, appliquer le principe de moindre privilèges
9. Évaluer le niveau de sécurité (autoéval, audit externe)
10. Inclure des clauses de cybersécurité dans les contrats
49/55
Conclusion Top 10 des axes d’amélioration ICS
50/55
Conclusion Initialiser une démarche de cybersécurité industrielle
• Fortes contraintes opérationnelles :
Impossibilité de stopper la production
Forte dépendance aux intégrateurs/éditeurs
L’obligation (réglementaire) d’homologation
L’absence de plateforme de pré-production
Etc.
• La culture industrielle de sûreté et fiabilité
« If it works, don’t fix it »
51/55
Conclusion Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
Communiquer, sensibiliser, « évangéliser » Impliquer la Direction Générale Créer un groupe de travail multi-compétence (IT/ICS) Travailler avec les volontaires/ateliers moteurs
Organiser
52/55
Conclusion Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
Auto évaluation en se basant sur un référentiel (CSET de l’ICS-CERT, questionnaire maison, etc.)
Évaluation via un partenaire externe (Analyse de risques/Audit)
Identification de non conformités/vulnérabilités Plan d’amélioration/plan d’action de correction Évaluer
53/55
Conclusion Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer
Améliorer
A très court terme : Traiter les vulnérabilités/risques les plus critiques Travailler sur les Quick-Wins
A court terme : Detection A moyen terme : Defense En Profondeur cf. Référentiels ANSSI, ISA99/IEC62443, ou autre
Améliorer
54/55
Conclusion
• Systèmes d’informations industriels encore très vulnérables
• MAIS :
• Prise de conscience du législateur
• Prise de conscience des éditeurs industriels (au moins les leaders)
Beaucoup de travail reste à mener de la part des industriel et intégrateurs
La route sera longue mais la dynamique générale va dans le bon sens
55/55
Merci Questions ?