Secure SCADAsupervisory control and data acquisition

Presenter: Tal Ein-Habar, CISSPSecurity Architect

Critical Infrastructures

Water Controls (Dams, levees,reservoirs)

Transportation (Road, rail, air, local public transportation, hazardous materials)

Banking And Finance (Trading systems, automated clearinghouse network, ATM networks)

Energy (Electrical utility transmission & distribution, oil and gas pipelines, nuclear materials & power)

Emergency Services (Fire and police departments)

Government Services

Telecommunications (Broadcast television and radio)

State & Municipal Services (Safe water systems, waste disposal)

Defense Industrial Base

ChemicalIndustry (Petroleum, hazardous waste)

Postal & Shipping

Public Health (Hospitals, disease control)

What is SCADA Network?

Why Security Is An Issue?

• Connections to IT networks are now the norm• Normal security maintenance causes disruptions and

outages• Remote access suffers from wireless and radio

communication vulnerabilities• Critical asset information is unsecured• Security forensics are almost non-existent• Identification of cyber attacks is difficult to impossible• > 1500 potential and existing regulations and

standards• Control systems are on the hackers’ radar

– Specific malware has already been created and downloadable

• Insiders pose biggest threat– 75-80% of incidents have been caused by current employees

Threat is changing

Countries are looking at Cyber war as primary & legitimate way of Damaging their opponents

The incentive for using cyberwar are:

1. damage citizens to lead into chaos / changing political policy 2. Acting from religious / political agenda3. Cyberwar is intended to create fear on the remote populations

: , , חושף המוסד ראש לשעבר יתום דנילפיגועים" אקדמיות כיום מפעילים הגדולים הטרור ארגוני

מקוונים"ככל שמדינה מבססת יותר ויותר את •

תשתיותיה הלאומיות על רשת האינטרנט הציבורית והפתוחה - כך היא חושפת עצמה לסכנת טרור קיברנטי הולכת

וגדלה, לפריצה ולשיבוש מערכות מוחלט"

מדינות בעולם מודעות לפגיעה אפשרית •בתשתיות שלהן והן חוששות ממנה:

תקשורת, בנקאות, חשמל, אנרגיה, נפט, שינוע גז, מים, תחבורה, שירותי חירום ושירותי ממשלה, "כולן יכולות לקרוס

.במקרה התקפה קיברנטית

Attacks are here…

Russian Hackers Attack an Azerbaijani Energy Pipeline

Aviation week reported that Russian hackers attacked servers controlling an energy pipeline carrying gas from Azerbaijan to Europe bypassing Russia.

The hacker attacks caused suspension in the pipeline operations, forcing the operating company to redirect the oil through Baku-Novorossiysk Russian pipeline.

Georgian websites claim that the attacks had the same IPs as those of Estonian websites DDos during the 2007 Estonian Cyber attacks.

Information Security News 08/24/2009

Attacks are here…

“CIA Confirms Cyber Attack Caused Multi-City Power Outage: We have information that cyber attacks have been used to disrupt power equipment in several regions outside the United States. In at least one case, the disruption caused a power outage affecting multiple cities. We do not know who executed these attacks or why, but all involved intrusions through the Internet.” (SANS Organization - January 18, 2008. )

• CYBER TERROR

• CYBER CRIME

“Federal prosecutors have charged 11 people with stealing more than 41 million credit and debit card numbers, cracking what officials said on Tuesday appeared to be the largest hacking and identity theft ring ever exposed. … Once the thieves identified technical weaknesses in the networks, they installed so-called sniffer programs, obtained from collaborators overseas.” (New York Times – 5 August 2008)

• CYBER WARFARE““While Russia and Estonia are embroiled in their worst dispute since the collapse of the Soviet Union, a row that erupted at the end of last month over the Estonians' removal of the Bronze Soldier Soviet war memorial in central Tallinn, the country has been subjected to a barrage of cyber warfare, disabling the websites of government ministries, political parties, newspapers, banks, and companies.(The Guardian, May 17, 2007)

Attacks are here…

Where is the problem

We divide the problem into several main segments:

1. Connection between control networks & their sensor’s

2. Connection between Control network & IT network

3. Remote management of critical Infrastructure

Sample Network Design

9 Critical Infrastructure Protection (CIP) Standards

• Affected companies must be “auditably” compliance by mid-2010

• Compliance must be re-confirmed annually

• Consequence of non-compliance:

– Up to $1m USD per day

NERC CIP StandardsIdentify

Authentication and Access

Web and Mail Network Firewalls

CIP-001– Sabotage Reporting CIP-002 – Critical Cyber Asset Identification CIP-003 – Security Management Controls

CIP-004 – Personnel & Training CIP-005 – Electronic Security Perimeters CIP-006 – Physical Security of Critical Cyber Assets

CIP-007 – Systems Security Management CIP-008 – Incident Reporting and Response Planning

CIP-009 – Recovery Plans for Critical Cyber Assets

4 Design Requirements

1. Segment and Protect Critical Infrastructure Assets from Interconnected Networks

2. Know Who Has Access and What They’re Doing in the Network

3. Protect Information about Critical Infrastructure Assets from Data Leakage

4. Implement Strong Security without Jeopardizing Availability, Integrity, and Reliability Requirements

Vendors

.פריסה של מערך שערים חד כיוונים לכל הקישורים לעולם החיצוני

: ניתן למנף את יכולות השערים הללו לשם ביצוע בבטחון מלא , של.שליחת סטטוס שוטף למרכזי ניטור ובקרה מרוחקים .שליחת נתוני ייצור לרשת הארגוניתניהול מבוקר של פעולות תחזוקה בחומרות המפוקחות.

- יתרונות השיטהA Win-Win situation : .הפרדה חלקית / קישור חלקי. )הדרישות העסקיות באות על סיפוקן ) הגישה המסורתית. ) בטחון ברמה הגבוהה ביותר ) הגישה הקפדניתT

Waterfall

קישור חד כיווני מוחלט בין רשתות בעלות סיווג / רגישות שונה זו מזו

המערכת הינה חד כיוונית לחלוטין על בסיס תקשורת אופטית .● . RX והשני לקבלה בלבד –TXשני רכיבי חומרה אחד לשליחה בלבד –●הרכיבים שונים זה מזה ברמת החומרה , לא ניתן להפוך ליחידת שידור ליחידת קליטה וההיפך . ● Hand Shake אינו מצטריך תהליך ראשוני של ACKsהפרוטוקול הינו חד כיווני בתיכנונו כך שאינו מחייב ●

ואינו פונה בבקשת מיידע לאחור בשום מקרה שהוא.המוצר תומך בכל שיטות העברת הקבצים הקיימות =ביכולתו להעבירכל מיידע באשר הוא המוגדר ●

, וכו'FTP , קבצי דואר , קבצים שמקורם בעברת ZIPכקובץ . בין אם מדובר במיידע מוצפן , קבצי

Hardware Based One-Way Data-Flow Gate

Transmitter Receiver

Photocell– Receive Only

Laser – Transmit Only

Waterfall

: פתרון קל להטמעה

( .UDP , TCP העברת פקטות מידע )●

העברת קבצים ) כולל תקיית עצים ( .●

) קול , וידאו ( . Streamהעברת ●

.DBרפליקציה של ●

.Historians: OSISOFT , Siemens,GEתמיכה ב ●

תמיכה בפרוטוקולים תעשייתים מובילים כמו :●

Modbus, OPC, DNP3, Profibus, ICCP

Waterfall

Waterfall One-Way™ includes connectors for :

Leading Industrial Applications/Historians

● OSISoft PI, GE iHistorian, GE iFIX

● GE OSM, Siemens WinTS, SINAUT

Leading IT Monitoring Applications

● Log Transfer, SNMP, SYSLOG

● CA Unicenter, CA SIM, HP OpenView

● Matrikon Alert Manager

File/Folder Mirroring

● Folder, tree mirroring, remote folders

(CIFS)

● FTP/FTFP/SFTP/TFPS/RCP

Remove Screen View™

● Unidirectional transfer of real-time

screen display capture

Leading Industrial Protocols

● Modbus, OPC (DA, HDA, A&&E)

● DNP3, ICCP

Other connectors

● UDP, TCP/IP

● Video/Audio stream transfer

● Mail server/mail box replication

● IBM Websphere MQ series

● Antivirus updater, patch (WSUS)

updater

● Remote Print server

Waterfall

ניטור מרחוק – הפתרון :

הקישור מבוצע באמצעות שער חד כיווני.●הנכסים היקרים מאובטחים לחלוטין – אין יכולת כלשהי להגעה ●

אליהם.

Waterfall

מוצר חדש להעברת "מסכים": טופולוגיה אופיינית לחדר בקרה

חדר בקרה רשת חיצונית

Waterfall Tx server

Waterfall Rxserver

Waterfall RSV שומר על הפרדה פיסית בין רשתות הבקרה לרשתות חיצוניות

ומונע כל גישה "מבחוץ".

External/publicnetwork Standard

Browser

Waterfall

McAfee is a trusted partner to many civil, military, and intelligence customers

19

Secure Firewall (Sidewinder) is used in many sensitive and

highly important networks around the world.

Governments having deployments include:

• United States• United Kingdom• Australia• Canada• Germany• Japan• and more…

Intelligent Application Inspection

Reputation Services

Virus& Malware

Prevention

IPS

McAfee - Trust = Positive Security + Reputation

• Positive Secure Model:– Everything is bad EXCEPT what is EXPLICITLY determined

to be good• In-depth understanding of individuals • In-depth understanding of malicious practices• In-depth understanding of applications

– Protects from both known, and zero-hour unknown attacks

Stop UnknownThreats

Stop KnownThreats

Network Access

Rules

Auth & Role-based access

Network Access

Rules

Auth & Role-based access

Inbound AccessControls

Outbound

Access

Controls

McAfee – Design solution

McAfee - Application Visibility & Control Case Studies

Many customers depend upon the positive model & application proxies to protect critical apps and data:

Database - Oracle & MS-SQLDOD – protects all Human Resources records (several million) held in Oracle

Infrastructure/SCADA

Multiple Utilities – segment their network & control systems2 of out the 3 Largest Energy Producers – NERC CIP regulations

Web App – HTTP/S

Insurance –protects all in/out Web traffic using SidewinderRetail – largest vacation travel provider uses for protecting inbound web traffic & PCI compliance

VOIP (SIP), DNS, FTP, etc.

Finance – protects data transfers (FTP)Plant CML – largest worldwide 911 network MSP protects all VoIPClassified Agencies – secure imaging and intelligence data using the IIOP proxy

Remote Access for CitrixFinance – protects the Citrix-delivered trading infrastructure of the largest stock exchange