HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Comment gérer les problèmes de sécurité SCADA? SecureParis, 16 octobre 2013 Hervé Schauer <Herve.Schauer@hsc.fr>
Sommaire Vocabulaire Accès distants Exemple d'attaques anciennes Mots de passe Exemples d'attaques récentes Rappels des composants vulnérables 2 / 23 Surveillance Automates Sauvegarde & supervision Organisation Situation courante Gestion des risques & BIA Défense en profondeur / Cloisonnement Conclusion
Vocabulaire SCADA : Supervisory Control And Data Acquisition Télécommande d'équipements industriels DCS : Distributed Control System ICS : Industrial Control Systems SII : Sécurité de l'informatique Industrielle 3 / 23
Exemples d'attaques anciennes 1982 : Piratage du gazoduc russe par les américains par cheval de Troie et bombe logique Gazoduc transsibérien Urengoy Pomary Uzhgorod Architecture et logiciels avaient volés par le KGB à une firme canadienne CIA était au courant que le KGB allait voler le logiciel Sabotage effectué par la CIA, gardé secret par la CIA jusqu'en 2004 "The pipeline software that was to run the pumps, turbines and valves was programmed to go haywire, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to the pipeline joints and welds. The result was the most monumental non-nuclear explosion and fire ever seen from space." - Thomas Reed, At the Abyss: An Insider's History of the Cold War 2000 : Apparition des systèmes industriels (SCADA) dans l'informatique sur étagère et les réseaux 2003 : Site nucléaire de Davis-Besse Ohio Ver SQL Slammer s'est répandu du réseau bureautique à tout le réseau industriel : BSOD 4 / 23
Exemples d'attaques récentes Juin 2010 : découverte de StuxNet / opération Olympic Games Septembre 2012 : Attaques sur Telvent Compromission du réseau Telvent Canada Vol de données client Mots de passe accès distants NOC Vol d'informations concernant leur produit OASyS SCADA Telvent forcé de déconnecter leurs accès distants clients 5 / 23
Exemples d'attaques récentes Avril 2013 : Georgia water plant, traitements des eaux (USA) Changement du taux de chlore et de fluor Arrêt de l'usine par précaution Enquête du FBI Aucun cas français de système SCADA vulnérable dans la presse... 6 / 23
Rappel des composants vulnérables Dispositifs à commander Vannes, pompes, moteurs, etc. Automates PLC : Programmable Logic Controller RTU : Remote Terminal Unit SIS : Safety Instrumented System IHM (Interface Homme-Machine) Supervision WinCC, PC Win, PC Vue, etc. Développement Step7, PL7, Unity Pro, TwidoSuite, etc. Transmission Protocoles Modbus, S7, CIP, DNP3, IEC 104, IEC 62351, etc. 7 / 23
Situation courante Tout repose sur le filtrage entre les 2 mondes Ne bloque pas toutes les attaques Codes malfaisants Individus Problème des accès distants Astreinte Capteurs extérieurs Équipements sur Internet 8 / 23
Situation courante Fonctionnement 24h/24, 7j/7, 365j/an Pas d'antivirus «Cela empêche le bon fonctionnement, ralentissement» Pas de mise a jour «Ça ne va plus marcher» Pas de veille en vulnérabilités Sauf la veille technologique pour les nouvelles fonctionnalités Sécurité = sécurité physique : pas d'accès à l'automate Présence de barrières «Même si on pouvait, autant aller ouvrir la vanne à la main, elle est dans les mêmes locaux» Population non sensibilisée à des risques informatiques 9 / 23
Défense en profondeur / Cloisonnement Augmenter la durée pour l'attaquant Niveau de sécurité d un coffre-fort se quantifie en temps Augmenter les chances de détecter l'attaque à temps Time of detection / Time of reaction Interdire l'accès au réseau industriel Mise en place d'une ou plusieurs DMZ internes DMZ par fonctions afin de réduire la surface d'attaque Filtrage réseau En entrée du réseau industriel Mais également en sortie! 10 / 23
Défense en profondeur / Cloisonnement Plusieurs niveaux / zones Niveau 0 Moteurs / pompes / vannes / capteurs Niveau 1 Automates Niveau 2 Serveurs et postes de supervision Niveau 3 Postes de supervision / archivages / journalisation 11 / 23
Défense en profondeur / Cloisonnement Exemple chez Siemens : 12 / 23
Défense en profondeur / Cloisonnement Norme IEC 62443 : Zones Groupe d'actifs logiques ou physiques qui partagent les mêmes exigences de sécurité Conduits Chaque communication entre zones est effectuée par un conduit 13 / 23
Accès distants Contrôler les accès distants Interdire les IHM / automates connectés sur Internet Utiliser le chiffrement sur les accès réseau VPN Utilisateurs mobiles Usines distantes connectées avec l'usine principale Exemple ABB pour la maintenance Connexion via un VPN SSL Qui connaît le compte utilisé? Combien de personnes? Exemple compromission du NOC Telvent 14 / 23
Mots de passe Politique de mots de passe sur tous les noeuds Serveurs, stations, IHM, équipements réseau, automates, modems, VPN, etc. Modifier tous les mots de passe par défaut Éradiquer les portes dérobées des constructeurs Éviter au maximum les mots de passe administrateurs connus et partagés par plusieurs personnes Utiliser un login unique par personne Pas de compte générique Essayer de respecter le principe du moindre privilège Bloquer les comptes après des essais d'authentification infructueux 15 / 23
Surveillance Journaliser Analyser régulièrement les journaux Requêtes importantes vers le même nom de domaine Journaux Windows Authentification des comptes utilisateurs / administrateurs, etc Analyser le trafic réseau Snort IDS for SCADA Systems Détection d'anomalies Modbus et DNP3 Taille des requêtes, etc. Détection d'équipements défectueux ou d'un fuzzing Contrôle d'accès Adresse IP source lançant des commandes est-elle bien la station maître légitime? Signatures Snort de Digital Bond 16 / 23
Automates Sécuriser les équipements qui le permettent Filtrage des ports Modbus par adresse source sur les PLC Schneider Via Unity Pro XL Port TCP/502 TCP Wrappé sur l'automate Read only sur les automates et les SIS Également pare-feu Modbus Read-only devant les automates Pare-feu Honeywell Pare-feu Tofino deep packet inspection Mettre à jour avec des phases de tests intensives préalables Windows et IHM Automates Utiliser les protocoles sécurisés Imposer leur implémentation 17 / 23
Sauvegarde & supervision Sauvegardes De la configuration des automates Des systèmes Des programmes Protection des copies de sauvegardes Tests de restaurations Supervision Identifier clairement et physiquement les postes Stations en lecture seule Stations pouvant modifier le processus industriel Identifier clairement les noms des automates Pour la configuration à distance Évite de se tromper d'équipements 18 / 23
Organisation Désigner un responsable de la sécurité informatique industrielle Elaborer et obtenir l'engagement de la direction sur une politique de sécurité informatique industrielle Politique de cybersécurité ou PGCS Enjeux, métiers, obligations règlementaires, vision et objectifs 19 / 23
Organisation Intégrer la sécurité des systèmes d'information dans les projets industriels et les systèmes embarqués Gérer les incidents de sécurité de l'informatique industrielle Effectuer une veille en vulnérabilités des systèmes industriels US-CERT (ICS-CERT) QCERT Iran National CERT sites des éditeurs Sensibiliser, former et informer Auditer Appliquer les recommandation des audits 20 / 23
Gestion des risques / BIA Après application des mesures de sécurité de base, faire une gestion des risques en SII : Prise en compte du contexte et des contraintes Identification des sites les plus sensibles Identification et analyse des menaces, sources de menaces, vulnérabilités, conséquences Ordonnancement des risques à traiter Sélection de mesures de sécurité Etc Intégration des indisponibilités dues aux risques informatiques à la gestion des risques industriels Continuité d'activité et BIA 21 / 23
Conclusion Fusion de deux mondes La référence complète du RSSI! e 3 édition Beaucoup de diplomatie nécessaire Impossible à ignorer RSSI en pointe pour susciter la prise en compte de la sécurité dans l'informatique industrielle... Questions? Herve.Schauer@hsc.fr www.hsc.fr 22 / 23
Références Série de normes IEC 62443 http://webstore.iec.ch/ Signatures Snort http://www.digitalbond.com/tools/quickdraw/ Veille http://ics cert.us cert.gov/ http://www.qcert.org/ http://www.certcc.ir/ Guide de l'anssi : Maitriser la sécurité des systèmes industriels http://www.ssi.gouv.fr/img/pdf/guide_securite_industrielle_version_finale 2.pdf Cartographie des documents liés à la sécurité SCADA par le groupe Sécurité SCADA du Clusif : à paraître décembre 2013 http://www.clusif.fr/ 23 / 23