verticale

Buio in scena: analisi e contromisure del cyber-blackout in Ucraina

(in parte in lingua inglese)

- Il primo vero attacco ad una infrastruttura pubblica
- Lo schema dell’attacco: ICS Cyber Kill Chain
- Asset Inventory & Network Map
- Visual Network Analitics
- Network WhiteList
- ICS Threat Library
- Identification & Authentication Control

Scarica il PDF Scarica il PDF
Aggiungi ai preferiti Aggiungi ai preferiti


Atti di convegni o presentazioni contenenti case history
SAVE ottobre 2017 La Cyber Security nella trasformazione digitale delle industrie: esigenze e soluzioni

Pubblicato
da Benedetta Rampini
SAVE 2017Segui aziendaSegui




Settori: 

Parole chiave: 


Estratto del testo
Veronafiere 18-19 ottobre 2017 Gli atti dei convegni e pi di 8.000 contenuti su www.verticale.net Cogenerazione Termotecnica Industriale Pompe di Calore 27 ottobre Cogenerazione Termotecnica Industriale Pompe di Calore Alimentare Alimentare Petrolchimico Alimentare 28 ottobre Alimentare Petrolchimico Alimentare Alimentare Petrolchimico Visione e Tracciabilit 28 ottobre Luce Energia Domotica LED Luce Energia Domotica LED La Cyber Security nella trasformazione Digitale delle Industrie: Esigenze e Soluzioni Davide Crispino Buio in scena:
Analisi e contromisure del
Cyber-Blackout in Ucraina
Il primo vero attacco ad una infrastruttura pubblica 225000 utenti senza corrente elettrica! Fonte: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf Uno sguardo all'infrastruttura colpita Lo schema dell'attacco: ICS Cyber Kill Chain Fonte: https://www.sans.org/reading-room/whitepapers/ICS/industrial-control-system-cyber-kill-chain-36297 Fase 1: Email Pishing Fonte: https://www.sentinelone.com/wp-content/uploads/2017/06/BlackEnergy3_WP_012716_1c.pdf Fase 2: Credential Harvesting FONTCACHE.DAT: modulo di rete che opera come Sniffer,
agganciandosi ad una qualsiasi delle schede di rete rilevate
sul PC attaccato (anche wireless).

Piuttosto che usare Winsock di Windows, il pacchetto
incorpora WinPcap 4.1.0_2001; in questo modo possibile
utilizzare dei RAW sockets.

Tramite RAW sockets non solo possibile intercettare il
traffico, ma anche generarlo e modificarlo: spoof IP e MAC
address.

Tutti i dati sottratti venivano spediti ai C&C Servers:

5.149.254.114/Microsoft/Update/KC074913.php
5.149.254.114/favicon.ico Fase 3: Access to DCS network L'assenza di meccanismi di autenticazione a due fattori ha permesso agli attaccanti di sfruttare le infrastrutture VPN esistenti per raggiungere la rete ICS: https://youtu.be/8ThgK1WXUgk Fase 4: Hacking Serial-to-Ethernet Converter Fonte: https://www.digitalbond.com/blog/2015/10/30/basecamp-for-serial-converters/
L'importanza della Security By Design' Fase 5: KillDisk Fonte: https://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/ Componente dell'attacco nato col solo scopo di
danneggiare i dati salvati su PC; li sovrascrive in
maniera random e cerca di rendere non pi
bootabile il sistema operativo.

Per cancellare ogni traccia provvede ad eliminare la
sua presenza dai Windows Event Logs
(Application, Security, Setup e System) Fase 6: Shutdown UPS Fonte: http://www.alphaguardian.net/category/snmp-vulnerability/ Anche l'alimentazione di Backup (subentrata
dopo l'attacco) stata annullata andando ad attaccare la rete di UPS sfruttando le vulnerabilit dell'SNMP'
I tecnici sono stati lasciati letteralmente al buio sia dentro che fuori della control room. Fase 7: Telephonic Denial of Service Tutto questo si poteva evitare' La risposta probabilmente no'soprattutto se ci si basa sui normali sistemi di prevenzione Signature-Based.
Ma qualche sintomo dell'attacco si sarebbe potuto rilevare prima della triste conclusione:

- Comunicazione indesiderata tra macchine infette e C&C Server
- Upload di firmware malevolo sui convertitori serial-to-ethernet
- Comandi malevoli verso sistemi UPS
VISUAL NETWORK ANALYTICS ICS THREAT LIBRARY & CUSTOM CHECKS NETWORK &
PROTOCOL WHITELISTS
ASSET INVENTORY & NETWORK MAP Cosa pu offrire una tecnologia di questo tipo' Mappa Interattiva e dinamica degli Host rilevati dalle sonde Ad ogni Host rilevato viene associato automaticamente il ruolo (es. PLC, RTU, SCADA, DCS, ect) e presentato un box con tutti i dettagli Rappresentazione grafica delle comunicazioni effettuate da ogni singolo Host, con indicazione del protocollo utilizzato e della frequenza dello scambio dati Asset Inventory & Network Map Widget customizzabili per la rappresentazione grafica delle informazioni ritenute pi importanti (es.Protocollo pi usato, traffico nell'arco del tempo, numero di connessioni aperte, etc) Per ogni rappresentazione si pu utilizzare il tipo di grafico pi idoneo Visual Network Analitics E' possibile settare le sonde in fase di apprendimento in modo da imparare il normale traffico della rete. Finita questa fase, si possono switchare in funzionamento continuo per intercettare comportamenti non appresi della rete'il cliente non necessita di particolari conoscenze! In caso di bisogno le regole apprese possono anche essere editate per degli aggiustamenti Network WhiteList Oltre 80 check preconfigurati, ovvero controlli automatici realizzati dalla piattaforma sulla rete!
Checks divisi in tre categorie ' Networking: rileva malconfigurazioni di dispositivi o reti
' Operations: rileva problemi e minacce ai processi industriali
' Security: rileva minacce di sicurezza e vulnerabilit ICS Threat Library Attraverso l'uso di Script, possibile aggiungere controlli non presenti di Deafult sulla piattaforma. Es:
' Logging dei file transfers
' RDP session monitor
' Rilevamento comandi fuori orario lavorativo
' Rilevamento dell'apertura/chiusura di troppi switch breakers in istanti troppo ravvicinati (Ukrainian attack)
' Monitoraggio di variabili di processo (alert su cambiamenti istantanei) Custom Checks IEC 62443: una reale implementazione Identification & Authentication Control ISA/IEC 62443-3-3
SR 1.2
Identificare ed autenticare tutti gli users (umani, processi software e dispositivi) prima di permetere loro di accedere al
Control System.
Meccaniscmi di Identificazione ed Autenticazione sono necessari
per per tutte le entit al fine di proteggersi da attacchi di tipo
man-in-the-middle o message spoofing

ISA/IEC 62443-4-2
CR1.1
Accesso ai componenti (applicazioni, hosts, embedded devices e network devices) devono supportare separazione dei
compiti e gestione di diversi privilegi
CR1.2 Il componente deve offrire la capacit di supportare la gestione di accounts, inclusa la creazione, attivazione,
modifica, disabilitazione e rimozione di accounts.
CR1.5 Il componente deve fornire la capacit di a) configurare la sicurezza della password in base alla lunghezza ed i caratteri
b) ridurre la password lifetime.
CR1.8 L'applicazione deve limitare il numero dei tentativi di accesso invalidi effettuati in un periodo di tempo (configurabile).
SR1.12 Il componente deve monitorare e controllare gli accessi remoti (fuori dalla sua rete) verso se stesso In che modo la tecnologia proposta pu aiutare' La tecnologia cutting-edge pu essere usata per
identificare passivamente tutti gli assets, le
comunicazioni ed I servizi utilizzati a livello di rete.
La presenza di dispositivi non autorizzati, l'uso di servizi
o comandi impropri (protocolli/porte) , ed ogni altra
attivit indesiderata sulla rete viene rilevata e segnalata
in real-time.
Questo include attacchi man-in-the-middle e messaggi
di spoofing, cosi come il monitoraggio degli accessi al
sistema stesso.

Il sistema proposto richiede esso stesso l'autenticazione
per poter operare, ed implementa al suo interno un
controllo di accesso role-based ed un logging delle
attivit. System administrators possono definire
privilegi, creare/modificare e cancellare accounts.
La sicurezza della password, il numero di tentativi di
accesso prima del lockout, la durata della sessione, sono
tutti parametri configurabili IE
C 62
44
3
-3 -3 IE
C 62
44
3
-4 -2 Use Control ISA/IEC 62443-3-3
Imporre i privilegi corretti agli user autenticati (umani, processi
software o device) durante l'esecuzione di azioni sull'
IACS e monitorare l'uso di questi privilegi.

ISA/IEC 62443-4-2
SR2.5
Il componente deve generare audit records per il controllo di accessi, system events, attivit di riconoscimento, etc. In che modo la tecnologia proposta pu aiutare' La piattaforma proposta monitora tutte le attivit di
rete ed in grado di intercettare ogni uso non
autorizzato dei dispositivi o sistemi di controllo, come
ad esempio comandi indesiderati o pericolosi (es. PLC
stop, restart e firmware updates) durante il loro
svolgimento




La soluzione proposta pu registrare tutti gli eventi
relativi alla sicurezza quali accessi remoti e potenziali
azioni di riconoscimento, realiazzato sia con semplici
port scans che con tecniche pi avanzate. IE
C 62
44
3
-3 -3 IE
C 62
44
3
-4 -2 System & Data Integrity ISA/IEC 62443-3-3
SR 3.2
Il sistema di controllo deve fornire la capacit di impiegare meccanismi di protezione, rilevazione, report e correzione agli
effetti di codice malevolo o software non autorizzato
SR 3.5 Il sistema di controllo deve calidare la sintassi ed il contenuto di ogni input usato nel processo industriale o input che
pu avere impatto diretto sulle azioni del control system (es. valori
out-of-range, caratteri invalidi nel data fields).

ISA/IEC 62443-4-2
SR3.1
Il componente deve proteggere l'integrit dei dati trasmessi. SR3.7 Il componente deve verificare l'integrit e l'authenticit di ogni informazione generata da fonti esterne che vengono usate
come process control input. In che modo la tecnologia proposta pu aiutare' La piattaforma proposta rileva e segnala ogni tipo di
manipolazione non autorizzata sui dispositivi di
controllo (e.g. download di nuovo firmware sul PLC) cos
come la presenza di codice malevolo che potrebbe
compromettere l'integrit del dispositivo
(e.g. malware che trasmette valori illegittimi o cerca di
contatare il Command & Control server).

La soluzione pu inoltre validare valori scambiati tra I
dispositivi di rete per garantire che questi rientrino nei
piani previsti per il sistema.

La piattaforma pu supportare l'integrit dei dati
trasmessi in due modi: primo rilevando i tentativi di
intercettazione dei messaggi, secondo validando il
messaggio relativamente al formato ed al contenuto.

Per concludere pu verificare l'autenticit validando l'
encryption certificates. IE
C 62
44
3
-3 -3 IE
C 62
44
3
-4 -2 Data Confidentiality ISA/IEC 62443-3-3
Garantire la riservatezza delle informazioni trasmesse sul canale
o poste in repositories.

ISA/IEC 62443-4-2
SR4.4
Il componente deve implementare algoritmi di crittografia per le informazioni sensibili. In che modo la tecnologia proposta pu aiutare' La piattaforma pu verificare l'uso di crittografia per lo
scamio di dati sensibili.
E' inoltre in grado di allertare in caso di comunicazione
realizzata con protocolli o livelli di encryption insicuri. IE
C 62
44
3
-3 -3 IE
C 62
44
3
-4 -2 Restricted Data Flow ISA/IEC 62443-3-3
Segmentare il sistema di controllo in zones e conduits al fine di
limitare il flusso di dati allo stretto necessario
SR 5.2 Il sistema di controllo deve avere la capacit di monitorare
e controllare i confini delle zones al fine di rinforzare la
compartimentazione definita nel modello risk-based di zones e
conduits

ISA/IEC 62443-4-2
SR5.1
Il componente deve imporre authorizzazioni al fine di controllare il flusso di informazioni dentro e tra le zones
SR5.4 La comunicazione deve essere controllata ai confini di ogni zona. In che modo la tecnologia proposta pu aiutare' La piattaforma supporta la definizione di zone e
conduits dalla fase di design fino al loro utilizzo
quotidiano. Per realizzare un corretto design delle zone,
il software in grado di generare una chiara mappa di
tutti I dispositivi di rete, I loro ruoli ed I flussi di
comunicazioni in cui sono coinvolti.
Questo un input fondamentale per segmentare la rete
in zone e limitare il flusso in conduits..

Durante la fase di detection, il sistema in grado di
rilevare ogni accesso illegittimo alla rete ed ogni flusso
di comunicazione che viola la segmentazione.
La validazione di accesso non si limita solo ai confini
delle zone, ma pu entrare anche al loro interno per
analizzare che le comunicazioni siano quelle
effettivamente previste. IE
C 62
44
3
-3 -3 IE
C 62
44
3
-4 -2 Timely Response to Event ISA/IEC 62443-3-3
Reagire a violazioni di sicurezza notificando l'errore alle dovute
autorit, riportando le prove della violazione per permettere un
tempestivo intervento di correzione.
Includere meccanismi che collezionano, stilano report, preservano
e correlano automaticamente i dati forensi per assicurare delle
azioni correttive mirate.

ISA/IEC 62443-4-2
SR 6.2
Le attivit del Control System vanno monitorate continuamente al fine di rilevare attacchi o accessi non autorizzati
al sistema. Il monitoraggio pu essere realizzato attraverso una
variet di tool e tecniche (IDS, IPS, etc.). In che modo la tecnologia proposta pu aiutare' La piattaforma proposta pu monitorare continuamente
comunicazioni in ingresso ed uscita, sa rilevare quelle
non autorizzate, inclusi attacchi informatici.
Si potrebbe comparare ad un IDS, dato che opera in
modo completamente passivo, ma a differenza di altri
nasce dal principio per proteggere le reti ICS con tutte le
sue peculiarit.

Il sistema fa uso di real-time alert spediti verso una
authority prescelta- Questi messaggi contengono
sempre dettagli sulla sorgente del problema, il suo
obiettivo e la natura del problema/minaccia stessa. A
scelta pu essere mandata anche una copia del traffico
registrato durante la rilevazione.
. IE
C 62
44
3
-3 -3 IE
C 62
44
3
-4 -2 La soluzione abbinata di una piattaforma Cutting-Edge e la segmentazione in isole tramite opportuni Firewall, pilotabili dinamicamente dalla piattaforma stessa, permette di identificare e risolvere in modo rapido e/o automatico le minacce alla continuit del business La Cyber Resilienza


In evidenza

SD Project
SPAC : Il Software per la progettazione Elettrica
ExxonMobil
Grassi Mobil™ - Formulati per fornire elevate prestazioni anche in condizioni operative estreme
2G Italia
Cogenerazione e trigenerazione dal leader tecnologico mondiale
select * from VERT_CONTENUTI as con left join VERT_UTENTI_AZIENDE as azi on con.iduteazienda = azi.iduteazienda where testataurl like '%%' or eventourl like '%'%' or testataurl like '%'eiomfiere.it%' or eventourl like '%'eiomfiere.it'%'
Array ( ) Array ( [0] => Array ( [0] => 42000 [SQLSTATE] => 42000 [1] => 102 [code] => 102 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. ) [1] => Array ( [0] => 01000 [SQLSTATE] => 01000 [1] => 16954 [code] => 16954 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. ) )
© Eiom - All rights Reserved     P.IVA 00850640186