komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/komunikacja w... ·...
TRANSCRIPT
![Page 1: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/1.jpg)
Komunikacja w nowoczesnej energetyce
Mirosław Zwierzyński
Styczeń/2017
Cyberbezpieczeństwo w systemach energetycznych
![Page 2: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/2.jpg)
Czego się dowiesz…
… kto atakuje sieci i dlaczego
… jak atakuję
… co możemy zrobić dziś i jutro
… narzędzia ochrony
… jak wytłumaczyć sens działania
![Page 3: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/3.jpg)
Problemy bezpieczeństwa w przeszłości ...
3
Kevin Siers, The Charlotte Observer, ©2000
![Page 4: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/4.jpg)
Problemy bezpieczeństwa w przeszłości ...
4
Kevin Siers, The Charlotte Observer, ©2000
![Page 5: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/5.jpg)
Problemy bezpieczeństwa w przeszłości ...
5
Kevin Siers, The Charlotte Observer, ©2000
![Page 6: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/6.jpg)
Problemy bezpieczeństwa dzisiaj ...
6
Kevin Siers, The Charlotte Observer, ©2000
![Page 7: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/7.jpg)
Hakerzy
Jakim niebezpieczeństwom stawiamy czoła:
Level 0: Użytkownik
Level 1: „Opportunistic Hackers”
Level 2: Kryminaliści
Level 3: Terroryści
Level 4: Dobra Państwowe
Generalnie wyróżniamy cztery typy zagrożeń:
Nieautoryzowany dostęp do danych
Nieautoryzowana modyfikacja lub kradzież danych
Atak Denial of service
![Page 8: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/8.jpg)
Typy cyber ataków
• Zakłócanie działania przez zalewania sieci/aplikacji olbrzymią liczbą danych, celem zakłócenia jej działania i transmisji docelowego ruchuDenial of service
• Atak polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzyMan-in-the-Middle
• Obserwowanie ruchu w sieci celem zbierania informacji o systemieMonitoring sieci
• Atakującemu zostają przydzielone prawa administratoraEskalacja
przywilejów
• Użytkownicy nieświadomie instalują złośliwe oprogramowanie poprzez klikanie na linkiPhishing attacks
• Napastnicy wykorzystują zaufanie oraz informacje od personelu celem zbierania informacji używanych do ominięcia zabezpieczeń, fizycznych modyfikacji oraz sabotażu infrastruktury
Social engineering
![Page 9: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/9.jpg)
Wyzwania
Ochrona istniejących systemów:
• Co można zrobić aby ochronić dotychczas niechronione elementy?
• Jak zapobiegać podłączeniu urządzeń do sieci?
• Jak zapobiegać nieautoryzowanemu dostępowi?
Zapewnienie bezpiecznego zdalnego dostępu
• Jak można zapewnić bezpieczne połączenie do sieci zdalnej ?
• Jaka jest pewność iż dane nie są modyfikowane?
• Jak zapewnić poufność informacji?
Standardy
• Na który standard powinienem zwrócić uwagę?
![Page 10: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/10.jpg)
TOP 4 systemów narażonych na ataki
From ICS-CERT 2013 Report, Region: the U.S.
TOP1
TOP2
TOP3TOP4
![Page 11: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/11.jpg)
Systemy przemysłowe na celowniku
PLC
Safety Systems
Plant Management System
Assess Management System
SCADA
DCS
Największe ataki ostatnich lat -
KONSEKWENCJE
![Page 12: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/12.jpg)
Ataki na sieci energetyczne
Atak na zachodnio-ukraińskiego dostawcę energii Prykarpattyaoblenergo w 12.2015r.
Odcięcie dostaw energii do 80 000 odbiorców – region Ivano-Frankivst
Przeciążenie systemu telefonicznej obsługi klienta
Dotknięcie atakiem także innych spółek
Komponenty ataku:
• Użycie oprogramowania malware BlackEnergy, dostęp do sieci komputerowej przedsiębiorstwa
• Uzyskanie dostępu do sieci SCADA (prawdopodobnie przy aktualizacji oprogramowania urządzeń HMI)
• „Killdisk” usuwanie danych i uszkodzenie systemu SCADA
• Odcięcie dyspozytorów od możliwości podglądu zdarzeń
• Wysłanie odpowiednich poleceń do urządzeń stacyjnych
• Atak DoS na system telefoniczny – uniemożliwianie zgłaszania awarii
• Uszkodzenie SCADA -> manualne przywrócenie zasilania
Kluczowe punkty ataku:
• Przenikniecie do wnętrza sieci
• Bardzo duża koordynacja działań
2017-02-0612
![Page 13: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/13.jpg)
Obraz sytuacji: Łatwo znaleźć cel
Projekt SHINE: 1,000,000 systemów SCADA oraz ICS online and
Wyszukiwarki kierowane do systemów przemysłowych, np. SHODAN
• SHODAN działa na zasadzie wyszukiwaniu popularnie używanych portów TCP/UDP
• Web, Telnet, SNMP, FTP są jednymi z najbardziej popularnych
• Logi z odpowiedzi są zapisywane w bazie wyszukiwania
• Spróbuj szukać “OpenSSL”, “GNU”, or “NTPD” bądź nazwy vednorów sprzetu
![Page 14: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/14.jpg)
SCADA Strange Love
At 32C3 Dec. 2015: The Great Train Cyber Robbery talk.http://scadastrangelove.blogspot.com/2015/12/32c3-slides.html
Default Passwords
Standardy bezpieczeństwa
![Page 15: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/15.jpg)
Luki w zabezpieczeniach
Urządzenia przemysłowe nie zawsze są na bieżąco z aktualizacjami dotyczących poprawek zabezpieczeń
![Page 16: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/16.jpg)
CIGRE D2.22
IEEE P 1686
IEC 62351
ISO
27
00
0NIST 800-53
Standardy bezpieczeństwa
Design Details
Relevance forManufacturers
Details of Operation
Relative Security Coverage
IT
Factory Automation
Power
ISA 99
NERC CIP
![Page 17: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/17.jpg)
Standardy bezpieczeństwa
NERC CIP V5
IEC 62351
![Page 18: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/18.jpg)
Standardy bezpieczeństwa
IEC 61850 nie definiuje standardów bezpieczeństwa jako standard
Bezpieczna komunikacja w IEC 61850 - rekomendacja
Standard IEC 62351
• Rozwijany przez komitet TC57 w celu uwzględnienia standardów bezpieczeństwa dla komunikacji w systemach energetycznych:
• m.in. protokoły IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970, IEC 61968
• uwierzytelnianie, zapewnienie tylko uwierzytelnionego dostępu, zapobieganie spoofingowi i wykrywania włamań, szyfrowanie, TLS, itd..
2017-02-0618
![Page 19: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/19.jpg)
Standardy bezpieczeństwa
NERC CIP
North American Electric Reliability Corporation
organizacja non-profit której zadaniem jest zapewnienie niezawodności i
bezpieczeństwa systemów energetycznych
Prace obejmują:
Ochronę infrastruktury krytycznej (Critical Infrastructure Protection)
• W tym Cybersecurity, któe jest rozwiane przez „Critical Infrastructure
Protection Committee”
NERC CIP
• nie jest standardem na poziomie sprzętu
• Zawiera opisy procesów, systemów, infrastruktury sieciowej oraz środowiska
Producenci mogą jedynie określać że funkcjonalności ich produktów
są zgodne z wymaganiami NERC CIP
![Page 20: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/20.jpg)
Bezpieczeństwo w komunikacji
2017-02-0620
General Industrial Automation:
ISA / IEC 62443
![Page 21: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/21.jpg)
For Network Equipment:• Technical security requirement
For Network System• Secure Zones and Conduits• Define security level 1-4
Struktura ISA/IEC 62443
![Page 22: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/22.jpg)
Jednostki i ich obowiązki
Source: ISA99
![Page 23: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/23.jpg)
Typy komunikacji na stacji
Architektura staccji
Komunikacja z centrum nadzoru
SCADA EMS&DMS
Kanał inżynierski
SCADA innej firmy
Na zewnątrz
Wewnątrz stacji
![Page 24: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/24.jpg)
Defense-in-Depth
Ochrona środowiska sieciowego
Ochrona w wielu miejscach
• Ochrona infrastruktury sieciowej
• Ochrona granic
• Ochrona środowiska komputerowego, urządzeń końcowych
Ochrona „warstwami”
• Każdy z mechanizmów przedstawia unikalną przeszkodę
• Każdy z nich powinien zawierać mechanizmy ochrony, ale również informowania
Strategia ochrony
24
![Page 25: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/25.jpg)
Kiedyś: Mury i baszty
25
Mur obronny
Barbakan
Baszta
![Page 26: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/26.jpg)
Dzisiaj: Obiekt – Strefa – Komórka
26
Secured Network
• Multi-layer defense in depth
• Plant-wide security coverage
![Page 27: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/27.jpg)
Narzędzia ochrony
27
Poziom urządzeń• Wyłączenie nie używanych portów • Autentyfikacja 802.1X, uwierzytelniani MAC• Statyczna blokada portów – MAC Sticky• ACL – listy kontroli dostępu
Poziom sieci• Segmentacja sieci – VLAN• Stosowanie Firewalli• Topologia• QoS• SNMP v3, disable SNMPv1/v2• Autentyfikacja logowań do urządzeń przez RADIUS/ TACACS+• SSH, diable Telnet• Autentyfikacja 802.1X na poziomie sieci
Funkcje bezpieczeństwa, dobre praktyki
![Page 28: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/28.jpg)
Narzędzia ochrony
Segmentacja sieci – VLAN (virtual local area network)
Aplikacje mogące wykorzystywać VLANy w ramach podstacji energetycznej:
Informowanie o zdarzeniach:
Komunikacja GOOSE
Systemy Ochrony:
Monitoring CCTV
2017-02-0628
![Page 29: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/29.jpg)
Narzędzia ochrony
Korzyści płynące z segmentacji i VLAN:
Filtrowanie/separacja ruchu:
Segregacja ruchu w całej sieci
Ruch możemy być filtrowany oraz ograniczony do konkretnych obszarów sieci
będących w jednym VLAN
Zmniejszenie ruchu w sieci:
Ograniczanie wąskiego gardła na linkach trunk
Poprawa wydajności urządzeń:
Redukcja liczba informacji jakie muszą być przetwarzane przez urządzenia
końcowe
29
Reference: IEC 61850-90-4 12.1
![Page 30: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/30.jpg)
Narzędzia ochrony
2017-02-0630
VLAN
![Page 31: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/31.jpg)
C1
P1
C2
P2
VLAN 10
1 2 3 4 5 6
C1
P1
C2
P2
VLAN 20
1 2 3 4 5 6
Feeder Bay2
Narzędzia ochrony
31
C1
P1
C2
P2
Feeder Bay1
Bay Level
VLAN 10
Control Room
Station Level
Station BusBusbar Bay
PSCADAPrinter
1 2 3 4 5 6
1 2 3 4
P = Protection Relay IEDC = Control IED
Turbo ring V2
VLAN 20
Hybrid VLAN 10/20
![Page 32: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/32.jpg)
Narzędzia ochrony
2017-02-0632
Wyłączenie nie używanych portów
![Page 33: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/33.jpg)
Narzędzia ochrony
Zmiana standardowego hasła:
2017-02-0633
![Page 34: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/34.jpg)
Narzędzia ochrony
2017-02-0634
Definiowanie adresów mających dostęp do konfiguracji
![Page 35: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/35.jpg)
2017-02-0635
Narzędzia ochrony
Mac Sticky
MAC 00:0A:E6:3E:FD:E1
MAC 00:0A:E6:2D:E8:FD
Port 1
![Page 36: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/36.jpg)
Narzędzia ochrony
Możliwość definiowania polityk ustalania hasła – zabezpieczenie przed atakami Brute Force
![Page 37: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/37.jpg)
Narzędzia ochrony
Kontrola otwartych sesji
![Page 38: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/38.jpg)
Narzędzia ochrony
Szyfrowanie plików konfiguracji
![Page 39: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/39.jpg)
Narzędzia ochrony
SNMP – simple network managmnet protocol
Komponenty:
• Urządzenia zarządzalne:
• Węzeł sieciowy wyposażony w agenta SNMP
• Zbierają i przechowują informacje o stanie urządzeń, sieci oraz są wstanie je
udostępniać do NMS przy użyciu SNMP
• Agenci:
• Software znajdujący się w urządzeniach
• System zarządzania siecią(NMSs)
• Aplikacje które kontrolują pracę i zarządzają urządzeniami w sieci
Confidential
![Page 40: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/40.jpg)
Narzędzia ochrony
SNMP v1, v2, v3
Podstawowe komendy:• Read Używana do monitorowania urządzeń• Write Używana do kontrolowania urządzeń• Trap Używana do szybkiego raportowania o zdarzeniach przez urządzenia do NMS
SNMP v3 co zmienia:• Nagłówek bezpieczeństwa dodawany do każdego pakietu
Confidential
Managed Device
w/ SNMP AgentSNMP
Manager
GET & GET NEXT
SET
TRAP
![Page 41: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/41.jpg)
• Urządzenia komunikują się przez sieci Ethernet
• Mechanizm QOS priorytezuje ramki celem zapewnienia dostarzczenia
kluczowych w jak najkrótszym czasie
CollectedData
Mgt. Message
Control Message
Low Priority
Top PriorityHigh PriorityLow Priority
CollectedData
Mgt. Message
Control Message
Top Priority
High Priority
Narzędzia ochrony
QoS – quality of service
![Page 42: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/42.jpg)
Narzędzia ochrony
Priorytetyzacja pakietów w ruchu IEC 61850
IEC 61850 QoS
Packets to be sent through this interface
QoS = Quality of Service
Classify Sending QueueSchedule
Packets sent
High Queue
Medium Queue
Normal Queue
Low Queue
. . .
Normal Queue
IEC 61850 Queue
Always Top PriorityGOOSE/SV/PTPGOOSE
GOOSE GOOSE
GOOSE in high queue, but still wait
SV
![Page 43: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/43.jpg)
Ograniczanie ruchu - traffic rate limiting• Określanie ilości przesyłanych danych
• Definiowanie typu pakietów do których jest określana ta reguła
• broadcast, multicast, itd..)
Narzędzia ochrony
Ingress Limit: Zapobiega przed przeciążeniem i niestabilną pracą switcha
Egress Limit: Zapobiega przed przeciążeniem i niestabilną prąca całej sieci
Ingress Limit
Egress Limit
![Page 44: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/44.jpg)
Narzędzia ochrony
Firewall – koncepcja wykorzystania
Ograniczenie ruchu pomiędzy strefami o różnym poziomie zaufania
• WAN <-> LAN
• LAN <-> LAN
• Port <-> Port
Tworzenie ograniczeń dla usług sieciowych
• Akceptacja wyłącznie ruchu wymaganego
• Inspekcja pakietów (Accept, Drop)
![Page 45: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/45.jpg)
Narzędzia ochrony
Czy firewall może…?•Filtrować protokoły przemysłowe
•Zapewnić alarmowanie w czasie rzeczywistym
•Łatwa i intuicyjna konfiguracja
•Brak konieczności przeprojektowywania
Quick Wizard
![Page 46: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/46.jpg)
Narzędzia ochrony
Firewall Policy:• Incoming/outgoing• IP/MAC• Protocol (TCP, UDP…)• Source IP/Port• Destination IP/Port
Zewnętrzny lub niechroniony obszar
Wewnętrzny bezpieczny obszar
LANWAN
Akcept lub Odrzucenie
Firewall
![Page 47: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/47.jpg)
Confidential
Manually Configured Policy
Rule 1
Rule 2
Rule 3
Rule 4
.
.
.Accept or Drop
LANInternet
Packet
Narzędzia ochrony
Inspekcja pakietów i reguły
![Page 48: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/48.jpg)
Narzędzia ochrony
Confidential
Traffic direction; All, WAN1/2 and LAN
Global Enable
All, TCP, UDP, MODBUS, PROFINET and etc…
Accept or Drop
IP or MAC
Accept or Drop
Inspekcja pakietów i reguły
![Page 49: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/49.jpg)
Narzędzia ochrony
Confidential
Ex: Drop incoming ICMP to LAN
PC-1IP: 10.10.10.10
PC-2IP: 20.20.20.20
WAN1
LAN
Inspekcja pakietów i reguły
![Page 50: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/50.jpg)
Stosowanie “Whitelisting policy” jest rekomendowane dla aplikacji przemysłowych.
Whitelisting Policy - przykład
• Akceptacja tylko porządanych pakietów danych• Odrzucanie wszystkich innych pakietów
Whitelist Operation Mode
![Page 51: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/51.jpg)
Narzędzia ochrony
Router Firewall vs. Transparent FirewallInstalacja Firewall w tej samej podsieci
51
![Page 52: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/52.jpg)
Toplogia
2017-02-0652
Relay Relay Relay RelayRelayRelay
SwitchgearIED
SwitchgearIED
Station Bus Poziom stacji
Poziom pola
Poziom procesu
FirewalllFirewalll
Layer 3 switchLayer 3 switch
Kolejna podstacjaCentrum nadzoruSzyfrowanie
MMS-GOOSE
SV-GOOSE
Bay Controller
![Page 53: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/53.jpg)
Narzędzia ochrony
53
Ochrona warstwami
![Page 54: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/54.jpg)
PLC/IO Network
Control Network
Podstacja
Centrum zarządzania
Attack frompublic network
Malfunctioning PLC
Broadcast Storm
• VPN - szyfrowanie danych• Serwer dla dynamicznych połączeń
VPN• Protokoły: IPSec, L2TP, PPTP
• Ochrona nieautoryzowanego dostępu
• Odizolowanie burz broadcastowych z pojedynczych urządzeń do całej sieci
Firewall
Secure router
Centrum zarządzania
Narzędzia ochrony
Firewall & VPN
![Page 55: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/55.jpg)
VPN - IPSec oraz L2TP
Bezpieczny tunel VPN pomiędzy LAN to LAN
• IPSec (IP Security)
Bezpieczny tunel VPN dla zdalnej obsługi
• L2TP over IP Sec (Layer 2 Tunnel Protocol)
Roaming Engineer(Dynamic IP)
![Page 56: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/56.jpg)
NAT - Network Address Translation
Pozwala na ukrycie wewnętrznych adresów IP dotyczących
krytycznej infrastruktury
Zewnętrzny użytkownik widzi tylko adres po translacji
Confidential
Port forwarding NAT
1-to-1 NAT
N-to-1 NAT
Moxa
![Page 57: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/57.jpg)
1-1 NAT
• Większe bezpieczeństwo system
• Idealny dla aplikacji przemysłowych
• Umożliwia takie same adresacje dla wielu obiektów
192.168.1.1
10.0.0.1
192.168.1.1 192.168.1.1
10.0.0.2 10.0.0.3
![Page 58: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/58.jpg)
Moxa Solutions
2017-02-0658
![Page 59: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/59.jpg)
Moxa Cybersecurity- wytyczne
Istniejące standardy bezpieczeństwa ISA99/IEC62443 oraz NERC-CIP są
śledzone i na bieżące implementowane do ustanowionych wewnętrznie
jednolitych wytycznych projektowanie wszystkich urządzeń sieciowych
ISA 99 / IEC 62443
NERC-CIP
Moxa Networking Security Design Guideline V2.0
![Page 60: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/60.jpg)
Moxa Cybersecurity
Wszystkie nowe produkty są zgodne z założeniami Moxa Security Guideline V2.0
![Page 61: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/61.jpg)
Moxa v NERC CIP
Wszystkie rozwiązanie dedykowane do zastosowań w
energetyce posiadają tabele zgodności dla standardu NERC CIP:
• PT-7828
• PT-7728
• DA-820
• NPort S9000
• PT-G503-PHR-PTP
![Page 62: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/62.jpg)
Moxa Cyber Security Response Team (C.S.R.T.)
9/27 (Sat)Email from Jim Toepper
4 processes:Awareness, Investigation, Action, Response
Awareness InvestigationAction
/Internal ResponsePublic Response
9/29 (Mon)C.S.R.T alignement and investigation
9/30 Internal Announcement
10/7 FAQ and M-Circle
![Page 63: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/63.jpg)
Produkty
Model
Target requirement
1. Secured remote Site-to-Site subnets communication via public network (VPN)
2. Factory firewall to protect un-authorized connection from WAN
3. Dual WAN for redundancy in critical applications
1. Secured remote Site-to-Site subnets communication via public network (VPN)
2. Function zone firewall to separate different functional networks in a factory
1. Secured remote maintenancefor automation devices (e.g. PLC, RTU, Machines)
2. Secured remote monitoring via public network
3. Cell devices’ firewall to protect end devices
Interface2 WANs, 1 LAN
(Ethernet / Fiber combo ports)1 WAN (Combo); 1 LAN (RJ45) 1 WAN; 15 LANs
Throughput 500Mbps (40,000 fps) 300Mbps (25,000 fps) 110Mbps (10,000 fps)
Firewall/NAT 512 / 256 policies 256 / 128 policies 256 / 128 policies
VPN 100 IPSec tunnels 50 IPSec tunnels 10 IPSec tunnels
WAN backup Dual WAN - -
DMZ 1 - -
EDR-810EDR-810-VPN
EDR-G902EDR-G903
![Page 64: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/64.jpg)
EDR-810 2 in 1
Confidential
Dotychczasowe rozwiązania EDR-810
Multi-port secure router x 1
Korzyści-Oszczędności- Przestrzeń
Ethernet switch x 1Secure router x 1
![Page 65: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/65.jpg)
Kreator konfiguracji firewalla
“One Click” for port type change
Krok 1
Krok 2
Krok 3
Krok 4
Definicja typu portów(tryby WAN/LAN/Bridge)
Zdefiniowanie adresu IP - zarządzanie
Zdefiniowanie portu WAN
Wybór usług sieciowych
Krok 5 Reguły firewall
Koniec!
![Page 66: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/66.jpg)
Routed firewallFirewall at network perimeter needs WAN and LAN ports
Non-trusted Zone
Trusted Zone
Elastyczny wybór portów
Transparent firewall Bump-in-the-wire firewall without need for network change
Hybrid mode firewallLocated at network perimeter still filtering packets between some LAN ports.
![Page 67: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/67.jpg)
Quick Automation Profile
Predefiniowane numery portów TCP/UDP dla
protokołów przemysłowych
![Page 68: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/68.jpg)
Jedynie pakiety Modbus TCP/IP mogą przejść przez zaporę firewall (port 502) z WAN1 do LAN
WAN1
W tym obszarze dozwolona jest tylko komunikacja Modbus
Remote IP168.95.1.1
Internet
LAN
Quick Automation Profile
![Page 69: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/69.jpg)
Inspekcja pakietów Modbus
Dwukierunkowa kontrola i filtrowanie pakietów Modbus w warstwie aplikacji
Modbus Command / Response- Slave ID- Function Code- Address Range
![Page 70: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/70.jpg)
Alarmowanie w czasie rzeczywistym
Raportowanie zdarzeń w czasie rzeczywistym czyni zarządzenie
łatwiejszym
Local DB
![Page 71: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/71.jpg)
Firewall Policy Check
Automatyczne kontrola czy brak jest konfliktów w
regułach firewall w celu zapobiegania nieprzewidzianym zachowaniom
![Page 72: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/72.jpg)
Wykrywanie konfliktu dla pojedynczego parametru (np. 2 reguły pokrywają ten sam adres, jeden akceptuje drugi odrzuca)
Firewall Policy Check
72
Wykrywanie trzech najczęściej popełnianych
błędów w konfiguracji reguł polityki
bezpieczeństwa w firewall
Mask
Wykrywanie „poprzecznych” konfliktów w dwóch parametrach (np. IP i port)
Cross
Conflict
Wykrywanie zdublowanych reguł (dodatkowe obciążenie routera)
Include
![Page 73: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/73.jpg)
• Open VPN jest łatwiejszy w konfiguracji użytkowaniu do zapewnienia zdalnej bezpiecznej komunikacji pomiędzy PC a zdalną lokalziacją
• Open VPN jest bardziej elastyczny w wykorzystaniu niż IPSec
• Open VPN pozwala na budowę tunelu jako jedna sieć pomiędzy dwoma węzłami
OpenVPN Server
OpenVPN Client
OpenVPN Mobile Client
OpenVPN Laptop Client
Field Device
OpenVPN client and server
![Page 74: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/74.jpg)
Wbudowane narzędzia ochorny przed DoS
2017-02-0674
![Page 75: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/75.jpg)
Podsumowanie
2017-02-0675
![Page 76: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/76.jpg)
Narzędzia ochrony
2017-02-0676
![Page 77: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/77.jpg)
Implementacja Cybersecurity
Stosowanie procesu życia dla bezpieczeństwa
• Ciągła ocena zagrożeń
• Wdrożenie środków zapobiegawczych i weryfikacja
• Monitoring i konserwacja
Segmentacja sieci
• Dzielenie sieci na segmenty fizyczne i logiczne o podobnych wymaganiach bezpieczeństwa
Określenie interakcji pomiędzy strefami
• Wymagania urządzeń
• Identyfikacja dozwolonego ruchu w kanałach
• Wymagania bezpiecznej komunikacji
Monitorowanie i rejestrowanie zdarzeń
![Page 78: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/78.jpg)
Zapamiętaj
Moja sieć to mój zamek:
• Zrozum i poznaj swoją sieć
• Poznaj jej działanie, relacje
• Myśl w ramach stref, komórek
Moxa pokrywa poziomy bezpieczeństwa od poziomu wewnętrznej polityki, procesów produkcji po finalny system i komponent
Właściciel infrastruktury, operator, integrator oraz dostawca sprzętu mają dedykowane role w zapewnieniu bezpieczeństwa sieciowego krytycznej infrastruktury.
![Page 79: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/79.jpg)
Zapamiętaj
Cybersecurity jest bardzo ważnym elementem w inteligentnych systemach automatyki
Bez zwracania uwagi na bezpieczeństwo budowa nowoczesnych systemów byłaby irracjonalna
Łatwy w konfiguracji firewall może zostać szybko zaadoptowany do już istniejących systemów – „Transparent Firewall”
Wydajne tunele VPN pozwalają na realizacje zdalnych połączenie z zachowaniem bezpieczeństwa
![Page 80: Komunikacja w nowoczesnej energetycesupport.elmark.com.pl/moxa/seminaria/Komunikacja w... · 2017-02-07 · Typy cyberataków • Zakłócanie działania przez zalewania sieci/aplikacji](https://reader033.vdocuments.site/reader033/viewer/2022050103/5f41c2d9ccd0bd3d0606a3b7/html5/thumbnails/80.jpg)
Dziękuje
2017-02-0680