sicherheitsarchitekturen und realisierungsansätze für ... · provisioning von konfigurationen,...
TRANSCRIPT
Company Confidential
Cybersecurity
Sicherheitsarchitekturen und Realisierungsansätze für
vertrauenswürdige Smart Meter Lösungen
Christian Stüble, CTO Rohde & Schwarz Cybersecurity
Classification: Public
Workshop „Intelligente Messsysteme und Energiedatennetze“
Company Confidential Classification: Public
Rohde & Schwarz Cybersicherheit Historie und Stand heute
R&S seit Beginn der 90er Jahre führender Krypto-Anbieter
ı Kryptogeschäft von Bosch/ANT und Siemens integriert
ı SVFuA: größtes Kryptoprojekt Deutschlands
Seit 2 Jahren massiver Ausbau der Cybersicherheit, zu einem
umfassenden, lückenlosen Fähigkeitsportfolio
Zukauf deutscher Spezialisten:
ı Ipoque (Deep-Packet Inspection, Netzaufklärung)
ı Adyton, Gateprotect (Next Generation Firewalls)
ı Sirrix AG (Krypto, Trusted Infrastructures, Security by Design)
Heute bereits Produkthaus mit 370 Mitarbeiter in Deutschland mit
einem nicht-ÖA Anteil von >70% am Umsatz
Company Confidential Classification: Public
Produktportfolio
Secure Networks
ı UTM
ı NG Firewalls
ı Deep Packet
Inspection
ı Incident Detection/
Response*
Secure Comm
ı L2 Encryption
ı L3 Encryption
IKE/IPsec
ı L3 Encryption
Group-VPN/Ipsec
ı Remote Access
ı Radio Encryption
Secure Voice
ı Voice Encryption
SCIP/SNS
App/Devices
Landline
Gateways
ı Secure Messaging
ı Fax Encryption
Secure Endpoint
ı Full-Disk Encryption
ı Secure Browsing
ı Secure Cloud
Encryption
ı Secure Desktop
ı Secure Mobile
ı PKI
Trusted Product Management
ı Configuration, Policy, Firmware Deployment
ı CA, PKI, HSM, Crypto Management
R&S SIT R&S SIT
* In Vorbereitung
R&S SIT
Company Confidential Classification: Public
Geschäftsfeld Intelligente Messsysteme / Industrial Security
Sichere Plattformen für Intelligente Messsysteme und Industrial Applications ı Sichere Betriebssystemplattform mit Sicherheitskern, auf Basis von
Mikrokern (L4/OKL4/PikeOS), oder Type-Enforcement (SELinux, SEAndroid)
ı Integrity-Preserving Platforms (mit TPM oder proprietär) M2M-Authentication, Remote-Attestation
ı Management von großen Deployments (>100.000) Provisioning von Konfigurationen, Key-Deployment und Management (PKI) OTA Update-Management von Firmware Remote-Maintenance, Multi-Homing Networks, VPN
ı Insb. für Intelligente Messsysteme / Smart Meter Gateway / Gateway- Management
ı Referenzen, u.a. Hersteller von SMG, GWA-Systemen, Backend-Systemen, Betreiber
Company Confidential Classification: Public
Projekte
ı SPLITCloud, (2014-2016), MDM in der Cloud, BMBF ı Trustworthy Clouds (TClouds), Europäische Kommission (2010-2013) ı Trusted Embedded Computing (TECOM), Europäische Kommission (2008-
2011) ı Wireless Sensor and Actuator Networks for the Protection of Critical
Infrastructures (WSAN4CIP), Europäische Kommission (2008-2011) ı Foundation for Forgery-Resistant Security Hardware (UNIQUE),
Europäische Kommission (2009-2012) ı Software-Cluster-Projekte EMERGENT (2010-2013) und SINNODIUM
(2013-2015) - Sicherheitslösungen für das digitale Unternehmen der Zukunft, BMBF
ı European Multilaterally Secure Computing Base (EMSCB), BMWi (2005-2008)
ı Trusted Embedded Secure Operating System (TeSOS), BSI-Studie
Company Confidential Classification: Public
ICS Security Light & Right BSI-Projekt 116
Ziel
ı Leichtgewichtiger Einstieg in Cyber-Sicherheit gemäß ISO/IEC 27001
ı Entwicklung einer Methodik für eine „Sicherheitsanalyse“
ı Entwicklung eines Tools, das die Methodik umsetzt
ı Adressaten sind kleine und mittelständische Unternehmen
Partner
ı Sirrix AG (Leitung)
ı TÜV Süd
Ergebnis
ı LARS ICS, ein leichtgewichtiges Tool zur Identifikation von Maßnahmen basierend
auf einem Fragenkatalog
ı Download über BSI-Webseite
Company Confidential Classification: Public
IT-Sicherheit für die Industrie 4.0 Studie im Auftrag des BMWi
Ziel ı Identifikation von rechtlichen, organisatorischen und technischen
Handlungsempfehlungen ı Für Unternehmen (insb. KMU), Förderpolitik und
Regulierungsbehörden Konsortium ı Sirrix AG (Konsortialführer) ı Fraunhofer (ISI, SIT, ESK, IOSB) ı WTS Legal Rechtsanwaltsgesellschaft ı Prof. Dr. Georg Borges, Universität des Saarlandes ı Bosch ı Software AG Methodik ı Basierend auf vier Fallbeispielen wurde die aktuelle Situation analysiert und zukünftige
Handlungsoptionen extrapoliert Automobilbau, Anlagen/Maschinenbau, Chemische Industrie, Logistik
Company Confidential Classification: Public
Beispiel: Vertrauenswürdige IT-Systeme des Gateway Administrators
DMZ3Internet
WAN
PKI
SperrlistendienstVerzeichnisdienstPKI Server
Internes Netz (LAN)
DMZ2
DMZ1
Update Server
Kommunikationsdienst
Datenbank
Hardware Security Module (HSM)
Hardware Security Module (HSM)
Zertifikatsmanagement
ZeitserverDatenbank
HSM-I
VPN-Appliance
Marktkommunikation
InterneFirewall
...
...TrustedObjects Manager (TrustedVPN)
ExterneFirewall
VPN-Gateway
IPSec
TLS+Mgmt
ExternerMarktteilnehmer
AutorisierterMarktteilnehmerExterne
Firewall
ExterneFirewall
HSM-I
HSM-I
Meter Data Management
HSM-I
TLS+CMS
Security-Gateway(TLS, CMS)
Zeitserver
TrustedObjects Manager(TrustedServer)
Admin-Webschnittstelle
VPN-Appliance
Company Confidential Classification: Public
Sicherheitsarchitekturen und Realisierungsansätze
ı Sicherheitsanforderungen
ı Betriebssystemplattformen
ı Kryptosysteme und –protokolle
Company Confidential Classification: Public
Anforderungsanalyse
Ohne die konsistente Definition von Sicherheitszielen
und -Annahmen ist die Realisierung einer sinnvollen
IT-Sicherheitslösung nicht möglich.
Company Confidential Classification: Public
Anforderungsanalyse Schritt 1
Definition der Sicherheitsziele
ı Welche Sicherheitseigenschaften soll/muss das Produkt erfüllen?
Fragestellungen
ı Welche schützenswerten Informationen werden verarbeitet?
ı Vor was sollen diese Informationen geschützt werden?
ı Welche typischen Angriffe sind bereits bekannt?
Company Confidential Classification: Public
Anforderungsanalyse Schritt 2
Definition der Annahmen
ı Welche Annahmen können bzgl. der Umsetzung von Sicherheitszielen
getroffen werden?
Fragestellungen
ı Welche Sicherheitseigenschaften können/müssen organisatorisch abgedeckt
werden?
ı Welche Sicherheitseigenschaften werden von der IT-Umgebung erwartet?
ı Welche Voraussetzungen müssen Benutzer erfüllen?
Company Confidential Classification: Public
Anforderungsanalyse Sicherheitsfunktionen
Definition der Sicherheitsfunktionen
ı Definition der Sicherheitsfunktionen zur Erfüllung der Sicherheitsziele
Fragestellungen
ı Wird jedes Sicherheitsziel von den Sicherheitsfunktionen abgedeckt?
ı Werden wirklich alle Sicherheitsfunktionen benötigt?
ı Wurden die Annahmen berücksichtigt?
Company Confidential Classification: Public
Anforderungsanalyse Zusammenfassung
Assets
Sicherheitsziele
Annahmen
Angriffe
Sicherheitsfunktionen
Company Confidential Classification: Public
Anforderungsanalyse Existierende Anforderungsspezifikationen
Beispiele
ı Smart-Meter-Gateway PP (EAL4+)
ı Security Module PP (EAL4+)
ı BSI TR 03109-X Familie
ı High-Assurance Security Kernel (HASK) PP (EAL5)
ı …
Company Confidential Classification: Public
Betriebssystemarchitekturen
Mögliche Ansätze
ı Proprietäre Betriebssystem
ı Standard Betriebssysteme wie Linux, OpenBSD, …
ı Mikrokern-basierte Architekturen?
Company Confidential Classification: Public
Anforderungen
Sicherheit von Benutzerdaten
ı Vertraulichkeit von Daten und
kryptographischer Schlüssel
ı Strenge Isolation zwischen
Sicherheitsdomänen
Selbstschutz des Betriebssystems
ı Strenge Isolation kritischer
Komponenten
ı Integrität von Betriebssystem und
Konfigurationen
ı Sichere (OTA-) Updates
Company Confidential Classification: Public
Proprietäre Betriebssysteme
Vorteile
ı Hoher Bekanntheitsgrad im Unternehmen
ı Viele benötigte Module/Treiber verfügbar
Nachteile
ı Wenig Sicherheitserweiterungen verfügbar
Müssen selbst implementiert werden
ı Keine Verwendung bekannter Komponenten
Hohe Kosten bei einer Evaluation
Company Confidential Classification: Public
Nutzung von Standard-Betriebssystemen
Vorteile
ı Unterstützung vieler HW-Plattformen und Gerätetreibern
ı Viele verfügbare Dienste & Entwicklungstools
ı Hoher Bekanntheitsgrad
ı Viele Sicherheitserweiterungen verfügbar
SE-Linux, GR-Security, …
Nachteile
ı Hohe Komplexität (20M LOC), viele Komponenten
ı Aufwändige Vulnerability Analyse
Company Confidential Classification: Public
Mikrokern-basierte Betriebssystemarchitekturen
Mikrokern
ı Auf ein Minimum reduzierte Betriebssystemkerne (10k LOC)
ı Alle nötigen Dienste (Filesystem, Treiber) werden als isolierte Userspace-Prozesse ausgeführt
ı Beispiele: seL4, Fiasco, OKL4, Integrity, …
Vorteile
ı Geringe Komplexität Weniger Fehler & Updates
ı Formale Verifikation möglich Noch weniger Fehler & Updates
Nachteile
ı Anpassung an Hardwareplattform
ı Implementierung von Treibern und Diensten
Company Confidential Classification: Public
Kryptosysteme und -protokolle
Verbreiteter Ansatz
ı Verwendung von OpenSSL
Alternative
ı Botan
Company Confidential Classification: Public
OpenSSL
OpenSSL ı Die wohl verbreitetste OpenSource Kryptobibliothek ı BSI-Studie „Quellcode-basierte Untersuchung von kryptographisch relevanten Aspekten der
OpenSSL-Bibliothek“
Vorteile ı Hoher Bekanntheits- und Nutzungsgrad ı Wird oft bei Sicherheitsanalysen verwendet ı Alle Standardmechanismen vorhanden
Nachteile ı Sehr hohe Komplexität
Viele nicht benötigte Komponenten vorhanden
ı Komplexe und fehleranfällige Konfiguration ı Viele Sicherheitsprobleme ı Schlechte Dokumentation
Company Confidential Classification: Public
Botan
Botan
ı Eine OpenSource C++11-Kryptobibliothek
ı Aktuell: BSI-Projekt für Nutzung im Kontext von VS-NfD
Vorteile
ı Klare Struktur, übersichtliches Design
ı Einfache „BSI-kompatible“ Konfiguration
ı Veröffentlichung als OpenSource
Nachteile
ı Basisbibliothek in C++ (aber diverse Wrapper vorhanden)
ı Keine OpenSSL-kompatible Schnittstelle
Company Confidential Classification: Public
Zusammenfassung
Sicherheitsanforderungen
ı Strukturierung und Spezifikation von Sicherheitsanforderungen
ı Im Idealfall Verwendung existierender Anforderungsspezifikationen
Betriebssystemarchitekturen
ı Gerade bei langlebigen Produkten sollte analysiert werden, ob Mikrokern-
basierte Sicherheitsarchitekturen nicht kosteneffizienter sind
Kryptosysteme und –protokolle
ı Derzeit wird von RSCS basierend auf Botan eine „BSI-kompatible“ Open-
Source Kryptobibliothek implementiert