Deterministische Anomalieerkennung in Industriesteuernetzen 22. September 2015 [email protected] Rhebo.com Rhebo AG Produktentwicklung: seit Mitte 2013 Gründung: Mai 2014 Produktstatus: Erster Live-Test im März 2015 Version 1.0 im September 2015 Vision „Rhebo Industrial Protector gewährleistet einen fehler- und unterbrechungsfreien Netzbetrieb in industriellen Steuerungssystemen – zu jeder Zeit und in Echtzeit.“ Industrie 4.0 • Vollständige Vernetzung industrieller Produktions- und Steueranlagen • Konvergenz mit IT-Systemen: IP & Ethernet und Anbindung an LAN & Internet • Neue Hardware, neue Software – und vor allem neue Kommunikationsnetze Industrie 4.0 – Herausforderungen • Komplexere Kommunikationsinfrastruktur – Netzausfall wird „teurer“ – Wartung und Fehlersuche schwieriger • Konvergenz mit IT-Systemen bringt neue Bedrohungen in Steuernetze – – – – Ungezielte Angriffe aus dem Internet Gezielte Angriffe (Stuxnet, Duqu, Flame) Angriffe von Insidern NSS Labs: 600% Anstieg der SCADA-Angriffe 2010-2012 detection deployments apply different rule-sets and signatures unique to each domain being monitored. Aktuelle „Best Practices“ (US DHS & NIST) Technologische Vision • Ein deterministisch ablaufender physikalischer Prozess in einen Steuerungssystem resultiert in einer deterministischen Kommunikation • Industrial Protector „erlernt“ diese Kommunikation • Jede Abweichung wird automatisch erkannt: • • • Fehlkonfiguration, Fehlfunktionen Überlastungen, Netzausfälle Angriffe von innen und außen Industrial Protector – Funktionsweise Industrial Protector überwacht, analysiert und visualisiert den kompletten Datenverkehr in industriellen Steuernetzen. Industrial Protector lernt vollautomatisch alle im Normalbetrieb auftretenden Kommunikationsmust er zur anschließenden Anomalieerkennung. Industrial Protector meldet in Echtzeit jede Anomalie in der Datenkommunikation, die zu Störungen oder Ausfällen führen kann. Installation 1 zentraler Controller • GUI, Datenbank, Schnittstellen • Sammlung der Rohdaten von den Sensoren 5-10 verteilte Sensoren/Controller • Aufzeichnen der Steuerkommunikation • von Industrial Ethernet Switch-Spiegelports oder Netzwerk-Taps Industrial Ethernet-Segmente • Übertragen die gesamte Steuerkommunikation • Angeschlossene Geräte sind u.a. SPS, Roboter, Sensoren, Aktoren Sicherheit im Steuernetz • ... ... ... ... • Schaffung einer zusätzlichen Sicherheitsschicht die unabhängig vom Steuerungshersteller ungewöhnliche Aktivität im Steuernetz in Bezug auf Operationen, Raten, Werte & Wertebereiche, erkennt und alarmiert (oder blockiert) Sabotage und Missbrauch verhindern Aktuell unterstützte Protokolle Industrieprotokolle: Netzwerkprotokolle: BACnet CIP DNP3 EtherCAT HART IEC61850 IEC60870 LonTalk Modbus MRP ARP DHCP DNS FTP HTTP ICMP LDAP LLDP NetBIOS NFS OPC OpenProtocol Powerlink Profinet Sercos3 Sinec H1 S7 NTP SMB SMTP SNMP SSH SSL STP Telnet TDS TFTP BDEW-Whitepaper Anforderungen an sichere Steuerungs- und Telekommunikationssysteme 2.4.5: “Die Integrität von Daten, die in sicherheitsrelevanten Aktionen verarbeitet werden, muss vor der Verarbeitung überprüft werden (beispielsweise auf Plausibilität, korrekte Syntax und Wertebereich).“ 2.4.6 b: “Das System muss Benutzeraktionen sowie sicherheitsrelevante Aktionen, Vorkommnisse und Fehler in einem zur nachträglichen und zentralen Auswertung geeignetem Format protokollieren.” [email protected]
© Copyright 2024 ExpyDoc
