Sicherheit und Stabilität durch Netzleittechnik-Monitoring und Anomalieerkennung

3. Praxistag Wasserversorgungsnetze

Thomas Friedel Sales Manager

Rhebo GmbH

ICS-Monitoring und Anomalieerkennung

Automatische Anomalieerkennung

LERNEN SCHÜTZENANALYSIEREN

Monitoring & Dekodierung der Kommunikation und

Bestandsaufnahme der Assets mittels Deep Packet

Inspection (DPI)

Automatisches Lernen der Kommunikationsmuster

Meldung aller Ereignisse („Anomalien“), die zu

Betriebsstörungen führen können

Prävention und Organisation

(Risikomanagementsysteme, Standards, Segmentierung,

DMZ, Firewall, Komponenten-härtung, Trainings)

Reaktion (Anlagensteuerung, Leitstand, Kontrollzentrum, CERT/CSIRT)

Aufklärung (Threat Intelligence)

(Forensik, Verfolgung, Maßnahmen in Prävention, Monitoring und Reaktion)

Monitoring und Detektion

(Anomalieerkennung, Echtzeit-lagebild, Protokollierung,

Aufzeichnung, Archivierung)

Sicherheit und Verfügbarkeit im Leitnetz

B3S Wasser / Abwasser

Anwendungsfälle und Maßnahmen des IT-Sicherheitsleitfadens

OrganisationOM Wer verantwortet die IT- und Cybersicherheit innerhalb oder außerhalb der Organisation? 1

ArchitekturAR Wie genau wird das PNLT segmentiert, bzw. erfolgt eine Trennung von IT & PNLT? 4

NetzwerkmanagementNM Erfolgt das Netzwerkmanagement lokal oder über Fernzugriff? 3

BenutzerzugangUA Wie erfolgt der Zugriff auf Daten und Systeme? 5

SPS/PLS-Programmierung und WartungPLC Wie erfolgt der Zugriff auf Steuerungen? 3

ProgrammzugangPA Wie erfolgt der Datenaustausch (auch Updates) zwischen zentralem System und fernen Standorten? 6

Abk. Kernkategorie Fragestellung Anwendungsfälle

Kategorie 1 »Organisation OM« Rolle des Netzwerkmonitoring mit Anomalieerkennung

Maßnahmen für den stabilen Betrieb der PNLT (Auszug)

Datenbanksicherheitskonzept

Sicherheitskonzepte

Sicherheitsmanagementstrategie

Sicherheitsgateway-Konzept

Notfallkonzept inkl. Meldung

Grundlegende Aspekte (klassische ISMS-Bestandteile)

Zieldefinition

Personelle Struktur

Integration der Mitarbeiter

Prozessen und Berechtigten

Prozessdokumentation

Firewall

DMZ

Segmentation

Anomaly Detection

ISMS

Security-By-Design

Authentification

Kategorie 2 »Architektur AR« Rolle des Netzwerkmonitoring mit Anomalieerkennung

Maßnahmen an dedizierte Netzwerke (Auszug)

gesicherte Aufstellung der Komponenten

gesicherte Netzzugänge

Kriterien für Beschaffung von Komponenten

regelmäßige Kontrolle von Router & Switches

sicherer Betrieb von Router & Switches

physische Segmentierung

Datensicherung & Recovery

Analyse Report Workshop Operativer Betrieb

Kategorie 3 »Netzwerkmanagement NM« Rolle des Netzwerkmonitoring mit Anomalieerkennung

Ist- und Risikoanalyse (Auszug)

Istaufnahme der Netzsituation

Dokumentation der System-konfiguration von Routern & Switches

Prüfung und Sicherstellung der lokalen Grundkonfiguration

Notfallvorsorge von Routern & Switches

Logische Segmentierung

sicherer Betrieb von Switchports

Sichere Konfiguration der Access Points

Regelmäßige Sicherheitschecks des Netzes

Kategorie 4 »Benutzerzugang UA« Rolle des Netzwerkmonitoring mit Anomalieerkennung

Sicherheitsmaßnahmen (Auszug)

Zeitnahes Einspielen sicherheits-relevanter Patches und Updates

Sichere Installation eines IT-Systems mit sicherer Grundkonfiguration

Einrichtung eingeschränkter Benutzergruppen

Management und Dokumentation von Veränderungen am System

Verbot nicht freigegebener Hard- und Software

Durchgehender Passwortschutz

Virenschutzprogramme

Notfallvorsorge

Kategorie 5 »SPS/PLS-Programmierung und Wartung PLC« Rolle des Netzwerkmonitoring mit Anomalieerkennung

Sicherheitsanforderungen (Auszug)

Meldung von Schadprogramm-Infektionen

sichere Installation des IT-Systems

eingeschränkte Benutzerumgebung

sichere Konfiguration eines IT-Systems

Datensicherung und Dokumentation

Einsatz eines lokalen Paketfilters

logische Segmentierung

sicherer Betrieb und Monitoring der VPNs

Kategorie 6 »Programmzugang PA« Rolle des Netzwerkmonitoring mit Anomalieerkennung

Sicherheitsmaßnahmen (Auszug)

Fernanzeige von Störungen

Zugriffskontrolle einer Datenbank

SNMP verwenden, aber Sicherheits-aspekte berücksichtigen

Protokollierung von IT-Systemen

sicherer Betrieb der Sicherheitsgateways

Integrität und Authentizität der Datenpakete sicherstellen

Protokollierung der Sicherheitsgateway-Aktivitäten

sichere Protokolle

Integration

Leitfaden „B3S Wasser/Abwasser in der Praxis“

• Netzwerkmonitoring in Wasser- und Abwasser-unternehmen

• Struktur des IT-Sicherheits-Branchenstandard • Kernaspekte des Merkblatts DWA-M-1060

Managementsysteme • Anwendungsfälle und Maßnahmen des IT-

Sicherheitsleitfadens

Success Story „Überprüfung der Netzsegmentierung bei den Leipziger Wasserwerken“

• Ergebnis unseres Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudit (RISSA)

• Asset Inventory der Netzleittechnik • Analyse der Kommunikationsverbindungen

Kontaktdaten

Thomas Friedel | Sales Manager

thomas.friedel@rhebo.com +49 341 3937 90-0

aktuell unterstützte Protokolle (v2.6)IndustrieprotokolleABB RNRP BACnet CIP DNP3 ELCOM-90 EtherCAT General Electric GigE Vision Control Haag Damon HART iba Device Config. Prot. IEC60870-5-104 IEC61850-GOOSE IEC61850-GSSE IEC61850-MMS IEC61850-SMV LonTalk Modbus MQTT

MRP Omicron OMFind OPC UA OpenProtocol Powerlink Proficy iFix Profinet Profinet IO CM PSI QNX Qnet RK 512 S7 Sercos III SICAM PAS/PQS Sinec H1 SMA STOMP WinCC

NetzwerkprotokolleAcronis Backup Adobe Server ARP AXIS Camera Man. Canon BJNP Cisco _/CDP/CGMP /DCE/DTP /EIGRP/WLCCP COTP DCE/RPC DEC DHCP DNS EAP over LAN ECTP EGP FTP Control FTP Data

General Inter-ORB HP _/DTC/Ext. LLC /Probe HSR HSRP HTTP/HTTPS ICMP IGMP Intel ans IPv6 ISMP Java RMI Kerberos LACP LDAP LPD LLC LLDP

LLMNR McAfee ePO mDNS MRP NetBIOS NFS NTP OSPF PIM PTP QUIC RDP Remote Shell Rhebo RRCP SentinelSRM SKINNY SCCP Slow Protocol

SMB SMTP SNMP SQLNET2 SOAP SSDP SSH SSL STP Symantec Endp. Pr. Syslog TDS Telnet TFTP TNS TSM VMWare-Lab-Man. VNC