Security Engineering zur Ingenieurwissenschaft machen · Sensor / Aktor Feldbus Profibus SPS...
Transcript of Security Engineering zur Ingenieurwissenschaft machen · Sensor / Aktor Feldbus Profibus SPS...
Security Engineering zur Ingenieurwissenschaft machenDas Layered-Blueprints-Denkmodell
Sarah Fluchs, admeritia GmbH
München,01.-02. Juli 2019
Layered-Blueprints-Denkmodell
Image source: awo-oldtimer.de
OT Security Engineering verdient die Bezeichnung „Ingenieurwissenschaft“ nicht.
Problem
02. Juli 2019 | Seite 2
Layered-Blueprints-Denkmodell
Image sources: TU Berlin (edited), awo-oldtimer.de
Ingenieurwissenschaft?
Lösungen
Met
ho
dik
Zieldefinition
02. Juli 2019 | Seite 3
Layered-Blueprints-Denkmodell
A) Was sind die Annahmen und Schutzziele aus OT-Sicht?
B) Wird eine Methodik verwendet, die Zieldefinition und Lösung nachvollziehbar verbindet?
C) Was sind äquivalente Lösungen?
Ist das Engineering oder kann das weg?
Lösungen
Met
ho
dik
Zieldefinition
02. Juli 2019 | Seite 4
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTIONFC
RI
RE
IP
Denkmodell: Überblick
Lösungen
Met
ho
dik
Zieldefinition
02. Juli 2019 | Seite 5
Layered-Blueprints-Denkmodell
Nachvollziehbarkeit:Jede Ebene baut systematisch auf der vorherigen auf und ist durch „Treppabsteigen“ nachvollziehbar.
Methodenneutralität:Die „Inneneinrichtung“ des Turms – die verwendeten Methoden – ist frei wählbar.
Denkmodell: Grundprinzipien
Lösungen
Met
ho
dik
Zieldefinition
02. Juli 2019 | Seite 6
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
Denkmodell: Überblick
02. Juli 2019 | Seite 7
Layered-Blueprints-Denkmodell
OT-Security Engineering: Wo stehen wir?
Bestehende Vorgehensweisen
Ansätze aus dem Risiko-
management
Ansätze aus dem Systems Engineering
02. Juli 2019 | Seite 8
Layered-Blueprints-Denkmodell
OT-Security Engineering: Wo stehen wir?
Risikomanagement-Vorgehensweisen
ISO 31000 IEC 62443-3-2 VDI/VDE 2182-1
NIST SP 800:39
NIST SP 800-30r1
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
Vielfältige Methoden für
Risikoanalyse &-behandlung
• Dokumentation des Systems & Definition von Schutzzielen gefordert
• keine konkrete Methode gegeben
Lösungen nicht im Fokus
Gar nicht erst aufgenommen:
02. Juli 2019 | Seite 9
Layered-Blueprints-Denkmodell
OT-Security Engineering: Wo stehen wir?
(Systems) Security Engineering-Vorgehensweisen
NIST SP 800-160 CCE: Consequence-driven Cyber-informed
Engineering [INL]
„EngineeringInformation Security“
[Jacobs]
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
• Dokumentation des Systems & Definition von Schutzzielen gefordert
• keine konkrete Methode gegeben
• Risikobasierte Ableitung von Lösungen• Geleit zur Implementierung
Gar nicht erst aufgenommen:• „Best Practices“• Checklisten
02. Juli 2019 | Seite 10
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
OT-Security Engineering: Was wir brauchen
Technisch fundierte,
alltagstaugliche Methodik
02. Juli 2019 | Seite 11
Layered-Blueprints-Denkmodell
Netzmodell?!
Image sources: VDI 2230-1:2003, awo-oldtimer.de, thomannmusic.com02. Juli 2019 | Seite 13
Layered-Blueprints-Denkmodell
Multiple slightly
different fieldlocations
Multiple slightly
different fieldlocations
Verschiedene Leitwarten-standorte
Various WAN connections
Multiple slightly
different fieldlocations
Viele, leicht verschiedene
Außen-standorte
Verschiedene WAN-Verbindungen
Welche Details braucht Security Engineering?
02. Juli 2019 | Seite 14
Layered-Blueprints-Denkmodell
Eine Instanz jedes Komponententyps
Eine Instanz jedes Standorttyps
Eine Instanz jedes Verbindungstyps
Welche Details braucht Security Engineering?
02. Juli 2019 | Seite 15
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
OT-Security Engineering: Was wir brauchen
Technisch fundierte,
alltagstaugliche Methodik
02. Juli 2019 | Seite 16
Layered-Blueprints-Denkmodell
Netzmodell: Schützenswerte Funktionen identifizieren
Connect locations
Automaticcontrol
SteuernSteuern
SPS übers Netz programmieren
Standorte verbinden
„Anwendungsfälle“
02. Juli 2019 | Seite 17
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
OT-Security Engineering: Was wir brauchen
Technisch fundierte,
alltagstaugliche Methodik
02. Juli 2019 | Seite 18
Layered-Blueprints-Denkmodell
Abhängigkeitsanalyse: Kommunikationsanalyse
Anwendungsfall „Steuern des Außenstandorts“: Teilnetzmodell
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
02. Juli 2019 | Seite 19
Layered-Blueprints-Denkmodell
Abhängigkeitsanalyse: Kommunikationsanalyse
Anwendungsfall „Steuern des Außenstandorts“: Sequenzdiagramm
02. Juli 2019 | Seite 20
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
Denkmodell: Überblick
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
02. Juli 2019 | Seite 21
Layered-Blueprints-Denkmodell
Risikodefinition
►Risk* = Effect of uncertainty on objectives
Was kann schiefgehen?Bedrohungen, Schwachstellen,
Angriffsvektoren, Cyber fragilities…
Was muss funktionieren?Use Cases
*ISO/IEC 27000:2018
02. Juli 2019 | Seite 22
Layered-Blueprints-Denkmodell
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
Unsicherheitsidentifikation auf Basis von Anwendungsfällen
Was kann schiefgehen?Was kann zu Manipulation oder Versagen des Anwendungsfalls führen?
Bildquellen: HeadsOfBirds, Arthur Shlain, Zahroe, Gan Khoon Lay from Noun Project
Beispiel (Manipulation): Eindringen in die Leitwarte
und unbefugtes Steuern
Anwendungsfall „Steuern des Außenstandorts“
02. Juli 2019 | Seite 23
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTIONFC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
Unsicherheitsbewertung (aka: Risikoeinschätzung)
Welche Gefährdung behandle ich zuerst?
Detailtiefe & Schutzziele
Kommunikationsanalyse
Gefährdungsszenarien
02. Juli 2019 | Seite 24
Layered-Blueprints-Denkmodell
Was Security-Risikoanalysen von der Safety lernen können
Safety-Lifecycle nach IEC 61508
Bildquelle: IEC 61508
Safety-RisikoanalyseHazardous Events:„Was kann schiefgehen?“ und „Wie schlimm ist das?“
Security-RisikoanalyseWelche IT-Gefährdungen können zu HazardousEvents führen?
Fokus aufAuswirkungen!
02. Juli 2019 | Seite 25
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
Denkmodell: Überblick
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
02. Juli 2019 | Seite 26
Layered-Blueprints-Denkmodell
RI5 - Anforderungsdefinition
Bildquellen: Dinosoft Lab from Noun Project
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
Was können wir dagegen tun?Was empfehlen uns Standards? Was ist bei uns machbar?
Beispiel (Manipulation): Eindringen in die Leitwarte
und unbefugtes Steuern
Konzept
Anwendungsfall „Steuern des Außenstandorts“
02. Juli 2019 | Seite 27
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
Denkmodell: Überblick
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
02. Juli 2019 | Seite 28
Layered-Blueprints-Denkmodell
IMPLEMENTATION
REQUIREMENT
RISK
FUNCTION
FC
RI
RE
IPSecurity-Lösungen
Security-Anforderungen
Unsicherheiten & Risiken
Funktionen & Abhängigkeiten
IP.2Security-ImplementierungIP.1Security-Konzept
RE.1Anforderungsdefinition
RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation
FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation
Security Engineering effizient machen
Security-Engineering-Basisdaten
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
Maschinenlesbar
In den bestehenden Workflow passend
Unabhängig von Toolherstellern
02. Juli 2019 | Seite 29
Layered-Blueprints-Denkmodell
Security-Engineering-Basisdaten
Security Engineering effizient machen
Netzmodell = Σ Teilnetzmodelle
Teilnetzmodell
Sequenzdiagramm
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
Office-SammelsuriumOffice-Sammelsurium
Assetregister
Image Source: Microsoft
Netzpläne
02. Juli 2019 | Seite 30
Layered-Blueprints-Denkmodell
Security-Engineering-Basisdaten
Datenmodell: Visualisierung:
Netzmodell = Σ Anwendungsfälle
Anwendungsfall 1Anwendungsfall 1
Security Engineering effizient machen
Anwendungsfall 1
Relation
Entität Entität
Entität
Konnektor
Konnektor
Netzmodell = Σ Teilnetzmodelle
Teilnetzmodell
Sequenzdiagramm
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
02. Juli 2019 | Seite 31
Layered-Blueprints-Denkmodell
AutomationML( OPC UA)
MechanicalEngineering
ElectricalEngineering
Control Engineering
ProcessEngineering
Security Engineering
Security Engineering effizient machen
„The glue for seemless automation
engineering“
Maschinenlesbar
In den bestehenden Workflow passend
Unabhängig von Toolherstellern
02. Juli 2019 | Seite 32
Layered-Blueprints-Denkmodell
FC
RI
RE
IP
Security Engineering effizient machen
Bestehende Tools zur Netzwerkverwaltung
Security-Engineering-Prozess /
„Basisdaten“
Security-Eigenschaften
Security-Netzmodell
Anwendungsfälle
EinheitlicheSchnittstelle:
Konfigurationen Änderungshistorie
NetzplanKommunikation
StandorteAssets
Leitwartenstandort Außenstandort
Internet
DSL Modem
Ethernet Switch
FirewallDSL Modem
Ethernet SwitchOPC
Office-LAN
Steuerungs-LAN
OPC
Office-LAN
Leitsystem-LAN
Operator Station
Sensor / Aktor
Feldbus
SPS
Control Server
http/OPC
Steuerungs-LAN
Firewall
Router
OPC
Sensor / Aktor
Feldbus
Profibus
SPS
Profibus
OPCOperator
Leitsystem-Software
http
02. Juli 2019 | Seite 33
Layered-Blueprints-Denkmodell
Security –engineered by yourself!
Und wie sieht Ihr Turm aus?
Security Engineering muss eine Ingenieurwissenschaft werden.Machen Sie mit?
02. Juli 2019 | Seite 34
Layered-Blueprints-Denkmodell
Ihre Ansprechpartnerin
Sarah [email protected]
+49 2173 20363-0
+49 162 2414686
02. Juli 2019 | Seite 35