Security Engineering zur Ingenieurwissenschaft machen · Sensor / Aktor Feldbus Profibus SPS...

Security Engineering zur Ingenieurwissenschaft machenDas Layered-Blueprints-Denkmodell

Sarah Fluchs, admeritia GmbH

München,01.-02. Juli 2019

Layered-Blueprints-Denkmodell

Image source: awo-oldtimer.de

OT Security Engineering verdient die Bezeichnung „Ingenieurwissenschaft“ nicht.

Problem

02. Juli 2019 | Seite 2


Image sources: TU Berlin (edited), awo-oldtimer.de

Ingenieurwissenschaft?

Lösungen

Met

ho

dik

Zieldefinition

02. Juli 2019 | Seite 3


A) Was sind die Annahmen und Schutzziele aus OT-Sicht?

B) Wird eine Methodik verwendet, die Zieldefinition und Lösung nachvollziehbar verbindet?

C) Was sind äquivalente Lösungen?

Ist das Engineering oder kann das weg?

Lösungen

Met

ho

dik

Zieldefinition

02. Juli 2019 | Seite 4


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTIONFC

RI

RE

IP

Denkmodell: Überblick

Lösungen

Met

ho

dik

Zieldefinition

02. Juli 2019 | Seite 5


Nachvollziehbarkeit:Jede Ebene baut systematisch auf der vorherigen auf und ist durch „Treppabsteigen“ nachvollziehbar.

Methodenneutralität:Die „Inneneinrichtung“ des Turms – die verwendeten Methoden – ist frei wählbar.

Denkmodell: Grundprinzipien

Lösungen

Met

ho

dik

Zieldefinition

02. Juli 2019 | Seite 6


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE

IPSecurity-Lösungen

Security-Anforderungen

Unsicherheiten & Risiken

Funktionen & Abhängigkeiten

IP.2Security-ImplementierungIP.1Security-Konzept

RE.1Anforderungsdefinition

RI.2 UnsicherheitsbewertungRI.1 Unsicherheitsidentifikation

FC.2AbhängigkeitsanalyseFC.1Funktionsidentifikation


02. Juli 2019 | Seite 7


OT-Security Engineering: Wo stehen wir?

Bestehende Vorgehensweisen

Ansätze aus dem Risiko-

management

Ansätze aus dem Systems Engineering

02. Juli 2019 | Seite 8



Risikomanagement-Vorgehensweisen

ISO 31000 IEC 62443-3-2 VDI/VDE 2182-1

NIST SP 800:39

NIST SP 800-30r1

IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

Vielfältige Methoden für

Risikoanalyse &-behandlung

• Dokumentation des Systems & Definition von Schutzzielen gefordert

• keine konkrete Methode gegeben

Lösungen nicht im Fokus

Gar nicht erst aufgenommen:

02. Juli 2019 | Seite 9



(Systems) Security Engineering-Vorgehensweisen

NIST SP 800-160 CCE: Consequence-driven Cyber-informed

Engineering [INL]

„EngineeringInformation Security“

[Jacobs]

IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

• Dokumentation des Systems & Definition von Schutzzielen gefordert

• keine konkrete Methode gegeben

• Risikobasierte Ableitung von Lösungen• Geleit zur Implementierung

Gar nicht erst aufgenommen:• „Best Practices“• Checklisten

02. Juli 2019 | Seite 10


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE









OT-Security Engineering: Was wir brauchen

Technisch fundierte,

alltagstaugliche Methodik

02. Juli 2019 | Seite 11


Netzwerk: Betriebliche Wahrheiten…

02. Juli 2019 | Seite 12


Netzmodell?!

Image sources: VDI 2230-1:2003, awo-oldtimer.de, thomannmusic.com02. Juli 2019 | Seite 13


Multiple slightly

different fieldlocations

Multiple slightly


Verschiedene Leitwarten-standorte

Various WAN connections

Multiple slightly


Viele, leicht verschiedene

Außen-standorte

Verschiedene WAN-Verbindungen

Welche Details braucht Security Engineering?

02. Juli 2019 | Seite 14


Eine Instanz jedes Komponententyps

Eine Instanz jedes Standorttyps

Eine Instanz jedes Verbindungstyps

Welche Details braucht Security Engineering?

02. Juli 2019 | Seite 15


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE












02. Juli 2019 | Seite 16


Netzmodell: Schützenswerte Funktionen identifizieren

Connect locations

Automaticcontrol

SteuernSteuern

SPS übers Netz programmieren

Standorte verbinden

„Anwendungsfälle“

02. Juli 2019 | Seite 17


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE












02. Juli 2019 | Seite 18


Abhängigkeitsanalyse: Kommunikationsanalyse

Anwendungsfall „Steuern des Außenstandorts“: Teilnetzmodell

Leitwartenstandort Außenstandort

Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

02. Juli 2019 | Seite 19


Abhängigkeitsanalyse: Kommunikationsanalyse

Anwendungsfall „Steuern des Außenstandorts“: Sequenzdiagramm

02. Juli 2019 | Seite 20


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE











Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

02. Juli 2019 | Seite 21


Risikodefinition

►Risk* = Effect of uncertainty on objectives

Was kann schiefgehen?Bedrohungen, Schwachstellen,

Angriffsvektoren, Cyber fragilities…

Was muss funktionieren?Use Cases

*ISO/IEC 27000:2018

02. Juli 2019 | Seite 22



Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

Unsicherheitsidentifikation auf Basis von Anwendungsfällen

Was kann schiefgehen?Was kann zu Manipulation oder Versagen des Anwendungsfalls führen?

Bildquellen: HeadsOfBirds, Arthur Shlain, Zahroe, Gan Khoon Lay from Noun Project

Beispiel (Manipulation): Eindringen in die Leitwarte

und unbefugtes Steuern

Anwendungsfall „Steuern des Außenstandorts“

02. Juli 2019 | Seite 23


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTIONFC

RI

RE







Unsicherheitsbewertung (aka: Risikoeinschätzung)

Welche Gefährdung behandle ich zuerst?

Detailtiefe & Schutzziele

Kommunikationsanalyse

Gefährdungsszenarien

02. Juli 2019 | Seite 24


Was Security-Risikoanalysen von der Safety lernen können

Safety-Lifecycle nach IEC 61508

Bildquelle: IEC 61508

Safety-RisikoanalyseHazardous Events:„Was kann schiefgehen?“ und „Wie schlimm ist das?“

Security-RisikoanalyseWelche IT-Gefährdungen können zu HazardousEvents führen?

Fokus aufAuswirkungen!

02. Juli 2019 | Seite 25


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE











Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

02. Juli 2019 | Seite 26


RI5 - Anforderungsdefinition

Bildquellen: Dinosoft Lab from Noun Project


Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

Was können wir dagegen tun?Was empfehlen uns Standards? Was ist bei uns machbar?

Beispiel (Manipulation): Eindringen in die Leitwarte

und unbefugtes Steuern

Konzept

Anwendungsfall „Steuern des Außenstandorts“

02. Juli 2019 | Seite 27


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE











Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

02. Juli 2019 | Seite 28


IMPLEMENTATION

REQUIREMENT

RISK

FUNCTION

FC

RI

RE









Security Engineering effizient machen

Security-Engineering-Basisdaten


Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

Maschinenlesbar

In den bestehenden Workflow passend

Unabhängig von Toolherstellern

02. Juli 2019 | Seite 29




Netzmodell = Σ Teilnetzmodelle

Teilnetzmodell

Sequenzdiagramm


Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

Office-SammelsuriumOffice-Sammelsurium

Assetregister

Image Source: Microsoft

Netzpläne

02. Juli 2019 | Seite 30



Datenmodell: Visualisierung:

Netzmodell = Σ Anwendungsfälle

Anwendungsfall 1Anwendungsfall 1


Anwendungsfall 1

Relation

Entität Entität

Entität

Konnektor

Konnektor

Netzmodell = Σ Teilnetzmodelle

Teilnetzmodell

Sequenzdiagramm


Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

02. Juli 2019 | Seite 31


AutomationML( OPC UA)

MechanicalEngineering

ElectricalEngineering

Control Engineering

ProcessEngineering

Security Engineering


„The glue for seemless automation

engineering“

Maschinenlesbar

In den bestehenden Workflow passend

Unabhängig von Toolherstellern

02. Juli 2019 | Seite 32


FC

RI

RE

IP


Bestehende Tools zur Netzwerkverwaltung

Security-Engineering-Prozess /

„Basisdaten“

Security-Eigenschaften

Security-Netzmodell

Anwendungsfälle

EinheitlicheSchnittstelle:

Konfigurationen Änderungshistorie

NetzplanKommunikation

StandorteAssets


Internet

DSL Modem

Ethernet Switch

FirewallDSL Modem

Ethernet SwitchOPC

Office-LAN

Steuerungs-LAN

OPC

Office-LAN

Leitsystem-LAN

Operator Station

Sensor / Aktor

Feldbus

SPS

Control Server

http/OPC

Steuerungs-LAN

Firewall

Router

OPC

Sensor / Aktor

Feldbus

Profibus

SPS

Profibus

OPCOperator

Leitsystem-Software

http

02. Juli 2019 | Seite 33


Security –engineered by yourself!

Und wie sieht Ihr Turm aus?

Security Engineering muss eine Ingenieurwissenschaft werden.Machen Sie mit?

02. Juli 2019 | Seite 34


Ihre Ansprechpartnerin

Sarah [email protected]

+49 2173 20363-0

+49 162 2414686

02. Juli 2019 | Seite 35

Security Engineering zur Ingenieurwissenschaft machen · Sensor / Aktor Feldbus Profibus SPS...

Documents

Transcript of Security Engineering zur Ingenieurwissenschaft machen · Sensor / Aktor Feldbus Profibus SPS...