RiskViz Search Engine (RSE) - ITS | KRITIS

Die Seite wird erstellt Henrietta-Louise Eichler

Computer und Technik

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

RiskViz Search Engine (RSE) - ITS | KRITIS

RiskViz Search Engine (RSE)

        M.Sc. Johannes Klick

       Arbeitsgruppe Sichere Identität
   Fachbereich Mathematik und Informatik
           Freie Universität Berlin
         johannes.klick@scadacs.org

RiskViz Search Engine (RSE)

RiskViz

    ◮   BMBF-Förderschwerpunkt:
        IT-Sicherheit für Kritische Infrastrukturen
    ◮   Projekt: RiskViz
    ◮   Volumen: 4,2 Mio Euro
    ◮   Laufzeit: 04/2015 - 03/2018

RiskViz

  Entwicklung einer Suchmaschine für das Auffinden von
  industriellen Steuerungsanlagen im Internet mit anschließender
  Risikoanalyse.

Prozess

  Ablauf:
   1. Scan-Auftrag erstellen
   2. Scan-Ergebnisse auf einer Karte darstellen
   3. Schwachstellen- / Exploit-Analyse
   4. Erweiterte Analyse mit externen Datenbanken

Industrielle Kontrollsysteme im Internet

Potentiell verwundbare Geräte in Europa

Datenerhebung

   ◮   IP Adresse
         ◮   Besitzer Informationen (whois)
         ◮   Domainname (rdns)
         ◮   Geo-IP Informationen
         ◮   ICS Protokoll (z.B. S7Comm, Modbus, DNP3 etc)
         ◮   Internet-Protokolle (HTTP(S), Telnet, SNMP)
         ◮   Fingerprint
   ◮   Erstellung und Vergleich von Snapshots
   ◮   Dauer eines kompletten IPv4 Internet-Scans ¡ 1 h

Automatisierte Datenanreicherung

    ◮   Schwachstellen-Datenbank
    ◮   Exploit-Datenbank
    ◮   Regionspezfische Wirtschaftsdaten
    ◮   Plugins: Externe Datenbanken (z.B.
        Geo-Kritis-Datenbank)
          ◮   genrierung eigener lokaler Plugins
          ◮   lokale Datenanreicherung mit sensiblen
              unternehmenseigenen Daten
          ◮   volle Kontrolle über die Daten

Risikoanalyse

  Mögliche Fragen der Risikoanalyse:
    1. In welcher Region liegen die IP Nummern der gefundenen
       ICS?
    2. Welche Unternehmen und Branchen sind dort angesiedelt?
    3. Welche Geräte setzt welches Unternehmen in dieser
       Region ein?
    4. Welche Wirtschaftsleistung erreicht die Region?
    5. Existieren Schwachstellen in den gefundenen Versionen?
    6. Sind in einer Region besonders viele angreifbare ICS?

Risikoanalyse
  Mögliche Fragen der Risikoanalyse:
    1. Welchem Unternehmen könnte ein angreifbares ICS
       gehören, wen muss man warnen?
    2. Wie effektiv investiert eine Region in die Absicherung
       ihrer kritischen Infrastrukturen?
    3. Ist eine Region besser abgesichert als eine andere?
    4. Gibt es ungeschützte temporäre Wartungszugänge zu
       ICS?
    5. Welche Geräte bieten die größte Angriffsfläche?
    6. Wo muss man ansetzen, um den größten
       Sicherheitsgewinn zu erzielen?

Live Demonstration

  Vorführung der RiskViz Search Engine V3 (alpha preview)

Graphische Scan-Selektion: Bundeslandebene

Graphische Scan-Selektion: Kreisebene

Ergebnis-Darstellung: Modbus

Ergebnis-Darstellung: Schneider Electric (Modbus)

Ergebnis-Darstellung: Karte

Datenauswertung

Datenauswertung

Datenauswertung

Datenauswertung

Datenauswertung

Datenauswertung

Verwundbare Schneider Steuerungen

BMS von SE Elektronic GmbH

Datenauswertung

Juristische Betrachtung

  Strafrecht (DE):
    ◮   Scannes des Internets ist legal
    ◮   Es dürfen keine Sicherheitsbarrieren umgangen werden

Juristische Betrachtung

  Zivilrecht (DE):
    ◮   Haftungsrisko z.B. Produktionsausfall durch Scan
    ◮   Sehr geringes Risiko

Juristische Betrachtung

  Datenschutzrecht (DE):
    ◮   IP-Adressen deren Eigentümer Privatpersonen sind,
        dürfen nicht gespeichert werden

Juristische Gutachten

    ◮   Fragestellung von Gutachten I:
        Welche rechtliche Grundlage benötigt das Scannen aus
        dem Internet erreichbarer Systeme?
    ◮   Fragestellung von Gutachten II:
        Darf Reverse Engineering an Industriesteuerungen
        vorgenommen werden?
  Gutachten können unter www.riskviz.de runtergeladen werden.

Informationsflüsse - offene Fragen

   Datenerhebung:
     ◮   Wer beauftragt die Scans?
     ◮   Wer führt die Scans durch?
   Datenzugriff:
     ◮   Wer darf die Daten einsehen?
     ◮   Besteht Interesse an anonymisierten bzw. aggregierten
         Daten?

Beispielhaftes Informationsflussmodell I

   Datenerhebung:
     ◮   Technische Durchführung (Backend): FU Berlin
     ◮   Plattformbereitstellung (Frontend):
         Unternehmensverbände
     ◮   Scan Beauftragung: Unternehmen
   Datenzugriff:
     ◮   Dateneinsicht: Auftraggeber (Unternehmen)
     ◮   Aggregierte Dateneinsicht: Staatliche Einrichtungen

Beispielhaftes Informationsflussmodell II
   Datenerhebung:
     ◮   Technische Durchführung (Backend): Staatliche
         Einrichtungen
     ◮   Plattformbereitstellung (Frontend): Staatliche
         Einrichtungen
     ◮   Scan Beauftragung: Staatliche Einrichtungen
   Datenzugriff:
     ◮   Dateneinsicht: Staatliche Einrichtungen
     ◮   Optional: Benachrichtigung von betroffenen Unternehmen
     ◮   Optional: Aggregierte Dateneinsicht:
         Unternehmensverbände

Ende

  Vielen Dank.
  Bei Interesse schreiben Sie einfach eine E-Mail an:
  johannes.klick@fu-berlin.de
  Für projektbezogene Informationen zu unseren
  Forschungsarbeiten: riskviz.de .
  Vielen Dank!

Sie können auch lesen