Intrångsdetektering i processnätverk

(1)

School of Innovation Design and Engineering

V¨

aster˚

as, Sweden

Examensarbete f¨

or h¨

ogskoleingenj¨

orsexamen i n¨

atverksteknik

DVA333

INTR˚

ANGSDETEKTERING I

PROCESSN ¨

ATVERK

Albin Fahlstr¨om

afm15001@student.mdh.se

Victor Henriksson

vhn15002@student.mdh.se

Examinator: Johan ˚

Akerberg

Mälardalens Högskola, Väster˚as, Sverige

Handledare: Mohammad Ashjaei & Sara Lundahl

Mälardalens Högskola, Väster˚as, Sverige

Handledare: Jonas Bergman, Joakim Flor´

en & Tilda Nordin

M¨alarenergi AB, V¨aster˚as, Sverige

(2)

Abstract

The threat against industrial networks have increased, which raises the demands on the industries cybersecurity. The industrial networks are not constructed with cybersecurity in mind, which makes these systems vulnerable to attacks. Even if the networks outer protection is deemed sufficient, the system may still be infected. This risk demands an intrusion detection system (IDS) that can identify infected components. An IDS scans all traffic of a point in the network and looks for traffic matching its detections parameters, if a match is made the IDS will send an alarm to the administrators. It can also analyze the network traffic using a behavior based method which means that the IDS will alert administrators if network activity deviates from the normal traffic flow. It is of vital essence that the IDS do not impair with the system, an outage of the industrial process can have a high cost for the industry. This report aims to put forward plans for the implementation of an IDS in one of M¨alarenergi AB’s industrial networks, this will be made using the Bro and Snort intrusion detection systems.

(3)

Sammanfattning

Hoten mot industrinätverken har blivit större vilket har ställt högre krav p˚a industriernas cybersäkerhet. Industrinätverk är ofta inte konstruerade med cybersäkerhet i ˚atanke, vilket har gjort dessa system s˚arbara mot attacker. Även om nätverkets yttre skydd anses gott g˚ar det inte att vara säker p˚a att ett industrinätverk förblir osmittat. Detta ställer krav p˚a n˚agon form av intr˚angsdetekteringssystem (IDS) som kan upptäcka infekterad utrustning och suspekt datatrafik i nätverket. En IDS skannar alla paket vid en viss punkt i nätverket, om IDS:en upptäcker n˚agot paket som matchar med dess signatur kommer den att larma en administratör. IDS:en kan även använda beteendeanalys där den larmar om nätverksaktiviteten avviker fr˚an det normala. Det är mycket viktigt att en IDS inte orsakar avbrott i industriprocessen, om en process stannar kan det innebära stora kostnader för industrin. Denna rapport syftar till att lämna ett lösningsförslag p˚a en IDS-implementation till ett av Mälarenergi AB: s processnätverk, lösningen konstruerades med hjälp av IDS:erna Bro och Snort.

(4)

Terminologi

Detta avsnitt syftar till att redogöra begrepp vilka kan anses vara oförst˚aeliga för läsare. De begrepp som kommer förklaras här nedan kan vara engelska ord som inte har n˚agon bra översättning till svenska i sammanhanget eller ovanliga svenska ord.

• Aktuator - Detta är ett ställdon eller reglage som utför n˚agot fysiskt och skickar ett resultat i form av logiska signaler, exempelvis läser av temperaturer eller ökar antalet varv en fläkt snurrar per minut. En aktuator är oftast placerad i anslutning till n˚agon typ av maskinprocess.

• Aspektserver - En typ av historikserver som bland annat skapar trendbilder för att underlätta analysen för administratörerna. De här trendbilderna hämtas av HMI:s. • CIA - Confidentiality, Integrity och Availability. Dessa tre begrepp är kända inom

nätverkssäkerhetsomr˚adet för att beskriva de olika delarna som skyddas och bör skyddas i ett nätverk.

• Control Server - Den är placerad mellan HMI och PLC:erna. Denna server pratar med PLC:erna som sedan tillförser information vidare till HMI när de efterfr˚agar detta.

• Datamask - Det är en eller flera olika filer med skadlig kod som sprider sig fr˚an dator till dator utan att n˚agon användare gör n˚agot aktivt. Datamaskar kan därmed i m˚anga fall vara sv˚arupptäckta.

• HMI - Human Machine Interface är en enhet som en användare kan interagera med, exempelvis en dator med Microsofts operativsystem Windows. P˚a datorn finns diverse programvaror där administratörerna visuellt kan övervaka, kontrollera och styra processerna i industrianläggningen.

• Industriswitch - Oftast en mer robust variant vilket klarar tuffare klimat, exempelvis starka vibrationer eller h¨oga temperaturer.

• Lager 2-switch - En switch som hanterar datapaket utan routing. Bestämmer datapaketets väg med hjälp av MAC-adresser.

• LAN - Local Area Network är ett lokalt nätverk som ofta avskiljs p˚a n˚agot sätt fr˚an ¨

ovriga Internet, exempelvis med en brandv¨agg.

• Open source - Öppen källkod vilket betyder att koden är tillgänglig för alla att använda och se hur programmet skrivits. I vissa fall f˚ar användaren även vidareutveckla programmet beroende p˚a vad för typ av licens den aktuella koden har.

• PLC - Programmable Logic Controller är en enhet som primärt kommunicerar med aktuatorer och övriga maskinprocesser i ett processnätverk genom diverse olika industrispecifika kommunikationsprotokoll, exempelvis ModBus TCP.

• SCADA - Supervisory Control And Data Acquisition används för att centralisera styrning och kontroll av alla maskinprocesser i industrianläggningen.

(5)

Inneh˚

all

1 Inledning 1

2 Bakgrund 2

2.1 M¨alarenergi AB . . . 2

2.2 Industriella kontrollsystem . . . 3

2.2.1 Programmable Logic Controller . . . 4

2.2.2 Supervisory Control And Data Acquisition . . . 4

2.2.3 800xA hos M¨alarenergi AB . . . 5

2.3 Traditionella n¨atverk vs. processn¨atverk . . . 7

2.4 Kommunikationsprotokoll i processn¨atverk . . . 8

2.4.1 OLE for Process Control . . . 10

2.4.2 ModBus TCP . . . 11

2.5 Cyber-warfare . . . 12

2.6 Okade s¨¨ akerhetskrav hos industrin¨atverk . . . 13

2.7 N¨atverksattacker . . . 14

2.7.1 Reconnaissance attack . . . 14

2.7.2 Attacker mot PLC . . . 15

2.7.3 Ovriga k¨¨ anda attacker . . . 16

3 Tidigare arbeten 18 4 Fr˚agest¨allning 19 5 Metod 20 6 Etik och samh¨alleliga aspekter 21 7 Intr˚angsdetektering 22 7.1 Detekteringsmetoder . . . 22

7.2 Utslag . . . 23

7.3 Portspegling . . . 23

7.4 Intrusion Detection System . . . 24

7.5 Intrusion Prevention System . . . 25

7.6 Host-based Intrusion Detection/Prevention System . . . 25

8 Analys av intr˚angsdetekteringssystem 26 8.1 Utmaningar och m¨ojligheter . . . 26

8.1.1 Ok¨anda attacker . . . 26

8.1.2 Svagheter i OPC . . . 26

8.1.3 S˚arbara och tidsk¨ansliga processer . . . 27

8.1.4 F¨oruts¨agbar trafik . . . 27

8.1.5 Statiska IP-adresser . . . 28

8.2 Open source eller kommersiell l¨osning . . . 28

8.3 Snort . . . 29

8.3.1 Windows, Mac och Linux . . . 29

8.3.2 Komponenter . . . 29

8.3.3 Aktioner . . . 30

8.3.4 Signaturer och regler . . . 30

(6)

8.3.6 Larm och loggar . . . 32

8.4 Bro . . . 33

8.4.1 H˚ardvarukrav . . . 33

8.4.2 Komponenter . . . 33

8.4.3 Script i Bro . . . 34

9 Resultat och diskussion 35 9.1 Komponenter . . . 35

9.2 Operativsystem . . . 35

9.3 IDS eller IPS . . . 35

9.4 Detekteringsmetoder . . . 36

9.4.1 Anomali och stateful . . . 36

9.4.2 Signaturer . . . 36

9.5 Larm och loggar . . . 36

9.6 Kostnadseffektivitet . . . 37 9.7 Placering av IDS . . . 37 9.8 Rekommendation . . . 38 10 Slutsats 40 11 Framtida arbete 41 Referenser 45

(7)

Figurer

1 Visar processnätverkets placering i ett industrinätverk. . . 3 2 llustrerar en PLC:s logiska struktur med dess h˚ardvarukomponenter. . . 4 3 Illustrerar niv˚aerna i den generella industriarkitekturen. . . 5 4 Visuell överblick av 800xA-arkitekturen och de olika enheterna hos

M¨alarenergi AB. . . 6 5 Illustrerar de generella tidskraven mellan de olika niv˚aerna i

industriarkitekturen. . . 9 6 Visar kommunikationsprotokollens placeringar i den generella

industriarkitekturen. Se figur 3 för förklaringar till varje bl˚a ruta. . . 10 7 OPC-DA används när HMI vill hämta ett mätvärde fr˚an en process i

n¨atverket. . . 11 8 Kommunikationsmodellen och pakettyperna mellan klient och server i

ModBus TCP. . . 12 9 Visar exempel p˚a en ARP-spoofing attack. . . 16 10 Visar hur vi g˚ar fr˚an fr˚ageställning till ett lösningsförslag. . . 20 11 När Dator 1 sänder till Dator 2 kommer switchen spegla trafiken vidare

med hjälp av Remote SPAN till IDS:en som är ansluten till den andra switchen. . . 23 12 Illustrerar en topologi och hur IDS kan upptäcka skadlig trafik med hjälp

av speglingsprotokollet SPAN. . . 24 13 Den skadliga trafiken som Hacker skickar kommer inte n˚a PLC:n i detta

fall. Dels för att IPS är placerad in-line och dels för att den agerar i realtid. 25 14 Visar en IPS som är placerad in-line vilket kan medföra fördröjningar p˚a

datatrafiken som skickas. . . 27 15 Illustrerar en signatur i Snort med fokus p˚a ModBus TCP. . . 31 16 Blockerar IPS:en godtagen trafik finns risken att viktiga signaler inte tar

sig förbi IPS:en. Detta är därför en s˚arbar placering. . . 35 17 Illustrerar var i processnätverket IDS bör placeras. . . 38

Tabeller

1 Prioritetsordning av CIA för traditionella nätverk och processnätverk. . . . 8 2 Open source vs. kommersiell. . . 28

(8)

1 Inledning

Säkerheten i industrinätverk är idag en central fr˚aga men trots detta är det fortfarande ett ibland förbisett omr˚ade hos industrierna. Attacker som utförs mot industrinätverk runt om i världen är i m˚anga fall okända vilket försv˚arar säkerhetsarbetet. Än idag existerar det m˚anga maskinprocesser i industrinätverken vilka använder protokoll som är framtagna innan säkerheten ans˚ags vara en viktig del. Detta är en av m˚anga anledningar till att industrinätverken har blivit utsatta för angrepp. [1]

I Sverige finns det i nuläget säkerhetskrav fr˚an bland annat Svenska Kraftnät (SvK) och Myndigheten för Samhällsskydd och Beredskap (MSB) p˚a industrier som bland annat levererar elektricitet [2]. Dessa säkerhetskrav har uppkommit p˚a grund av industriernas s˚arbarhet vilket uppmärksammats av tidigare attacker som till exempel Stuxnet [1]. Stuxnet benämns ofta i samband med säkerhetsfr˚agor gällande industrinätverk som ett exempel p˚a vilka konsekvenser ett angrepp kan f˚a. Stuxnet var en attack som utfördes mot en industrianläggning i Iran med syftet att sätta kritisk infrastruktur ur spel. Attacken visade sig vara n˚agorlunda effektiv och sv˚arupptäckt eftersom viruset utnyttjade oupptäckta säkerhetsh˚al i bland annat Microsofts operativsystem Windows. Viruset spred sig världen över utan användarnas vetskap. När oupptäckta säkerhetsh˚al utnyttjas kallas de typerna av attacker internationellt för zero-day-attacker.

I takt med den ökade digitaliseringen i samhället och Internets framg˚ang har det blivit naturligt även för industrier att följa med i utvecklingen. Historiskt sett har industrinätverk mestadels varit isolerade men i och med den globala digitaliseringen har isoleringen brytits upp. Idag har industrier anslutningar till Internet vilket gör industrinätverken angripbara fr˚an hela världen. Under 2000-talet har industrivärlden sk˚adat en drastisk ökning av riktade attacker mot industrier runt om i världen som kriminella organisationer har legat bakom. [3]

Mälarenergi AB driver ett värmekraftverk med huvudkontor i Väster˚as. Mälarenergi förser stora delar av Västmanlands län med bland annat energi och värme vilket är viktiga samhällsfunktioner som samhället inte kan vara utan. De vill nu förstärka befintlig säkerhet med intr˚angsdetekteringssystem vilket har blivit allt vanligare hos företag och organisationer. Denna rapport kommer därför att utreda vad Mälarenergi kan implementera för typ av intr˚angsdetekteringssystem i deras processnätverk, systemets primära uppgift är att komplettera deras övriga säkerhetsinfrastruktur. Processnätverket ¨

ar en del av industrinätverket vilket hanterar stora mängder datatrafik och är den delen i industrinätverket vilket anses mest s˚arbart mot attacker. Processnätverket best˚ar av bland annat maskinprocesser, Programmable Logic Controllers (PLC) och Human Machine Interface (HMI) [4]. Dessa komponenter samverkar för att underh˚alla viktig infrastruktur i form av energi och värme. Processnätverket är uppbyggt enligt ABB:s 800xA-arkitektur vilket är en typ av SCADA-system (Supervisory Control And Data Acquisition). Maskinprocesserna övervakas med hjälp av kontroll- och styrsystem genom industrispecifika protokoll som OPC-DA, OPC-AE och ModBus TCP. Det finns m˚anga olika typer av intr˚angsdetekteringssystem och detekteringsmetoder för att hitta potentiella hot i nätverket. Generellt delas intr˚angsdetekteringssystemen in i tv˚a kategorier vilka är IDS och IPS. Rapporten kommer förklara för- och nackdelar med b˚ade IDS och IPS och hur dessa kan skydda ett processnätverk p˚a bästa sätt. Utredningen kommer framförallt att fokusera p˚a de tv˚a open source-systemen Snort och Bro men kommer även ge exempel

(9)

p˚a kommersiella l¨osningar, vilket bland annat Cisco kan erbjuda i deras Adaptive Security Appliance (ASA).

2 Bakgrund

Begreppet nätverk sammankopplas oftast med Internet, Wi-Fi, webbsurf och sociala medier. Även om Internet i sig är ett nätverk som inneh˚aller alla dessa funktioner är inte Internet definitionen av vad ett nätverk är. Nätverk är ett begrepp som beskriver ett kommunikationsmedium där olika autonoma enheter kan kommunicera med varandra. Detta avsnitt kommer beskriva vad ett processnätverk är och med vilka olika komponenter det är uppbyggt p˚a. Avsnittet kommer även förklara fundamentala skillnader gentemot de traditionella nätverken eftersom begreppet nätverk vanligen refereras till de traditionella nätverken. Genom att reda ut dessa skillnader är m˚alet att skapa en god grundförst˚aelse för att först˚a det fortsatta arbetet i rapporten.

2.1 M¨alarenergi AB

Mälarenergi AB driver ett värmekraftverk och verkar i Mälardalen med huvudkontor i Väster˚as. Mälarenergi är en typ av industri som bland annat producerar värme och energi vilket utvinns genom diverse r˚avaror. Detta är viktiga samhällsfunktioner som bidrar med direkt nödvändiga resurser till samhällets välm˚aende. Skulle samhället bli utan värme och energi vid exempelvis vintertemperaturer förekommer en stor risk att inv˚anare i samhället lider fysiska men. Mälarenergi har därmed ett stort ansvar att se till att dessa resurser finns tillgängliga. För att kunna ˚astadkomma detta krävs noggranna kontroll- och styrningsprocesser av de m˚anga automatiserade processerna som existerar i värmekraftverket, där mätvärden och kontrollkommandon skickas till och fr˚an de olika instrumenten [4]. Allt detta sker med hjälp av ett industriellt kontrollsystem som verkar i ett processnätverk och som har till uppgift är att leverera datapaket snabbt och p˚alitligt. Detta medför andra typer av nätverkskrav jämfört med de traditionella nätverken vilket kommer förklaras utförligare längre in i bakgrunden.

(10)

2.2 Industriella kontrollsystem

Ett industriellt kontrollsystem är ett system som används för att beskriva integrationen mellan h˚ardvara och mjukvara med syftet att underh˚alla och övervaka kritiska infrastrukturer i en industriprocess. Det finns olika typer av industriella kontrollsystem men det generella begreppet är Industrial Control Systems (ICS) vilket innefattar bland andra Distributed Control System (DCS) och Supervisory Control And Data Acquisition (SCADA). [4]

Detta arbete kommer vara inriktat mot SCADA eftersom Mälarenergi använder ABB:s 800xA-arkitektur vilket är en typ av SCADA-system. Datatrafiken som genereras av komponenterna i SCADA-systemet flödar genom hela industrinätverket men rapporterns huvudomr˚ade kommer vara processnätverket. Figur 1 visar processnätverkets placering och där rapporten längre in i bakgrunden kommer visa Mälarenergis komponenter i deras 800xA-system. Komponenter som de olika ICS har gemensamt är bland annat Programmable Logic Controllers (PLC), Human Machine Interface (HMI), kontrollservrar och aktuatorer. [4]

(11)

2.2.1 Programmable Logic Controller

PLC är specifikt utvecklade för automatiserad industri och används därmed i hela industrivärlden. En PLC är en styrenhet som är förprogrammerad till att utföra förprogrammerade uppgifter i ett industriellt kontrollsystem. Den sänder och mottar information fr˚an olika maskinprocesser i nätverket och utför olika arbetsprocesser baserat p˚a de förprogrammerade parametrarna. En PLC:s arbetsuppgift kan exempelvis vara att kontinuerligt reglera temperaturen i en ˚angpanna inom ett efterfr˚agat intervall. Detta gör PLC:n genom att kommunicera med pannans aktuatorer vilka kan ansvara för att bränsletillförseln sänks eller ökas. Figur 2 visar en övergriplig förklaring för hur en PLC ¨

ar uppbyggd och fungerar. [6]

Figur 2: llustrerar en PLC:s logiska struktur med dess h˚ardvarukomponenter. [6] PLC g˚ar i huvudsak igenom tre olika arbetsprocesser d¨ar varje komponent har en uppgift vilket figur 2 visar. Arbetsprocesserna ser ut enligt f¨oljande:

Process 1 Mottar en eller flera inputs i digital eller analog form fr˚an diverse maskinprocesser i industrin¨atverket.

Process 2 Varje input betyder n˚agonting och PLC:n kommer h¨ar att analysera vad som ska utf¨oras baserat p˚a den mottagna signalen.

Process 3 PLC:n reagerar med en signal vilket representerar outputen, exempelvis att en fl¨akt ska starta om temperaturen har ¨overstigit en viss niv˚a.

2.2.2 Supervisory Control And Data Acquisition

Huvudsyftet med SCADA är att kunna centralisera och automatisera övervakning, kontroll och styrning av maskinprocesser i en industri [4]. Processnätverk behandlar generellt stora mängder kontroll- och styrdata vilket skickas mellan aktuatorer, PLC:er och HMI:s. Detta hade idag varit ohanterligt utan automatiseringen och centraliseringen som SCADA bidrar med. Vilken typ av industriellt kontrollsystem industrierna väljer att använda kan variera men SCADA är en av de största och mest välkända. Figur 3 beskriver de olika niv˚aerna i ett industrinätverk. ERP och MES kommer inte den här rapporten att avhandla utan fokus riktas mot de tre nedre niv˚aerna i figur 3 vilka är Process, Control och Field.

(12)

Figur 3: Illustrerar niv˚aerna i den generella industriarkitekturen. [7]

Niv˚a 3 Process

P˚a denna niv˚a sker styrningen och övervakningen där HMI:s sänder och samlar in information som bland annat PLC:erna skickar. HMI:s kommunicerar dock i första hand med s˚a kallade aspektsservrar och kontrollservrar. [8]

Niv˚a 2 Control

Denna niv˚a best˚ar framf¨orallt av PLC:er men ¨aven andra olika kommunikationskort som kommunicerar med enheterna p˚a niv˚a 1. [8]

Niv˚a 1 Field

Denna niv˚a best˚ar av input/output-moduler, även kallat I/O-moduler, som mottar information fr˚an exempelvis PLC. Detta kan vara sensorer, aktuatorer och ställdon. Det är p˚a den här niv˚an det fysiska sker genom att exempelvis en fläkthastighet ökar eller minskar. [8]

Observera att niv˚a 2 och niv˚a 3 befinner sig i processnätverket vilket kan ses i figur 1. Detta är viktigt att känna till eftersom rapporten genomg˚aende kommer referera till de olika niv˚aerna som har beskrivits här ovanför.

2.2.3 800xA hos M¨alarenergi AB

Mälarenergi AB använder ABB:s 800xA-arkitektur vilket är en typ av SCADA-system. 800xA fungerar endast med ABB:s egna enheter, det är en egen arkitektur med proprietära lösningar jämfört med de lösningar som ˚aterfinns i traditionella SCADA. [9]

En stor del av Mälarenergis processnätverk best˚ar av virtualiserade servrar som hanterar styr- och kontrolldata genom kommunikation med PLC:erna. VMware vSphere Client används för att underlätta hanteringen av de virtualiserade maskinerna. Figur 4 visar enstaka anslutningar mellan enheterna men i verkligheten är allt anslutet till tv˚a redundanta nätverk. Detta betyder att det finns ett primärt och ett sekundärt nätverk där det sekundära nätverket tar över om det primära nätverket skulle fallera.

(13)

Figur 4 visar även servrar som har olika uppgifter, det finns bland annat kontrollserver (CS), aspektserver (AS) och domänkontrollant (DC) vilka har viktiga arbetsuppgifter i nätverket.

Figur 4: Visuell ¨overblick av 800xA-arkitekturen och de olika enheterna hos M¨alarenergi AB.

Kontroll-server

Detta är kommunikationslänken mellan HMI:s och PLC:erna där serverns främsta uppgift är att översätta kommunikationen.

¨

Oversättningen är nödvändig eftersom HMI och PLC använder olika kommunikationsprotokoll. P˚a kontrollservern finns det en mjukvara som heter OLE for Process Control (OPC) vilket möjliggör detta, se del 2.4.1 OLE for Process Control för mer information.

Aspekt-server

Denna server sparar bland annat trendbilder vilket HMI:s kan hämta för att se hur en process varat över ett efterfr˚agat tidsintervall vilket underlättar analyseringen. Servern kan även ses som en databas eftersom den lagrar information fr˚an nätverket.

(14)

Dom¨ an-kontrollant

Domänkontrollanten (DC) är en server som kan utföra m˚anga olika typer av uppgifter. Denna server kan ta hand om autentiseringen av företagets anställda när de ska f˚a tillg˚ang till resurser p˚a nätverket. Utöver detta sker ¨

aven behörighetsstyrningen härifr˚an för vad en användare kan och f˚ar göra.

2.3 Traditionella n¨atverk vs. processn¨atverk

Processnätverk skiljer sig fr˚an de traditionella nätverken ur flera aspekter men är drivna av samma principer. Stora delar av Mälarenergis processnätverk är uppbyggt p˚a ethernet- och fiberkablar som är anslutna mot industriswitchar men även traditionella lager 2-switchar. Industriswitchar är avsedda för robusta miljöer som utsätter h˚ardvaran för större p˚afrestningar än normalt, exempelvis starka vibrationer eller höga temperaturer. Betydelsen av ett säkert nätverk har vuxit i följd av ökat antal nätverksattacker [3]. I de traditionella nätverken har säkerhetsfr˚agorna varit i fokus längre än i industriella sammanhang och i synnerhet processnätverk. Detta beror till stor del p˚a att processnätverken tidigare har varit isolerade fr˚an omvärlden vilket har bidragit till att de varit sv˚ara att komma ˚at för utomst˚aende. Processnätverkens framtid ser däremot annorlunda ut, idag har de typerna av nätverk anslutningar till Internet vilket har skapat och skapar säkerhetsfr˚agor. Nätverkssäkerheten i processnätverken är därav en viktig fr˚aga men säkerhetskraven skiljer sig mot de traditionella nätverken. Ur ett trafikperspektiv kan säkerhetsmekanismerna i ett processnätverk utnyttja förutsägbarheten gällande trafikflödet i en annan utsträckning än i de traditionella nätverken. Anledningen till detta ¨

ar att det oftast finns användare i de traditionella nätverken vilka ständigt genererar olika typer av trafik. I ett processnätverk till˚ats kommunikationen vara mer statisk när det gäller flödesriktning eller vem som sänder och mottar datatrafik [10]. Säkerheten brukar generellt delas in tre olika begrepp vilka är Confidentiality, Integrity och Availability (CIA).

Confiden-tiality

Detta begrepp sammanfattar att data skyddas när den skickas fr˚an punkt A till B [11]. Anledningen till detta är att datapaketet ska vara värdelöst för en angripare som lyckas komma över det. Detta kan ˚astadkommas med kryptering vilket exempelvis kan vara AES (Advanced Encryption Standard). AES anses idag som den bästa krypteringsalgoritmen [12]. Integrity När ett paket skickas fr˚an punkt A till B ska paketet inte kunna

modifieras utan mottagarens vetskap. Sändaren utför beräkningar p˚a paketets inneh˚all med hjälp av hash-algoritmer. Detta bidrar till att mottagaren kan verifiera att inneh˚allet i paketet inte har förändrats under resans g˚ang. Denna typ av integritetskontroll kan öka sannolikheten för att en Man-In-The-Middle-attack (MITM) upptäcks. [11]

Availability Detta begrepp betyder att systemen ska vara up-and-running och tillgängliga. Generellt sett g˚ar det inte att garantera nätverkets runtime till 100 %. Kraven m˚aste däremot vara höga, framförallt i processnätverk eftersom det existerar processer där vilka underh˚aller kritiska infrastrukturer. [11]

Säkerhetspunkterna är generellt sett viktiga i alla typer av nätverk men prioriteringarna skiljer sig ˚at beroende p˚a vad för typ av nätverk det är. I ett processnätverk är det inte lika höga krav p˚a confidentiality eftersom eventuell information som en angripare kommer ¨

(15)

Tabell 1: Prioritetsordning av CIA för traditionella nätverk och processnätverk. [1] Prioritet Traditionella nätverk Processnätverk

1 Confidentiality Availability

2 Integrity Integrity

3 Availability Confidentiality

punkter inom ett processnätverk. Prioriteringsordningen ser ut som i tabell 1 där 1 är högst prioriterad:

Availability är ett av de tre begreppen i CIA och prioriteras först när det gäller processnätverk vilket kan ses i tabell 1 och detta kan kopplas till responstider och leveransp˚alitlighet. I grund och botten spelar det ingen roll hur snabbt ett meddelande skickas fr˚an avsändare till mottagare om det aldrig n˚ar destinationen. Det finns olika typer av system med olika tidskrav och deadlines p˚a varje data som skickas. Deadlines brukar delas in i tv˚a kategorier, mjuk eller h˚ard deadline [13]. Tillför inte informationen n˚agonting efter att deadline är passerad kallas det för en h˚ard deadline. Om informationen däremot fortfarande anses nyttig efter deadline är passerad kallas det för en mjuk deadline. I de flesta fall finns det n˚agon form av mjuk deadline men är mer ovanligt i SCADA-system.

“SCADA systems are hard real-time systems because the completion of an operation after its deadline is considered useless and potentially can cause cascading effect in the physical world.” [13]

Konsekvenserna kan bli stora om enheter inte uppfyller tidskraven när de interagerar med varandra [13]. Det kan ha en direkt negativ p˚averkan p˚a kritiska infrastrukturer. I ett traditionellt nätverk är det generellt sett inte lika kritiska processer, i den typen av nätverk finns det fler s˚a kallade mjuka deadlines. Exempel p˚a detta är TV-streaming där endast kvaliteten p˚a uppspelningen p˚averkas om deadlines missas.

Aktuatorer och sensorer, vilka verkar p˚a niv˚a 1, har tidskrav p˚a hundradelar vilket kan ses i figur 5. I de traditionella nätverken kan responstider i vissa fall vara viktiga men generellt spelar det ingen roll om en användare f˚ar vänta p˚a ett mail i en eller tv˚a sekunder. Denna tidsdifferens är dock inte lika försumbar i ett processnätverk eftersom detta kan orsaka skada p˚a kritiska infrastrukturer. Kommunikationen mellan en PLC och aktuator m˚aste därmed ske snabbt och obehindrat för att exempelvis f˚a fläktar i en ˚angpanna att snurra i den fart som efterfr˚agas fr˚an PLC:s sida. Är inte denna typ av kommunikation tillförlitlig riskeras temperaturen i en ˚angpanna bli för hög eller för l˚ag. Därför används industrispecifika protokoll som ProfiBus och ModBus TCP eftersom dessa ¨

ar mest lämpliga för att kunna hantera korta responstider och tillförlitliga sessioner.

2.4 Kommunikationsprotokoll i processn¨atverk

Ethernet, DriveBus, ProfiBus, OPC-AE, OPC-DA och ModBus TCP är en rad olika kommunikationsprotokoll som används i industriella sammanhang. Protokollet ethernet har industrinätverken gemensamt med de traditionella nätverken. Det är ett mycket utbrett kommunikationsprotokoll och där användandet av det protokollet väntas ökas i processnätverk [15]. Resterande protokoll är framtagna specifikt för industriernas nätverk. Mälarenergi AB använder alla de nämnda protokollen men framförallt OPC-AE, OPC-DA och ModBus TCP, därmed kommer det här avsnittet fokusera p˚a de tre.

(16)

Figur 5: Illustrerar de generella tidskraven mellan de olika niv˚aerna i industriarkitekturen. [14]

OPC-protokollen används p˚a högre niv˚aer i arkitekturen än ModBus TCP vilket kan ses i figur 6.

(17)

Figur 6: Visar kommunikationsprotokollens placeringar i den generella industriarkitekturen. Se figur 3 f¨or f¨orklaringar till varje bl˚a ruta. [16]

2.4.1 OLE for Process Control

OLE for Process Control (OPC) är samlingsnamnet för flera olika protokoll. OPC är ett av världens populäraste protokoll när det gäller kommunikationen mellan kontrollsystem, PLC:er och HMI:s. Innan OPC existerade var implementationen av diverse enheter i ett processnätverk komplext. Anledningen till detta berodde p˚a att enheterna inte kommunicerade med samma kommunikationsprotokoll men detta problem löstes med OPC som fungerar som en kommunikationsöversättare mellan protokollen. Mälarenergi använder protokollen OPC Data Access (OPC-DA) och OPC Alarms and Events (OPC-AE) vilka är tv˚a helt enskilda protokoll trots att de delvis g˚ar under samma namnbeteckning. OPC-DA används när data ska hämtas fr˚an olika kontrollsystem p˚a niv˚a 1 vilket kan ses i figur 7. Notera att OPC-protokollet används för trafiken mellan niv˚a 2 och 3 och inte vidare ner mot niv˚a 1. Protokollet OPC-AE används vid larm och händelser där OPC-klienterna meddelar OPC-servern om händelser och larm de är intresserade av. [17]

PLC:erna kommunicerar med aktuatorerna och OPC-servern genom andra typer av kommunikationsprotokoll, bland annat ModBus TCP vilket beskrivs i nästkommande del. OPC-servern har en mjukvaruimplementation vilket omvandlar kommunikationen fr˚an PLC:erna in till OPC-protokollet för att klienterna ska först˚a PLC:erna. Detta är en av anledningarna till att OPC används i processnätverk eftersom OPC-protokollen underlättar kommunikationen mellan HMI:s och PLC:erna där OPC-servern agerar som en översättare. Dessa OPC-protokoll är förh˚allandevis enkla protokoll med f˚atalet parametrar vilka krävs vid utbyte av information. [17]

(18)

Figur 7: OPC-DA används när HMI vill hämta ett mätvärde fr˚an en process i nätverket. OPC är uppbyggt enligt client/server-modellen vilket kan ses i figur 7 där CS1 agerar OPC-server. Servern kommunicerar sedan med PLC:erna efter instruktioner fr˚an OPC-klienterna, vilka är HMI. Klienterna kan bland annat instruera servern att skicka mottagen information fr˚an en PLC tillbaka till klienten med jämna tidsintervall. Detta betyder att det är klienten som avgör vad och när servern ska hämta mätvärden fr˚an de olika maskinprocesserna. [18]

2.4.2 ModBus TCP

ModBus är ett äldre protokoll vilket lanserades i slutet av 1970-talet och det utvecklades i syfte för kommunikation mellan PLC:er och HMI-enheter. 1999 vidareutvecklades ModBus och fick d˚a det nya namnet ModBus TCP och är ett av de vanligaste och mest förekommande protokollen i industrinätverk. Mälarenergi AB använder inte ModBus TCP för kommunikation mot HMI-enheterna utan det sköts med OPC, däremot används Modbus TCP vid kommunikation mellan PLC och aktuatorer [19]. ModBus TCP är av modellen client/server, likt OPC, och protokollet best˚ar i huvudsak av fyra pakettyper: Request Detta initieras av en klient där ett mätvärde exempelvis efterfr˚agas. Indication Det är ett request-paket som är mottaget av servern.

Response Detta initieras av servern och skickas mot klienten.

Confirmation Detta är ett response-paket vilket har mottagits av klienten fr˚an servern. Figur 8 illustrerar hur ModBus TCP används för att hämta data fr˚an kontrollsystem p˚a niv˚a 1. När ModBus-klienterna skickar request-meddelanden best˚ar de meddelanden bland annat av en funktionskod. Funktionskoden beskriver vad klienten vill göra, det kan handla om att läsa, skriva eller utföra andra typer av operationer. Generellt använder klienten en

(19)

Figur 8: Kommunikationsmodellen och pakettyperna mellan klient och server i ModBus TCP.

av fyra olika adressomr˚aden när den skriver eller hämtar information fr˚an servern vilka är coils, discrete input, input register och holding register. [19]

2.5 Cyber-warfare

Industrinätverk har tidigare varit förskonade mot cyber-attacker men under 2010-talet har dessa typer av nätverk utsatts för attacker. I vissa fall har attackerna varit riktade specifikt mot industrinätverken för att störa den tillhörande industrins produktion. När industrinätverken började brukas var dessa ofta isolerade nätverk som bara kommunicerade internt med systemen p˚a samma Local Area Network (LAN). Detta ledde till att säkerhet i form av antivirus och brandväggar kunde förbises till förm˚an för att snabbt och tillförlitligt skicka data. Internets framg˚ang till trots fortsatte industrinätverken i m˚anga fall att vara LAN d˚a allt som behövdes i processnätverken ˚aterfanns lokalt. Att mjukvaran förblev oförändrad gjorde att driften blev robust eftersom system inte ändrades och ingen mjukvara oförutsett kunde börja trilskas med implementerade lösningar p˚a grund av en uppdatering. Det finns dock en anledning till att mjukvara uppdateras med jämna tidsintervall och att säkerhetsbrister ˚atgärdas med nya versioner allt eftersom bristerna upptäcks. När ett nätverk som har varit isolerat under en längre tid väl utsätts för angrepp och systemet använder bristfällig mjukvara är det enkelt för en angripare att utnyttja det i syfte att skada. [20]

Under 2010-talet har m˚anga industrier tvingats koppla upp sina nätverk mot Internet framförallt beroende p˚a att externa parter som bedriver service p˚a specifik apparatur har utvecklat metoder för att felsöka och ge underh˚all via Internet. Att de tidigare isolerade nätverken nu är uppkopplade mot Internet har gjort att dessa system inte längre är skyddade p˚a samma sätt. Systemen är även mycket s˚arbara vilket gör det extra känsligt. [20]

Industrivärlden fick sig ett chockartat uppvaknande när den första farliga cyber-attacken världen sk˚adat uppdagades ˚ar 2010 [21]. Stuxnet var en datamask som p˚aträffades i ett processnätverk vilket drev en urananrikningsanläggning i Iran d˚a flera datorer betedde sig underligt [22]. När datamasken senare började analyseras konstaterades det snabbt att

(20)

masken var sofistikerad och välutvecklad. Stuxnet använde sig av fyra zero-day-attacker vilket gjorde att masken kunde sprida sig obehindrat och anonymt i nätverket [23].

“Being one of most sophisticated SCADA malware known to date, Stuxnet according to Falliere et. al at Symantec, takes advantage of multiple Windows zero-day vulnerabilities and targets the command-and-control software installed in industrial control systems world wide.” [13]

Stuxnet tog kontrollen över mjukvaran som styrde PLC:erna i ett visst skede i anrikningsprocessen, där centrifugernas varvtal ökades. Detta ledde till att centrifugbladen snurrade för fort och slets ut i en mycket högre grad än förväntat. Trots detta syntes inte dessa varvtalsförändringar p˚a övervakningsskärmarna, utan allt var tillsynes som vanligt. Att centrifugerna behövdes bytas ut ledde till omfattande kostnader för kärnkraftsprogrammet i Iran. [20]

Stuxnet hade inte bara orsakat skada i Iran utan det hade brett ut sig över hela världen, men det största antalet infekterade datorer fanns i Iran [23]. Koden som Stuxnet var uppbyggd av passade mycket bra in p˚a SCADA-strukturen vilket denna anrikningsanläggning hade vid tidpunkten av maskens upptäckt. Det fanns med andra ord flera tecken som pekade p˚a att anläggningen i Iran var m˚alet med datamasken. Detta gör hela fenomenet till n˚agot annat än bara en cyber-attack, det var ett riktat anfall. Stuxnet var mycket välskrivet, varje kodrad hade ett syfte, och det fanns ingenting i koden som inte var nödvändigt för programmet. Stuxnet innehöll stulna certifikat fr˚an en stor mjukvarukonstruktör, vilket underlättade spridningen av datamasken. De stulna certifikaten pekar p˚a ett omfattande spionage och även fysiska intr˚ang hos företagen som tillhandahöll certifikaten [24].

Informationen antydde p˚a att Stuxnet var utvecklat av en mycket välfinansierad och kunnig entitet, antagligen ett större team av hackers. Att Stuxnet troligen var riktat mot just Iran och deras kärnkraftsprogram tydliggör att den hotbild som fanns mot Iran hade f˚att effekt. Hotbilden bestod bland annat av att andra statsmakter har varit intresserade av att Iran inte ska bedriva kärnkraftsverksamhet eftersom det anrikade uranet skulle kunna användas för kärnvapentillverkning. Med dessa konstateranden verkar det som att en, till Iran, fientligt inställd makt har angripit anläggningen i Nantanz, med syftet störa eller stoppa produktionen av anrikat uran som kärnbränsle med hjälp av cybervapen. Fientlig makt, med stora resurser och god kunskap, kan vara intresserade av att störa och förstöra kritiskt infrastruktur som styrs med hjälp av processnätverk i ett cyber-warfare angrepp. [25]

Hotbilden mot processnätverk är idag förändrad och behöver tas p˚a största allvar. Hotet utgörs inte längre av enskilda hackers eller icke-finansierade hackergrupper. Det förekommer riktade attacker med god finansiering och de som ligger bakom kan vara allt fr˚an andra företag, kriminella eller statsmakter. Stuxnet p˚avisade att konsekvenserna kan bli omfattande vid intr˚ang, därför behöver säkerheten kontinuerligt ses över och förbättras i de olika processnätverken och i hotbedöming m˚aste ocks˚a cyberwarfare undersökas.

2.6 Okade s¨¨ akerhetskrav hos industrin¨atverk

När Internet växte fram förbis˚ags ofta säkerhetstänk kring intr˚ang och manipulering av nätverken, detta berodde p˚a att folk inte kände till säkerhetsriskerna eller inte brydde

(21)

sig. Idag är säkerhet en viktig del som m˚aste fungera, ett avbrott p˚a ett par timmar för exempelvis Facebook skulle innebära massor av uteblivna intäkter.

I takt med samhällets digitalisering har industrinätverken kopplats upp allt mer mot Internet. Uppkopplingen mot Internet görs i syfte att förbättra industrins produktion som helhet men blottar samtidigt nätverket för tidigare stängda säkerhetsh˚al. Mälarenergi har mottagit säkerhetskrav fr˚an statliga myndigheter om att nätverket m˚aste uppn˚a en säkerhetsniv˚a vilket görs i syfte att skydda samhället och människan.

2016 antog Europaparlamentet ett direktiv som syftar till att höja den gemensamma niv˚an inom Europeiska Unionen rörande IT-säkerhet, främst riktat mot samhällsviktiga tjänster och vissa digitala tjänster som anses viktiga i detta samband. Det s˚a kallade NIS-direktivet ställer krav p˚a ökade säkerhets˚atgärder, incidentrapportering och tillsyn av tjänsterna. Detta ska bland annat lösas med att nationella myndigheter f˚ar ansvar över att dessa krav efterlevs och att det upprättas response team som ska kunna ˚atgärda och utreda akuta intr˚ang. Kraven m˚aste efterlevas av företag verksamma med dessa typer av tjänster och den 10 Maj 2018 trädde NIS-direktivet i kraft inom Europeiska Unionen. Ett lagförslag är lagt p˚a regeringsniv˚a till lagr˚adet rörande implementation av NIS-direktivet som svensk lag. Lagr˚adet har sedemera föreslagit att den nya lagen ska träda i kraft den 10 Augusti 2018, vilket innebär att företagen kommer behöva efterleva lagen vid den tidpunkten. Beslut om att anstifta lagen är vid författandet av denna rapports ej fastställt av Riksdagen. [26]

2.7 N¨atverksattacker

Det här avsnittet kommer förklara olika typer av nätverksattacker för att klargöra hotbilden mot processnätverket. Attackerna som presenteras är ett urval av de vanligaste attackerna eftersom det inte g˚ar att lista alla attacker. Observera att det finns m˚anga olika namn p˚a attacker som i stort sett angriper ett nätverk med samma typ av attackmetoder. 2.7.1 Reconnaissance attack

Ska en attack bli lyckad, sett fr˚an angriparens sida, mot ett processnätverk underlättar det om nätverket först och främst kartläggs. Syftet med denna kartläggning kan vara att avgöra vilken typ av arkitektur som används och var exempelvis PLC:erna befinner sig i nätverket. Detta avsnitt kommer vara med fokus p˚a PLC:n och kommunikationsprotokollet ModBus TCP eftersom PLC:n kan ses som en av huvudkomponenterna i processnätverket. Det är därför naturligt för en angripare att kartlägga och attackera PLC:er eftersom konsekvenserna kan bli stora om de inte fungerar som de ska. Kartläggningen av nätverket kan göras med m˚anga metoder men generellt används n˚agra av de nedanst˚aende som sammanfattas i begreppet reconnaissance attack. [27]

(22)

Address scan

Denna metod är välkänd men effektiv och används av m˚anga angripare. Metoden kallas även för SYN scanning och Port Scanning och används för att avgöra vilka portar som är öppna p˚a en specifik enhet. Angriparen utför detta genom att sända synkroniseringspaket (SYN) till enheter i nätverket, mot specifika portar, i syfte att etablera en anslutning. Etableras anslutningen vet angriparen att porten är öppen och kan därmed avgöra vad för tjänster enheten använder. Denna enhet kan vara en PLC som exempelvis använder kommunikationsprotokollet ModBus TCP och det kan angriparen avgöra genom att sända ModBus queries-kommandon. F˚ar angriparen svar p˚a förfr˚agningarna kan svaren analyseras och avgöra om svaren kommer fr˚an en PLC. [28]

Function code scan

Metoden kan användas i syfte att analysera vilka funktioner i ModBus TCP en PLC stödjer. Detta utförs för att enklare avgöra PLC:ns s˚arbarhet mot olika typer av attacker. [28]

Point scan Detta används för att analysera read/write-förh˚allanden mellan en PLC och maskinprocess i nätverket. [28]

2.7.2 Attacker mot PLC

När kartläggningen är fastställd kan angriparen p˚abörja attackerna mot PLC:er. De nedanst˚aende attackerna är n˚agra av de mest vanliga. [27]

Response injection attack

Angriparen utger sig för att vara PLC:n genom att utföra ARP-spoofing och svarar med felaktig information, mer om ARP-spoof i del 2.7.3. Det kan exempelvis handla om ett mätvärde HMI efterfr˚agar varp˚a angriparen svarar med ett felaktigt värde. Detta är inget HMI:s kommer att märka av eftersom svaren är maskerade fr˚an angriparens sida och ser ut att komma fr˚an PLC:n. Detta kan resultera i att HMI:s tar fel beslut vilket leder till skador i maskinprocesserna. [28]

Command injection attack

Detta g˚ar ut p˚a att skicka felaktiga kommandon mot en PLC med förhoppningen att den agerar som angriparen önskar [28]. Den här typen av attack kan utföras eftersom kommunikationsprotokollen i processnätverk ¨

overlag har brister gällande integriteten, det vill säga vem som har skickat eller modifierat paketet. Ett processnätverk är med andra ord s˚arbart mot alla typer av MITM-attacker [27]. Se del 2.7.3 Övriga kända attacker för mer information om MITM.

DDoS attack

Detta är en typ av överbelastningsattack och kan utföras mot PLC i syfte att sätta dess funktioner ur spel. Attacken kan däremot utföras p˚a m˚anga olika delar i nätverket och är en av de vanligaste attackerna. Attackens syfte kan även vara att begränsa framkomligheten i nätverket eller sl˚a ut viktiga nätverkstjänster. Attacken utförs genom att skicka stora datamängder, exempelvis i form av ICMP-förfr˚agningar. M˚alet med attacken är att enheten som mottar förfr˚agningarna inte ska kunna hantera mängden datatrafik och fallera. [28]

(23)

2.7.3 Ovriga k¨¨ anda attacker

M˚anga attackmetoder är välkända och kan utföras i s˚aväl processnätverk som traditionella nätverk. Här nedan följer en beskrivning av olika metoder som angripare kan och brukar använda sig av vid attacker mot nätverk.

ARP-spoof Denna attack sker p˚a lager 2-niv˚a där en angripare skickar ut falska ARP-meddelanden och p˚ast˚ar sig vara n˚agon annan. Vill operatören i figur 9 hämta ett mätvärde hos PLC:n kommer switchen inte skicka förfr˚agan vidare till PLC:n utan förfr˚agan kommer istället n˚a angriparen.

Figur 9: Visar exempel p˚a en ARP-spoofing attack.

Detta beror p˚a att switchen har blivit lurad och tror att PLC:n befinner sig vid angriparens position. Angriparen kan sedan svara med ett falskt mätvärde och operatören kommer tro att det är PLC:n som svarar eftersom angriparen utger sig för att vara PLC:n med den maskerade MAC-adressen. [29]

Man-in-the middle

När en angripare har tagit sig in i ett nätverk finns möjligheten för avlyssning av trafiken. Angriparen kan avlyssna trafiken mellan tv˚a enheter med hjälp av ARP-spoof genom att utge sig för att vara en av enheterna i fr˚aga. All kommunikation mellan dessa tv˚a enheter g˚ar med andra ord genom angriparens dator. Detta innebär att angriparen har möjligheten att se all information som flödar mellan enheterna. Denna information kan i vissa fall även manipuleras utan varken sändarens eller mottagarens vetskap. I ett processnätverk kan det handla om att kommunikationen mellan PLC och kontrollstation kapas, kommunikationen kan sedan ändras eller störas ut beroende p˚a vad angriparen vill. Ett konkret exempel kan vara att förmedla inspelad trafik fr˚an en sensor till kontrollstationen, när sensorn egentligen försöker skicka varningar till kontrollstationen. [29] Brute-force Brute-force-attacker är en aggresiv metod vilket skiljer sig lite inom

cyber-säkerhetsomr˚adet. Inom kryptografivärlden handlar det om att testa nycklar till ett krypto till dess att en nyckel stämmer. Inom nätverk är en brute-force-attack bland annat en attack vars syfte är att testa vilka portar som är öppna i en brandvägg. Attacken kan även g˚a ut p˚a att skicka ICMP-meddelanden till samtliga enheter p˚a nätverket för att dels kartlägga och dels för att försöka störa ut n˚agon enhet med tillräckligt mycket skräptrafik för att f˚a den att sluta fungera. Detta är en metod som används och är en del av m˚anga andra attacker. [30]

(24)

Eavesdrop Eavesdropping handlar om att avlyssna en kommunikation och inom IT handlar det mer bestämt om att avlyssna trafik mellan tv˚a enheter i ett nätverk. Detta kan bland annat utföras genom att sätta sig i en Man-In-The-Middle-placering med hjälp av exempelvis ARP-spoofing. Ett program, exempelvis Wireshark, kan användas för att samla avlyssnad trafik som flödar i nätverket. Den avlyssnade trafiken kan sedermera granskas p˚a en djupare niv˚a. Eavesdropping kan vara en del av en reconnaissance attack vilket g˚ar ut p˚a att samla information om vilka typer av enheter som existerar i ett nätverk. Detta kan avgöra vilka enheter som ska utsättas för en attack. [31]

SYN-flood Detta är en typ av DDoS-attack som utnyttjar TCP:s three-way handshake för att störa ut en enhet. En SYN-flood utförs i regel p˚a följande sätt: angriparen begär TCP SYN-förfr˚agningar av en enhet som utsätts för den här typen av attack. Detta utförs p˚a ett snabbare sätt än den drabbade enheten kan hantera. M˚alet med attacken är att enheten ska bli o˚atkomlig för andra enheter i nätverket eftersom enheten inte kommer kunna hantera de övriga processerna. Detta kan resultera i att den drabbade enheten inte har möjligheten att svara p˚a viktiga förfr˚agningar i nätverket. [32]

(25)

3 Tidigare arbeten

Det finns studier kring nätverkssäkerhet i processnätverk sedan innan, inget av dessa arbeten har det svaret som vare sig vi eller Mälarenergi söker. Vi har hittat tre relaterade vetenskapliga arbeten som beskriver scenarion och lösningar som vi studerat och dragit nytta av.

A. Teixeira [33] har skrivit en doktorsavhandling om vikten av ett resilient styrsystem för kritisk infrastruktur när dessa börjar sammankopplas med Internet. Traditionellt sett tar inte systemen hänsyn till cybersäkerhet och därför menar han att det krävs ett ramverk för att analysera och kunna utarbeta denna typ av krav som de nya systemen kräver, avhandlingen syftar till att vara ramverk för ett säkrare processnätverk. Avhandlingen belyser precis de problem som vi eftersträvar att svara p˚a i v˚art arbete vilket skapar en grund för v˚art arbete, men utan att ge ett definitivt svar p˚a just v˚ar fr˚aga. Teixeira gör antagandet att en eventuell hacker kommer ha begränsad kunskap om systemet som angrips, detta bör inte förutsättas eftersom det inte g˚ar att veta hur välinformerad en hacker kommer att vara.

Bartman et al. [34] hade ett liknande problem som vi har och valde att lösa det med hjälp av en Snort-implementation som dessutom skulle kunna avgöra mer noggrant om det fanns infekterade enheter p˚a nätverket. Deras arbete skiljer sig markant fr˚an v˚art i det avseendet att den implementationen gjordes i en annan typ av nätverk, med enbart fokus p˚a SCADA-delen. Infekterade enheter kan förekomma även i styrsystemen som befinner sig utanför SCADA-delen vilket gör att den lösningen inte är komplett. Avsaknaden av en anomalibaserad detekteringsmetod är ocks˚a n˚agot som de inte behandlar vilket gör deras modell s˚arbar för zero-day-attacker.

J. Angséus och R. Ekbom [10] har gjort ett arbete innefattande vilken typ av detekteringsmetod som bör användas i ett processnätverk. B˚ade Snort och Bro användes för att analysera datatrafiken i ett processnätverk och kunde dra slutsatsen att trafiken var förutsägbar och relativt statisk. Om ny trafik börjar röra sig p˚a nätverket kan denna med enkelhet identifieras av en anomalibaserad IDS. Arbetet beskriver ˚atgärder gjorda mot ett styrsystem men lämnar ganska mycket därhän, framförallt rörande övriga delar av nätverket och huruvida n˚agot av IDS-systemen utmärker sig gentemot det andra prestandamässigt. En IDS placeras endast i själva styrsystemsdelen av nätverket där främst ModBus TCP används, detta lämnar utrymme för att andra system kan vara infekterade vilket gör utslagen menlösa.

Vi kommer att skräddarsy en lösning för Mälarenergis processnätverk med stort fokus p˚a IDS:ens placering och detekteringsmetoder i syfte att skapa en grund för ett mer resilient nätverk.

(26)

4 Fr˚

agest¨

allning

Cyber-attacker kan utgöra ett direkt hot mot en hel industriverksamhet där enskilda hackers eller kriminella organisationer kan sl˚a ut samhällsviktiga funktioner, exempelvis värme och energi. Attacker mot industriers processnätverk är ett växande problem och fortsätter att öka [3]. Säkerhetsfr˚agorna gällande processnätverken blir allt mer aktuella och i Sverige har myndigheterna Svenska Kraftnät (SvK) och Myndigheten för Samhällsskydd och Beredskap (MSB) publicerat krav gällande säkerheten i processnätverken som kritisk infrastruktur i sverige m˚aste uppfylla.

“För att uppn˚a en viss niv˚a av grundskydd i sin IT-miljö och det ekosystem av infrastruktur, system och applikationer denna miljö utgör, s˚a m˚aste varje organisation ha ett systematiskt säkerhetsarbete som inför och underh˚aller genomtänkta säkerhetsmekanismer”, skriver Svenska Kraftnät i andra utg˚avan till industrierna. [2]

De grundläggande säkerhetskraven som Svenska Kraftnät presenterar best˚ar bland annat av ˚atkomstkontroll, användningskontroll, dataintegritet, konfidentialitet och styrning av data- och informationsflöden [2]. Mälarenergi AB önskar utöka nuvarande säkerhet i form av ett eller flera intr˚angsdetekteringssystem. Detta arbete kommer att utreda hur och var intr˚angsdetekteringssystem kan implementeras för att utöka Mälarenergis nuvarande säkerhet i processnätverket.

M˚alet med arbetet är att hitta en IDS-lösning till Mälarenergi som minimerar risken för intr˚ang i processnätverket. IDS-lösningen ska ha en hög träffsäkerhet gällande intr˚ang i nätverket och vara kostnadseffektiv.

• Vilken typ av IDS är lämpligast att implementera i Mälarenergis processnätverk? – Vilka detekteringsmetoder ska användas för att effektivisera IDS:ens arbete i

M¨alarenergis processn¨atverk?

– Var n˚agonstans bör IDS implementeras i Mälarenergis processnätverk? – Vilken lösning är mest kostnadseffektiv?

(27)

5 Metod

Initialt kommer vi analysera dagens hotbild mot industriernas processnätverk för att skapa oss en uppfattning över vad för typ av attacker ett processnätverk kan ställas inför vilket steg 1 i figur 10 visar. Vi kommer att analysera tillvägag˚angssätten för de olika potentiella attackerna som kan drabba ett processnätverk. Nödvändig information kommer vi primärt att hitta i relaterade arbeten via vetenskapliga databaser som IEEE Explore och Google Scholar. Utöver detta har vi mottagit en samlad information fr˚an Mälarenergi om deras aktuella nätverksarkitektur och utrustning. Informationen innefattar även rapporter fr˚an de statliga myndigheter Svenska Kraftnät (SvK) och Myndigheten för Samhällsskydd och Beredskap (MSB) där de skrivit om hoten mot industrinätverk samt hur dessa nätverk bör skyddas.

Vi kommer utföra laborationer i nätverkssimuleringsprogrammet GNS3 där vi virtualiserar open source-systemen Snort och Bro tillsammans med Cisco-switchar och routrar. Simuleringen ska ge oss en större först˚aelse för hur Snort och Bro fungerar samt hur det är att installera dessa system, detta visas i steg 2 i figur 10.

Informationen via relaterade arbeten och övriga studier ska ge oss en större först˚aelse för hur processnätverk är uppbyggda och vilken typ IDS som bör användas hos Mälarenergi AB. Utöver detta ska vi använda oss av tidigare kursmaterial och det som vi lärt oss under v˚ara studier p˚a Mälardalens Högskola. Det finns även stöd och hjälp att ta fr˚an Mälarenergis IT-avdelning vid fr˚agetecken eller oklarheter som eventuellt behöver redas ut. Utif˚arn denna info kommer vi skapa ett lösningsförslag, vilket sker i steg 3 i figur 10.

(28)

6 Etik och samh¨

alleliga aspekter

Mälarenergi AB driver samhällsviktiga funktioner och omfattas därmed av skyddslagen. Ingen information som riskerar att försätta anläggningen för fara kommer att förmedlas till andra parter än företagets representanter. Detta arbete innebär att vi har f˚att ta del av känslig information i form av publika IP-adresser associerade med företaget, modellnummer för de olika systemen och operativsystem samt antivirusprogram som företaget använder sig av. De här delarna har författarna av arbetet kommit överens om att inte inkludera i arbetet eftersom det riskerar förvanska företagets IT-säkerhet. Utöver detta anser vi i samspr˚ak med handledarna hos Mälarenergi att det inte finns fler etiska aspekter att ta hänsyn till.

(29)

7 Intr˚

angsdetektering

Huvudsyftet med ett intr˚angsdetekteringssystem är att identifiera och logga incidenter i nätverket. Systemet används i m˚anga fall som ett komplement till övrig säkerhet i ett nätverk, exempelvis brandväggar [35]. Intr˚angsdetekteringssystemets främsta uppgift är att analysera datapaket och upptäcka suspekt datatrafik som kan ha för avsikt att skada enheter eller nätverket. Systemet ska även kunna avgöra om det är n˚agon enhet som utger sig för att vara n˚agon annan.

Det finns olika typer intr˚angsdetekteringssystem men alla har gemensamt de tv˚a logiska komponenterna; sensor och management station. Sensorerna skannar av nätverket och analyserar, finner de n˚agot misstänksamt kommer de skicka den informationen vidare till management station som utför aktionen. Generellt delas intr˚angsdetektering in i tv˚a delar vilka är Intrusion Detection System (IDS) och Intrusion Prevention System (IPS). Däremot brukar den generella termen vara IDS vilket även innefattar IPS. Skillnaden mellan dessa system är att IDS endast informerar och larmar om potentiella hot upptäcks. Administratören f˚ar sedan utifr˚an informationen fr˚an IDS:en bedöma om det är ett hot och i s˚adana fall hur det ska stoppas. IPS kan även den göra detta men den kan agera p˚a egen hand, det vill säga att den kan stoppa en potentiell attack i realtid utan n˚agot manuellt arbete fr˚an en administratör. Utöver detta finns det olika detekteringsmetoder för hur data- eller nätverksintr˚ang ska upptäckas. Ett intr˚angsdetekteringssystem kan ha m˚anga olika namn beroende p˚a hur den är konfigurerad för att söka av och upptäcka hot i nätverket. [34]

7.1 Detekteringsmetoder

Intr˚angsdetekteringssystem kan analysera trafiken med hj¨alp av olika metoder, de brukar generellt delas in f¨oljande delar [35]:

Signaturer Denna metod används genom att söka av nätverket och försöka matcha signaturer mot datapaket. En signatur kan representera kända attacker som ARP-spoof, MITM eller andra mer sv˚arupptäckta hot. IDS har signaturerna lagrade i en databas och jämför dessa signaturer mot de insamlade datapaketen för att avgöra om det ska anses som ett hot eller ej. Signaturer kan vid behov även konfigureras p˚a egen hand. [36]

Anomali Detta är en metod vilket även är känd som behavior based där en profil ¨

ar skapad för att representera olika typer av aktiviteter i nätverket. Systemet analyserar trafiken utifr˚an profilen och larmar om trafiken fr˚ang˚ar trafikmönstret i profilen. [36]

Stateful Denna metod har likheter med anomali där IDS:en har definitioner om hur ett protokoll eller program bör bete sig. Om protokollet eller programmet beter sig underligt och utanför de givna definitionerna om hur det bör bete sig kommer IDS:en att larma. Denna metod är liknande anomali en typ av beteendeanalys. Metoden är även känd under namnet specification based detection. [36]

De här metoderna kan centraliseras och användas p˚a en och samma IDS. Det är med andra ord inte alltid nödvändigt att separera metoderna mellan olika fysiska IDS-system.

(30)

7.2 Utslag

IDS:er har fyra kategorier när det gäller utslag; true positive, true negative, false positive och false negative. Detta kan användas för att mäta hur ett IDS-system presterar i ett nätverk baserat p˚a vad den ska larma p˚a, det kan ses som n˚agon form av träffsäkerhet. Den här utredningen kommer inte presentera n˚agon mätning men det kan änd˚a vara nödvändigt att känna till detta.

True positive Korrekt beslut om utslag. True negative Korrekt beslut om inget utslag. False positive Inkorrekt beslut om ett utslag. False negative Inkorrekt beslut om inget utslag.

Ett bra knep för att lyckas h˚alla isär begreppen är att se det p˚a följande sätt: True/false ¨

ar betyget p˚a IDS:ens beslut. Positive/negative är IDS:ens val om att larma eller inte. Det är med andra ord true positive och true negative som IDS:en vill uppn˚a eftersom det betyder att den har tagit rätt beslut.

7.3 Portspegling

Portspegling är en teknologi som används för att spegla datatrafiken mot en eller flera ¨

onskade portar p˚a en switch. Ett exempel p˚a portspeglingsprotokoll är Switch Port Analyzer (SPAN) vilket kan utnyttjas i samband med IDS-lösningar. Observera att denna teknologi endast används vid IDS-lösningar och inte IPS. Anledningen till detta är att IPS är placerad in-line vilket inte en IDS är, detta kommer förklaras närmare längre in i det här avsnittet. Remote SPAN (RSPAN) är ett annat alternativ om trafiken behöver speglas till fler än en switch i nätverket. RSPAN kan ocks˚a användas till att spegla trafik fr˚an en annan switch till switchen där IDS finns placerad vilket figur 11 visar. Observera att den speglade trafiken inte kan routas, det vill säga att switcharna m˚aste befinna sig p˚a samma lager 3-domän. [37]

Figur 11: När Dator 1 sänder till Dator 2 kommer switchen spegla trafiken vidare med hjälp av Remote SPAN till IDS:en som är ansluten till den andra switchen.

RSPAN kan bidra till att reducera antalet fysiska IDS-system och komplexiteten vid implementationen av IDS-system i nätverket. Utöver RSPAN och SPAN finns även Encapsulated Remote SPAN (ERSPAN) vilket gör det möjligt att överföra speglad trafik över olika lager 3-domäner med hjälp av Generic Routing Encapsulation (GRE).

(31)

Detta betyder att IDS:en inte behöver befinna sig p˚a samma subnät där den förväntade datatrafiken som ska analyseras flödar. ERSPAN är dock Cisco-proprietärt och kan därmed endast användas p˚a Ciscos switchutrustning vilka är Catalyst 6500 och 7600 samt Nexus och ASR 1000. [37]

7.4 Intrusion Detection System

IDS bör placeras strategiskt i nätverket, det vill säga p˚a platser där majoriteten eller all trafik passerar [38]. Är inte nätverket uppbyggt p˚a det sättet att det räcker med en placering för att samla in all trafik kan flera IDS-system placeras ut i nätverket. Det g˚ar även att använda Remote SPAN vilket kan reducera antalet IDS:er i nätverket [37]. Systemet ansluts mot switchar vilket speglar trafiken mot switchporten där IDS:en är ansluten vilket visas i figur 12.

Figur 12: Illustrerar en topologi och hur IDS kan uppt¨acka skadlig trafik med hj¨alp av speglingsprotokollet SPAN. [37]

H¨andelse 1 En angripare s¨ander skadliga datapaket mot PLC:n. Switchen tar emot denna trafik p˚a port 1.

Händelse 2 Switchen är konfigurerad med SPAN och speglar därmed all trafik till port 2 där en IDS finns placerad men skickar även vidare den skadliga trafiken till port 3.

Händelse 3 IDS analyserar information som den mottagit och konstaterar att det är skadlig trafik. IDS skickar därmed ett varningsmeddelande tillbaka för att uppmärksamma administratören om detta.

Det g˚ar även att placera IDS in-line likt en IPS men detta medför risker om n˚agot fel skulle inträffa med IDS-systemet. Därför är rekommendationen att alltid placera IDS vid sidan om, även kallad passiv analys, med hjälp av en SPAN-lösning. [34]

(32)

7.5 Intrusion Prevention System

Denna typ av intr˚angsdetekteringssystem skiljer sig mot IDS p˚a flera punkter. Dock ska ¨

aven en IPS placeras p˚a strategiska platser i nätverket där mycket datatrafik passerar men den ska placeras in-line. In-line betyder att systemet placeras i trafikflödet vilket kan ses i figur 13. Detta kommer leda till att datatrafiken passerar via IPS:en. Syftet med denna placering är att den ska kunna agera i realtid om ett potentiellt hot upptäcks. IPS:en har med andra ord möjlighet att blockera skadlig trafik i realtid.

Figur 13: Den skadliga trafiken som Hacker skickar kommer inte n˚a PLC:n i detta fall. Dels för att IPS är placerad in-line och dels för att den agerar i realtid.

Denna placering har b˚ade för- och nackdelar, en fördel är att det är mycket kraftfullt att kunna stoppa en potentiell attack innan den n˚ar destinationen. Nackdelen är att fel kan inträffa, det vill säga att systemet kan blockera nödvändig och ofarlig datatrafik. Detta kan leda till förödande konsekvenser om det finns enheter i stort behov av datatrafiken. [36]

7.6 Host-based Intrusion Detection/Prevention System

Host-based IDS (HIDS) anv¨ands p˚a en eller flera enheter i n¨atverket, denna typ av IDS ¨

ar med andra ord installerad p˚a enhetens mjukvara. HIDS analyserar all ing˚aende och utg˚aende trafik till enheten och tar bland annat s˚a kallade snapshots p˚a systemfilerna för att avgöra om n˚agonting har förändrats. Ett exempel kan vara ett stort antal misslyckade inloggningsförsök till enheten via SSH eller Telnet, detta kommer HIDS att reagera p˚a och varna. Den analyserar även de olika aktiviteterna som enheten utför vilket kan vara ett skydd mot om exempelvis en angripare har manipulerat enheten att utföra oönskade aktiviteter. Detta intr˚angsdetekteringssystem används vanligtvis p˚a servrar eftersom de i m˚anga fall är mest utsatta. [36]

(33)

8 Analys av intr˚

angsdetekteringssystem

Syftet med detta avsnitt är att analysera olika typer av intr˚angsdetekteringssystem (IDS). Det finns m˚anga olika typer av IDS:er vilka har b˚ade för- och nackdelar beroende p˚a bland annat nätverkets respons- och säkerhetskriterier och vad för typ av attacker som riskerar angripa nätverket. En IDS används exempelvis inte p˚a samma sätt i ett processnätverk som i ett traditionellt nätverk eftersom dessa nätverk skiljer sig p˚a m˚anga plan, se del 2.3 Traditionellt nätverk vs. processnätverk för skillnader. Denna analys ska hjälpa arbetet att ta fram en rekommendation av en eller flera lämpliga IDS-lösningar för Mälarenergis processnätverk.

8.1 Utmaningar och m¨ojligheter

Intr˚angsdetekteringssystem är komplexa system med m˚anga egenskaper vilket kan ha b˚ade positiva och negativa inverkningar p˚a ett nätverk beroende p˚a hur det skyddar och vad det skyddar. Olika nätverk har olika krav, ett processnätverk har höga krav p˚a tillgänglighet och därför är det exempelvis angeläget för en IDS att inte blockera nödvändig trafik. I Mälarenergis processnätverk existerar det kritiska processer som behöver ha ett obehindrat trafikflöde. Det är därför viktigt med b˚ade valet av IDS och typ av detekteringsmetod för tillgodose det. Det här avsnittet redovisar utmaningarna och möjligheterna i ett processnätverk för ett intr˚angsdetekteringssystem.

8.1.1 Ok¨anda attacker

Majoriteten av attackerna i ett processnätverk är inte kända i samma utsträckning som i de traditionella nätverken [39]. Detta gör att endast en signaturbaserad IDS inte kommer att prestera lika bra i ett processnätverk som i ett traditionellt nätverk. Anledningen till detta beror p˚a att databaser av signaturer endast inneh˚aller kända attacker. Däremot krävs även denna typ av detekteringsmetod i ett processnätverk eftersom angripare ¨

aven använder sig av kända attackmetoder i processnätverk, exempelvis Port Scanning. Anomalibaserade IDS:er har däremot potentialen att larma för okända attacker som utförs i ett processnätverk vilket kan vara ett komplement till en signaturbaserad detekteringsmetod. Signaturbaserade metoder har oftast en högre träffsäkerhet eftersom de är mer specifika och tydliga för vad som ska larmas. Anomalibaserade metoder är mer osäkra vad gäller träffsäkerhet men har möjligheten att larma p˚a okända attacker [36]. 8.1.2 Svagheter i OPC

Industrinätverk har funnits under en l˚ang tid och när protokollen framställdes gjordes det inte med säkerheten i fokus eftersom hotbilden d˚a var obefintlig jämfört med idag. OPC är ett av protokollen vilket är baserat p˚a Microsofts DCOM (Distributed Component Object Model) och är designat samt uppbyggt innan nätverkssäkerheten ans˚ags vara en viktig del. [18]

“The current OPC security defense methods are most based on security analysis, virtual channel, transmission encryption and access control [14]. However, these methods cannot protect the Industrial Control System based on OPC protocol from new viruses and attack methods like Havex anymore,because the new viruses and attack methods become more invisible and deceptive.” [40]

Havex var ett virus som tog kontroll över OPC-klienten och sände kommandon mot OPC-servern och som p˚a s˚a sätt kom över känslig information. OPC-serverns i huvudsak

(34)

största svaghet är att dess kontrollsystem är lättupptäckta. När data överförs med hjälp av OPC-protokollet anses detta osäkert eftersom det inte existerar n˚agon integritetskoll p˚a datapaketen. Detta gör MITM-attacker möjliga där angriparen kan styra om trafiken till felaktig destination och förändra inneh˚allet utan varken mottagarens eller sändarens vetskap. [40]

8.1.3 S˚arbara och tidsk¨ansliga processer

Attacker mot de industriella nätverken har generellt en direkt p˚averkan p˚a viktig infrastruktur. Konsekvenserna kan bli enorma med exempelvis utslagen värme eller energi till samhället. Detta innebär att säkerheten inom ett processnätverk är en större utmaning än i de traditionella sammanhangen. Det gäller att bibeh˚alla funktionaliteten hos maskinprocesserna genom att upptäcka hot i ett tidigt skede för att kunna undvika falleringar i nätverket. I processnätverket existerar det m˚anga tidskänsliga processer och figur 14 visar att det kan medföra fördröjningar p˚a trafiken när det skickas.

Figur 14: Visar en IPS som är placerad in-line vilket kan medföra fördröjningar p˚a datatrafiken som skickas.

Fördröjningarna kan bero p˚a m˚anga olika faktorer men generellt beror det p˚a h˚ardvaran hos intr˚angsdetekteringssystemet och belastningsgraden i nätverket. Angripare kan attackera IPS-systemen vilket kan göra att de fallerar och inte orkar utföra de normala arbetsuppgifterna.

8.1.4 F¨oruts¨agbar trafik

Den större delen av datatrafiken som flödar i Mälarenergis processnätverk är förutsägbar och detta underlättar arbetet för b˚ade en anomalibaserad och signaturbaserad IDS. PLC:er kommunicerar med aktuatorer och kontrollservrar p˚a ett förutsägbart sätt och därför kan profiler konfigureras i IDS-systemen vilket skapar en bild över vad normal aktivitet i nätverket är. Avviker trafiken fr˚an den normala aktiviteten kommer IDS:en att larma. I delen 8.4 Snort kommer ett exempel visas hur man även kan skräddarsy signaturer som larmar om n˚agon enhet avviker fr˚an det normala trafikflödet.

Trafikmönstret mellan PLC:er och kontrollservrar är oftast förutsägbar och n˚agot unikt med enheterna i processnätverk är att TCP-sessionerna är öppna under en längre tid. Detta är inte vanligt förekommande i de traditionella nätverken och därför kan en anomalibaserad IDS utnytta detta. [41]

“We verify that the patterns of communication for PLCs do not change over time. We believe that this observation should be taken into concern when designing security solutions in the ICS context.” [41]

Citatet ovan är ett experiment som har utförts där Layer 1 representerar niv˚a 1 denna utredning. Att PLC:er kommunicerar med jämna mellanrum och använder sig av samma