PROGETTO ENEA GOVERNO E SICUREZZA DELLE RETI TECNOLOGICHE ED ENERGETICHE SAFEGUARD - IRRIIS ENEA, 9 Luglio 2009 Giordano Vicoli SAFEGUARD - IRRIIS EU SAFEGUARD: Intelligent Agents Organization to enhance Dependability and Survivability of Large Complex Critical Infrastructures (2002-2004) IP EU IRRIIS: Integrated Risk Reduction of Information-based Infrastructure Systems (2006-2009) 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 2 Modello a strati di una Infrastruttura Critica altamente informatizzata SAFEGUARD è focalizzato alla protezione della singola infrastruttura considerando le intra-dipendenze, principalmente Strato nel livello informativo (SCADA) Organizzativo IRRIIS è focalizzato alla protezione di più infrastrutture considerando le interdipendenze a livello fisico, informativo e organizzativo. Rete elettrica Intra-dipendenze Strato Informativo Inter-dipendenze Strato Fisico Infrastruttura Generica 19/12/2015 Rete telecomunicazione pubblica Rete trasporto Olio/Gas Governo e Sicurezza Reti Tecnologiche ed Energetiche 3 Architettura Safeguard Other LCCIs Foreign Electricity Networks Telecommunication Networks ------------------- Safeguard agent Architecture for Large Complex Critical Infrastructures (LCCIs) Low-level agents High-level agents Negotiation agent 19/12/2015 Topology agent Diagnosis wrappers Protezione a livello globale MMI agent Correlation agent Intrusion Detection wrappers Hybrid Anomaly Detection agents Action agent Actuators Protezione a livello locale Cyber Layer of Electricity Network Home LCCIs Commands and Governo e Sicurezza Reti Tecnologiche ed information Energetiche Information only 4 Architettura Safeguard Livello 1 – Identificazione di possibili attacchi o malfunzionamenti Low-level agents High-level agents Gli Hybrid anomaly detection utilizzano algoritmi specializzati nel rilevare deviazioni dalla normalità che possono essere generate Negotiation MMI da nuovi tipi di attacco. Algoritmi Signature-based sono usati per agent agent classificare attacchi che hanno una firma conosciuta. 19/12/2015 Diagnosis wrappers Intrusion Detection wrappers Hybrid Anomaly Detection agents Local nodes protection Cyber Layer of Electricity Network Home LCCIs Commands and Governo e Sicurezza Reti Tecnologiche ed information Energetiche Information only 5 Architettura Safeguard Other LCCIs Foreign Electricity Networks Telecommunication Networks Level 2: Correlazione di informazioni ------------------- diverse Low-level agents High-level agents Questi T agenti correlano informazioni diverse per rafforzare o scartare una ipotesi diagnostica. 19/12/2015 Topology agent Diagnosis wrappers Correlation agent Intrusion Detection wrappers Hybrid Anomaly Detection agents Action agent Actuators Local nodes protection Cyber Layer of Electricity Network Home LCCIs Commands and Governo e Sicurezza Reti Tecnologiche ed information Energetiche Information only 6 Architettura Safeguard Other LCCIs Foreign Electricity Networks Telecommunication Networks ------------------- Safeguard agent Architecture for Large Complex Critical Infrastructures (LCCIs) Low-level agents High-level agents Negotiation agent Topology agent Network global protection MMI agent Correlation agent Action agent Level 3: Interfacce di supporto all’operatore L’agente MMI supporta l’operatore nelle strategie di Diagnosis Intrusion Hybrid Anomaly Actuators riconfigurazione. L’agente Negotiation da supporto alla wrappers Detection con operatori di altre negoziazione di Detection politiche di recovery wrappers agents Infrastrutture. 19/12/2015 Local nodes protection Cyber Layer of Electricity Network Home LCCIs Commands and Governo e Sicurezza Reti Tecnologiche ed information Energetiche Information only 7 TRE TIPI DI AGENTE DI “ANOMALY DETECTION” Detector di riconoscimento di sequenze di eventi (Case Base Reasoning) Ai processi svolti da un sistema corrispondono determinate sequenze di eventi: i ritardi degli eventi nelle sequenze indicano presenza di anomalie nella esecuzione dei suddetti processi. Sequenze errate indicano malfunzionamenti. Detector di riconoscimento di “invarianti” nei dati Gli “invarianti” nei modelli dei dati giocano un ruolo importante per la diagnostica. Quando un’invariante non è più soddisfatto ciò significa ciò indica che qualcosa di nuovo è accaduto o sta accadendo nel sistema. Detector di anomalie sulle porte (Tecniche di Data Mining) I pacchetti che transitano sulle porte di comunicazione vengono analizzati nell’header e nel contenuto mediante “classificatori” statistici in grado di rilevare strutture diverse da quelle normali. 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 8 PIATTAFORMA DI TEST : emulazione su rete locale dei componenti di un sistema SCADA distribuito “Broker” di messaggi Generatore di Attacchi Centro Controllo Regionale Data Base Regionale Alberi di attacco progettazione esecuzione logs RTU 3 RTU 2 RTU 1 Simulatore rete elettrica di load-flow (e-Agorà) RTU n Data Base Nazionale Centro Controllo Nazionale Piattaforma di esecuzione agenti SAFEGUARD Detector di riconoscimento di “invarianti” nei dati Detector di riconoscimento di sequenze di eventi Detector di anomalie sulle porte 19/12/2015 Rete locale scambio dati Governo e Sicurezza Reti Tecnologiche ed Energetiche 10 SCADA Emulator components architecture SCADA EMULATOR (SE) Control Centre (CC) GUI SIA-R-1 DAC SIA-R-2 SIA-R-3 AD Component Each SE component has been implemented in Java language. They communicate with each other through messages. Message exchange has been implemented using the Java Messaging Service (JMS), so that the complete system also includes a message broker, in this case the Sonic MQ Message broker. Each component of SE sends messages to other components through the broker, which has the task of routing information from a sender to the right receiver. 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 12 SCADA Emulator functions • Data monitoring from Substations: RTU polling cycles about 4 sec 1 2 3 4 5 6 44.70 44.99 45.28 45.56 45.85 ... -97.93 -97.54 -97.14 -96.75 -96.35 ... 165.89 164.17 162.44 160.71 158.98 ... 33.88 33.52 33.17 32.82 32.46 ... 308.16 309.42 310.68 311.94 313.20 ... 61.24 61.26 61.27 61.29 61.31 ... -37.03 -36.79 -36.56 -36.33 -36.09 ... 1.41 1.38 1.35 1.32 1.29 ... • Sending of Tele-Commands (like for opening/closing breakers) • Receiving answering Tele-Signals (emulating delays) • All these functions generate EVENTS and DATA available on an “instrumentation” interface for Safeguard agents 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 13 Attack Trees Editor and Scenarios Running Console Attacks/faults Console design attacks or faults in form of tree Generate from a tree all possible scenarios or “sequences of actions” ordered by difficulty Run a scenario as a “timed” sequence of malicious actions or faults 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 14 Experimentation: CBR agents ANOMALIES CORRELATION A “guessing” attack type of false tele-commands is detected. A specific misuse of the tele-command messages is correlated with anomalies in the processing ofTecnologiche tele-measures. Governo e Sicurezza Reti ed 19/12/2015 Energetiche 15 Experimentation: DMA and NN agents ANOMALIES CORRELATION If a tele-command of a “guessing” attack type succeed and an electrical line is disconnected anomalies detected by DMA agent could be correlated with anomalies cominged from NN agent Governo e Sicurezza Reti Tecnologiche 19/12/2015 16 Energetiche Actual laboratory configuration of the SAFEGUARD SCADA system emulator Machine 2 RTUs emulators Machine 3 Control Centre emulator Machine 4 Messages communication Machine 5 broker Agent Alarms monitoring interface Machine 1 Electrical Network Simulator Data Source Communication Network 1 RTU neural detector (anomalies on acquired data) 2 Processes events detector (anomalies on events) 3 Messages detector (anomalies on message packets) 419/12/2015 Governo e(status Sicurezza Tecnologiche ed System parameters wrapper of Reti system parameters) Energetiche Machine 6 Disturbance/attacks simulator 17 Test Bed Safeguard 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 18 Architettura Safeguard Other LCCIs Foreign Electricity Networks Telecommunication Networks ------------------- Safeguard agent Architecture for Large Complex Critical Infrastructures (LCCIs) Low-level agents High-level agents Negotiation agent Topology agent Network global protection MMI agent Correlation agent Action agent Level 3: Interfacce di supporto all’operatore L’agente MMI supporta l’operatore nelle strategie di Diagnosis Intrusion Hybrid Anomaly Actuators riconfigurazione. L’agente Negotiation da supporto alla wrappers Detection con operatori di altre negoziazione di Detection politiche di recovery wrappers agents Infrastrutture. 19/12/2015 Local nodes protection Cyber Layer of Electricity Network Home LCCIs Commands and Governo e Sicurezza Reti Tecnologiche ed information Energetiche Information only 19 IRRIIS Vision Integrated Risk Reduction of Information-based Infrastructure Systems To enhance substantially the dependability of (Large Complex) Critical Infrastructures by introducing appropriate Middleware Improved Technology (MIT) components. 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 20 Control Room with MIT WorkStation from IRRIIS Review Meeting, Brussels 16 March, 2007 LCCI 1 Control Room MIT WorkStation MIT WorkStation Control Room LCCI 2 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 27 Need for a Strategy Manager LCCI 1 Control Room MIT WorkStation MIT WorkStation Control Room LCCI 2 19/12/2015 Governo e Sicurezza Reti Tecnologiche ed Energetiche 28 Middleware Improved Technology CI 2 Internal Assessment Risk Assessment Emergency Management CI 1 Internal Assessment Risk Assessment Emergency Management Physical / Functional Integrity 19/12/2015 Operation Threats / Vulnerabilities Mitigation Actions Governo e Sicurezza Reti Tecnologiche ed Energetiche Contingency Plan Emergency Handling 29 MIT integration with existing SCADA systems from IRRIIS Review 19/12/2015 IRRIIS Inter-LCCI Communication Highway Governo e Sicurezza Reti Tecnologiche ed Energetiche LCCI 2 LCCI 1 Meeting, Brussels 16 March, 2007 30 Proposed TESTBED Logic Set up from IRRIIS Review Meeting, Brussels 16 March, 2007 SimCIP Agent / Scenario Behaviours GUI Logger Fault / Attack Tool MIT 1 LAMPSSys RTI Telco Simulator Ele SCADA Tlc SCADA Emulator Emulator 19/12/2015 Analysis 3 Analysis 2 Analysis 1 Tool 2 Tool 1 Electricity Simulator LCCI Data Governo e Sicurezza Reti Tecnologiche ed Energetiche MIT 2 31 Proposed TESTBED Physical Configuration from IRRIIS Review Meeting, Brussels 16 March, 2007 MIT 1 Electrical LCCI SimCIP Electricity Simulator Tool 1 Tool 2 Analysis 1, 2, 3 .. Logger GUI Fault /Attack Tool LAMPSSys RTI Agent / Scenario Behaviours LCCI Data 19/12/2015 TELCO Simulator Governo e Sicurezza Reti Tecnologiche ed Energetiche MIT 2 TeleCommunication LCCI 32 Roma Mini TELCO Black-out January 2004 NETWORK STATE OVERVIEW & ROOT CAUSES Pre-incident TELCO network in secure state AND Station continue working with decreased battery autonomy AND Trip of main power supply Loss of power supply 1 Flood on the apparatus room of the Telco SGT station. UPS start from batteries 2 The battery autonomy finished as Fire Brigate was not able to eliminate water in time. Many external Telco services go down, as the ACEA data links between control centers AND The normal power supply from ACEA was restarted Damaged equipment replaced AND Return to normal state Telco services restart 90 min. 3 The full functionality of the SGT station is restored Legend 4 hours 19/12/2015 Safe network state Collapsed network Endangered network state Event Governo e Sicurezza Reti Tecnologiche ed Disturbed Energetiche network state Root cause 33
Scarica
