{{{sourceTextContent.title}}}

Cadre du National Institute of Standards and Technology (NIST) pour la sécurité de cyber pour SCADA

{{{sourceTextContent.subTitle}}}

Le cadre ouvre la porte aux associations qui sont plus efficaces avec la sécurité de cyber prioritaire de sorte que les besoins de l'utilisateur soient entièrement satisfaits.

{{{sourceTextContent.description}}}

Pour résoudre des problèmes de sécurité de cyber, le logiciel et les fournisseurs de matériel, les intégrateurs système, et d'autres dépositaires doivent fonctionner avec des utilisateurs pour réaliser un contrôle de surveillance sûr et une solution (SCADA) par acquisition de données. Le National Institute of Standards and Technology des États-Unis (NIST) offre le cadre de Cybersecurity (« le cadre ») pour identifier systématiquement les capitaux critiques de l'organisation, identifier des menaces, et fixer ces capitaux critiques. Le cadre ouvre la porte aux associations qui sont plus efficaces avec la sécurité de cyber prioritaire de sorte que les besoins de l'utilisateur soient entièrement satisfaits.

Les attaques financières de Cyber telles que 83 million de disques de ménage et de petite entreprise volés de JPMorgan Chase Bank (Reuters, 2014) contribuent à l'augmentation de 78% de l'impact financier de la cybercriminalité pendant les dernières quatre années. Dans cette même période, 40% de cyberattacks ont été dirigés contre des compagnies d'énergie (Siegel, Josh ; Solutions de Motorola, 2014). Le gouvernement des États-Unis se concentre sur la menace pour l'infrastructure critique de la nation telle que notre grille, huile et gazoducs, équipements de traitement des eaux résiduaires de l'eau et, et infrastructure électriques de transport comme des tunnels et des ponts.

Le décret (ordre technique) 13636 a adressé protéger l'infrastructure critique des États-Unis contre des intrusions de cyber tout en dirigeant les agences responsables des éléments de l'infrastructure partager l'information. Le cadre de NIST peut être employé pour identifier systématiquement les capitaux critiques de l'organisation, identifier les menaces, et fixe les capitaux critiques. Il est basé sur des techniques d'évaluation des risques comprenant la réévaluation périodique dans le but d'identifier et de neutraliser une menace avant qu'il se produise, mais également sur des plans de récupération dans le cas d'une attaque réussie.

L'exécution de la sécurité de cyber sous le cadre de NIST est finalement la responsabilité du propriétaire et l'opérateur d'application de SCADA car elle entoure le système entier comprenant l'organisation développant l'application de SCADA, les réseaux d'entreprise, les ordinateurs qu'elle court dessus, et les dispositifs et l'instrumentation de contrôle attachés à elle. Cependant, l'exécution des normes de sécurité et les capacités du logiciel pour mettre en application des processus de sécurité sont la responsabilité du fournisseur de SCADA.

Trois objectifs de sécurité

Trois des objectifs de sécurité de haut niveau de la grille électrique moderne, ou grille futée, sont disponibilité, intégrité, et confidentialité. Ces objectifs s'appliquent aux systèmes de SCADA dans tous les segments s'ils font partie de l'infrastructure critique. La norme d'IEEE 1815 généralement connue sous le nom de protocole de réseau réparti 3 (DNP3) a été à l'origine développée sans sécurité incluse dans une ère où la notion de la « sécurité-par-obscurité » était réaliste. En monde relié d'aujourd'hui ce n'est plus acceptable, et l'authentification sûre (SA) est une addition à la norme qui prévoit l'authentification de message. La version 5 (SAv5) de DNP3-SA libérée en tant qu'élément de la norme d'IEEE 1815-2012 a un accent fort sur aborder des problèmes de sécurité provenant des vulnérabilités démontrées au déni de service des attaques (DOS). La norme est sous le critique constant et mis à jour pour rester actuelle aux menaces de cyber.

Directive critique de sécurité d'infrastructure

En février 2013, avec une conscience d'élevage que la sécurité de cyber est une défense critique contre une attaque qui peut potentiellement perturber notre puissance, eau, communication, et d'autres systèmes critiques, le Président Barack Obama a publié un ordre technique sur améliorer l'infrastructure critique Cybersecurity et la directive présidentielle de politique (PPD) sur la sécurité et la résilience critiques d'infrastructure. Ces politiques renforcent le besoin de penser holistique à la sécurité et à la gestion des risques (service de Sécurité du territoire, 2013).

Tandis que ces directives sont concentrées sur l'infrastructure critique des États-Unis, il y a un avantage clair de l'approche une fois appliqué à d'autres infrastructures de SCADA.

Modèle de NIST pour Cybersecurity

Le cadre permet à des organisations-sans se soucier de taille, de degré de risque de sécurité de cyber, ou de sécurité de cyber sophistication-à d'appliquer les principes et les pratiques de la gestion des risques d'améliorer la sécurité et la résilience de l'infrastructure critique. Le cadre fournit l'organisation et la structure aux approches multiples à la sécurité de cyber en assemblant des normes, des directives, et des pratiques qui fonctionnent effectivement dans l'industrie. D'ailleurs, parce qu'il met en référence des normes globalement identifiées pour la sécurité de cyber, le cadre peut également être employé par des organismes situés en dehors des États-Unis et peut servir de modèle à la coopération internationale sur renforcer la sécurité critique de cyber d'infrastructure (NIST, 2014).

IEEE 1815 (DNP3) authentifications sûres

DNP3 a été conçu à l'origine sans authentification sûre. C'est un protocole utilisé intensivement dans les sous-stations, l'huile et les gazoducs, le traitement des eaux résiduaires de l'eau et, et l'infrastructure nord-américains de transport. Ceci le rend impraticable pour remplacer tous les dispositifs DNP3 par la sécurité incluse. Au lieu de cela, la norme a adopté l'approche pour améliorer l'authentification sûre à un niveau d'application-à-application.

DNP est conçu pour gérer plus d'un grand choix de réseaux, même traversant des liens périodiques au-dessus de radio et des réseaux de l'Internet Protocol (IP) en cours de déplacement de l'expéditeur au récepteur. Pour cette raison, il n'est pas suffisant de fixer seulement le réseau, mais, en fait, le message lui-même doit être fixé, qui doit être fait à la couche application.

Le mécanisme employé par DNP3-SA est un code haché supplémentaire d'authentification de message (HMAC) au message pour vérifier son intégrité. Ce HMAC emploie un gâchis cryptographique basé sur le NIST et l'algorithme de gâchis sûr du bureau de protection des données (OIN) (SHA), qui exige d'une clé partagée de décoder. Cette approche n'est pas basée sur le chiffrage, plutôt il est basée sur vérifier l'expéditeur du message avec l'assurance laquelle on n'a pas trifouillé le message. Un attaquant peut voir le message puisqu'il n'est pas chiffré, mais lui ou elle ne peut pas trifouiller lui ou envoyer les messages non autorisés sans clé.

Trois types de sécurité de réseau

Il y a trois types de sécurité qui sont utilisés généralement dans les réseaux de transmission. Ce sont site-à-site (tel que réseaux privés virtuels (VPNs)), dispositif-à-dispositif (sécurité de couche transport (TLS)), et application-à-application (SA). Tous ces types de sécurité peuvent être déployés simultanément pour la pleine protection. La raison qu'un type n'est pas suffisant est illustrée en considérant VPN.

Tandis que les routeurs et les protocoles de VPN tels qu'IPSec fixent le lien entre deux localisations physiques, il ne fixe pas les réseaux à ces emplacements partant ouverts de la possibilité qu'entailler dans un réseau donne l'accès à l'autre. TLS fixe la connexion complète de Transmission Control Protocol (TCP) et est employé dans des opérations bancaires aujourd'hui, mais la différence à l'environnement de SCADA est que cela fonctionne seulement sur les réseaux d'IP ; ainsi si le DNP croise un lien périodique il y a une vulnérabilité (Grant Gilchrist ; EnerNex, 2014).

En développant SAv5, l'opération de DNP3-SA a été passée en revue par les experts en matière externes indépendants de sécurité. Un certain nombre de caractéristiques ont été identifiées en tant qu'étant potentiellement vulnérables. En plus, le groupe de travail futé de sécurité de Cyber du panneau d'interopérabilité de grille (SGIP) (CSWG) a un ensemble de critères de sécurité qui doivent être remplis pour permettre à IEEE 1815 d'être adoptés comme norme recommandée pour l'usage dans la grille futée. Quelques modifications qui apparaissent dans SAv5 ont été incluses pour répondre à des exigences de sécurité de SGIP (Groupe d'utilisateurs DNP3, 2011).

Edward Nugent est directeur de développement des affaires, courtoisie de PcVue Inc. : PCVueSAv5 a plusieurs changements qui réduisent l'impact du déni de service des attaques responsables de la question de débordement de tampon sur la liste du Top Ten de laboratoire national de l'Idaho. Bien que DNP3-SA HMAC s'assure qu'aucune partie non autorisée ne peut avec succès communiquer à un dispositif DNP3, l'envoi de HMAC inexact crée un grand nombre de trafic en réponse au mauvais message. Presque moitié des catégories des changements du but SAv5 pour réduire l'impact de DOS.

Pour assurer des problèmes de sécurité de cyber il est rencontré, il est essentiel travailler en partenariat avec des utilisateurs pour réaliser une solution sûre de SCADA. Le cadre de NIST ouvre la porte aux associations qui sont plus efficaces avec la sécurité prioritaire de cyber de sorte que les besoins de l'utilisateur soient entièrement satisfaits.

- Edward Nugent est directeur de développement des affaires, PcVue Inc. ; édité par Mark T. Hoske, directeur satisfait, milieu de CFE, automatique, mhoske@cfemedia.com.

Automatique

Concepts clé

-U.S. Le National Institute of Standards and Technology (NIST) offre le cadre de Cybersecurity.

- Identifiez les capitaux critiques de l'organisation, identifiez les menaces, et les capitaux critiques sûrs.

- Des vulnérabilités communes peuvent être identifiées, fixe, et ont partagé.

- Les normes aident des efforts de sécurité de cyber.

Références

-U.S. les états demandent la chasse de JPMorgan des données de sécurité pendant qu'ils sondent l'entaille, Reuters, le 14 janvier 2015, 14h54 EST.

- Service de Sécurité du territoire, d'infrastructure 13636 Cybersecurity critique de amélioration du décret (ordre technique), de directive présidentielle de politique (PPD) - sécurité et résilience critiques de l'infrastructure 21.

- Groupe d'utilisateurs DNP3. Les « informations supplémentaires concernant la libération de DNP3 fixent la version 5 (SAv5) d'authentification. » 2011.

- Grant Gilchrist, EnerNex. « Options de gestion des clés pour l'authentification DNP3 sûre, » dans la conférence de Distributech, 2014.

- Laboratoire national de l'Idaho. « Analyse de vulnérabilité des systèmes de contrôle de distribution d'énergie. » 2011.

- Le Conseil de service de sécurité du Conseil de sécurité de technologie de l'information (ITSC) (USC), sécurité de service et futée de grille, l'impact des normes de NERC CIP et du NISTIR 7628 à l'industrie de service, D. Jin, D.M. Nicol, et G. Yan. « Un tampon d'événement inondant l'attaque dans DNP3 a commandé des systèmes de SCADA, » dans les démarches de la conférence de simulation de 2011 hivers, 2011.

- Institut national de la science et technologie, cadre de NIST Cybersecurity.

- Josh Siegle, solutions de Motorola. « Sécurité de Cyber pour des systèmes de SCADA et d'ICS, » de la série de séminaire d'automne d'Entelec, 2014.

- Wenye Wang et Zhuo Lu. « Sécurité de Cyber dans la grille futée : Enquête et défis, » enquête de papier, journal de réseaux informatiques d'Elsevier, janvier 2013.