Fortinet Industrial Security Fabric für Operational ... · 4 Terminology Internet of Things (IoT)...
Transcript of Fortinet Industrial Security Fabric für Operational ... · 4 Terminology Internet of Things (IoT)...
© Copyright Fortinet Inc. All rights reserved.
Fortinet Industrial Security Fabricfür Operational-Technology (OT) & Internet of Things (IoT)
Thorsten Biskup13.02.2019
3
OT, IoT & IIoT Definitions: I am lost!
ICS
SC
AD
A
OTDCS
PL
C
RTU
IED
HMI
SC
AD
A
ma
ste
r
OPC
DNP3CO
NT
RO
L
4
Terminology
Internet of Things (IoT) is an ecosystem that includes IP-enabled
dedicated devices, communications, applications, data and
analytics that contain embedded technology to sense or interact
with their internal state or external environment.
Operational Technology (OT) is hardware and software that
detects or causes a change through the direct monitoring and/or
control of physical devices, processes and events in the industrial
environment.
Industrial Control Systems (ICS) play a main role in OT and
includes Supervisory Control and Data Acquisition (SCADA)
systems and Distributed Control Systems (DCS).
Supervisory Control and Data Acquisition (SCADA) refers to a
system that collects data from various sensors at a factory, plant or
in other remote locations and then sends this data to a central
computer which then manages and controls the data.
OT ICS SCADA(I)IoT
6
Fortinet’s Approach to ICS SecurityFirst Line of Defense: Secure the IT Side
GATEWAY BETWEEN
IT AND OT
IT OT
The most likely first
point of attack
7
Fortinet’s Approach to ICS SecurityFirst Line of Defense: Secure the IT Side
GATEWAY BETWEEN
IT AND OT
IT
The most likely first
point of attack
OT
9
Operational Technology (OT): Used By
Diverse industries
Often “critical” infrastructuresAll environmental conditions
Harsh (heat, moisture, vibration); Office & Data Center
11
Segmentation and Encrypted Communication
Valve
Fan
Pump
Segmentation and Encrypted
Communication (FortiGate)
12
Purpose-Built Rugged Devices for Industrial Solutions
MODEL FGR-30D FGR-35D FGR-60D FGR-90D
Firewall
(1518/512/64 byte UDP)900 Mbps 550 Mbps 1.5 Gbps 2 Gbps
Concurrent Sessions 750,000 750,000 500,000 2,500,000
New Sessions/Sec 5,000 5,000 4,000 20,000
IPSec VPN 45 Mbps 45 Mbps 1 Gbps 84 Mbps
IPS (Ent. Mix) 230 Mbps 230 Mbps 200 Mbps 1,100 Mbps
Interfaces
(LAN, WAN & DMZ)
4 x GE RJ45
2 x SFP
2 x DB9 Serial3 x GE RJ45
4 x GE RJ45
2 x Shared Media Pairs
1 x DB9 Serial
3 x GE RJ45
2x SFP
1 x RJ45 Bypass Pair
2 x DB9 Serial
13
Access Control
Valve
Fan
Pump
Segmentation and Encrypted
Communication (FortiGate)
Access Control – Users, Devices,
Applications and Protocols(FortiGate,
FortiAuthenticator, FortiNAC)
14
Secure Wired and Wireless Access
Valve
Fan
Pump
Segmentation and Encrypted
Communication (FortiGate)
Access Control – Users, Devices,
Applications and Protocols (FortiGate
and FortiAuthenticator)
Secure Access
(FortiSwitch/FortiAP/FortiExtender)
15
FortiSwitch Rugged 112D-POE/124D
• Built to IP30 standards, no fans or moving parts
• Operates in extreme (-40 to 60 C) temperatures
• 12 or 24 gigabit Ethernet ports and RPS supported
FortiAP Outdoor Series
• IEEE 802.11a/b/g/n/ac standards-based, and operates on both 2.4 GHz and 5 GHz spectrums
• Operates in extreme (-40 to 60 C) temperatures
• Rouge AP detection and managed by FortiGate
Purpose-Built Rugged Devices for Industrial Solutions
16
Best Practice 4: Vulnerability and Patch Management
Valve
Fan
Pump
Segmentation and Encrypted
Communication (FortiGate)
Vulnerability and Patch Management
(FortiWeb, FortiClient and FortiGate)
Access Control – Users, Devices,
Applications and Protocols (FortiGate
and FortiAuthenticator)
Secure Access
(FortiSwitch/FortiAP/FortiExtender)
17
Best Practice 4: Vulnerability and Patch Management
Valve
Fan
Pump
Segmentation and Encrypted
Communication (FortiGate)
Vulnerability and Patch Management
(FortiWeb, FortiClient and FortiGate)
Access Control – Users, Devices,
Applications and Protocols (FortiGate
and FortiAuthenticator)
Secure Access
(FortiSwitch/FortiAP/FortiExtender)
FortiGate, FortiMail, FortiWeb &
FortiClient send unknown samples to
FortiSandbox for analysis
18
Best Practice 4: Vulnerability and Patch Management
Valve
Fan
Pump
Segmentation and Encrypted
Communication (FortiGate)
Vulnerability and Patch Management
(FortiWeb, FortiClient and FortiGate)
Access Control – Users, Devices,
Applications and Protocols (FortiGate
and FortiAuthenticator)
Secure Access
(FortiSwitch/FortiAP/FortiExtender)
FortiGate, FortiMail, FortiWeb &
FortiClient send unknown samples to
FortiSandbox for analysis
FortiSIEM collects logs and performs
correlation and security auditing
19
Partnership Approach vs
Product Vendor
Fortinet’s Approach to ICS Security: Solution
EMI
Thermal
Vibration
Industrial Grade &
Compliance Ready
IT
FortiGate
DMZ Network
Process
Network
Control
Network
Secure
Gateway
Field
Network
Plant
Floor
FortiGate
FortiGate
HMI HMI HMI HMI
FortiGate
FortiGate
RTU PLCRTU PLC
ICS Network 1 ICS Network 2
Segmentation
of different
ICS Networks
Granular
Segmentation
within the ICS
Network
TRUSTED ADVISOR
SOLUTION FOCUS
Consultative approach
Strong system engineering
field focus
Consulting Services
Architectural Framework
Solutions
ISA-99, IEC-62443, NERC,
NIST
Professional Services
Enterprise Support Services
20
Critical ManufacturingPlant Floor
Level 0
Physical Plant Floor
Instrumentation Bus Network
Level 1
Process Control
Local Area Network
Level 2
Supervisory
Control Network
Industrial Control System
Physically Segmented
Production Line
FortiGate
FortiLink
FortiSwitch
Private VLANs
Micro Segmentation
Fortinet Secure
Unified Access Solution
Fortinet
Operational Technology
Fabric Solution
Remote Edge
Manufacturing Plant
FortiGate
Firewall
Internal Segmentation
Wide Area Network
MPLS, SD-WAN, 3G, 4G, APN, VPN
ADSL, Cable
FortiGate Edge Firewall
Enterprise Protection
Physical Internal
Segmentation of Production Lines
Wide Area
SD WAN
3G 4G Extension
VPN
Authentication
Two Factor
Access Control
FortiGate Firewall
Industrial FortiGuard
Application Control
IPS
Physical Security
Physical Relays
Stack lights
Presence Analytics
FortiCAM
FortiSwitch
FortiAP’s
Micro Segmentation
Layer Two
FortiLink
Operator PC
Serial to IP
Mic
ro
Segm
enta
tio
n
PLC or RTU
Engineering
WorkStation
Purdue, ISA-99, IEC-62443
22
IoT Beispiele – “Hausgebrauch”
Ralph Lauren Shirt
Mimo Monitor
Smarte Thermostate
Apple Watch
Smarte Kühlschränke
Google glasses
Smart TV
Smart Phones
23
Medizinische Überwachung
(I)IoT Beispiele – “Geschäftsrelevant”
Smart Metering
Windkraftanlagen
Heizung, Lüftung, Klimatechnik Systeme
KraftwerkeConnected Car
24
Die Evolution der Netzwerksicherheit
NAC 1.0
Safe Onboarding
NAC 3.0
IoTNAC 2.0
BYOD
Skalierbares
On-Boarding
ermöglichen
Sichere
Devices
gewährleisten
Sicheres
Network Provisioning
ermöglichen
Guest
Management
Schnelle Triage
von Security
Events
Reduzieren der
Threat Containment
Time
Was im Netzwerk erscheint, hat sich im Laufe der Zeit geändert.
Damit ist eine stete Veränderung, wie das Netzwerk
reagieren muss, erforderlich.
25
Wachsender Bedarf
NAC Markt, 2016
$685
Million
Wachstumstreiber und Trends
Identifizieren und Überwachen von IoT
Automatisieren des Policy Enforcement basierend auf
Authentifizierung, Erkennung, Endpoint-Konfiguration
oder Aufgabe/Funktion/Rolle
Verbesserung der Sichtbarkeit im Netzwerk
Um die Risiken durch nicht konforme Geräte zu
reduzieren und den Zugriff auf Unternehmensnetzwerke
und Betriebsanlagen zu ermöglichen
Regulierung und Audit
Nachweis, dass das Unternehmen sein Netzwerk
kontrolliert und überwacht und die Einschleppung von
Rogue Devices bewältigt
Marktanalyse
Bis zum Jahr 2019 werden 40% der großen Unternehmen
spezialisierte, automatisierte Tools benötigen, um die
regulatorischen Verpflichtungen im Falle eines ernsthaften
Informationssicherheitsvorfalls zu erfüllen
Einer der am schnellsten wachsenden Märkte in der Cybersecurity
Gartner, Market Guide for Network Access Control, May 2017
26% YoY growth
26
Angetrieben durch das explosive Wachstum im IoT
IoT-Wachstumstreiber
Der IoT-Markt wird gewaltig sein
› Gartner prognostiziert, dass der Business-IoT-Markt von einer installierten Basis von 2,3 Milliarden Geräten im Jahr 2016 auf 9,1 Milliarden Geräte im Jahr 2021 wachsen wird
› Bis zum Jahr 2020 werden über 25% der identifizierten Angriffe in Unternehmen IoTbetreffen, obwohl das IoT weniger als 10% der IT-Sicherheitsbudgets ausmachen wird
Source: Gartner, BI Intelligence, IHS Technology.
› Die Kosten für mit dem Internet verbundene Sensoren sinken
› Steigende Investitionen in IoT-Lösungen und -Systeme durch Großunternehmen
› Erweiterung der Internet-Konnektivität durch größere WLAN-Abdeckung und andere drahtlose Technologien
0,0
2,0
4,0
6,0
8,0
10,0
Business IoT Devices
2016 2017 2018 2019 2020 2021
Gartner IoT Forecast (Milliarden)
Gartner: Forecast: Internet of Things — Endpoints and Associated Services, Worldwide, 2017
27
Wie viele dieser Dinge waren es nochmal?IoT Installationsbasis nach Kategorie (Milliarden Geräte)*
*Gartner 2017
Branchenübergreifend
Branchenspezifisch
Consumer
2017
12 863
7 0385 244
2018 2020
8.4BTOTAL
11.2BTOTAL
20.4BTOTAL
28
Anstieg neuer Geräte» Nicht-Laptops
» Nicht-Mobiltelefone
» Endpoint/Clientsoftware nicht möglich (Headless Devices)
Viele „Nicht-IT“-Organisationen und Endnutzer fügen Geräte mit Internetverbindung hinzu» Autorisiert und nicht autorisiert
"Was ist in Ihrem Netzwerk?"» Wie können Sie das wissen?
Warum ist IoT eine Bedrohung?
29
The Cybersecurity Problem…HEUTE 2020
1.5Milliarden
Attacken werden
sich ausbreiten
6.9Milliarden
Verbundene "Dinge“
in Business-Netzwerken
256Tage
Um einen Angriff zu erkennen
11Millionen
Aufzeichnungen über
Kompromittierungen
im Juni 2016
2.4Milliarden
Verbundene "Dinge“
in Business-Netzwerken
DIE WAHRE
HERAUSFORDERUNG = 1
ERFOLG-
REICHEN
ANGRIFF
OFFENEN
PORTUNBEKANNTES
DEVICE
KeinRückgang
Kein Rückgang in Sicht
ES BENÖTIGT
NUR EINEN
30
IoT Sicherheit - Schlagwörter
LERNEN SEGMENTIEREN
Definieren einer Policy
SCHÜTZEN
Alle BereicheVertrauen oder nicht
31
Fortinet akquiriert Bradford Networks
Gegründet: 2000
Lokation: Concord, New Hampshire
Kunden: 1000+ Kunden, 25+ Länder
Branchen: Bildung, Gesundheitswesen, Gastgewerbe, Versorgungsunternehmen, Finanzdienstleistungen
Go-to-Market: Direct Sales mit Ausführung durch Reseller und Distributoren
Lösung/Produkt: Network Sentry (jetzt FortiNAC)Preisgekrönte, patentierte Netzwerkzugriffs- und Steuerungstechnologie für eine richtlinienbasierte Lösung zur Definition und Implementierung eines umfassenden Sicherheitsstatus
5. Juni 2018
32
NAC Marktlandschaft - 2 Hauptkategorien
Wired & Wireless
Netzwerk Infrastrukture
- Management
Konsolidierung
- Integration mit anderen
Netzwerk Security
Lösungen:
- Firewalls
- Access Layer
Switching
- Wireless
- IPS
- Advanced Threat
Defense
Pure-Play NAC Hersteller
- unterstützt heterogene
Infrastruktur und Geräte
- Multivendor-Möglichkeit
durch
- syslog
- open API
- RESTful API
- Agentless Lösungen für
Windows & macOS
33
NAC Marktlandschaft - 2 Hauptkategorien
Wired & Wireless
Netzwerk Infrastrukture
- Management
Konsolidierung
- Integration mit anderen
Netzwerk Security
Lösungen:
- Firewalls
- Access Layer
Switching
- Wireless
- IPS
- Advanced Threat
Defense
Pure-Play NAC Hersteller
- unterstützt heterogene
Infrastruktur und Geräte
- Multivendor-Möglichkeit
durch
- syslog
- open API
- RESTful API
- Agentless Lösungen für
Windows & macOS
&
34
NAC für die Security Fabric
Network Sentry ist bereits
integriert in:
FortiGate
FortiSIEM
FortiSwitch
FortiAP
FortiWLC
38
FortiNAC: Umfassende Netzwerksicherheit
Sichtbarkeit
Erkennen aller Endpoints, IoT-Geräte, Benutzer und App´s
» RADIUS, CLI, SNMP, Syslog, MDM, DHCP, LDAP
» Identifizieren von mehr als 1.500 Gerätetypen
Multi-Vendor Wired & Wireless Konnektivität
» Input von nahezu allen Herstellern und Modellen
Identifizieren und Profiling jedes Endpoint
» Policy-Regeln durch granulare Gerätetypen erstellen und aktivieren
» Erweitert das Schwachstellen- und Patch-Management auf FortiClient
Selbstregistrierung zur Vereinfachung des Guest Management
39
FortiNAC: Umfassende Netzwerksicherheit
Kontrolle
Automatisierte Authentifizierung und Autorisierung» Detaillierte Benutzer- und Geräteprofile ermöglichen den
automatisierten Zugriff in das Netzwerk» Bewerten der Aufgabe, Funktion, Rolle, Standort, Tageszeit und
Gerätekennzahlen für Entscheidungen
Dynamische Netzwerkzugriffssteuerung (dynamic NAC)» Anpassung des Gerätezugriffs auf Assets, basierend auf Aktivitäts- oder
Profil-Änderungen
Aktivierung von Netzwerk-Mikrosegmentierung» Granulare Geräteidentifikation ermöglicht segmentierte Netzwerke» Geräte haben begrenzten Zugang, um eine Ost-West-Infektion zu
verhindern
40
FortiNAC: Umfassende Netzwerksicherheit
Automatisierte Reaktion
Situationsbewusstsein im SOC & NOC» Security Events nach Erkennung zur sofortigen Fehlerbehebung
Schnelle Triage von Security Events» Automatisierte Regeln können in Sekunden auf schädliches Verhalten
reagieren
Beschleunigung von Bedrohungsuntersuchungen» Gerätehistorie aus mehreren verfügbaren Quellen sofort
zusammengestellt
Granulare Eingrenzungsoptionen» Zum Beispiel Quarantäne oder Internet-Only-Konnektivität
41
Kontinuierliches Device Profiling
1. Drucker ist mit
dem Netzwerk
verbunden
2. MAC Notification
Trap triggert
FortiNAC
1. Benutzer bringt
infizierten Laptop
mit zur Arbeit
3. FortiNAC
profiled Gerät
als Drucker
2. FGT sendet
ein Event an
FortiNAC
3. FortiNAC
isoliert den Laptop
auf Access Layer
4. Virus direkt am
Switch Node
aufgehalten
4. FortiNAC informiert
die Fabric, um dem Drucker
Netzwerk-Zugriff zu ermöglichen
Eingrenzen von lateralen Edge Angriffen
42
Wichtige Unterscheidungsmerkmale
› Bidirektionale APIs zur Integration von FortiNAC mit anderen Plattformen von
Drittanbietern
› Unterstützt mehr als 1.500 Netzwerkinfrastrukturgeräte und kann einen Kontext
bereitstellen und jeden Endpunkt mit einer IP-Adresse eingrenzen
› Aktiviert und nutzt die Netzwerksegmentierung, indem der Netzwerkzugriff basierend
auf Attributen (Benutzerrolle, Geräteprofil und Anwendungsnutzung) dynamisch
festgelegt und aktualisiert wird
› Die Architektur benötigt keine Sicht auf den Netzwerktraffic, daher wird keine
Appliance (virtuell oder physisch) an den Sites in einer Multi-Site Installation benötigt
› Kann durch VM- und cloudbasierten Deployment Optionen problemlos von Service
Providern und MSSPs bereitgestellt werden
› Hat die Fähigkeit, genaue Device Profile zu erstellen, was entscheidend ist, da sich
IoT weiterentwickelt
43
Appliances
• 3 Control Appliances
• 3 Application Appliances
• Manager (concurrent
license coordination)
• Analytics Server (stats
across the entire network
Bestandteile der Network Access Control (NAC) Lösung
Protection License Levels
• FortiNAC BASE License
• Detection
• FortiNAC PLUS License
• Detection & Control
• FortiNAC PRO License
• Detection, Control & Response
Virtual Machines
(most popular)
• Control / Application VM
• Manager VM (concurrent
license coordination)
• Analytics VM (stats
across the entire network)
45
NetworkSecurity
Multi-Cloud Security
Endpoint Security
Email Security
Web Application Security
SecureUnified Access
Advanced Threat Protection
Management& Analytics
FortiOS 6.0
FortiClient 6.0 FortiWeb 6.0FortiMail
Secure Email
Gateway
FortiSandbox 3.0 FortiAnalyzer 6.0
FortiManager 6.0
FortiSIEM 5.0
FortiOS 6.0 FortiAP 6.0
FortiSwitch 6.0
Endpoint
IoTMulti
Cloud Applications
Web Unified
AccessEmail Threat
Protection
Advanced Management
Analytics
FortiCASB 1.2
Das weitreichendste Sicherheitsportfolio in der IndustrieVon Grund auf neu entwickelt, um eine echte Ende-zu-Ende-Integration zu ermöglichen