Fortinet Industrial Security Fabric für Operational ... · 4 Terminology Internet of Things (IoT)...

© Copyright Fortinet Inc. All rights reserved.

Fortinet Industrial Security Fabricfür Operational-Technology (OT) & Internet of Things (IoT)

Thorsten Biskup13.02.2019

2

Thorsten Biskup

Dipl.-Ing. (FH)

Systems Engineer

3

OT, IoT & IIoT Definitions: I am lost!

ICS

SC

AD

A

OTDCS

PL

C

RTU

IED

HMI

SC

AD

A

ma

ste

r

OPC

DNP3CO

NT

RO

L

4

Terminology

Internet of Things (IoT) is an ecosystem that includes IP-enabled

dedicated devices, communications, applications, data and

analytics that contain embedded technology to sense or interact

with their internal state or external environment.

Operational Technology (OT) is hardware and software that

detects or causes a change through the direct monitoring and/or

control of physical devices, processes and events in the industrial

environment.

Industrial Control Systems (ICS) play a main role in OT and

includes Supervisory Control and Data Acquisition (SCADA)

systems and Distributed Control Systems (DCS).

Supervisory Control and Data Acquisition (SCADA) refers to a

system that collects data from various sensors at a factory, plant or

in other remote locations and then sends this data to a central

computer which then manages and controls the data.

OT ICS SCADA(I)IoT

5

The Traditional Approach to ICS Security Implement a Gateway

GATEWAY BETWEEN

IT AND OT

IT OT

6

Fortinet’s Approach to ICS SecurityFirst Line of Defense: Secure the IT Side

GATEWAY BETWEEN

IT AND OT

IT OT

The most likely first

point of attack

7

Fortinet’s Approach to ICS SecurityFirst Line of Defense: Secure the IT Side

GATEWAY BETWEEN

IT AND OT

IT

The most likely first

point of attack

OT

8

Operational Technology (OT): Used For

Industrial AutomationMonitor, Control, Operate

9

Operational Technology (OT): Used By

Diverse industries

Often “critical” infrastructuresAll environmental conditions

Harsh (heat, moisture, vibration); Office & Data Center

10

Common IT and OT Network

Valve

Fan

Pump

11

Segmentation and Encrypted Communication

Valve

Fan

Pump

Segmentation and Encrypted

Communication (FortiGate)

12

Purpose-Built Rugged Devices for Industrial Solutions

MODEL FGR-30D FGR-35D FGR-60D FGR-90D

Firewall

(1518/512/64 byte UDP)900 Mbps 550 Mbps 1.5 Gbps 2 Gbps

Concurrent Sessions 750,000 750,000 500,000 2,500,000

New Sessions/Sec 5,000 5,000 4,000 20,000

IPSec VPN 45 Mbps 45 Mbps 1 Gbps 84 Mbps

IPS (Ent. Mix) 230 Mbps 230 Mbps 200 Mbps 1,100 Mbps

Interfaces

(LAN, WAN & DMZ)

4 x GE RJ45

2 x SFP

2 x DB9 Serial3 x GE RJ45

4 x GE RJ45

2 x Shared Media Pairs

1 x DB9 Serial

3 x GE RJ45

2x SFP

1 x RJ45 Bypass Pair

2 x DB9 Serial

13

Access Control

Valve

Fan

Pump



Access Control – Users, Devices,

Applications and Protocols(FortiGate,

FortiAuthenticator, FortiNAC)

14

Secure Wired and Wireless Access

Valve

Fan

Pump




Applications and Protocols (FortiGate

and FortiAuthenticator)

Secure Access

(FortiSwitch/FortiAP/FortiExtender)

15

FortiSwitch Rugged 112D-POE/124D

• Built to IP30 standards, no fans or moving parts

• Operates in extreme (-40 to 60 C) temperatures

• 12 or 24 gigabit Ethernet ports and RPS supported

FortiAP Outdoor Series

• IEEE 802.11a/b/g/n/ac standards-based, and operates on both 2.4 GHz and 5 GHz spectrums

• Operates in extreme (-40 to 60 C) temperatures

• Rouge AP detection and managed by FortiGate

Purpose-Built Rugged Devices for Industrial Solutions

16

Best Practice 4: Vulnerability and Patch Management

Valve

Fan

Pump



Vulnerability and Patch Management

(FortiWeb, FortiClient and FortiGate)




Secure Access


17


Valve

Fan

Pump








Secure Access


FortiGate, FortiMail, FortiWeb &

FortiClient send unknown samples to

FortiSandbox for analysis

18


Valve

Fan

Pump








Secure Access


FortiGate, FortiMail, FortiWeb &

FortiClient send unknown samples to

FortiSandbox for analysis

FortiSIEM collects logs and performs

correlation and security auditing

19

Partnership Approach vs

Product Vendor

Fortinet’s Approach to ICS Security: Solution

EMI

Thermal

Vibration

Industrial Grade &

Compliance Ready

IT

FortiGate

DMZ Network

Process

Network

Control

Network

Secure

Gateway

Field

Network

Plant

Floor

FortiGate

FortiGate

HMI HMI HMI HMI

FortiGate

FortiGate

RTU PLCRTU PLC

ICS Network 1 ICS Network 2

Segmentation

of different

ICS Networks

Granular

Segmentation

within the ICS

Network

TRUSTED ADVISOR

SOLUTION FOCUS

Consultative approach

Strong system engineering

field focus

Consulting Services

Architectural Framework

Solutions

ISA-99, IEC-62443, NERC,

NIST

Professional Services

Enterprise Support Services

20

Critical ManufacturingPlant Floor

Level 0

Physical Plant Floor

Instrumentation Bus Network

Level 1

Process Control

Local Area Network

Level 2

Supervisory

Control Network

Industrial Control System

Physically Segmented

Production Line

FortiGate

FortiLink

FortiSwitch

Private VLANs

Micro Segmentation

Fortinet Secure

Unified Access Solution

Fortinet

Operational Technology

Fabric Solution

Remote Edge

Manufacturing Plant

FortiGate

Firewall

Internal Segmentation

Wide Area Network

MPLS, SD-WAN, 3G, 4G, APN, VPN

ADSL, Cable

FortiGate Edge Firewall

Enterprise Protection

Physical Internal

Segmentation of Production Lines

Wide Area

SD WAN

3G 4G Extension

VPN

Authentication

Two Factor

Access Control

FortiGate Firewall

Industrial FortiGuard

Application Control

IPS

Physical Security

Physical Relays

Stack lights

Presence Analytics

FortiCAM

FortiSwitch

FortiAP’s

Micro Segmentation

Layer Two

FortiLink

Operator PC

Serial to IP

Mic

ro

Segm

enta

tio

n

PLC or RTU

Engineering

WorkStation

Purdue, ISA-99, IEC-62443

Internet of Things (IoT)

22

IoT Beispiele – “Hausgebrauch”

Ralph Lauren Shirt

Mimo Monitor

Smarte Thermostate

Apple Watch

Smarte Kühlschränke

Google glasses

Smart TV

Smart Phones

23

Medizinische Überwachung

(I)IoT Beispiele – “Geschäftsrelevant”

Smart Metering

Windkraftanlagen

Heizung, Lüftung, Klimatechnik Systeme

KraftwerkeConnected Car

https://www.sam-solutions.com/blog/internet-of-things-in-healthcare-iot-connected-medical-devices/

24

Die Evolution der Netzwerksicherheit

NAC 1.0

Safe Onboarding

NAC 3.0

IoTNAC 2.0

BYOD

Skalierbares

On-Boarding

ermöglichen

Sichere

Devices

gewährleisten

Sicheres

Network Provisioning

ermöglichen

Guest

Management

Schnelle Triage

von Security

Events

Reduzieren der

Threat Containment

Time

Was im Netzwerk erscheint, hat sich im Laufe der Zeit geändert.

Damit ist eine stete Veränderung, wie das Netzwerk

reagieren muss, erforderlich.

25

Wachsender Bedarf

NAC Markt, 2016

$685

Million

Wachstumstreiber und Trends

Identifizieren und Überwachen von IoT

Automatisieren des Policy Enforcement basierend auf

Authentifizierung, Erkennung, Endpoint-Konfiguration

oder Aufgabe/Funktion/Rolle

Verbesserung der Sichtbarkeit im Netzwerk

Um die Risiken durch nicht konforme Geräte zu

reduzieren und den Zugriff auf Unternehmensnetzwerke

und Betriebsanlagen zu ermöglichen

Regulierung und Audit

Nachweis, dass das Unternehmen sein Netzwerk

kontrolliert und überwacht und die Einschleppung von

Rogue Devices bewältigt

Marktanalyse

Bis zum Jahr 2019 werden 40% der großen Unternehmen

spezialisierte, automatisierte Tools benötigen, um die

regulatorischen Verpflichtungen im Falle eines ernsthaften

Informationssicherheitsvorfalls zu erfüllen

Einer der am schnellsten wachsenden Märkte in der Cybersecurity

Gartner, Market Guide for Network Access Control, May 2017

26% YoY growth

26

Angetrieben durch das explosive Wachstum im IoT

IoT-Wachstumstreiber

Der IoT-Markt wird gewaltig sein

› Gartner prognostiziert, dass der Business-IoT-Markt von einer installierten Basis von 2,3 Milliarden Geräten im Jahr 2016 auf 9,1 Milliarden Geräte im Jahr 2021 wachsen wird

› Bis zum Jahr 2020 werden über 25% der identifizierten Angriffe in Unternehmen IoTbetreffen, obwohl das IoT weniger als 10% der IT-Sicherheitsbudgets ausmachen wird

Source: Gartner, BI Intelligence, IHS Technology.

› Die Kosten für mit dem Internet verbundene Sensoren sinken

› Steigende Investitionen in IoT-Lösungen und -Systeme durch Großunternehmen

› Erweiterung der Internet-Konnektivität durch größere WLAN-Abdeckung und andere drahtlose Technologien

0,0

2,0

4,0

6,0

8,0

10,0

Business IoT Devices

2016 2017 2018 2019 2020 2021

Gartner IoT Forecast (Milliarden)

Gartner: Forecast: Internet of Things — Endpoints and Associated Services, Worldwide, 2017

27

Wie viele dieser Dinge waren es nochmal?IoT Installationsbasis nach Kategorie (Milliarden Geräte)*

*Gartner 2017

Branchenübergreifend

Branchenspezifisch

Consumer

2017

12 863

7 0385 244

2018 2020

8.4BTOTAL

11.2BTOTAL

20.4BTOTAL

28

Anstieg neuer Geräte» Nicht-Laptops

» Nicht-Mobiltelefone

» Endpoint/Clientsoftware nicht möglich (Headless Devices)

Viele „Nicht-IT“-Organisationen und Endnutzer fügen Geräte mit Internetverbindung hinzu» Autorisiert und nicht autorisiert

"Was ist in Ihrem Netzwerk?"» Wie können Sie das wissen?

Warum ist IoT eine Bedrohung?

29

The Cybersecurity Problem…HEUTE 2020

1.5Milliarden

Attacken werden

sich ausbreiten

6.9Milliarden

Verbundene "Dinge“

in Business-Netzwerken

256Tage

Um einen Angriff zu erkennen

11Millionen

Aufzeichnungen über

Kompromittierungen

im Juni 2016

2.4Milliarden

Verbundene "Dinge“

in Business-Netzwerken

DIE WAHRE

HERAUSFORDERUNG = 1

ERFOLG-

REICHEN

ANGRIFF

OFFENEN

PORTUNBEKANNTES

DEVICE

KeinRückgang

Kein Rückgang in Sicht

ES BENÖTIGT

NUR EINEN

30

IoT Sicherheit - Schlagwörter

LERNEN SEGMENTIEREN

Definieren einer Policy

SCHÜTZEN

Alle BereicheVertrauen oder nicht

31

Fortinet akquiriert Bradford Networks

Gegründet: 2000

Lokation: Concord, New Hampshire

Kunden: 1000+ Kunden, 25+ Länder

Branchen: Bildung, Gesundheitswesen, Gastgewerbe, Versorgungsunternehmen, Finanzdienstleistungen

Go-to-Market: Direct Sales mit Ausführung durch Reseller und Distributoren

Lösung/Produkt: Network Sentry (jetzt FortiNAC)Preisgekrönte, patentierte Netzwerkzugriffs- und Steuerungstechnologie für eine richtlinienbasierte Lösung zur Definition und Implementierung eines umfassenden Sicherheitsstatus

5. Juni 2018

32

NAC Marktlandschaft - 2 Hauptkategorien

Wired & Wireless

Netzwerk Infrastrukture

- Management

Konsolidierung

- Integration mit anderen

Netzwerk Security

Lösungen:

- Firewalls

- Access Layer

Switching

- Wireless

- IPS

- Advanced Threat

Defense

Pure-Play NAC Hersteller

- unterstützt heterogene

Infrastruktur und Geräte

- Multivendor-Möglichkeit

durch

- syslog

- open API

- RESTful API

- Agentless Lösungen für

Windows & macOS

33

NAC Marktlandschaft - 2 Hauptkategorien

Wired & Wireless

Netzwerk Infrastrukture

- Management

Konsolidierung

- Integration mit anderen

Netzwerk Security

Lösungen:

- Firewalls

- Access Layer

Switching

- Wireless

- IPS

- Advanced Threat

Defense

Pure-Play NAC Hersteller

- unterstützt heterogene

Infrastruktur und Geräte

- Multivendor-Möglichkeit

durch

- syslog

- open API

- RESTful API

- Agentless Lösungen für

Windows & macOS

&

34

NAC für die Security Fabric

Network Sentry ist bereits

integriert in:

FortiGate

FortiSIEM

FortiSwitch

FortiAP

FortiWLC

Thorsten Biskup

Systems Engineer

📞 +49 151 1577 3244

[email protected]

FortiNAC(Network Sentry by Bradford Solution)

37

FortiNAC: Umfassende Netzwerksicherheit

Sichtbarkeit

Kontrolle

Automatisierte Reaktion

38


Sichtbarkeit

Erkennen aller Endpoints, IoT-Geräte, Benutzer und App´s

» RADIUS, CLI, SNMP, Syslog, MDM, DHCP, LDAP

» Identifizieren von mehr als 1.500 Gerätetypen

Multi-Vendor Wired & Wireless Konnektivität

» Input von nahezu allen Herstellern und Modellen

Identifizieren und Profiling jedes Endpoint

» Policy-Regeln durch granulare Gerätetypen erstellen und aktivieren

» Erweitert das Schwachstellen- und Patch-Management auf FortiClient

Selbstregistrierung zur Vereinfachung des Guest Management

39


Kontrolle

Automatisierte Authentifizierung und Autorisierung» Detaillierte Benutzer- und Geräteprofile ermöglichen den

automatisierten Zugriff in das Netzwerk» Bewerten der Aufgabe, Funktion, Rolle, Standort, Tageszeit und

Gerätekennzahlen für Entscheidungen

Dynamische Netzwerkzugriffssteuerung (dynamic NAC)» Anpassung des Gerätezugriffs auf Assets, basierend auf Aktivitäts- oder

Profil-Änderungen

Aktivierung von Netzwerk-Mikrosegmentierung» Granulare Geräteidentifikation ermöglicht segmentierte Netzwerke» Geräte haben begrenzten Zugang, um eine Ost-West-Infektion zu

verhindern

40


Automatisierte Reaktion

Situationsbewusstsein im SOC & NOC» Security Events nach Erkennung zur sofortigen Fehlerbehebung

Schnelle Triage von Security Events» Automatisierte Regeln können in Sekunden auf schädliches Verhalten

reagieren

Beschleunigung von Bedrohungsuntersuchungen» Gerätehistorie aus mehreren verfügbaren Quellen sofort

zusammengestellt

Granulare Eingrenzungsoptionen» Zum Beispiel Quarantäne oder Internet-Only-Konnektivität

41

Kontinuierliches Device Profiling

1. Drucker ist mit

dem Netzwerk

verbunden

2. MAC Notification

Trap triggert

FortiNAC

1. Benutzer bringt

infizierten Laptop

mit zur Arbeit

3. FortiNAC

profiled Gerät

als Drucker

2. FGT sendet

ein Event an

FortiNAC

3. FortiNAC

isoliert den Laptop

auf Access Layer

4. Virus direkt am

Switch Node

aufgehalten

4. FortiNAC informiert

die Fabric, um dem Drucker

Netzwerk-Zugriff zu ermöglichen

Eingrenzen von lateralen Edge Angriffen

42

Wichtige Unterscheidungsmerkmale

› Bidirektionale APIs zur Integration von FortiNAC mit anderen Plattformen von

Drittanbietern

› Unterstützt mehr als 1.500 Netzwerkinfrastrukturgeräte und kann einen Kontext

bereitstellen und jeden Endpunkt mit einer IP-Adresse eingrenzen

› Aktiviert und nutzt die Netzwerksegmentierung, indem der Netzwerkzugriff basierend

auf Attributen (Benutzerrolle, Geräteprofil und Anwendungsnutzung) dynamisch

festgelegt und aktualisiert wird

› Die Architektur benötigt keine Sicht auf den Netzwerktraffic, daher wird keine

Appliance (virtuell oder physisch) an den Sites in einer Multi-Site Installation benötigt

› Kann durch VM- und cloudbasierten Deployment Optionen problemlos von Service

Providern und MSSPs bereitgestellt werden

› Hat die Fähigkeit, genaue Device Profile zu erstellen, was entscheidend ist, da sich

IoT weiterentwickelt

43

Appliances

• 3 Control Appliances

• 3 Application Appliances

• Manager (concurrent

license coordination)

• Analytics Server (stats

across the entire network

Bestandteile der Network Access Control (NAC) Lösung

Protection License Levels

• FortiNAC BASE License

• Detection

• FortiNAC PLUS License

• Detection & Control

• FortiNAC PRO License

• Detection, Control & Response

Virtual Machines

(most popular)

• Control / Application VM

• Manager VM (concurrent

license coordination)

• Analytics VM (stats

across the entire network)

Fortinet Security Fabric

45

NetworkSecurity

Multi-Cloud Security

Endpoint Security

Email Security

Web Application Security

SecureUnified Access

Advanced Threat Protection

Management& Analytics

FortiOS 6.0

FortiClient 6.0 FortiWeb 6.0FortiMail

Secure Email

Gateway

FortiSandbox 3.0 FortiAnalyzer 6.0

FortiManager 6.0

FortiSIEM 5.0

FortiOS 6.0 FortiAP 6.0

FortiSwitch 6.0

Endpoint

IoTMulti

Cloud Applications

Web Unified

AccessEmail Threat

Protection

Advanced Management

Analytics

FortiCASB 1.2

Das weitreichendste Sicherheitsportfolio in der IndustrieVon Grund auf neu entwickelt, um eine echte Ende-zu-Ende-Integration zu ermöglichen

Thorsten Biskup

Systems Engineer

📞 +49 151 1577 3244

[email protected]

Fortinet Industrial Security Fabric für Operational ... · 4 Terminology Internet of Things (IoT)...

Documents

Transcript of Fortinet Industrial Security Fabric für Operational ... · 4 Terminology Internet of Things (IoT)...