УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

36
Решения для обеспечения ИБ АСУ ТП Алексей Комаров Менеджер по развитию решений Уральский Центр Систем Безопасности Екатеринбург 06 октября 2016 года

Transcript of УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Page 1: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Решения для обеспечения ИБ АСУ ТП 

Алексей Комаров Менеджер по развитию решений

Уральский Центр Систем БезопасностиЕкатеринбург 06 октября 2016 года

Page 2: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

• Типичные инциденты ИБ в АСУ ТП и их причины

• Выбор стратегии защиты • Решения по обеспечению ИБ АСУ ТП

• Классы решений • Экспресс-обзор рынка решений по мониторингу ИБ АСУ ТП

• Основные трудности на этапе выбора и проектирования ИБ АСУ ТП

Содержание

Page 3: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Наш опыт в ИБ АСУ ТП

• Разработка корпоративных стандартов • Аудиты действующих АСУ ТП

• Проектирование СОИБ АСУ ТП • Ввод в эксплуатацию и поддержка систем обеспечения ИБ АСУ ТП • Разработка собственного решения - DATAPK

3

Page 4: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Число инцидентов по годам• В 2015 инцидентов ИБ АСУ ТП зафиксировано на 15% больше, чем в любом из прошлых лет. Рост год к году составил 20%.

• Из 314 опрошенных компаний-владельцев АСУ ТП в 2015 году • 34% подтвердили, что сталкивались с инцидентами более двух раз за последний год,

• из них 44% не смогли определить источник атаки.

4источники: ICS-CERT, SANS

Page 5: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Публикации на русском языке

5

Дата Страна Инцидент

дек 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод.

июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы.

фев 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища.

март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании. 

июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы

июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера

сент 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак

дек 2015 США Иранские хакеры атаковали дамбу в Нью-Йорке

дек 2015 Украина Замминистра энергетики США обвинила Россию в организации блэкаута на Украине

март 2016 Япония Хакеры случайно получили доступ к SCADA-системе водоочистной станции и ради интереса изменили ее настройки

апр 2016 Германия На компьютерах германской АЭС нашли малварь

Некоторые инциденты ИБ АСУ ТП, источники: СМИhttp://ZLONOV.ru (ИБ АСУ ТП -> инциденты)

Page 6: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Типичные инциденты ИБ в АСУ ТП и их причины• Халатность • Направленные атаки • Хищение

Page 7: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Что может случиться на практике?• Халатность

• Подключение внешних устройств (носители информации, модемы и пр.)

• Подключение сторонних СВТ (свой ноутбук для игр) • Направленные атаки

• Шпионаж • Саботаж

• Хищение • Сырья, готовой продукции • Ресурса производственной линии (изготовление неучтенной продукции)

7

Page 8: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Халатность

8

НаладчикрешилбыстренькопочитатьсправкупоSCADA вИнтернете

Операторрешилпосмотретьфотографиисотпуска

Подключениесъемногоносителя

ЗаражениевредоноснымПО

НарушениеработыСВТ

Блокированиедоступак

СВТ/информации

Подключение3G-модема

АтаканаСВТсцельювключенияв

ботсеть

НарушениеработыЛВС

Page 9: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

9

Page 10: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

10

Page 11: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

11

Page 12: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Направленная атака на АСУ ТП

12

Реализация«классической»

угрозыИБ

ВнесениеизмененийвработуАСУТП

НекорректнаяреализацияТП

ИБ

ПБ

Объектатаки:• АРМ,серверы,АСО• ОбщееПО

Цельатаки:• Закрепитьсявзащищаемом

периметре

Объектатаки:• ПЛК• СпециальноеПО

Цельатаки:• Получениевозможности

манипуляцииТП

Объектатаки:• ТОУ

Цельатаки:• НарушениереализацииТП• Порчаоборудования

Page 13: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Хищение

13

ВнесениеизмененийвработуАСУТП

Некорректныйучетресурсов

Объектатаки:• ПЛК• СпециальноеПО

Цельатаки:• Получениевозможности

манипуляцииТП

Объектатаки:• ТОУ

Цельатаки:• НарушениереализацииТП• Порчаоборудования

Page 14: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Выбор стратегии защиты• Временной вектор атаки • Выбор стратегии защиты • Классификация АСУ ТП • Выбор защитных мер по итогам классификации • Модель защиты АСУ ТП

Page 15: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Временной вектор атаки

15

Подготовка Реализация Нанесениеущерба

Проактивная защита Активнаязащита Реактивнаязащита

В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП –

могут длиться годы

Page 16: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Выбор стратегии защиты

16

Проактивная защита Активнаязащита Реактивнаязащита

Цельстратегии:� Недатьпроизойти

инцидентуСпособдостижения:� Блокировка

нежелательныхизмененийсостояниясистемы

Цельстратегии:� Выявитьатакувходе

реализацииСпособдостижения:� Анализ состояний

системысцельювыявленияподозрительныхизменений

Цельстратегии:� Минимизироватьущерб

отреализацииинцидента

Способдостижения:� Возврат системыв

целевоесостояние

Page 17: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Классификация АСУ ТП

17

Назначение,структураифункцииАСУТП

Структура

ПорядокработыОсобенностиТП

Критичность

По степениущерба Сбоевиотказов

Зонно-канальнаямодель

КлассызащищенностиАСУТП

Уровеньфункциональной надежности

Особые условия эксплуатации

Уровеньпроизводственнойиерархии

ХарактерпротеканияТПвовремени

Типфункционирования

Развитостьфункций

Составтехническихсредств Технологиипередачиданных

Page 18: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Выбор защитных мер по итогам классификации

18

Степеньущерба отреализацииугрозИБ

Критичностьсбоевиотказов

Особенностиавтоматизируемого

ТП

ПорядокработыАСУТП Структура

АктуальныеугрозыИБ

Требуемый уровеньзащищенности

Ограничениязащитныхмер

Модельзащиты

Page 19: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Модель защиты

19

Изолированная среда• Контроль неизменности программной и аппаратной среды• Исключение взаимодействия с системами меньшей степени доверия (или только

гарантированно однонаправленное взаимодействие), включая систему обеспечения ИБ

• Пассивный мониторинг сетевого сегмента защищаемой системы

Контролируемая среда• Контроль за изменениями программной и аппаратной среды• Контроль за действиями пользователей и процессов• Пассивный мониторинг сетевого сегмента защищаемой системы• Контроль взаимодействия со смежными системами

Интегрированная среда• Контроль за изменениями программной и аппаратной среды• Контроль за действиями пользователей и процессов• Контроль взаимодействия со смежными системами• Пассивный мониторинг сетевого сегмента защищаемой системы• организация безопасного обмена недоверенными системами (корпоративные

системы, внешние системы)

Page 20: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Решения по обеспечению ИБ АСУ ТП• Классы решений • Особенности промышленных межсетевых экранов • Экспресс-обзор отечественных решений по мониторингу ИБ АСУ ТП • Возможности комплексного решения по реализации концепции непрерывного мониторинга состояния ИБ

Page 21: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Классы решений в области ИБ АСУ ТП• Промышленные межсетевые экраны • Сканеры защищённости • Средства мониторинга • Однонаправленные шлюзы/диоды • Криптографические модули и СКЗИ • Защита конечных точек (СЗИ НСД, антивирус, …) • Контроль привилегированных пользователей • Прочие (аутентификация, управление доступом,…)

21

Page 22: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Основные отличия промышленных межсетевых экранов

22

Некоторые указываемые производителями отличия специализированных промышленных межсетевых экранов от офисных решенийКонструктивные особенности

• пыле/влагозащищённость• безвентиляторное исполнение• работа в условиях повышенной влажности• расширенный температурный диапазон• устойчивость к электромагнитным наводкам• питание от постоянного тока (9В..48В)• специализированное крепление (DIN-рейка)• наличие специализированных разъёмов (RS232/485)

Конструктивно-функциональные особенности

• быстрое восстановление конфигураций с физических носителей (карты памяти или USB)

• физическая кнопка отключения/изменения режимов работыФункциональные особенности

• упрощённый интерфейс управления• длительное время безобслуживаемой работы• корректная работа со специфическим трафиком (значительное число пакетов в секунду при небольшом их размере)

• глубокая поддержка промышленных протоколов

Page 23: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Новые требования ФСТЭК

23

Page 24: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Решения по мониторингу ИБ АСУ ТП

24

Page 25: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

InfoWatch ASAP

• Состав решения: • InfoWatch ASAP

• Основные функции решения: • Выявление несанкционированных подключений к каналам связи АСУ ТП

• Поиск аномалий протекания ТП

• Особенности решения: • Устанавливается в разрыв каналов связи (в том числе полевого уровня)

25

Page 26: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Positive Technologies ISIM• Состав решения:

• PT ISIM

• PT MaxPatrol

• Основные функции решения: • Сбор, анализ, корреляция событий ИБ • Визуализация атак • Поиск уязвимостей • Контроль конфигураций на соответствие требованиям по ИБ

• Особенности решения: • Работа в пассивном режиме (PT ISIM)

26

Page 27: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Kaspersky Industrial CyberSecurity• Состав решения:

• KICS4Nodes

• KICS4Networks

• Основные функции решения: • Контроль приложений и съемных устройств на СВТ под управлением ОС Windows

• Анализ сетевого трафика, направленного на ПЛК

• Особенности решения: • Требует установки агентов на СВТ (KICS4Nodes)

• Работа в пассивном режиме (KICS4Networks)

27

Page 28: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

DATAPK• Состав решения:

• ПАК DATAPK

• Основные функции решения: • Ведение каталога ОЗ, выявление изменений в составе ОЗ • Анализ сетевых потоков • Сбор, анализ, корреляция событий ИБ • Поиск уязвимостей, контроль соответствия требованиям

• Управление конфигурацией ОЗ

• Особенности решения: • Работа в пассивном режиме

28

Полуфиналист Skolkovo Startup Village

Page 29: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Функции системы мониторинга (пример)

• Инвентаризация компонентов АСУ ТП • Контроль конфигураций компонентов АСУ ТП • Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП • Контроль защищённости компонентов АСУ ТП • Обнаружение компьютерных атак • Контроль соответствия требованиям по обеспечению ИБ

29

Page 30: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Функциональная структура системы мониторинга (пример)

30

Каталогобъектовзащиты

Модульсбора ианализасобытийИБ

КаталогтребованийпоИБ

МодульуправленияконфигурациейОЗ

Модульоценкисоответствия

ипоискауязвимостей

Каталогуязвимостей

ЖурналсобытийИБ

МодульобеспеченияИБ

Page 31: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Основные трудности на этапе выбора и проектирования ИБ АСУ ТП• Построение комплексного решения • Безопасность – процесс, а не продукт

Page 32: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Проектирование ИБ АСУ ТП

• Какие решения выбрать? • Оценка влияния на АСУ ТП? • Одобрение производителей АСУ ТП? • Бюджет?

32

Page 33: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Внедрение/сопровождение ИБ АСУ ТП

• Основания для модернизации/подключения? • Как проводить приёмо-сдаточные испытания? • Кто отвечает за эксплуатацию? • Кто несёт ответственность? • Какие гарантии? • Срок гарантии?

33

Page 34: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Оптимальный (?) вариант

• Поставка решений по ИБ в составе самих АСУ ТП • ИБ - встроенный функционал • Единая гарантия и пр.

• НО! • Только для новых/модернизируемых систем

34

Page 35: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Безопасность – процесс, а не продукт

35

УправлениеИБ

Подготовка,планирование Проектирование

Вводвдействие,модернизация

Постояннаяэксплуатация

Аудит

Консалтинг

Моделирование,подборрешений Разработка

архитектуры

Разработкапроектнойдокументации

Обучение

РазработкапакетаОРД

Инсталляция

Оценкасоответствия

Сопровождение

Техническоеобслуживание

Page 36: УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Спасибо за внимание!

Алексей Комаров

http://ZLONOV.ru @zlonov

Компания УЦСБТел.: +7 (343) 379-98-34

E-mail: [email protected] www.USSC.ru