Решения для обеспечения ИБ АСУ ТП 

Алексей Комаров Менеджер по развитию решений

Уральский Центр Систем БезопасностиЕкатеринбург 06 октября 2016 года

• Типичные инциденты ИБ в АСУ ТП и их причины

• Выбор стратегии защиты • Решения по обеспечению ИБ АСУ ТП

• Классы решений • Экспресс-обзор рынка решений по мониторингу ИБ АСУ ТП

• Основные трудности на этапе выбора и проектирования ИБ АСУ ТП

Содержание

Наш опыт в ИБ АСУ ТП

• Разработка корпоративных стандартов • Аудиты действующих АСУ ТП

• Проектирование СОИБ АСУ ТП • Ввод в эксплуатацию и поддержка систем обеспечения ИБ АСУ ТП • Разработка собственного решения - DATAPK

3

Число инцидентов по годам• В 2015 инцидентов ИБ АСУ ТП зафиксировано на 15% больше, чем в любом из прошлых лет. Рост год к году составил 20%.

• Из 314 опрошенных компаний-владельцев АСУ ТП в 2015 году • 34% подтвердили, что сталкивались с инцидентами более двух раз за последний год,

• из них 44% не смогли определить источник атаки.

4источники: ICS-CERT, SANS

Публикации на русском языке

5

Дата Страна Инцидент

дек 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод.

июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы.

фев 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища.

март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании. 

июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы

июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера

сент 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак

дек 2015 США Иранские хакеры атаковали дамбу в Нью-Йорке

дек 2015 Украина Замминистра энергетики США обвинила Россию в организации блэкаута на Украине

март 2016 Япония Хакеры случайно получили доступ к SCADA-системе водоочистной станции и ради интереса изменили ее настройки

апр 2016 Германия На компьютерах германской АЭС нашли малварь

Некоторые инциденты ИБ АСУ ТП, источники: СМИhttp://ZLONOV.ru (ИБ АСУ ТП -> инциденты)

Типичные инциденты ИБ в АСУ ТП и их причины• Халатность • Направленные атаки • Хищение

Что может случиться на практике?• Халатность

• Подключение внешних устройств (носители информации, модемы и пр.)

• Подключение сторонних СВТ (свой ноутбук для игр) • Направленные атаки

• Шпионаж • Саботаж

• Хищение • Сырья, готовой продукции • Ресурса производственной линии (изготовление неучтенной продукции)

7

Халатность

8

НаладчикрешилбыстренькопочитатьсправкупоSCADA вИнтернете

Операторрешилпосмотретьфотографиисотпуска

Подключениесъемногоносителя

ЗаражениевредоноснымПО

НарушениеработыСВТ

Блокированиедоступак

СВТ/информации

Подключение3G-модема

АтаканаСВТсцельювключенияв

ботсеть

НарушениеработыЛВС

9

10

11

Направленная атака на АСУ ТП

12

Реализация«классической»

угрозыИБ

ВнесениеизмененийвработуАСУТП

НекорректнаяреализацияТП

ИБ

ПБ

Объектатаки:• АРМ,серверы,АСО• ОбщееПО

Цельатаки:• Закрепитьсявзащищаемом

периметре

Объектатаки:• ПЛК• СпециальноеПО

Цельатаки:• Получениевозможности

манипуляцииТП

Объектатаки:• ТОУ

Цельатаки:• НарушениереализацииТП• Порчаоборудования

Хищение

13

ВнесениеизмененийвработуАСУТП

Некорректныйучетресурсов

Объектатаки:• ПЛК• СпециальноеПО

Цельатаки:• Получениевозможности

манипуляцииТП

Объектатаки:• ТОУ

Цельатаки:• НарушениереализацииТП• Порчаоборудования

Выбор стратегии защиты• Временной вектор атаки • Выбор стратегии защиты • Классификация АСУ ТП • Выбор защитных мер по итогам классификации • Модель защиты АСУ ТП

Временной вектор атаки

15

Подготовка Реализация Нанесениеущерба

Проактивная защита Активнаязащита Реактивнаязащита

В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП –

могут длиться годы

Выбор стратегии защиты

16

Проактивная защита Активнаязащита Реактивнаязащита

Цельстратегии:� Недатьпроизойти

инцидентуСпособдостижения:� Блокировка

нежелательныхизмененийсостояниясистемы

Цельстратегии:� Выявитьатакувходе

реализацииСпособдостижения:� Анализ состояний

системысцельювыявленияподозрительныхизменений

Цельстратегии:� Минимизироватьущерб

отреализацииинцидента

Способдостижения:� Возврат системыв

целевоесостояние

Классификация АСУ ТП

17

Назначение,структураифункцииАСУТП

Структура

ПорядокработыОсобенностиТП

Критичность

По степениущерба Сбоевиотказов

Зонно-канальнаямодель

КлассызащищенностиАСУТП

Уровеньфункциональной надежности

Особые условия эксплуатации

Уровеньпроизводственнойиерархии

ХарактерпротеканияТПвовремени

Типфункционирования

Развитостьфункций

Составтехническихсредств Технологиипередачиданных

Выбор защитных мер по итогам классификации

18

Степеньущерба отреализацииугрозИБ

Критичностьсбоевиотказов

Особенностиавтоматизируемого

ТП

ПорядокработыАСУТП Структура

АктуальныеугрозыИБ

Требуемый уровеньзащищенности

Ограничениязащитныхмер

Модельзащиты

Модель защиты

19

Изолированная среда• Контроль неизменности программной и аппаратной среды• Исключение взаимодействия с системами меньшей степени доверия (или только

гарантированно однонаправленное взаимодействие), включая систему обеспечения ИБ

• Пассивный мониторинг сетевого сегмента защищаемой системы

Контролируемая среда• Контроль за изменениями программной и аппаратной среды• Контроль за действиями пользователей и процессов• Пассивный мониторинг сетевого сегмента защищаемой системы• Контроль взаимодействия со смежными системами

Интегрированная среда• Контроль за изменениями программной и аппаратной среды• Контроль за действиями пользователей и процессов• Контроль взаимодействия со смежными системами• Пассивный мониторинг сетевого сегмента защищаемой системы• организация безопасного обмена недоверенными системами (корпоративные

системы, внешние системы)

Решения по обеспечению ИБ АСУ ТП• Классы решений • Особенности промышленных межсетевых экранов • Экспресс-обзор отечественных решений по мониторингу ИБ АСУ ТП • Возможности комплексного решения по реализации концепции непрерывного мониторинга состояния ИБ

Классы решений в области ИБ АСУ ТП• Промышленные межсетевые экраны • Сканеры защищённости • Средства мониторинга • Однонаправленные шлюзы/диоды • Криптографические модули и СКЗИ • Защита конечных точек (СЗИ НСД, антивирус, …) • Контроль привилегированных пользователей • Прочие (аутентификация, управление доступом,…)

21

Основные отличия промышленных межсетевых экранов

22

Некоторые указываемые производителями отличия специализированных промышленных межсетевых экранов от офисных решенийКонструктивные особенности

• пыле/влагозащищённость• безвентиляторное исполнение• работа в условиях повышенной влажности• расширенный температурный диапазон• устойчивость к электромагнитным наводкам• питание от постоянного тока (9В..48В)• специализированное крепление (DIN-рейка)• наличие специализированных разъёмов (RS232/485)

Конструктивно-функциональные особенности

• быстрое восстановление конфигураций с физических носителей (карты памяти или USB)

• физическая кнопка отключения/изменения режимов работыФункциональные особенности

• упрощённый интерфейс управления• длительное время безобслуживаемой работы• корректная работа со специфическим трафиком (значительное число пакетов в секунду при небольшом их размере)

• глубокая поддержка промышленных протоколов

Новые требования ФСТЭК

23

Решения по мониторингу ИБ АСУ ТП

24

InfoWatch ASAP

• Состав решения: • InfoWatch ASAP

• Основные функции решения: • Выявление несанкционированных подключений к каналам связи АСУ ТП

• Поиск аномалий протекания ТП

• Особенности решения: • Устанавливается в разрыв каналов связи (в том числе полевого уровня)

25

Positive Technologies ISIM• Состав решения:

• PT ISIM

• PT MaxPatrol

• Основные функции решения: • Сбор, анализ, корреляция событий ИБ • Визуализация атак • Поиск уязвимостей • Контроль конфигураций на соответствие требованиям по ИБ

• Особенности решения: • Работа в пассивном режиме (PT ISIM)

26

Kaspersky Industrial CyberSecurity• Состав решения:

• KICS4Nodes

• KICS4Networks

• Основные функции решения: • Контроль приложений и съемных устройств на СВТ под управлением ОС Windows

• Анализ сетевого трафика, направленного на ПЛК

• Особенности решения: • Требует установки агентов на СВТ (KICS4Nodes)

• Работа в пассивном режиме (KICS4Networks)

27

DATAPK• Состав решения:

• ПАК DATAPK

• Основные функции решения: • Ведение каталога ОЗ, выявление изменений в составе ОЗ • Анализ сетевых потоков • Сбор, анализ, корреляция событий ИБ • Поиск уязвимостей, контроль соответствия требованиям

• Управление конфигурацией ОЗ

• Особенности решения: • Работа в пассивном режиме

28

Полуфиналист Skolkovo Startup Village

Функции системы мониторинга (пример)

• Инвентаризация компонентов АСУ ТП • Контроль конфигураций компонентов АСУ ТП • Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП • Контроль защищённости компонентов АСУ ТП • Обнаружение компьютерных атак • Контроль соответствия требованиям по обеспечению ИБ

29

Функциональная структура системы мониторинга (пример)

30

Каталогобъектовзащиты

Модульсбора ианализасобытийИБ

КаталогтребованийпоИБ

МодульуправленияконфигурациейОЗ

Модульоценкисоответствия

ипоискауязвимостей

Каталогуязвимостей

ЖурналсобытийИБ

МодульобеспеченияИБ

Основные трудности на этапе выбора и проектирования ИБ АСУ ТП• Построение комплексного решения • Безопасность – процесс, а не продукт

Проектирование ИБ АСУ ТП

• Какие решения выбрать? • Оценка влияния на АСУ ТП? • Одобрение производителей АСУ ТП? • Бюджет?

32

Внедрение/сопровождение ИБ АСУ ТП

• Основания для модернизации/подключения? • Как проводить приёмо-сдаточные испытания? • Кто отвечает за эксплуатацию? • Кто несёт ответственность? • Какие гарантии? • Срок гарантии?

33

Оптимальный (?) вариант

• Поставка решений по ИБ в составе самих АСУ ТП • ИБ - встроенный функционал • Единая гарантия и пр.

• НО! • Только для новых/модернизируемых систем

34

Безопасность – процесс, а не продукт

35

УправлениеИБ

Подготовка,планирование Проектирование

Вводвдействие,модернизация

Постояннаяэксплуатация

Аудит

Консалтинг

Моделирование,подборрешений Разработка

архитектуры

Разработкапроектнойдокументации

Обучение

РазработкапакетаОРД

Инсталляция

Оценкасоответствия

Сопровождение

Техническоеобслуживание

Спасибо за внимание!

Алексей Комаров

http://ZLONOV.ru @zlonov

Компания УЦСБТел.: +7 (343) 379-98-34

E-mail: info@ussc.ru www.USSC.ru