Транспорт и безопасность АСУ ТП

Андрей РотачNetwave

team@netwave.com.ua

Технологии и решения Cisco эксклюзивно ИТ специалистам МетинвестХолдинг

3

Сетевая интеграция

LAN, MAN, WANБезопасностьБеспроводные сетиУнифицированные коммуникации (голос, видео)Контакт-центрыДатацентрыСистемы управления

4

ИТ +/- АСУ ТП

5

Исторические аспекты АСУ ТП

Proprietary разработки

Полностью вертикальные решения

Каждая система уникальна

Специальные коммуникациимедь, оптика, microwave, dialup, serial, etc.

сотни различных протоколов

не быстрые сети - ~1200 baud и т.д.

длительный цикл работы - 15–20 лет

при разработке безопасность не была ключевым требованием

6

Логическая структура

7

Cell Zone

Manufacturing Zone

DemilitarizedZone(DMZ)

Separation between Control & Enterprise Networks

Interconnection between Cell Zones, Server Farms, and DMZ

Network Connection for PLCs, HMIs, I/Os, & Drives

EnterpriseNetwork

Архитектура Ethernet-to-the-Factory

8

Архитектуры уровня доступа

ЗвездаКольцо

Шина

9

CISCO IE 3000индустриальный коммутатор

10

Включает лучшее от Cisco

– Cisco IOSTM

– CatalystTM архитектуру и функциональность

– Командная строка и графический интерфейс

–Безопасная интеграция с корпоративной сетью

Разработан для промышленной автоматизации

– Защищенный–Безопасный–Прост в эксплуатации–Основан на индустриальных стандартах

11

Специальный функционал IE 3000

Feature DescriptionCommon Industrial Protocol (CIP)

Протокол уровня приложений, используемый в индустриальных сетях DeviceNet, ControlNet и EtherNet/IP.

Industrial Automation Smartport Templates

Optimized Smartport profiles for industrial automation devices.

PTP (IEEE 1588v2) Precision Time Protocol программный модуль для временной синхронизации (~ 1 микросекунда)

DHCP Persistence DHCP сервер назначает постоянный IP-адрес устройствуResilient Ethernet Protocol (REP)

Протокол, позволяющих создавать кольцевую топологию. До 50 узлов в сегменте, сходимость 50мс

CIP Time Sync Time Sync objects and attributes for IEEE 1588v2 PTP

Layer 3 Hardware SKU Layer IP Services images w/routing protocols – static, RIP, OSPF, EIGRP routes and PIM (Multicast), VRF Lite

PROFINET IO Обмен данными, аварийными и диагностическими сообщениями с контроллерами и устройствами ввода-вывода стандарта PROFINET

DLR Smartports Оптимизированные профили Smartport для подключаемых индустриальных устройств

CIP Enhancements CIP Enhancements to support DHCP port based allocation configurations and diagnostics through RSLogix.

12

• 4 или 8-ми портовый базовый модуль (10/100BaseT) 2 порта двойного назначения

– 10/100/1000BaseT или SFP –Взаимоисключающие

Бесшумный Работает в условиях

– t -40 ... 75– влажность 5...95%

• Клас защиты IP20 (частицы не более 12 мм)• Заменяемый compact-flash (IE SWAP DRIVE)•Электропитание:

– 24V/48V DC–Блок расширения для поддержки AC и расширенного диапазона DC

•Индустриальные SFP:– 100FX / 1000 SX / 100LX / 1000LX / 1000ZX

Базовый блок

13

• 8-ми портовый медный (10/100BaseT)

• 8-ми портовый оптический (100FX)

Опции расширения:– два 8-ми портовых 10/100BaseT модуля– один 8-ми портовый 100FX модуль– один 8-ми портовый 10/100BaseT и один 8-ми портовый 100FX модули

Размеры:– 97мм Ш x 147мм В x 112мм Г

Расширенные диапазоны:– 100-220 VAC– 90-300 VDC

Размеры:– 51мм Ш x 147мм В x 112мм Г

•Модуль электропитания

Модули расширения

14

16-портовый (медь)IE-3000-8TC + IE-3000-8TM=

12-портовый (4 медных, 8 оптических)IE-3000-4TC + IE-3000-8FM=

24-портовый (медный)IE-3000-8TC + 2 IE-3000-8TM=

8-портовый базовый модульIE-3000-8TC

$3,990

$4,385

Варианты конфигураций

15

Простота конфигурации

Традиционный способ – Интерфейс командной строки (CLI)

ИЛИ

Smartports – конфигурация профиля порта подключения промышленного устройства одним нажатием «мыши»

Конфигурация, преустановленные профили

16

IE-3010-24TC 24 10/100 медь, 2 dual GEIE-3010-16S-8PC 16 FE SFP, 8 10/100 медь PoE, 2 dual GE

SmartPortsflash swap driveRack-mountableбезвентиляторныеУсловия: -40 ... +60 C (тест до 16 часов +85C )REPIEEE 1588 precision timing protocol

Cisco IE 3010

Layer 28Gbps switching fabric

17

Безопасность сетии

безопасность АСУ ТП

18

"Тот, кто знает врага и знает себя,не окажется в опасности и в ста сражениях.

Тот, кто не знает врага, но знает себя, имеет равные шансы победить или проиграть.

Тот, кто не знает врага, и не знает себя,неизбежно будет разбит в каждом сражении".

Сунь Цзы, "Искусство войны"

19

Безопасность - это процессмногошаговый циклический процесс

20

АСУ ТП, отличия от Enterprise сети

Приоритеты: Доступность, Целостность, Конфиденциальность

Множество конечных устройств могут функционировать в экстремальных условиях

Необычные физические топологии уровня доступа

Множество специализированных систем/устройств, ограничения по развертыванию на них средств безопасности (AV)

Сетевые конфигурации достаточно статичны

Длительный жизненный цикл систем

Enterprise решения для защиты должны быть адаптированы Многоуровневая защита

Stuxnet

Обнаружен компанией ВирусБлокАда, июль 2010

Нацелен на SCADA WinCC от Siemens (высокая избирательность “жертв”)

Использует сертификаты Realtek, JMicron для “тихой” установки драйверов RootKit в целевую систему

Использует 4 - 0day уязвимости

Распространяется• USB, уязвимость Windows Explorer в LNK/PIF-файлах (CVE-2010-2568, MS10-046)• Print spooler exploit (MS10-061)• Siemens WinCC and PCS7 Scada password vulnerabiity (CVE-2010-2772)• RPC DCOM, Conficker (MS08-067)

Перепрограммирует логику работы PLC-контроллеров

Иран - 60тысИндонезия - 13тысИндия - 6тысСША - ~3 тысАвстралия - 2тысВеликобритания - 1тысМалайзия - 1тысПакистан - 1тыс

Stuxnet

Оценка одного из пораженных инженеров, занимавшегося "препарированием" червя, звучала примерно так: "После десяти лет ежедневных занятий обратной инженерной разработкой кодов, я еще никогда не

встречался ни с чем, что хотя бы близко было похоже на ЭТО".

23

Система управления информационной безопасностью

ISO27001

Безопасное управление информационными активамиПредставление о важности имеющейся информацииОценить какой риск несет потеря информацииИнструменты по защите (внедрение систем и правил эксплуатации)

24

Анализ требований к СУИБ

Аудит существующей системы безопасности (поиск несоответствий, анализ сетевой архитектуры, аудит уязвимостей)

Анализ информационных рисков/модель угроз (в т.ч. составление перечня видов ценной информации)

Оценка уровней возможного ущерба (по видам информации), оценка уровней критичности сетевых ресурсов

Корректировка требований к СУИБ по результатам аудита

Внедрение СУИБ (решений, систем, устранение уязвимостей, политик информационной безопасности)

План реагирования на инциденты, обеспечения непрерывности и восстановления систем

Внедрение систем мониторинга, аналитики и визуализации событий (территориально-распределенных)

Проверка (аудит) систем на уязвимости

Обучение персонала (не только ИТ)

Система управления информационной безопасностью

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID25

Site Business Planning and Logistics Network

BatchControl

DiscreteControl

SupervisoryControl

HybridControl

SupervisoryControl

Enterprise Network

Patch Mgmt

Web Services Operations

AV Server

Application Server

Email, Intranet, etcFirewall & IPS

ProductionControl

ProcessHistory

OptimizingControl

DomainController

ContinuousControl

Terminal Services

Historian Mirror

Level 5

Site Operations and Control

Area Supervisory

Control

Level 4

Basic Control

Process

Level 3

Level 2

Level 1

Level 0

ЗонаУправления

(ProcessControl

Network)

Сеть предприятия

Зона изоляции

Firewall & IPS

Router

Firewall& IDS

HMIHMI

Дизайн безопасной сети АСУ ТП

26

Необходимость в безопасности следующего поколения сегодняApplication Control – расширение сферы контроля запуска и изменений на конечной точке

• Минимизация риска появления вредоносного кода на конечной точке

Потребность в средствах операционной безопасности и соответствияIntegrity Monitor – мониторинг и оценивание целостности среды и конфигураций

• Обнаружение реального времени в гетерогенных средах

Потребность в методе контроля за изменениями для высокого уровня соответствия стандартам

Change Control – функционал предотвращения изменений • Инструмент обеспечения соответствия контроля целостности

McAfee solidcore

273

Предотвратить выполнение неавторизованных исполняемых файлов, DLL библиотек, Скриптов, Java кода, драйверов…

Предотвратить неавторизованные изменения программного кода, реестра конфигурации, логов, критических данных

Предотвращение того что не должно происходить

Уведомления

Устранение

Поиск

Отчетность

Оценивание

!

События изменений

Проверки образов и конфигураций

Знать что происходит

Експорт

Change control и application control

285

Защита данных

• Выборочное предотвращение изменений вне установленных политик. Протоколирование таких попыток изменений

• Предотвращение неавторизованного кода (исполняемые, скрипты java) от запуска. Уникальный подход нет требует использования белых списков

Предотвращение изменений

Динамическое создание белых

Защита памяти • Защита от атак на память, замещение функциональности HIPS

• Предотвращение критичных файлов данных от чтения и копирования, за исключением авторизованных приложений

Останавли-вать

• Согласование произошедших событий и тикетов исправлений. Автоматическое документирование функционирования системы change management

• Оценивание конфигураций на соответствие стандартам установленным отделом информационной безопасности

• Сравнение образов развернутых систем со стандартными образами и централизованная точка отчетности

Сравнение образов

Аудит изменений

Аудит конфигураций

Согласование изменений

Знать

• Постоянное слежение за изменениями в данных ИТ инфраструктуры; Видимость изменений через поиск, отчеты, уведомления, диаграммы

Ключевые возможности

297

Мониторинг целостности файлов в реальном времени

без сканирования и аудита ОСзахват имени процесса/пользователя/машины, типа и контента измененийминимальное влияние на производительность системы

McAfee Change control

30

?=

Что там у нас сегодня?• Сверка установленного ПО с «золотым образом»• Централизованное обнаружение систем которые требуют конфигурирования

Установлен

Установлен

Отклонения от

золотого образаЗолотой образ

Y

N

--------------------

----------------------------

Отчет сравнения файлов может быть экспортирован

Корпоративная консоль Solidcore

Золотой образ

Агенты установленные на целевые системы

?=Соответствие

Золотому образу

Аудит образов

Авторизация запуска кода Только авторизованный код может быть запущен Каждый запуск кода контролируется проверкой на основе инвентаря Покрытие всех типов исполняемых файлов: бинарные, скрипты

Защита авторизованного кода Авторизованный код защищен от изменений, удаления, подмены Возможность расширения защиты на любой тип файлов в том числе и конфигураций

Защита процессов Исполняемый код защищен от подмены, внедрения и изменений

Защита от чтения/записи и копирования Защита чувствительных данных от просмотра, изменений и копирования

31

Защита от вредоносного кода

Здоровья Вам и Вашим сетям !

Андрей РотачNetwave

team@netwave.com.ua