Your SlideShare is downloading. ×
0
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Ethernet security. Безопасность промышленных сетей.
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Ethernet security. Безопасность промышленных сетей.

621

Published on

Презентация с семинара для партнёров NGS Distribution "Практические подходы к обеспечению безопасности АСУ ТП" 02 апреля 2013 года.

Презентация с семинара для партнёров NGS Distribution "Практические подходы к обеспечению безопасности АСУ ТП" 02 апреля 2013 года.

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
621
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  1. mGuard – Ethernet SecurityБезопасность промышленных сетей 02 апреля 2013 no problem — just solution!
  2. Архитектура современных АСУ ТП© NGS Distribution – http://ngsdistribution.com 2 02.04.2013
  3. Архитектура современных АСУ ТП© NGS Distribution – http://ngsdistribution.com 3 02.04.2013
  4. Карта угроз© NGS Distribution – http://ngsdistribution.com 4 02.04.2013
  5. Угрозы Основные Источник Угроза риски внедрения Перегрузка сети • Сетевой шторм, DDoS атака, MES, ВУ, СУ, НУ (DDoS) • Сбой сетевого оборудования Неавторизованн • Передача сигнала управления MES, ВУ, СУ, НУ ый доступ • Программирование контроллера Кража данных • Неавторизованный доступ к БД MES, ВУ Выполнение • Передача сигнала управления MES, ВУ, СУ, НУ вредоносного • Перепрограммирование кода контроллера • Манипуляции данными© NGS Distribution – http://ngsdistribution.com 5 02.04.2013
  6. Угроза реальна - факты 89% сетей SCADA подключены в общую сеть 80% корпоративных межсетевых экранов неполностью настроены 32% контроллеров не выдерживают DoS атак© NGS Distribution – http://ngsdistribution.com 6 02.04.2013
  7. Код Хаоса В июне 2010 обнаружен вирус StuxNet.© NGS Distribution – http://ngsdistribution.com 7 02.04.2013
  8. Stuxnet 4 стадии заражения 4. 1. Заражение 2. Заражение 3. Изменение Манипуляция ПК под ПО программы данных СКАДА WIndows автоматизации ПЛК системы© NGS Distribution – http://ngsdistribution.com 8 02.04.2013
  9. © NGS Distribution – http://ngsdistribution.com 9 02.04.2013
  10. Карта угроз© NGS Distribution – http://ngsdistribution.com 10 02.04.2013
  11. Factoryline Products Security - Technology© NGS Distribution – http://ngsdistribution.com 11 02.04.2013
  12. Фундаментальные требования к Industrial IT Industrial IT Офисное IT Надежность и +++ + гибкость Целостность системы ++ ++ Конфиденциальность + +++© NGS Distribution – http://ngsdistribution.com 12 02.04.2013
  13. Приоритеты безопасности Промышленное IT Офисное IT Полная нагрузка 24х7 Полная нагрузка в рабочее время Надежность и отказоустойчивость Конфиденциальность Безопасность технологического Безопасность данных процесса Обновление ПО – нет возможности Плановое обновление ПО устройств Специализированные решения по Стандартное оборудование механике, питанию, климатике и ЭМС Требуется гарантированнаое время Задержки пакетов допускается доставки пакета MTBF несколько десятков лет MTBF несколько лет© NGS Distribution – http://ngsdistribution.com 13 02.04.2013
  14. Условия, в которых приходится работать© NGS Distribution – http://ngsdistribution.com 14 02.04.2013
  15. Промышленные требования Можем ли мы назвать это “industrial”? Industrial означает: Крепление на DIN-рейку Питание 24V Резервирование электропитания Аварийный контакт Широкий температурный диапазон Надежная работа при Ударах Вибрации Влажности Электрических помехах© NGS Distribution – http://ngsdistribution.com 15 02.04.2013
  16. Угрозы Основные Источник Угроза риски внедрения Перегрузка сети • Сетевой шторм, DDoS атака, MES, ВУ, СУ, НУ (DDoS) • Сбой сетевого оборудования Неавторизованн • Передача сигнала управления MES, ВУ, СУ, НУ ый доступ • Программирование контроллера Кража данных • Неавторизованный доступ к БД MES, ВУ Выполнение • Передача сигнала управления MES, ВУ, СУ, НУ вредоносного • Перепрограммирование кода контроллера • Манипуляции данными© NGS Distribution – http://ngsdistribution.com 16 02.04.2013
  17. Перегрузка (DDoS атака)© NGS Distribution – http://ngsdistribution.com 17 02.04.2013
  18. Перегрузка (DDoS атака)© NGS Distribution – http://ngsdistribution.com 18 02.04.2013
  19. Потеря связи СКАДА с ПЛК = Аварийный останов процесса© NGS Distribution – http://ngsdistribution.com 19 02.04.2013
  20. Потеря связи ПЛК с I/O = Аварийный останов процесса© NGS Distribution – http://ngsdistribution.com 20 02.04.2013
  21. Перегрузка (DDoS атака) Угрозы: Перегрузка сети Сбой протокола резервирования сети DDoS атака Сетевой шторм Следствие: Зависание ПЛК Зависание резервированной пары ПЛК Зависание SCADA сервера Зависание АРМ Отказ сети I/O на базе Industrial Ethernet Защита: Фильтрация трафика Ограничение пропускной способности© NGS Distribution – http://ngsdistribution.com 21 02.04.2013
  22. Внедрение защиты Установка коммутаторов с поддержкой функции ограничения трафика Установка межсетевых экранов© NGS Distribution – http://ngsdistribution.com 22 02.04.2013
  23. Два варианта Требуется замена инфраструктуры Установка в текущую инфраструктуру Проще настройка Требуется изменение архитектуры Нет изменения архитектуры сети сети *** (без использования режима Stealth)© NGS Distribution – http://ngsdistribution.com 23 02.04.2013
  24. Угрозы Основные Источник Угроза риски внедрения Перегрузка сети • Сетевой шторм, DDoS атака, MES, ВУ, СУ, НУ (DDoS) • Сбой сетевого оборудования Неавторизованн • Передача сигнала управления MES, ВУ, СУ, НУ ый доступ • Программирование контроллера Кража данных • Неавторизованный доступ к БД MES, ВУ Выполнение • Передача сигнала управления MES, ВУ, СУ, НУ вредоносного • Перепрограммирование кода контроллера • Манипуляции данными© NGS Distribution – http://ngsdistribution.com 24 02.04.2013
  25. Неавторизованный доступ© NGS Distribution – http://ngsdistribution.com 25 02.04.2013
  26. Атака Внесение изменения в программу контроллера Передача неавторизованной команды© NGS Distribution – http://ngsdistribution.com 26 02.04.2013
  27. Неавторизованный доступ Угрозы: Доступ к ПЛК злоумышленнику Команды ТУ без авторизации Перехват управления процессом Следствие: Перепрограммирование ПЛК Остановка ПЛК Выход процесса из под контроля Защита: Ограничение доступа Авторизация Firewall User Firewall© NGS Distribution – http://ngsdistribution.com 27 02.04.2013
  28. Защита Открытие портов только для обмена данными со СКАДА Открытие доступа только с определенных IP адресов Использование USER Firewall для авторизации доступа к управлению или программирования© NGS Distribution – http://ngsdistribution.com 28 02.04.2013
  29. Защита Установка межсетевого экрана с простым и пользовательским межсетевым экраном© NGS Distribution – http://ngsdistribution.com 29 02.04.2013
  30. Угрозы Основные Источник Угроза риски внедрения Перегрузка сети • Сетевой шторм, DDoS атака, MES, ВУ, СУ, НУ (DDoS) • Сбой сетевого оборудования Неавторизованн • Передача сигнала управления MES, ВУ, СУ, НУ ый доступ • Программирование контроллера Кража данных • Неавторизованный доступ к БД MES, ВУ Выполнение • Передача сигнала управления MES, ВУ, СУ, НУ вредоносного • Перепрограммирование кода контроллера • Манипуляции данными© NGS Distribution – http://ngsdistribution.com 30 02.04.2013
  31. Исполнение вредоносного кода© NGS Distribution – http://ngsdistribution.com 31 02.04.2013
  32. Антивирусы на АРМ или промышленном ПК не применимы Ограничены ресурсы (CPU, RAM) Препятствует обеспечению RealTime Необходимы постоянные обновления АРМ не подключены к общей сети© NGS Distribution – http://ngsdistribution.com 32 02.04.2013
  33. Исполнение вредоносного кода© NGS Distribution – http://ngsdistribution.com 33 02.04.2013
  34. Неавторизованный доступ Угрозы: Внедрение вредоносного кода в SCADA и оболочку программирования Доступ к ПЛК злоумышленнику Команды ТУ без авторизации Следствие: Остановка ПЛК Перехват управления процессом Защита: Авторизация Firewall User Firewall Превентивный мониторинг: Мониторинг целостности системы© NGS Distribution – http://ngsdistribution.com 34 02.04.2013
  35. mGuard Integrity Monitoring …© NGS Distribution – http://ngsdistribution.com 35 02.04.2013
  36. Защита Установка межсетевого экрана с простым и пользовательским межсетевым экраном и функцией CIFS© NGS Distribution – http://ngsdistribution.com 36 02.04.2013
  37. Удаленный доступ© NGS Distribution – http://ngsdistribution.com 37 02.04.2013
  38. Удаленный доступ Угрозы: Система имеет выход в Интернет Доступ через сеть с низким уровнем доверия Система уязвима для внешнего доступа Следствие: Полный доступ к ПЛК Перехват управления процессом Защита: Закрытый со стороны WAN Firewall VPN Шифрование данных© NGS Distribution – http://ngsdistribution.com 38 02.04.2013
  39. Кнопка VPN – Зачем? Связь может быть установлена только авторизованным персоналом со стороны оборудования! Доступ к системе возможен только при инициализации тоннеля Сервис по всему миру по желанию заказчика!© NGS Distribution – http://ngsdistribution.com 39 02.04.2013
  40. Совместное использование VPN и межсетевого экрана© NGS Distribution – http://ngsdistribution.com 40 02.04.2013
  41. Концепция защиты© NGS Distribution – http://ngsdistribution.com 41 02.04.2013
  42. Концепция защиты Фильтрация интеллектуальный межсетевой экран (QoS) Quality of Service Control функция приоритезации трафика Авторизация и шифрование VPN по протоколу IPsec Мониторинг целостности системы отслеживание изменения в системе подключенного ПК Резервирование для обеспечения больше надежности Защита устройств защиты режим невидимости в сети© NGS Distribution – http://ngsdistribution.com 42 02.04.2013
  43. Проект: ABC Machine Parts Inc. Интеграция производственной сети© NGS Distribution – http://ngsdistribution.com 43 02.04.2013
  44. Проект: ABC Machine Parts Inc. Требования безопасности© NGS Distribution – http://ngsdistribution.com 44 02.04.2013
  45. Построение промышленной сети© NGS Distribution – http://ngsdistribution.com 45 02.04.2013
  46. Построение VPN соединения© NGS Distribution – http://ngsdistribution.com 46 02.04.2013
  47. Firewall защищает сеть производства© NGS Distribution – http://ngsdistribution.com 47 02.04.2013
  48. Общая концепция защиты© NGS Distribution – http://ngsdistribution.com 48 02.04.2013
  49. mGuard configuration options© NGS Distribution – http://ngsdistribution.com 49 02.04.2013
  50. IDM - Overview© NGS Distribution – http://ngsdistribution.com 50 02.04.2013
  51. Бесплатные функции mGuard Static Routing / NAT / NAT 1:1 / Port forwarding Statefull inspection Firewall Шаблоны и наборы правил Firewall User Firewall (включая RADIUS авторизацию) Защита от DDoS Single Stealth Mode Multi Stealth Mode Обновление прошивок До 10 VPN туннелей Server/Client Firewall внутри VPN© NGS Distribution – http://ngsdistribution.com 51 02.04.2013
  52. Firewall Stateful Packet Inspection (SPI) SPI firewall отслеживает прохождение пакета по разрешающему правилу Прошедший пакет сохраняется в таблице. Ответ на запрос пропускается без дополнительных правил во входящих соединениях.© NGS Distribution – http://ngsdistribution.com 52 02.04.2013
  53. Режим– Stealth Mode Защита с помощью Firewall без изменения архитектуры сети Single Stealth Multi Stealth mode: (autodetect/static) mode: Защита нескольких Защита одного устройства. устройств.© NGS Distribution – http://ngsdistribution.com 53 02.04.2013
  54. mGuard. The Perfect Network Solution. SWITCH IRT WLAN 5100 mGuard 2/4000 SWITCH 3000 54 / Name / Department / Date 54 / Name / Department / Date© NGS Distribution – http://ngsdistribution.com 54 02.04.2013
  55. Контактная информация Группа компаний NGS Distribution Телефоны Социальные сервисы +7 (495) 280 1530, Москва facebook.com/NGSDistribution +7 (727) 390 1069, Алматы twitter.com/NGSDistribution E-mail и Web slideshare.net/NGSDistribution sales@ngsec.ru scribd.com/NGSDistribution http://ngsdistribution.com youtube.com/user/NGSDistribution http://ngsec.ru linkedin.com/company/2697598 http://ngsec.kz© NGS Distribution – http://ngsdistribution.com 55 02.04.2013

×