Документ описывает угрозы информационной безопасности (ИБ) в автоматизированных системах управления технологическими процессами (АСУ ТП) и методы защиты от них. Основное внимание уделяется системе анализа и мониторинга состояния ИБ, выделяя ее функции, такие как сбор и корреляция событий, а также выявление инцидентов. Также рассматриваются направления обеспечения ИБ, включая применение современных технологий и организации мер по предотвращению атак.

1. 10.12.2015
Антон Ёркин
Руководитель направления
УЦСБ
Система анализа и
мониторинга состояния ИБ в
АСУ ТП

2. Содержание
1. Актуальные угрозы ИБ АСУ ТП
2. Направления обеспечения ИБ АСУ ТП
3. Назначение, архитектура и функции САМСИБ
2

3. Предпосылки угроз ИБ в АСУ ТП
1. Применение современных сетевых технологий
2. Применение незащищенных промышленных протоколов (MODBUS,
PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP)
OSI Протокол
7 Modbus
6 -
5 -
4 -
3 -
2 Modbus
1 RS-485, RS-232
OSI Протокол
7 Modbus
6 -
5 -
4 TCP
3 IP
2
Ethernet
1
3

4. Предпосылки угроз ИБ в АСУ ТП
3. Применение традиционных ИТ-решений
4. Исследования безопасности АСУ ТП
2010
StuxnetГод Уязвимости
2005-2
010
20
Год Уязвимости
2011-2
015
>300
4

5. Протоколы, в рамках которых произошел
инцидент в АСУ ТП*
5
* - Репозиторий инцидентов безопасности в АСУ ТП (RISI, США), данные из
статьи http://lukatsky.blogspot.ru/2014/03/blog-post_26.html
5 из 30

6. Распределение уязвимостей по уровням АСУ ТП*
Уровень диспетчерского
управления –
41,6%
Верхний уровень
управления –
58,1%
Средний уровень
управления –
0,3%
Нижний (полевой) уровень
управления –
0%
* - результаты исследования RED TIGER Security (США) по заданию АНБ США 6

7. Актуальные угрозы ИБ АСУ ТП*
1. Несанкционированное использование технологий удаленного доступа
2. Атаки через офисную (корпоративную) сеть передачи данных
3. Атаки на традиционные IT-компоненты, применяемые в АСУ ТП
4. (D)DoS атаки
5. Человеческие ошибки и злонамеренные действия персонала
6. Распространение вредоносного ПО с помощью съемных носителей
информации и устройств, подключаемых к сети АСУ ТП
7. Перехват, искажение и передача информации, циркулирующей в сети
АСУ ТП
8. Неавторизованный доступ к компонентам АСУ ТП
9. Атаки на сеть передачи данных АСУ ТП
10.Отказы оборудования, форс-мажор
* - «BSI-Publications on Cyber-Security | Industrial Control System Security – Top 10 Threats
and Countermeasures»
7

8. Актуальные направления защиты
Класс мер по обеспечению ИБ
Превентивные Детектирующие Корректирующие
Обеспечение сетевой безопасности Применение средств
резервного копирования
и восстановления
Безопасная настройка
компонентов
Управление
конфигурациями и
изменениями
Управление доступом Регистрация и сбор
событий безопасности
Защита от вредоносного
ПО
Контроль защищенности
Организационные меры (Политика ИБ, обучение персонала, расследования)
Физическая безопасность и ИТСО
8

9. Актуальные направления защиты
Класс мер по обеспечению ИБ
Превентивные Детектирующие Корректирующие
Обеспечение сетевой безопасности Применение средств
резервного копирования
и восстановления
Безопасная настройка
компонентов
Управление
конфигурациями и
изменениями
Управление доступом Регистрация и сбор
событий безопасности
Защита от вредоносного
ПО
Контроль защищенности
Организационные меры (Политика ИБ, обучение персонала, расследования)
Физическая безопасность и ИТСО
Допускает
унифицированную
реализацию
Большая
разнообразность и
зависимость от
конечной системы
Целесообразно
реализовывать как
элемент АСУ ТП
9

10. Актуальные направления защиты
Класс мер по обеспечению ИБ
Превентивные Детектирующие Корректирующие
Обеспечение сетевой безопасности Применение средств
резервного копирования
и восстановления
Безопасная настройка
компонентов
Управление
конфигурациями и
изменениями
Управление доступом Регистрация и сбор
событий безопасности
Защита от вредоносного
ПО
Контроль защищенности
Организационные меры (Политика ИБ, обучение персонала, расследования)
Физическая безопасность и ИТСО
Допускает
унифицированную
реализацию
Большая
разнообразность и
зависимость от
конечной системы
Целесообразно
реализовывать как
элемент АСУ ТП
САМСИБ -
система
анализа и
мониторинга
состояния ИБ
9

11. Основные функции САМСИБ
10

12. Сбор и обработка
событий ИБ
Основные функции САМСИБ
• Сбор событий ИБ
• Корреляция событий ИБ
• Выявление инцидентов ИБ
10

13. Сбор и обработка
событий ИБ
Основные функции САМСИБ
• Сбор событий ИБ
• Корреляция событий ИБ
• Выявление инцидентов ИБ
Обнаружение
сетевых атак и аномалий
• Обнаружение атак
• Выявление сетевых аномалий
10

14. Сбор и обработка
событий ИБ
Основные функции САМСИБ
• Сбор событий ИБ
• Корреляция событий ИБ
• Выявление инцидентов ИБ
Контроль состояния ИБ
Контроль конфигураций
• Сбор конфигураций
• Выявление изменений конфигураций
Инвентаризация ОЗ
• Определение текущего состава ОЗ
• Выявление изменений в составе ОЗ
• Передача информации об ОЗ в КСУИБ
Контроль соответствия
требованиям ИБ и контроль
защищенности
• Проверка ОЗ на наличие уязвимостей
• Оценка выполнения требований
безопасной конфигурации
• Формирование отчетов
• Передача отчетов в КСУИБ
Обнаружение
сетевых атак и аномалий
• Обнаружение атак
• Выявление сетевых аномалий
10

15. АСУ ТП
Уровень филиала
Уровень площадки/комплекса
Уровень Администрации
Функциональная структура САМСИБ
СДКУ, СППДР
СДКУ, СЛТМ
АСУ ТП,
САУ
11

16. Функциональные блоки САМСИБ
Блок Функции блока
Размещение в иерархии АСУ
ТП
Пользователь
блока
Блок
мониторинга
• Сбор событий ИБ
• Обнаружение атак
• Выявление сетевых аномалий
• Сбор конфигураций
• Определение текущего состава ОЗ
• Выявление изменений в составе
ОЗ
• Проверка ОЗ на наличие
уязвимостей
Нет
Блок
корреляции
• Корреляция событий ИБ
• Выявление изменений
конфигураций Администратор
ИБ
Блок оценки • Выявление инцидентов ИБ
• Оценка выполнения требований
безопасной конфигурации
• Формирование отчетов
• Интеграция с КСУИБ
Отдел ИБ
Уровень Администр.
Уровень филиала
Уровень площадки
Уровень Администр.
Уровень филиала
Уровень площадки
Уровень Администр.
Уровень филиала
Уровень площадки
12

17. Режимы функционирования блока мониторинга
Функции блока мониторинга
Пассивный
мониторинг
Активный
мониторинг
Сканирование
защищенности
Сбор событий ИБ
Обнаружение атак
Выявление сетевых аномалий
Сбор конфигураций
Определение текущего состава ОЗ
Выявление изменений в составе ОЗ
Проверка ОЗ на наличие
уязвимостей
Пассивный мониторинг:
однонаправленное получение информации, мониторинг на основе анализа сетевого
трафика, без воздействия на компоненты АСУ ТП
Сканирование защищенности:
выявление уязвимостей компонентов АСУ ТП
Активный мониторинг:
взаимодействие с компонентами АСУ ТП (запрос-ответ), сбор конфигураций и событий
13

18. Варианты реализации САМСИБ
Комплекс
традиционных
средств
Комплекс
специализирован
ных средств
отечественной
разработки
Комплекс
специализирова
нных средств
иностранной
разработки
Контроль конфигураций компонентов АСУ
ПТК
Max Patrol DATAPK
Industrial
Defender
Инвентаризация объектов защиты
Max Patrol DATAPK
Industrial
Defender
Управление событиями безопасности
ArcSight DATAPK
Industrial
Defender
Обеспечение сетевой безопасности
(выявление комп. атак)
Check
Point
DATAPK
Industrial
Defender
Автоматизация контроля соответствия
требованиям ИБ и контроля
защищенности
Max Patrol DATAPK
Industrial
Defender
Мероприятия по
обеспечению ИБ
Вариант реализации
14

19. Сравнение вариантов реализации
Комплекс
традиционных средств
Комплекс
специализированных
средств отечественной
разработки
Комплекс
специализированных
средств иностранной
разработки
Требования к
вычислительной
инфраструктуре
Требуется
установка агентов
на СВТ АСУ ТП
Безагентная
система
Требуется установка
агентов на СВТ АСУ
ТП
Возможности по
контролю за
нагрузкой на каналы
связи
• Расписание
использования
каналов связи
• Ограничение
полосы
пропускания
• Расписание
использования
каналов связи
• Ограничение
полосы
пропускания
• Расписание
использования
каналов связи
• Ограничение
полосы
пропускания
Объем
передаваемых
данных между
уровнями иерархии
Значительный Минимальный Значительный
Параметр
сравнения
Вариант
15

20. Сравнение вариантов реализации (2)
Комплекс традиционных
средств
Комплекс
специализированных
средств отечественной
разработки
Комплекс
специализированных
средств иностранной
разработки
Требования к
инженерной
инфраструктуре
• Монтажный шкаф
• Кондиционирование
• Гарантированное
электроснабжение
Соответствуют
требованиям
компонентов
защищаемой
АСУ ТП
• Монтажный шкаф
• Кондиционирование
• Гарантированное
электроснабжение
Степень
реализации
функций системы
Избыточная Достаточная Достаточная
Порядок
стоимости
Параметр
сравнения
Вариант
16

21. Реализация САМСИБ
Программно-технические средства
Реализуемые
функциональные блоки
Обозначение Наименование Производитель
DATAPK (уровня
предприятия)
ООО «УЦСБ»
• Блок анализа
• Блок корреляции
• Блок мониторинга
DATAPK (уровня
филиала)
ООО «УЦСБ
• Блок корреляции
• Блок мониторинга
DATAPK (уровня
технологического
комплекса)
ООО «УЦСБ
• Блок мониторинга
17

22. Результаты применения Системы анализа и
мониторинг состояния ИБ
САМСИБ
• Раннее выявление попыток осуществления атак
• Предоставление полной информации для
предотвращения реализации угрозы ИБ
• Выявление имеющихся уязвимостей
• Эффективный контроль состояния ИБ
18

23. Результаты применения Системы анализа и
мониторинг состояния ИБ
Подготовка Реализация Завершение
Время
САМСИБ
• Раннее выявление попыток осуществления атак
• Предоставление полной информации для
предотвращения реализации угрозы ИБ
• Выявление имеющихся уязвимостей
• Эффективный контроль состояния ИБ
18

24. Результаты применения Системы анализа и
мониторинг состояния ИБ
Подготовка Реализация Завершение
Время
Stuxnet
Больше 1 года
САМСИБ
• Раннее выявление попыток осуществления атак
• Предоставление полной информации для
предотвращения реализации угрозы ИБ
• Выявление имеющихся уязвимостей
• Эффективный контроль состояния ИБ
18

25. Результаты применения Системы анализа и
мониторинг состояния ИБ
Подготовка Реализация Завершение
Время
Stuxnet
Больше 1 года
САМСИБ
• Раннее выявление попыток осуществления атак
• Предоставление полной информации для
предотвращения реализации угрозы ИБ
• Выявление имеющихся уязвимостей
• Эффективный контроль состояния ИБ
18

26. Благодарю за внимание!
Антон Ёркин
ООО «УЦСБ»
620026, Екатеринбург, ул. Ткачей, д.6
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 382-05-63
ayorkin@ussc.ru
www.USSC.ru