4. Магическая Воздушная Прослойка
4
Enterprise Network
VPN
Remote
Facility
IEDs, PLCs,
Sensors,
Actuators
Historian
SCADA/DCS Historian
Enterprise Network
DMZ
Supervisory Network
Control System Network
Web Server App Server
Historian
Database
Historian
IEDs, PLCs
Sensors,
Actuators
Remote Facility
VPN
Field Network
Sensors
Cloud Systems
Internet
Actuators
SCADA/DCS
Remote
Services
VPN
Enterprise Network
DMZ
Supervisory Network
Control System Network
Web Server App Server
Historian
Database
Historian
IEDs, PLCs
Sensors,
Actuators
Remote Facility
VPN
Field Network
Sensors
Cloud Systems
Internet
Actuators
SCADA/DCS
Remote
Services
VPN
Remote
ServicesVPN
Field NetworkActuators Sensors
Enterprise Network
DMZ
Supervisory Network
Control System Network
Web Server App Server
Historian
Database
Historian
IEDs, PLCs
Sensors,
Actuators
Remote Facility
VPN
Field Network
Sensors
Cloud Systems
Internet
Actuators
SCADA/DCS
Remote
Services
VPN
Control System Network
Supervisory Network
AIR GAP
Internet
5. Индустриальная сеть, история…
• Индустриальные системы жили в
совершенно другом мире от IT.
• Enterprise сеть была отделена от
производства и не было никаких связей.
• Сетевый технологии были
проприетарными и отвязанными от
товарных/сырьевых систем.
• Подход быстро изменился...
Chemical Plant Oil Pipeline
Manufacturing Oil Refinery
Industrial Control Systems
Air-Gap
6. Все ближе и ближе …
• Вводятся программные и аппаратные
системы управления сырьем
• Контроль производственных систем
начинает происходить по средствам
публичных линий связи.
• Граница между IT и производством
размывается
Chemical Plant Oil Pipeline
Manufacturing Oil Refinery
Industrial Control Systems
Air-Gap
7. Общие уязвимости
§ Хрупкий стек TCP/IP – NMAP, Ping Sweep сканы
§ Отсутствие или слабая аутентификация
§ Плохой дизайн – хабы, сеть в виде гирлянды
§ Сервера IA на Windows – патчи и уязвимости
§ Ненужные сервисы в сети – FTP, HTTP и т.д.
§ Открытый доступ в сеть, нет port security, отсутствие физического ограничения
доступа к оборудованию
§ Ограниченный аудит и мониторинг доступа к IA устройствам
§ Неавторизованное использование HMI, IA систем для доступа в интернет,
загрузки музыки и фильмов.
§ Отсутствие опыта работы с IA системами и сетями, много белых пятен.
8. Cyber Security
Современное производство
§ Небезопасные протоколы управления
§ Telnet
§ Industrial Protocols: Modbus, Profinet, EIP
§ Пароли по-умолчанию используются для удобства
и простоты
§ Отсутствие сегментации между Enterprise и Manufacturing сетью
§ Несвоевременная установка патчей на Windows и другие ОС.
§ Отсутствие логирования
§ Небезопасные беспроводные сети
§ Небезопасный удаленный доступ
§ Отсутствие контроля аномальной активности
9. Cyber Security
Современное производство - Продолжение
• Реализация нелегитимных команд с уровней 1,2,3;
• Компрометация плохо защищенного удаленного доступа;
• Malware угрозы, вызванные деятельностью вредоносного ПО,
в том числе отказ в обслуживании;
• Zero-day неизвестные и Advanced Persistent Threat –
углубленные атаки высокой сложности;
• Доступ злоумышленника к физической среде передачи данных;
• Неавторизованный доступ в логические сегменты сети;
• Отказ в обслуживании;
• Несанкционированный доступ к приложениям управления,
терминальным сессиям контрольного оборудования;
• Получение привилегированного доступа;
• Нарушение целостности системы;
• Перехват и изменение трафика;
10. Нефтяная компания – нарушение процесса
нефтепереработки
• Conficker (KIDO) заражение НПЗ –
неопубликовано
• Description – Cyber Assault. Вирус поразил
Windows компьютеры и продолжал
распространение. Привел к нарушению трафика
DCS контроллеров, приведшего к их остановке.
• Attack Vector – Вирус принесен на Flash USB
носителе контрактника от вендора
(предположительная причина)
• Vulnerability – Уязвимость на Windows хостах,
соединенных с DCS контроллерами.
• Damage Caused – НПЗ потерял контроль над
производством на целый день. Финансовые потери
более UK£ 500,000
11. Stuxnet Virus – Направленная кибер атака
• Attack Description – Cyber Assault Высоко
организованная и ресурсоемкая атака на объекты
иранской ядерной программы.
• Attack Vector – Инфицированная USB Flash
подключена в Windows PC, подключенный к
производственной сети.
• Vulnerability – Siemens контроллеры, подключенные к
центрифугам на иранском заводе по обогащению
урана.
• Damage Caused – Вирус перехватил управление
контроллером и изменял скорость вращения
центрифуги заставляя изнашиваться шестерни,
приводя к дорогому и длительному ремонту. Также
нанесен политический ущерб.
• Read: A declaration of cyber war
12. Индустриальные кибер атаки существуют –
последствия критичны!
Существуют уязвимости
• Wurldtech’s Achilles платформа идентифицировала более 750 уязвимостей в
индустриальном оборудовании
• Более 70% уязвимостей приводили к потере контроля или потере
видимости оборудования.
• Wurldtech создала и поддерживает Dеlphi – крупнейшую в мире базу уязвимостей
индустриальных сетей
Последствия
• Потеря производства
• Сопутствующие потери и отсрочки
• Безопасность людей,
повреждение оборудования,
удар по репутации. Delphi Vulnerabilities By Industry – Wurldtech 2010
13. Кибер атаки стоят компаниям миллионы $
41%
35%
24%
Cyber Security Risks > Other Insurable Business Risks
Cyber Security Risks = Other Insurable Business Risks
Cyber Security Risks < Other Insurable Business Risks
2014 Global Report on the Cost of Cyber Crime. Ponemon Institute LLC October 2014
Managing Cyber Security as a Business Risk: Cyber Insurance in the Digital Age. Ponemon Institute LLC August 2013
$7.6M
$163M
$500M
Средняя годовая
стоимость кибер
преступления
Средний
максимальный
потенциальный риск
Максимальный
потенциальный риск
13
YoY Увеличение
стоимости
(2013-2014)
10.4%
14. And Hackers Are Targeting You
14
#1
#4
#6
Ponemon Institute’s 2014 Global Report on
the Cost of Cyber Crime
21. Converged Plantwide
Ethernet Architecture
EtherNet/IP (Industrial Protocols)
Real–Time Control
Fast Convergence
Traffic Segmentation and
Management
Ease of Use
Site Operations and Control
Multi-Service Networks
Network and Security Management
Routing
Application and Data share
Access Control
Threat Protection
Gbps Link for
Failover Detection
Firewall
(Active)
Firewall
(Standby)
FactoryTalk
Application Servers
Cisco
ASA 5500
Cisco
Catalyst
Switch
Network Services
Cisco Catalyst
6500/4500
Cisco Cat. 3750
StackWise
Switch Stack
Patch Management
Terminal Services
Application Mirror
AV Server
Cell/Area #1
(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2
(Ring Topology)
Cell/Area #3
(Linear Topology)
Rockwell Automation
Stratix 8000
Layer 2 Access Switch
Controller
Enterprise/IT Integration
Collaboration
Wireless
Application Optimization
Cell/Area Zone
Levels 0–2
Layer 2 Access
Manufacturing Zone
Level 3
Distribution and Core
Demilitarized Zone
(DMZ) Firewalls
Enterprise Network
Levels 4–5
Web Apps DNS FTP
Internet
22. Сетевое портфолио для целостной производственной
архитектуры
Пром.
предприятия
ЭнергетикаДобыча
ископаемых
Нефть и газ Транспорт Городское
хозяйство
Оборона Решения для
операторов
IE 2000
IE 3000
CGS 1000
CGS 2500
CGR 2000 CGR 1000
819H M2M
ISR
Gateway
Router
1552
Rugged
Wireless
5915 + 5921 +
5940 Rugged
Embedded
Services
Routers
ESS2020
Rugged Switch
Video
Surveillance
Manager and IP
Cameras
Physical
Access
Manager
IPICSASR 903
Встроенные функции доступности и безопасности
• Основано на Cisco Campus network framework и лучших практиках
• Cisco IOS платформы и целостный функционал
• Интеграция с Cisco и IT приложениями управления сетью.
• Функции целостности и доступности
• REP, Flexlinks, HSRP, Stackwise, ISSU, LWAP, CAP/WAP, CleanAir
• Встроенные средства безопасности
• 802.1x, ACLs, ISE, encryption, VPN, etc.,
• Оптимизация трафика приложений
• QoS, IGMP, PTP (IEEE1588)
• Масштабируемая сетевая инфраструктура – интегрированное видео,
телефонная связь, беспроводная сеть и поддержка новых приложений
23. Сетевое портфолио для целостной
производственной архитектуры
Основано на Cisco Campus network framework и
лучших практиках
Cisco IOS платформы и целостный функционал
Интеграция с Cisco и IT приложениями управления
сетью.
Функции целостности и доступности
§ REP, Flexlinks, HSRP, Stackwise, ISSU, LWAP, CAP/WAP,
CleanAir
Встроенные средства безопасности
§ 802.1x, ACLs, ISE, encryption, VPN, etc.,
Оптимизация трафика приложений
§ QoS, IGMP, PTP (IEEE1588)
Масштабируемая сетевая инфраструктура –
интегрированное видео, телефонная связь,
беспроводная сеть и поддержка новых приложений
Cat. 6500-ECat. 4500-E
Cat. 3750-X
Available COTS platforms
Available industrial platforms
1260 &
3600 APs
ASA
IE 3010
IE 3000 1520 AP
CGR 2010
IE 2000ISR 819
7925G-EX
IP Phone
Rockwell Stratix
5700
25. Логический вид зоны DMZ
DMZ #1
Реплики Historian
DMZ #2
Управление патчами
DMZ #N
Терминальных серверов
Уровень 4,5 Корпоративная сеть
Уровень 3 - Производственная площадка
Функциональные
зоны
Граница
соединения
Запрет прямых
соединений
26. Одним из критических моментов при дизайне индустриальной сети является правильное
отделение IACS сети от сети предприятия.
Отказ в работе индустриальной сети влечет намного большие потери чем соизмеримая
авария в корпоративной сети.
Firewall предприятия контролирует доступ между зонами:
Ø Производит аутентификацию пользователей для доступа к сервисам и данным;
Ø Жесткий контроль трафика;
Ø Инспекция протоколов и предотвращение вторжений;
Ø Обнаружение, отслеживание и блокирование Malware активностей;
Ø Безопасное управление сетью;
Ø Обслуживание VPN сессий внешних и внутренних пользователей;
Ø Предоставление WEB-портала для proxy-сервисов, таких как RDP до некоторых серверов в
Manufacturing зоне.
Краткий обзор зоны DMZ
28. В данном примере данные IACS
собираются и передаются в бизнес систему
в Enterprise зоне.
Данные не хранятся и не используются в
зоне Manufacturing, таким образом отказ
зоны DMZ не влияет на процесс
производства.
Данные IACS должны буфферизоваться на
тот случай если не будет связи с DMZ.
Потоки трафика в зоне DMZ
29. Фаервол предприятия должен работать в HA режиме Active/Active либо Active/Standby.
Рекомендуется топология с двумя фаерволами, данное разделение в том числе позволяет разным
организациям контролировать потоки данных между зонами.
DMZ <-> Manufacturing и DMZ <-> Enterprise.
Топологии и внедрение зоны DMZ
Рекомендуемые уровни безопасности:
30. Лучшие практики построения DMZ
Рекомендуемые правила фильтрации:
Исключаем возможность
связи напрямую
Enterprise -> Manufacturing
*Лучшая практика – Аутентифицировать
и авторизовать все пользовательские
сессии в зону DMZ.
*Лучшая практика – Рекомендуется
использование системы
предотвращения вторжений
в режиме IDS.
31. Обзор решений Cisco по безопасности АСУТП
Cisco ASA Firewall для сегментации (и в индустриальном исполнении)
Cisco FirePower IPS нового поколения с набором индустриальных сигнатур
SCADA
FireAMP для защиты от Malware угроз и угроз нулевого дня с
ретроспективным анализом
Cisco AnyConnect для контроля доступа и оценки состояния NAC
Cisco ISE Profiler для идентификации устройств и обнаружении
неавторизованных подключений, оценка состояния и управление доступом.
Cisco ISE и Индустриальные коммутаторы– 802.1x/MAB.
Cisco Trustsec и VRF-lite – создание виртуальных сегментированных
топологий с сервисами сквозной авторизации
Cisco Cyber Threat Defense (CTD) – Мониторинг аномальной активности
32. Архитектурный подход:
Ø Должны применяться наилучшие практики при внедрении удаленного доступа.
Ø Имеется ли политика безопасности?
Ø Разработана ли политика удаленного доступа партнеров?
Построение удаленного доступа
Технологии, которые дают
удаленным пользователям
доступ к IACS приложениям
33. 1) Использовать стандартный Enterprise уровня удаленный
доступ IPSEC с аутентификацией через Radius.
2) Ограничить возможность удаленных пользователей
соединяться к DMZ только через HTTPS.
3) Соединиться с порталом в DMZ https.
4) Установить VPN сессию через SSL и ограничить
использование приложений, например только RDP до
терминального сервера.
5) Использовать IPS/IDS системы для отслеживания атак и
червей от удаленных пользователей.
6) Ограничить количество терминальных приложений,
которые пользователь может запустить, иметь систему
аутентификации/авторизации каждого приложения.
7) Ограничить количество доступных функций в приложении
для пользователя.
8) Выделить сервер удаленного доступа в отдельный VLAN
и убедиться в прохождении его трафика через Firewall и
IPS/IDS.
Пример работы удаленного доступа
34. Усиливаем кибер безопасность
Современное производство
§ Заменить небезопасные протоколы управления на безопасные где возможно
§ Telnet à SSH v2
§ VNC (Shareware) à Secure RDP (TLS)
§ Настраивать сильные пароли и минимальные привилегии
§ Применить сегментацию между сетью производства и enterprise
§ Применить горизонтальную сегментацию между уровнями 1,2,3 сети АСУТП
§ Активное применение патчей для Windows и других ОС.
§ Вести логирование для исследования инцидентов
§ Разместить IPS/IDS с SCADA сигнатурами
§ Использовать port security или 802.1x (wired)
§ Identity Services Engine
§ Использовать 802.1x (wireless) PEAP/EAP-Fast с Wireless IPS
35. Усиливаем кибер безопасность
Современное производство - продолжение
• Интегрируемые системы межсетевого экранирования с сервисами отказоустойчивости, прозрачного
экранирования, интеграцией пользовательских сервисов, архитектуры Cisco Trustsec и сервисов NGIPS и
Advanced Malware Protection.
• Системы обнаружения и предотвращения вторжений с набором сигнатур, характерным для SCADA окружения (На
нижних уровнях АСУТП 0,1,2 – Режим обнаружения вторжений);
• Системы контроля и учета доступа в сеть (Cisco ISE);
• Системы поведенческого анализа трафика и обнаружения аномальной активности (Cisco Threat Defence);
• Системы обеспечения защищенного удаленного доступа Cisco Anyconnect VPN + NAC;
• Системы управления доступом на оборудование;
• Системы регистрации и учета;
• Системы обеспечения целостности;
• Системы антивирусной защиты (специализированные средства обнаружений и борьбы с Malware угрозами);
• Системы анализа защищенности.
• Система управления изменениями, конфигурациями, инвентаризации – CMDB;
• Система управления обновлениями (Patch-Management);
• Система анализа и корреляции событий безопасности (SIEM);
• Системы централизованного управления и мониторинга системами ИБ и сетевой инфраструктурой (CSM/PI/FSM);
36. 1. Идентифицировать все соединения к SCADA сети
2. Отсоединить ненужные соединения к SCADA сети
3. Оценить и усилить безопасность всех оставшихся соединений к SCADA сети
4. Защитить сеть SCADA путем отключения ненужных сервисов
5. Не основываться на проприетарных протоколах для защиты системы
6. Настраивать функции безопасности предоставляемые оборудованием и системными вендорами.
7. Установить усиленный контроль за любым подключением в SCADA сеть, используемым в качестве резервного/
обходного пути.
8. Установить внутреннюю и внешнюю системы обнаружения вторжений и установить 24-х часовой мониторинг
событий безопасности.
9. Проводить технические аудиты SCADA устройств и сетей для обнаружения брешей в безопасности.
10. Проводить мероприятия по установлению физической безопасности и обследовать все объекты удаленно
подключаемые к сети SCADA.
11. Сформировать SCADA “Red Teams” чтобы идентифицировать и оценивать возможные сценарии атак.
12. Четко определить роли и ответственность персонала отвечающего за информационную безопасность и политики
для менеджеров, системных администраторов и пользователей.
13. Документировать сетевую архитектуру и идентифицировать системы исполняющие критические функции или
содержащие важную информацию, требующую дополнительного разрешения к доступу.
14. Установить четкий процесс оценки рисков.
15. Установить стратегию защиты сети основываясь на принципе defense-in-depth
16. Четко осознавать требования информационной безопасности
17. Установить процесс управления конфигурациями
18. Проводить плановую диагностику
19. Наладить систему резервного копирования и аварийного восстановления
20. Руководство компании должно устанавливать цели для информационной безопасности и следить за
исполнением этих целей, спрашивая с конкретных людей.
21. Установить политики и проводить тренинги с целью снижения возможности раскрытия важных данных о SCADA
сети персоналом.
21 шаг к безопасности сети SCADA
http://www.oe.netl.doe.gov/docs/prepare/21stepsbooklet.pdf
37. Не пользовательские
устройства
• Как их обнаружить?
• Как определить что за
устройства?
• Как контролировать их
доступ в сеть?
• Защита от подмены?
Cisco Trustsec: Identity Services Engine
ISE: Политики для людей и устройств
• Гостевой доступ только в
Интернет?
• Как управлять гостевым
доступом?
• Работает в беспроводной и
проводной сети?
• Мониторинг гостевой
активности?
Гостевой доступ
• Как ограничить доступ в сеть?
• Как управлять рисками
использования собственных
устройств, телефонов,
планшетов?
• Зависимость прав доступа от
местоположения?
• Состояние устройств?
Авторизованный доступ
38. Purdue эталонная модель, ISA-
SP99.00.01-2007
• Общая используемая эталонная
модель ISA-SP99.00.01-2007
• Полезна для общей терминологии и
понимания взаимоотношений между
компонентами
• Правильный общий вид
интегрированной производственной
системы
• Легко адаптируема для других систем
таких как SCADA
39. Упрощенная Purdue Архитектура A
Layer 4/3
Низкий уровень безопасности, нет углубленной безопасности. В основном IT протоколы, терминальные
сервисы, случайный индустриальный трафик. Большая площадь для сетевых атак, легко уязвимо атакам с
removable media.
40. Упрощенная Purdue Архитектура B
Layer 4/3
Layer 3/2
Средний уровень безопасности, некоторая углубленная безопасность. В основном контрольные протоколы и display/Human
Machine Interface трафик. Возможно обращение через SCADA протоколы напрямую к контроллерам, но зачастую общение
идет через прокси и сервера приложений, как показано через dual-homed hosts. Уменьшенная площадь атаки, требует
доступа через L2 сервера для доступа к контроллерам. Высокий уровень публичных угроз на данном уровне.
41. Упрощенная Purdue Архитектура C
Layer 4/3
Layer 3/2
Layer 2/1
Наилучшая схема, наивысшая степень безопасности, большая степень defense-in-depth. Основные протоколы
управления общаются с выделенными системами. Наименьшая возможная площадь для атаки.
42. Защита индустриальных систем с помощью FirePower NGIPS
• 2 препроцессора для Modbus и DNP3
• Возможность написания собственных сигнатур
• Свыше сотни встроенных сигнатур
CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin Iconics
Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
DATAC
WellinTech
Tridium
Schneider Electric
CODESYS
43. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Yokogawa CENTUM CS 3000 stack buffer overflow attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET 20171 (msg:"SCADA
Yokogawa CENTUM CS 3000 stack buffer overflow attempt";
flow:to_server,established; content:"|64 A1 18 00 00 00 83 C0 08 8B 20 81 C4 30
F8 FF FF|"; fast_pattern:only; metadata:policy balanced-ips drop, policy security-
ips drop; reference:cve,2014-0783; reference:url,www.yokogawa.com/dcs/
security/ysar/YSAR-14-0001E.pdf; classtype:attempted-admin; sid:30562; rev:
1; )
Резюме Вызов переполнения буфера для извлечения команд привилегированного режима
Воздействие Извлечение неавторизованных команд
Информация http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2014-0783
Подверженные системы Yokogawa CENTUM CS 3000 R3.09.50
44. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET [2308,50523]
(msg:"PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS
attempt"; flow:to_server,established; content:"|00 04 03|"; depth:3; byte_test:4,>,
0x410,23,little; isdataat:1025; reference:cve,2011-4877;
reference:url,www.exploit-db.com/exploits/18166/; classtype:attempted-admin;
sid:29963; rev:1; )
Резюме Атака отказа в обслуживание, недоступность оборудования, останов тех. процесса
Воздействие Отказ в обслуживании
Информация www.exploit-db.com/exploits/18166/
Подверженные системы Siemens SIMATIC PCS
45. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502
(flow:from_client,established; content:”|00 00|”; offset:2; depth:2; pcre:”/[Ss]{3}(x05|
x06|x0F| x10|x15|x16)/iAR”; msg:”Modbus TCP – Unauthorized Write Request to a
PLC”; reference:scada,1111007.htm; classtype:bad- unknown; sid:1111007; rev:1;
priority:1;)
Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или
иное устройство
Воздействие Целостность системы Отказ в обслуживании
Информация
Подверженные системы PLC и другие устройства с Modbus TCP сервером
46. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to
someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованной системы подключиться к HMI
Воздействие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web
47. Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt
to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2;
reference:DHSINLroadshow- IDStoHMI1;classtype:misc-activity; sid:1000003;
rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу
Воздействие Сканирование
Компрометация системы управления
Информация
Подверженные системы RTU