Check Point. Сергей Чекрыгин. "На один шаг впереди"
Similar to ФГУП НПП "Гамма". Денис Микрюков. "Система обнаружения вторжений в автоматизированных системах управления технологическими процессами «КРЕЧЕТ»"
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUguestc6d031
Similar to ФГУП НПП "Гамма". Денис Микрюков. "Система обнаружения вторжений в автоматизированных системах управления технологическими процессами «КРЕЧЕТ»" (20)
3. Цели создания
#CODEIB
Целями создания СОВ "Кречет" являются:
1. Соблюдение правового режима доступа к информации,
циркулирующей в системах АСУТП и (или) информационных
системах общего назначения;
2. Предотвращение несанкционированного уничтожения,
искажения, копирования, блокирования информации в
системах АСУТП и (или) информационных системах общего
назначения.
4. Область применения
СОВ "Кречет" планируется к применению на любых
пограничных уровнях АСУТП:
• между полевым уровнем и SCADA;
• между MES и ERP;
• на пограничном сетевом элементе ERP.
Так же СОВ "Кречет" может применяться в информационных
системах общего назначения в качестве системы обнаружения
атак на любом из пограничных устройств информационной
системы, отделяющем сегмент текущей сети от внешних
информационных систем.
#CODEIB
5. Назначение СОВ «Кречет»
СОВ "Кречет" представляет собой программно-аппаратное средство,
реализующие функции автоматизированного обнаружения
действий в информационной системе, направленных на
преднамеренный доступ к информации, специальные воздействия
на информацию (носители информации) в целях ее добывания,
уничтожения, искажения и блокирования доступа к ней.
В зависимости от требований Заказчика СОВ "Кречет" может быть
реализована на различных аппаратных платформах.
#CODEIB
6. Функции СОВ «Кречет»
СОВ "Кречет" встраивается в существующую сетевую
инфраструктуру информационной системы. СОВ "Кречет"
подключается в порт зеркалирования пограничного сетевого
устройства информационной системы и анализирует копию
сетевого трафика, проходящего через пограничное устройство.
Существует возможность подключения СОВ "Кречет" к
нескольким пограничным сетевым устройствам одновременно,
при многоточечном выходе информационной системы в
сторонние сети.
#CODEIB
7. Функции СОВ «Кречет»
На рисунке представлена схема
подключения СОВ "Кречет"
одновременно к зеркалируемым
портам пограничного маршрутизатора
внешних информационных систем и
маршрутизатора SCADA.
СОВ "Кречет" работает на основе
сигнатурного и эвристического
анализа актуальных атак при сетевом
взаимодействии текущей
информационной системы.
#CODEIB
8. Функции СОВ «Кречет»
СОВ "Кречет" способен выявить:
• плохой трафик;
• использование эксплоитов (выявление Shellcode);
• сканирование системы (порты, ОС, пользователи и т.д.);
• атаки на такие службы как Telnet, FTP, DNS, и т.д.
• атаки DoS/DDoS;
• атаки связанные с Web серверами (cgi, php, frontpage, iss и т.д.);
• атаки на базы данных SQL, Oracle и т.д.
• атаки по протоколам SNMP, NetBios, ICMP;
• атаки на SMTP, IMAP, POP2, POP3;
• различные Backdoors;
• web-фильтры (порнография);
• вирусы.
#CODEIB
9. Функции СОВ «Кречет»
СОВ "Кречет" поддерживает:
• возможность написания собственных правил;
• расширение функциональности, используя возможность подключения модулей;
• гибкую систему оповещения об атаках (Log файлы, устройства вывода, БД и др.).
СОВ "Кречет" поддерживает следующие интерфейсы для прослушивания:
• Ethernet;
• SLIP;
• PPP.
#CODEIB
10. Функции СОВ «Кречет»
Идентификация и аутентификация
СОВ "Кречет" управляется с помощью Web-интерфейса. При
обращении к устройству пользователь проходит процедуру
идентификации и аутентификации по связке логин-пароль.
#CODEIB
11. Функции СОВ «Кречет»
Идентификация и аутентификация
В СОВ "Кречет" предусмотрены несколько типов пользователей:
• администратор – привилегированный тип пользователей, в
обязанности которого входит настройка СОВ, анализ журналов,
реагирование на обнаруженные сетевые воздействия;
• аудитор – пользователь не имеющий доступа к настройкам СОВ, в
обязанности которого входит только анализ журналов и настроек
СОВ;
• удаленный пользователь – пользователь для осуществления записи
событий на внешний сервер консолидации.
В СОВ "Кречет" реализована функция создания пользователей с
необходимыми для работы в конкретных информационных
системах функциями.
#CODEIB
12. Функции СОВ «Кречет»
Мониторинг
В режиме мониторинга на экране
происходит отображение статистики
проанализированных атак в графическом
представлении.
Возможно представление статистики за
час, за текущий день, за предыдущий
день, за неделю и за месяц.
Так же указано состояние интерфейсов
СОВ "Кречет", загрузка процессора,
использование накопителя
и оперативной памяти
устройства.
#CODEIB
14. Функции СОВ «Кречет»
Настройка и применение правил
Для осуществления функции
самотестирования СОВ "Кречет"
администратор может задать тестовые
атаки посредством самой СОВ и
проанализировать наличие/отсутствие
регистрации событий об тестовых атаках в
журналах событий.
#CODEIB
15. Функции СОВ «Кречет»
Настройка и применение правил
Для анализа сетевого трафика в АСУТП в
СОВ организованы специализированные
правила. Данные правила учитывают
известные протоколы обмена SCADA
систем и анализируют возможные атаки с
учетом специализированных протоколов
передачи данных.
Согласно выставленным настройкам
СОВ "Кречет" будет производиться анализ
возможных атак в текущей
АСУТП.
#CODEIB
18. Процедура обновления базы
решающих правил
Для обновления базы решающих правил в СОВ "Кречет"
организована соответствующая функция. Актуальная БРП
размещается на сайте Екатеринбургского НТЦ ФГУП "НПП "Гамма".
Заказчик по доверенному шифрованному каналу получает
обновления.
Базы предоставляются в рамках действующей лицензии.
Предусмотрено несколько режимов обновлений:
-Автоматический;
-По расписанию;
-Оператором в ручном режиме.
#CODEIB
19. СОВ «Кречет» и платформа
мониторинга «Visor»
Платформа "Visor" предназначена для централизованного сбора,
хранения и анализа, с целью своевременного выявления и
оповещения об инцидентах и возможных угрозах ИБ.
СОВ "Кречет" полностью интегрирована с платформой "Visor", что
позволяет при совместном использовании:
• дополнить данные мониторинга информацией о нарушениях
сетевой безопасности, всевозможных сетевых сканированиях и
попытках DDOS-атак;
• управлять настройками СОВ "Кречет" в веб-интерфейсе "Visor".
#CODEIB
21. Расширение функционала
Дальнейшее развитие данной линейки продуктов направлено на
создание межсетевого экрана собственной разработки и
реализации функционала системы предотвращения вторжений на
базе двух продуктов.
СОВ "Кречет" находится в стадии проведения сертификационных
испытаний по линии ФСТЭК России на соответствие требованиям к
системам обнаружения вторжений уровня сети 4 класса.
#CODEIB
22. Сопутствующие услуги
В разрезе вопросов внедрения СОВ "Кречет" в информационную
систему Заказчика, Екатеринбургский НТЦ ФГУП "НПП "Гамма" готов
предоставлять следующие сопутствующие услуги:
1. Внедрение продуктов "Кречет" в информационную систему
Заказчика.
2. Создание организационной структуры обеспечения
информационной безопасности в информационной системе
Заказчика, в том числе и создаются регламенты расследования
инцидентов информационной безопасности.
#CODEIB
23. Сопутствующие услуги
3. Администрирование (в том числе и удаленное) внедренной
системы защиты информации:
• системы защиты информации от несанкционированного доступа;
• системы антивирусной защиты;
• системы межсетевого экранирования;
• системы обнаружения вторжений;
• системы анализа защищенности;
• системы криптографической защиты;
• системы защиты от утечки защищаемой информации (DLP).
#CODEIB
24. Сопутствующие услуги
4. По анализу работы внедренной системы защиты информации,
формирование перечня выявленных инцидентов информационной
безопасности и формирования регулярного отчета о внесении
необходимых изменений в настройки внедренной системы
информационной безопасности, для руководства Заказчика и для
созданной организационной структуры обеспечения
информационной безопасности Заказчика.
5. Регулярное формирование статистического отчета о выявленных
инцидентах информационной безопасности для руководства
Заказчика.
#CODEIB
25. Сопутствующие услуги
6. По требованию Заказчика, возможно, оперативное устранение
неисправностей или отказов внедренных средств защиты
информации, либо проведение консультаций со специалистами для
устранения неисправностей силами Заказчика.
7. Проведение обучающих семинаров по эксплуатации внедренной
системы защиты информации для персонала Заказчика.
#CODEIB