Семинар 01 июня 2017 года.

1. 02.06.17
Первый. Сертифицированный.
DATAPK
Николай Домуховский
Директор
Департамента системной интеграции
ООО «УЦСБ»

2. -2-
Почему DATAPK такой?

3. Как выглядит атака на АСУ ТП?
Реализация
«классической»
угрозы ИБ
Внесение изменений
в работу АСУ ТП
Некорректная
реализация ТП
ИБ
ПБ
Объект атаки:
• АРМ, серверы, АСО
• Общее ПО
Цель атаки:
• Закрепиться в защищаемом
периметре
Объект атаки:
• ПЛК
• Специальное ПО
Цель атаки:
• Получение возможности
манипуляции ТП
Объект атаки:
• ТОУ
Цель атаки:
• Нарушение реализации ТП
• Порча оборудования
-3-

4. Подготовка
Временной вектор атаки
Реализация Нанесение ущерба
Проактивная защита Активная защита Реактивная защита
В традиционных системах все 3 стадии могут проходить за считанные секунды,
в АСУ ТП – могут длиться годы
-4-

5. Как можно защищаться?
Проактивная защита Активная защита Реактивная защита
Цель стратегии:
— Не дать произойти
инциденту
Способ достижения:
— Блокировка
нежелательных
изменений состояния
системы
Цель стратегии:
— Выявить атаку в ходе
реализации
Способ достижения:
— Анализ состояний
системы с целью
выявления
подозрительных
изменений
Цель стратегии:
— Минимизировать ущерб
от реализации
инцидента
Способ достижения:
— Возврат системы в
целевое состояние
-5-

6. Как реализует защиту DATAPK?
Смежная система
Односторонний (псевдоодносторонний)
канал связи
Непрерывный мониторинг отклонений
Доверенная система
• Контроль целостности ПО и
конфигурации (программной и
аппаратной)
• Контроль информационных потоков
• Отсутствие инструментов внесения
изменений (в том числе, в
конфигурации)
-6-

7. -7-
А какой он DATAPK?

8. Функциональная структура ПАК DATAPK
Каталог объектов
защиты
Модуль сбора и
анализа событий ИБ
Каталог требований
по ИБ
Модуль управления
конфигурацией ОЗ
Модуль оценки
соответствия
и поиска уязвимостей
Каталог уязвимостей
Журнал
событий ИБ
Модуль
обеспечения ИБ
-8-

9. Режимы функционирования ПАК DATAPK
Модуль Функция
Пассивный
мониторинг
Активный
мониторинг
Сканирование
защищенности
Управление
конфигурацией ОЗ
Определение текущего состава
ОЗ
Выявление изменений в
составе ОЗ
Сбор конфигураций
Выявление сетевых аномалий
Сбор и анализ
событий ИБ
Сбор событий ИБ
Оценка соответствия
и поиск уязвимостей
Проверка ОЗ на наличие
уязвимостей
Оценка ОЗ на соответствие
требованиям
Пассивный мониторинг: однонаправленное получение информации, анализ сетевого трафика, без воздействия
на компоненты АСУ ПТК
Активный мониторинг: взаимодействие с компонентами АСУ ПТК (запрос-ответ), сбор конфигураций и событий
Сканирование защищенности: выявление уязвимостей компонентов АСУ ПТК
-9-

10. Реализация замкнутой программной среды
с использованием ПАК DATAPK
Безопасная конфигурация:
• Управление доступом
• Регистрация событий ИБ
• Идентификация и
аутентификация
Активный мониторинг:
• Управление конфигурацией
Сканирование защищенности:
• Контроль соответствия
требованиям ИБ
• Поиск уязвимостей
Пассивный мониторинг:
• Выявление изменений
состава ОЗ
• Выявление сетевых
аномалий
• Сбор событий ИБ
-10-

11. Сбор событий ИБ
Активный сбор событий ИБ: передача/сбор
событий по протоколам, поддерживаемым
объектом защиты
Пассивный сбор событий ИБ: использование
однонаправленного протокола передачи событий
на несуществующий сервер сбора событий, сбор
событий на основе анализа копии трафика
-11-

12. Каталог объектов защиты
— Объекты защиты
отображаются в виде
заданной иерархии
— Каждому типу объекта
защиты соответствует
пиктограмма, используемая
для визуализации ОЗ
— Цветом выделяются ОЗ, для
которых присутствуют
необработанные
операторов уведомления
-12-

13. Каталог объектов защиты
— Иерархическая структура ОЗ
определяется
пользователем DATAPK
— Атрибуты ОЗ используются
для отображения и для
произвольной фильтрации
ОЗ
-13-

14. Визуализация каталога ОЗ
— На карте отображаются ОЗ и информационные потоки между
ними (логические связи)
— Неодобренные оператором информационные потоки
подсвечиваются красным цветом
-14-

15. Управление конфигурацией
— Конфигурация разделяется
на понятные оператору
элементы, для каждого из
которых формируются
собственные правила
отображения и контроля
— Для выбранного элемента
конфигурации наглядно
отображаются выявленные
изменения относительно эталона
-15-

16. Оценка ОЗ и анализ уязвимостей
Описание уязвимости/оценки соответствия на языке OVAL
Интерпретатор OVAL
Элементы конфигурации Правила сравнения
Сборщики конфигурации Результат проверки
-16-

17. Оценка ОЗ и анализ уязвимостей
Описание уязвимости/оценки соответствия на языке OVAL
Интерпретатор OVAL
Элементы конфигурации Правила сравнения
Сборщики конфигурации Результат проверки
-17-

18. Обеспечения ИБ ПАК DATAPK. Внутренняя
архитектура
Web-
браузер
Эмулятор
терминала
Сторонние
решения
Web-сервер
Командный
процессор
Слой основной логики приложения
Слой доступа
Объекты защиты
Интеграция со сторонними приложениями
(а также другими DATAPK) реализована на
базе REST API – наиболее
распространенного способа интеграции
современных приложений, позволяющего
организовать связь систем в том числе без
участия разработчиков
Разграничение доступа реализовано на
уровне основной логики приложения, что
обеспечивает контроль доступа,
независимо от используемого механизма
доступаСлой доступа реализует ограниченный
набор операций взаимодействия с ОЗ, что
не позволяет использовать DATAPK для
вредоносного воздействия на ОЗ даже в
случае его компрометации
-18-

19. Достижения
(о которых можно рассказывать)
на сегодня
• Совместные испытания с разработчиками АСУ ТП (Вега-ГАЗ,
Emerson)
• Пилоты (холдинг «Евраз», ПАО «Северсталь»)
• Сертификат ФСТЭК
-19-
… и это только начало

20. Благодарю за внимание!
Николай Домуховский
ООО «УЦСБ»
620100, Екатеринбург, ул. Ткачей, д.6
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 382-05-63
info@ussc.ru
www.USSC.ru
-20-