Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Решения InfoWatch для обеспечения кибербезопасности промышленных систем автоматизации и управления

657 views

Published on

Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании InfoWatch к вопросам кибербезопасности АСУ ТП. Представлены основные решения InfoWatch для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.

Запись: https://goo.gl/WWCnVh

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Решения InfoWatch для обеспечения кибербезопасности промышленных систем автоматизации и управления

  1. 1. Комплексный подход к обеспечению информационной безопасности АСУ ТП. Решения InfoWatch Аносов Дмитрий, Менеджер по развитию продукта
  2. 2. Вместо вступления. Аксиоматика. АСУ ТП – уязвимы (даже если не подключены к интернету) АСУ ТП – необходимо защищать АСУ ТП – атаки могут привести к серьезным последствиям Государство регулирует вопросы ИБ АСУ ТП, по крайней мере для КВО Основной нормативный документ – Приказ № 31 ФСТЭК России (с РД и МД), а также отраслевые и внутренние стандарты
  3. 3. Уязвимости АСУ ТП Использование уязвимых технологий: ОС, приложений, открытых протоколов Реализация возможности удаленного доступа с использованием IP- протоколам на уровне ЛВС, контроллеров, датчиков, механизмов Применение при проектировании АСУ ТП, протоколов и средств связи без защиты
  4. 4. Подход InfoWatch к обеспечению ИБ АСУ ТП
  5. 5. От чего и что защищаем? Объект защиты: технологический процесс И защищать нужно - от ЛЮБЫХ угроз (информационного характера)
  6. 6. Проектировение СЗИ для АСУ ТП начинается с изучения защищаемой системы • Объекты защиты по своему уникальны • Каждая АСУ ТП по своему уникальна, у компонентов (ПЛК) также свои особенности. Знать и предугадать заранее нельзя • Прежде, чем иметь дело с любой уникальной системой, ее необходимо изучить Аудит ИБ Аудит ИБ АСУ ТП – максимально эффективный способ исследовать конкретную АСУ ТП с точки зрения информационной безопасности
  7. 7. Комплексный подход Способ воздействия Решение InfoWatch Препятствие Управление Маскировка Регламентация InfoWatch Automation System Advanced Protection (ASAP) Аудит Меры обеспечения ИБ Организационные меры Технические меры
  8. 8. Стадии проекта по ИБ АСУ ТП Аудит • Изучение АСУ ТП заказчика • Составление модели угроз • Проект СЗИ • Понимание стоимости и сроков • Составление документации Стенд • Опробация решения на изолирован ном сегмента АСУ ТП Заказчика • Внесение правок и корректиров ок в систему СЗИ Пилот •Пилотное внедрение на рабочем сегменте АСУ ТП Заказчика •Обучение персонала •Составление план-графика внедрения •Составление проектно- сметной документаци и для внедрения Внедрение • Установка решения на объекте заказчика • Обучение персонала • Поддержка и сопровожден ие
  9. 9. Комплексный подход Решения InfoWatch для ИБ АСУ ТП Услуги Аудит (по 31-му Приказу) Комплексный аудит ИБ организации Разработка стандартов ИБ и нормативной документации Продукты Платформа АПК ASAP
  10. 10. Защита нижнего и среднего уровня АСУ ТП
  11. 11. Элементы комплексной защиты MES/ERP TCP/IP SCADA,HMI Srv Уровень диспетчеризации Программируемые контроллеры (ПЛК) Уровень управления Полевые устройстваПолевой уровень ASAP SRV АРМ ИБ ASAP УЗ ASAP УЗ ASAP УЗ ПОД ЗАЩИТОЙ IW ASAP
  12. 12. Состав системы Распределенные по объекту ASAP Аппаратная база определяется исходя из: количества контролируемых интерфейсов связи и их распределенности по объекту, объема обрабатываемой информации, стандартов и протоколов передачи информации ПО сервера обработки информации, поступающей с ASAP ПО сервера может быть установлено на существующие средства вычислительной техники объекта ПО для службы безопасности ПО является тонким клиентом для сервера и может быть установлено на существующие ПК. ПО позволяет формировать аналитические отчеты по заданным параметрам в интересах заказчика. Отчеты могут дополняться графической визуализацией * ASAP – средства обнаружения аномалий
  13. 13. Функциональные блоки защиты ASAP Межсетевое экранирование (МЭ) Обнаружение и предотвращение вторжений (СОВ) Мониторинг и анализ защищенности (МЗ) Контроль технологического процесса (КТП) Модуль анализа и графический интерфейс пользователя (GUI) Обеспечение собственной безопасности (ОСБ)
  14. 14. Межсетевое экранирование Собственная разработка Стандартная фильтрация + DPI по промышленным протоколам Система защищенного хранения и обеспечения целостности конфигураций Система полного зеркалирования всего трафика (опция) При необходимости может выполнять функции маршрутизации Межсетевое экранирование (МЭ)
  15. 15. СОВ Блок сигнатурного анализа Блок накопления и анализа статистических данных Обнаружение атак канального уровня, в т.ч. подмены сигнала Обнаружение вредоносного кода в трафике, информационных атак общего вида (по аналогии с антивирусом) Обнаружение специфических атак на АСУ ТП (собственные сигнатуры) Обнаружение и предотвращение вторжений (СОВ) Выявление аномалий
  16. 16. Анализ защищенности Блок активного сканирования Блок пассивного сканирования • Сканирует защищаемую систему в режиме реального времени на наличие уязвимостей • Действия с трафиком: идентификация, проверка, сравнение с базой сигнатур • Не использует автоматические средства поиска Мониторинг и анализ защищенности (МЗ)
  17. 17. Контроль технологического процесса Обеспечивает целостность, доступность и непрерывность технологического процесса • Специальный интерфейс настройки и адаптации к технологическим процессам предприятия • Используются формулы связи уставок и параметров технологического процесса, задаваемые при внедрении и в ходе работ по сопровождению • Использует данные, полученные в результате предпроектного аудита информационной безопасности технологической сети на объекте • В случае попытки нарушения технологического процесса, может подменять некоторые варианты трафика, предотвращая негативный эффект Контроль технологического процесса (КТП)
  18. 18. Обеспечение собственной безопасности Безопасность и целостность передаваемых данных Раздельная аутентификация Безопасность устройства защиты ASAP Шифрование всех данных и всего трафика, передаваемого внутри ASAP Технологические пользователи, под которыми осуществляется связь СЕРВЕР-АРМ, никак не связаны с таковыми при связи СЕРВЕР-УЗ • Контроль целостности • Модель управления доступом • Аудит кода при разработке • Собственная методика обеспечения защиты
  19. 19. Модуль GUI Построен по системе «виджетов» Позволяет выводить на главный экран любые комбинации информационных блоков Может быть сконфигурирован каждым пользователем индивидуально Предоставляет консолидированную информацию о состоянии ИБ защищаемой системы Графический интерфейс пользователя
  20. 20. Схема работы решения Получение параметров всех защищаемых технологических процессов Глубокий анализ трафика на уровнях SCADA- PLC и PLC- полевой уровень Сравнение с характерным цифровым отпечатком, поиск аномалий с учетом допустимых отклонений В случае обнаружения аномалий – срабатывает СОВ Локализация места возникновения аномалии, информирование сотрудника ИБ Действия по согласованному заранее регламенту
  21. 21. Архитектура Сервер ASAP Сервер Модуль КТП Модуль МАЗ Аналитика уровня сервера АРМ ИБ Интерфейс пользователя УЗ уровня ПЛК МЭ уровня PLK СОВ уровня PLK Аналитика уровня PLK УЗ уровня устройств МЭ уровня устройств СОВ уровня устройств Аналитика уровня устройств Уровень устройств Уровень сервера Уровень рабочей станции Маршрутизатор ASAP
  22. 22. Соответствует приказу №31 ФСТЭК • Руководящему Документу ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД по СВТ) – класс 5 • Руководящему Документу ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (РД по МЭ) – класс 3 • Методическому Документу ФСТЭК России «Профиль защиты систем обнаружения вторжений уровня сети пятого класса защиты ИТ.СОВ.С5.ПЗ» (РД по СОВ) – класс 5 • Руководящему Документу ФСТЭК России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» - (РД по НДВ) – класс 4
  23. 23. Спасибо за внимание!

×