Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании InfoWatch к вопросам кибербезопасности АСУ ТП. Представлены основные решения InfoWatch для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://goo.gl/WWCnVh
Преимущества перехода к стратегии хранения на флэш, Фидан Мифтахов, УЦСБ
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автоматизации и управления
1. Комплексный подход к обеспечению
информационной безопасности
АСУ ТП.
Решения InfoWatch
Аносов Дмитрий,
Менеджер по развитию продукта
2. Вместо вступления.
Аксиоматика.
АСУ ТП – уязвимы (даже если не подключены к интернету)
АСУ ТП – необходимо защищать
АСУ ТП – атаки могут привести к серьезным последствиям
Государство регулирует вопросы ИБ АСУ ТП, по крайней
мере для КВО
Основной нормативный документ – Приказ № 31 ФСТЭК
России (с РД и МД), а также отраслевые и внутренние
стандарты
3. Уязвимости АСУ ТП
Использование
уязвимых технологий:
ОС, приложений,
открытых протоколов
Реализация
возможности
удаленного доступа с
использованием IP-
протоколам на уровне
ЛВС, контроллеров,
датчиков, механизмов
Применение при
проектировании АСУ ТП,
протоколов и средств
связи без защиты
5. От чего и что
защищаем?
Объект защиты:
технологический процесс
И защищать нужно - от ЛЮБЫХ угроз
(информационного характера)
6. Проектировение СЗИ для АСУ ТП начинается с изучения
защищаемой системы
• Объекты защиты по своему уникальны
• Каждая АСУ ТП по своему уникальна, у компонентов (ПЛК) также
свои особенности. Знать и предугадать заранее нельзя
• Прежде, чем иметь дело с любой уникальной системой, ее
необходимо изучить
Аудит ИБ
Аудит ИБ АСУ ТП – максимально эффективный способ исследовать
конкретную АСУ ТП с точки зрения информационной безопасности
8. Стадии проекта по
ИБ АСУ ТП
Аудит
• Изучение АСУ
ТП заказчика
• Составление
модели угроз
• Проект СЗИ
• Понимание
стоимости и
сроков
• Составление
документации
Стенд
• Опробация
решения на
изолирован
ном
сегмента
АСУ ТП
Заказчика
• Внесение
правок и
корректиров
ок в систему
СЗИ
Пилот
•Пилотное
внедрение на
рабочем
сегменте АСУ
ТП Заказчика
•Обучение
персонала
•Составление
план-графика
внедрения
•Составление
проектно-
сметной
документаци
и для
внедрения
Внедрение
• Установка
решения на
объекте
заказчика
• Обучение
персонала
• Поддержка и
сопровожден
ие
9. Комплексный
подход
Решения InfoWatch для ИБ АСУ ТП
Услуги
Аудит (по 31-му
Приказу)
Комплексный
аудит ИБ
организации
Разработка
стандартов ИБ
и нормативной
документации
Продукты
Платформа
АПК ASAP
12. Состав системы
Распределенные по объекту ASAP
Аппаратная база определяется исходя из: количества
контролируемых интерфейсов связи и их распределенности
по объекту, объема обрабатываемой информации, стандартов
и протоколов передачи информации
ПО сервера обработки информации,
поступающей с ASAP
ПО сервера может быть установлено на существующие средства
вычислительной техники объекта
ПО для службы безопасности
ПО является тонким клиентом для сервера и может быть
установлено на существующие ПК. ПО позволяет формировать
аналитические отчеты по заданным параметрам в интересах
заказчика. Отчеты могут дополняться графической
визуализацией
* ASAP – средства обнаружения аномалий
14. Межсетевое
экранирование
Собственная разработка
Стандартная фильтрация + DPI по
промышленным протоколам
Система защищенного хранения и
обеспечения целостности конфигураций
Система полного зеркалирования всего
трафика (опция)
При необходимости может выполнять
функции маршрутизации
Межсетевое
экранирование
(МЭ)
15. СОВ
Блок сигнатурного
анализа
Блок накопления и
анализа статистических
данных
Обнаружение атак
канального уровня, в
т.ч. подмены сигнала
Обнаружение вредоносного
кода в трафике,
информационных атак
общего вида (по аналогии с
антивирусом)
Обнаружение
специфических атак на АСУ
ТП (собственные сигнатуры)
Обнаружение и
предотвращение
вторжений
(СОВ)
Выявление аномалий
16. Анализ
защищенности
Блок активного
сканирования
Блок пассивного
сканирования
• Сканирует защищаемую систему в режиме реального времени на
наличие уязвимостей
• Действия с трафиком: идентификация, проверка, сравнение с
базой сигнатур
• Не использует автоматические средства поиска
Мониторинг и
анализ
защищенности
(МЗ)
17. Контроль
технологического
процесса
Обеспечивает
целостность,
доступность и
непрерывность
технологического
процесса
• Специальный интерфейс настройки и
адаптации к технологическим процессам
предприятия
• Используются формулы связи уставок и
параметров технологического процесса,
задаваемые при внедрении и в ходе работ
по сопровождению
• Использует данные, полученные в
результате предпроектного аудита
информационной безопасности
технологической сети на объекте
• В случае попытки нарушения
технологического процесса, может
подменять некоторые варианты трафика,
предотвращая негативный эффект
Контроль
технологического
процесса
(КТП)
18. Обеспечение
собственной
безопасности
Безопасность и целостность
передаваемых данных
Раздельная аутентификация
Безопасность устройства защиты
ASAP
Шифрование всех данных и всего
трафика, передаваемого внутри ASAP
Технологические пользователи, под
которыми осуществляется связь
СЕРВЕР-АРМ, никак не связаны с
таковыми при связи СЕРВЕР-УЗ
• Контроль целостности
• Модель управления доступом
• Аудит кода при разработке
• Собственная методика
обеспечения защиты
19. Модуль GUI
Построен по системе «виджетов»
Позволяет выводить на главный экран любые
комбинации информационных блоков
Может быть сконфигурирован каждым пользователем
индивидуально
Предоставляет консолидированную информацию о
состоянии ИБ защищаемой системы
Графический
интерфейс
пользователя
20. Схема работы
решения
Получение
параметров всех
защищаемых
технологических
процессов
Глубокий анализ
трафика на
уровнях SCADA-
PLC и PLC-
полевой уровень
Сравнение с
характерным цифровым
отпечатком, поиск
аномалий с учетом
допустимых отклонений
В случае
обнаружения
аномалий –
срабатывает СОВ
Локализация места
возникновения
аномалии,
информирование
сотрудника ИБ
Действия по
согласованному
заранее
регламенту
22. Соответствует
приказу №31 ФСТЭК
• Руководящему Документу ФСТЭК России «Средства вычислительной
техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к
информации» (РД по СВТ) – класс 5
• Руководящему Документу ФСТЭК России «Средства вычислительной
техники. Межсетевые экраны. Защита от несанкционированного доступа
к информации. Показатели защищенности от несанкционированного
доступа к информации (РД по МЭ) – класс 3
• Методическому Документу ФСТЭК России «Профиль защиты систем
обнаружения вторжений уровня сети пятого класса защиты
ИТ.СОВ.С5.ПЗ» (РД по СОВ) – класс 5
• Руководящему Документу ФСТЭК России «Защита от
несанкционированного доступа к информации. Часть 1. Программное
обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей» - (РД по НДВ) –
класс 4